Avtal
Avtal
Detta avtal består av 2 delar. Del 1 beskriver tjänsten xxxxxxxxxx.xx och villkor relaterade till tjänsten. Del 2 är ett Personuppgiftsbiträdesavtal, PUB-avtal, som gäller mellan Achron Systems AB, ägare till tjänsten, och den kund som definieras under punkt 1.1 Denna del är en kopia av den mall som SKR tillhandahåller.
Del 1 Tjänsten xxxxxxxxxx.xx
1.1. Parter
Leverantör
Achron Systems AB | Xxxxxxxxxxxx 0, 000 00 Xxxxx-Xxxxxx |
Organisationsnummer | 559321-8075 |
Kontaktperson: |
Kund:
Skolans namn | Skolans namn, Kommun |
Kontaktperson Xxxxxxx | Xxxx, x.xxxx |
Kontaktperson Tjänsten | Namn, e-post |
E-postadress faktura | e-post-faktura |
Skolans registreringskod | En kod att använda när en lärare registrerar sitt konton. |
1.2. TJÄNST & BETALNING
Med Tjänsten avses den funktionalitet man erhåller genom att ansluta sig till xxxxxxxxxx.xx via de registreringskoder som de anslutna skolorna erhåller i samband med att avtal tecknas. Det innebär att lärare kan skapa egna konton och som lärare även ansluta sina elever till tjänsten. De lärare och
elever som är anslutna till tjänsten får nyttja tjänsten från alla typer av enheter och på alla tider på dygnet under förutsättning att skolan har fullgjort de betalningsvillkor som har överenskommits.
Tjänstens syfte är att ge elever träning i talförståelse, tals uppdelning och tabelltråning på ett sådant sätt att det är lätt och tydligt både för elever och lärare att se barnens utveckling över tid.
Tjänstens funktioner kan från tid till annan förändras genom uppdateringar som görs i syfte att förbättra funktionaliteten.
1.3. LICENS OCH RÄTTIGHETER
Immateriella rättigheter
Tjänsten ägs av Achron Systems AB och en ansluten skola äger inte rätt att distribuera tjänsten till en annan skola eller andra användare utan tillstånd från Achron Systems.
Nyttjanderätt
Tjänsten upplåtes genom abonnemang läsårsvis. Betalning skall ske senast 1 månad efter överenskommen avtalsstart.
Användarinnehåll
Det innehåll som skapas i form av resultat på övningarna ägs av den anslutna skolan som kan välja att skriva ut det eller på annat sätt spara undan resultatet. Innehållet tillhandahålls via de funktioner som är etablerade i systemet som rapporter. De kan skrivas ut eller sparas via webbläsarens funktionalitet. Vill en skola få tillgång till materialet på annat sätt, kan det ske via särskild avgiftsbelagd beställning.
1.4. AVTALSTID - UPPSÄGNING
Avtalstid och uppsägning
Avtalet gäller tills vidare under förutsättning att skolan erlägger överenskommen abonnemangsavgift. Abonnemangsperioderna löper per läsår, HT-VT. Skolan och Achron Systems äger båda rätt att säga upp avtalet när som helst. Avtalet upphör då att gälla i samband med att innevarande abonnemangsperiod löper ut.
Om skolan eller någon till skolan ansluten användare begår avtalsbrott eller på annat sätt missbrukar systemet äger Achron Systems rätt att med omedelbar verkan säga upp avtalet.
Tillfällig avstängning av Tjänsten
Tjänsten kan komma att tillfälligt begränsas eller stängas av i samband med att det genomförs underhåll på Tjänsten.
Ingen ersättning
Om avtalet upphör av något av skälen ovan, upphör alla förplikelser för Achron Systems gentemot Skolan. Ingen återbetalning av inbetald avgift kommer att ske.
Uppsägning
Avtalet säges upp genom att skicka e-post till xxxxxxxxxx@xxxxxxxxxx.xx
1.5. ÅNGERRÄTT
När en skola ansluter sig kommer tjänsten att starta omgående. Skolan har sedan under 1 månad fri tillgång till tjänsten innan betalning behöver göras. Under den tiden kan Skolan ångra sig och inte fullfölja avtalet. När betalning skett har avtalet startat och gäller under det aktuella läsåret.
1.6. SUPPORT
Support på Tjänsten erhålls via xxxx@xxxxxxxxxx.xx. eller kontaktlänken som finns på xxxxxxxxxx.xx.
1.7. MEDDELANDEN
För att kunna kommunicera viktiga funktionsförändringar och även kunna göra viss uppföljning kommer xxxxxxxxxx.xx att emellanåt skicka meddelanden till anslutna lärare.
1.8. ANSVAR OCH TILLGÄNGLIGHET
Målsättningen är att tjänsten skall vara tillgänglig så nära 100% av tiden som möjligt. Driften av systemet sköts av Oderland, som har en tillgänglighet på över 99,9%. Avbrott i tjänsten kan också ske i samband med uppdateringar. Även om tillfälliga avbrott i tjänsten sker är inte Achron Systems skyldig till någon form av ersättning..
1.9. Vilka uppgifter samlas in?
För skolan
Systemet innehåller vissa adressuppgifter till skolan, inklusive en e-postadress till skolan
För lärare
När en lärare registrerar sig kommer deras e-postadress att registreras tillsammans med lärarens namn och skolans skolenhetskod
För eleven
Det är undervisande lärare eller annan person, registrerad på samma skola och elevgrupp, som registrerar elever. Registrerade uppgifter, utöver användarnamn, är förnamn, efternamn och grupp (namn och grupp kan vara fiktiva) samt skolans skolenhetskod. Användarnamnet skapas automatiskt som en kombination av 2 tecken från respektive skolnamn, förnamn och efternamn.
Produktion
Det som produceras av systemet är resultatet av de gjorda övningarna tillsammans med användarnamnet på den som gjorde övningen. Detta görs för att kunna ge uppföljningsrapporter till lärare och till eleven själv.
1.10. Hur används de insamlade personuppgifterna
De uppgifter som samlas in används enbart till att hantera de konton som är anslutna till systemet och skapa rapporter som visar resultaten på de gjorda övningarna.
1.11. Hur lagras de insamlade uppgifterna?
Vårt system driftas av Oderland. ett svenskt företag. Det är således Oderland som hanterar lagringen av de uppgifter som skickas in i systemet via kontoregistreringar eller producerade resultat av de gjorda övningarna.
Den tjänst vi avtalat med Oderland inkluderar också ett personuppgiftsbiträdesavtal som via oss definierar delar av de åtagande vi kan erbjuda er relaterade till Dataskyddsregleringen.
1.12. Hur länge sparas personuppgifterna?
Så länge vi har ett avtal sparas de uppgifter som är relaterade till lärares och elevers konton, se avsnitt 1.9. Utöver det sparas uppgifterna ytterligare 1 år för att kunna göra uppföljningar. Skolan kan dock själva radera elevernas konton och resultat. De lärare eller annan personal som registrerat sitt konto via den registreringskod man erhållit kan radera elever i de grupper som man angivit i sina inställningar. Via sina inställningar kan också läraren xxxxxx sitt eget konto.
1.13. Spridning av personuppgifter till 3:e part
Achron Systems sprider inga personuppgifter till några andra företag eller organisationer förutom till Oderland som driftar systemet och behandlar systemet enligt de riktlinjer som framgår av personuppgiftsbiträdesavtal
1.14. Skolans rättigheter
Skolan har genom sina registrerade lärare eller annan registrerad personal full kontroll över sina personliga registrerade uppgifter och kan läsa, ändra eller radera sina uppgifter. Man har även full kontroll över elevernas uppgifter och kan när som helst avlägsna dem ur systemet. Ansvaret för riktigheten i dessa uppgifter åligger därför den anslutna skolan.
Registerutdrag
Skolan kan, om så önskas, få ett samlat registerutdrag innehållande uppgifter om de lärare och elever från skolan som finns lagrade i systemet.
Dataportabilitet.
De lagrade uppgifterna som beskrivits ovan distribueras via en länk till systemet som kan skrivas ut eller sparas på annat sätt via funktionaliteten i webbläsaren. Om andra typer av format önskas kan det ske via beställning mot betalning.
Radering
Behörig personal (har registrerat konto via skolans registreringskod) på skolan har vid alla tillfällen möjlighet att radera alla delar av den lagrade informationen. Skolan kan också beställa detta utan kostnad från oss (Achron Systems).
Rätt till rättelse.
Eftersom en förutsättning till att använda systemet är att behöriga lärare har registrerat de aktuella uppgifterna för sig själv och sina elever och även vid varje tillfälle kan ändra dessa har skolan full kontroll över lärares och elevers uppgifter och kan då också vid varje tillfälle korrigera felaktiga personuppgifter.
Utöver personuppgifter finns också uppgifter om skolan registrerade. Dessa uppgifter kommuniceras i samband med att tjänsten tas i bruk. Bland annat skall det finnas en e-postadress till skolan som används i samband med att dessa avtalsvillkor kommuniceras.
Del 2 PUB-avtal
Detta är en kopia av den mall som finss hos SKR.
2.1. PARTER, PARTERNAS STÄLLNING, KONTAKTUPPGIFTER OCH KONTAKTPERSONER
Uppgifter om parterna i detta avtal freamgåir av punkt 1.1
2.2. DEFINITIONER
Utöver de begrepp som definieras i löptext, i detta personuppgiftsbiträdesavtal, ska dessa definitioner oavsett om de används i plural eller singular, i bestämd eller obestämd form, ha nedanstående innebörd när de anges med versal som begynnelsebokstav.
Behandling En åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning,
användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. | |
Dataskyddslagstiftning | Avser all integritets- och personuppgiftslagstiftning, samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter), som är tillämplig på den Behandling som sker enligt detta PUB-avtal, inklusive nationell sådan lagstiftning och EU-lagstiftning. |
Personuppgiftsansvarig | Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamål och medlen för Behandlingen av Personuppgifter. |
Instruktion | De skriftliga instruktioner som närmare anger föremål, varaktighet, art och ändamål, typ av Personuppgifter samt kategorier av Registrerade och särskilda behov som omfattas av Behandlingen. |
Logg | Logg är resultatet av Loggning. |
Loggning | Loggning är ett kontinuerligt insamlande av uppgifter om den Behandling av Personuppgifter som utförs enligt detta PUB-avtal och som kan knytas till en enskild fysisk person. |
Personuppgiftsbiträde | Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning. |
Personuppgift | Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
Personuppgiftsincident | En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats. |
Registrerad | Fysisk person vars Personuppgifter Behandlas. |
Tredje land | En stat som inte ingår i Europeiska unionen (EU) eller inte är ansluten till Europeiska ekonomiska samarbetsområdet (EES). |
Underbiträde Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som i egenskap av underleverantör till Personuppgiftsbiträdet Behandlar Personuppgifter för Personuppgiftsansvariges räkning.
2.3. BAKGRUND OCH SYFTE
2.3.1 Med detta Personuppgiftsbiträdesavtal jämte Instruktioner och en eventuell förteckning över Underbiträden (nedan gemensamt ”PUB-avtalet”) reglerar den Personuppgiftsansvarige Personuppgiftsbiträdets Behandling av Personuppgifter åt den Personuppgiftsansvarige. PUBavtalets syfte är att säkerställa den Registrerades fri- och rättigheter vid Behandlingen, i enlighet
med vad stadgas i artikel 28.3 i Allmänna dataskyddsförordningen EU 2016/679 (”Dataskyddsförordningen”).
2.3.2 När PUB-avtalet utgör ett av flera avtalsdokument inom ramen för ett annat avtal benämns det andra avtalet ”Huvudavtalet” i PUB-avtalet.
2.3.3 För det fall något av det som stadgas i punkterna 2.1, 2.16, 2.17, 2.18.2, 2.19–2.22 i PUBavtalet regleras på annat sätt i Huvudavtalet ska Huvudavtalets reglering ha företräde.
2.3.4 Hänvisningar i PUB-avtalet till nationell eller unionsrättslig lagstiftning, avser vid var tid tillämpliga bestämmelser.
2.4. BEHANDLING AV PERSONUPPGIFTER OCH SPECIFIKATION
2.4.1 Den Personuppgiftsansvarige utser härmed Personuppgiftsbiträdet att utföra Behandlingen för den Personuppgiftsansvariges räkning enligt vad som stadgas i detta PUB-avtal.
2.4.2 Den Personuppgiftsansvarige ska ge skriftliga Instruktioner till Personuppgiftsbiträdet om hur det ska utföra Behandlingen.
2.4.3. Personuppgiftsbiträdet får endast utföra Behandlingen i enlighet med PUB-avtalet och vid var tid gällande Instruktioner.
2.5. DEN PERSONUPPGIFTSANSVARIGES ANSVAR
2.5.1 Den Personuppgiftsansvarige ansvarar för att det vid var tid finns laglig grund för Behandlingen och för att utforma korrekta Instruktioner så att Personuppgiftsbiträdet och eventuellt Underbiträde kan fullgöra sitt eller sina uppdrag enligt detta PUB-avtal och Huvudavtal i förekommande fall.
2.5.2 Den Personuppgiftsansvarige ska utan onödigt dröjsmål informera Personuppgiftsbiträdet om förändringar i Behandlingen vilka påverkar Personuppgiftsbiträdets skyldigheter enligt Dataskyddslagstiftningen.
2.5.3 Den Personuppgiftsansvarige ansvarar för att informera Registrerade om Behandlingen och för att tillvarata Registrerades rättigheter enligt Dataskyddslagstiftningen samt vidta varje annan åtgärd som åligger den Personuppgiftsansvarige enligt Dataskyddslagstiftningen.
2.6. PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN
2.6.1 Personuppgiftsbiträdet förbinder sig att endast utföra Behandlingen i enlighet med PUB-avtalet och Instruktioner samt att följa Dataskyddslagstiftningen. Personuppgiftsbiträdet förbinder sig även att fortlöpande hålla sig informerad om gällande rätt på området.
2.6.2 Personuppgiftsbiträdet ska vidta åtgärder för att skydda Personuppgifterna mot alla slag av Behandlingar som inte är förenliga med PUB-avtalet, Instruktioner och Dataskyddslagstiftningen.
2.6.3 Personuppgiftsbiträdet åtar sig att säkerställa att samtliga fysiska personer som arbetar under dess ledning följer PUB-avtalet och Instruktioner samt att de fysiska personerna informeras om relevant lagstiftning.
2.6.4 Personuppgiftsbiträdet ska på begäran från den Personuppgiftsansvarige bistå denne med att säkerställa att skyldigheterna enligt artikel 32–36 i Dataskyddsförordningen fullgörs och svara på begäran om utövande av den Registrerades rättigheter i enlighet med Dataskyddsförordningen, kap. III, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå.
2.6.5 För det fall att Personuppgiftsbiträdet finner att Instruktioner är otydliga, i strid med Dataskyddslagstiftningen eller saknas och Personuppgiftsbiträdet bedömer att nya eller kompletterande Instruktioner är nödvändiga för att genomföra sina åtaganden ska Personuppgiftsbiträdet utan dröjsmål informera den Personuppgiftsansvarige, tillfälligt upphöra med Behandlingen och invänta nya Instruktioner.
2.6.6 För det fall att den Personuppgiftsansvarige förser Personuppgiftsbiträdet med nya eller ändrade Instruktioner ska Personuppgiftsbiträdet, utan onödigt dröjsmål från mottagandet, meddela den Personuppgiftsansvarige huruvida genomförandet av de nya Instruktionerna föranleder förändrade kostnader för Personuppgiftsbiträdet.
2.7. SÄKERHETSÅTGÄRDER
2.7.1 Personuppgiftsbiträdet ska vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgärder som krävs enligt Dataskyddslagstiftningen för att förhindra Personuppgiftsincidenter, genom att säkerställa att Behandlingen uppfyller kraven i Dataskyddsförordningen och att den Registrerades rättigheter skyddas.
2.7.2 Personuppgiftsbiträdet ska fortlöpande säkerställa att den tekniska och organisatoriska säkerheten i samband med Behandlingen medför en lämplig nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft.
2.7.3 Eventuella tillkommande eller ändrade krav på skyddsåtgärder från den Personuppgiftsansvarige, efter parternas tecknande av PUB-avtalet, ska betraktas som nya Instruktioner enligt PUB-avtalet.
2.7.4 Personuppgiftbiträdet ska genom behörighetskontrollsystem endast ge åtkomst till Personuppgifterna för sådana fysiska personer som arbetar under Personuppgiftsbiträdets ledning och som behöver åtkomsten för att kunna utföra sina arbetsuppgifter.
2.7.5 Personuppgiftsbiträdet åtar sig att kontinuerligt Logga åtkomst till Personuppgifterna enligt PUBavtalet i den utsträckning det krävs enligt Instruktionen. Loggar får gallras först fem (5) år efter Loggningstillfället om inte annat anges i Instruktionen. Loggar ska omfattas av erforderliga skyddsåtgärder, i enlighet med Dataskyddslagstiftningen.
2.7.6 Personuppgiftsbiträdet ska systematiskt testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.
2.8. SEKRETESS/TYSTNADSPLIKT
2.8.1 Personuppgiftsbiträdet och samtliga fysiska personer som arbetar under dess ledning ska vid Behandlingen iaktta såväl sekretess som tystnadsplikt. Personuppgifterna får inte nyttjas eller spridas för andra ändamål, vare sig direkt eller indirekt, såvida inte annat avtalats.
2.8.2. Personuppgiftsbiträdet ska tillse att samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen, är bundna av sekretessförbindelse avseende Behandlingen. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag. Personuppgiftsbiträdet åtar sig även att tillse att det finns sekretessavtal med Underbiträdet samt sekretessförbindelser mellan Underbiträdet och samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen.
2.8.3 Personuppgiftsbiträdet ska skyndsamt underrätta den Personuppgiftsansvarige om eventuella kontakter med tillsynsmyndighet avseende Behandlingen. Personuppgiftsbiträdet har inte rätt att företräda den Personuppgiftsansvarige eller agera för den Personuppgiftsansvariges räkning gentemot tillsynsmyndigheter i frågor avseende Behandlingen.
2.8.4 Om den Registrerade, tillsynsmyndighet eller tredje man begär information från Personuppgiftsbiträdet vilken rör Behandlingen, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om saken. Information om Behandlingen får inte lämnas till den Registrerade, tillsynsmyndighet eller tredje man utan skriftligt medgivande från den Personuppgiftsansvarige, såvida det inte framgår av tvingande lag att information ska lämnas. Personuppgiftsbiträdet ska bistå med förmedling av den informationen som omfattas av ett medgivande eller lagkrav.
2.9. GRANSKNING, TILLSYN OCH REVISION
2.9.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål som en del av sina garantier, enligt artikel
28.1 i Dataskyddsförordningen, på den Personuppgiftsansvariges begäran kunna redovisa vilka tekniska och organisatoriska säkerhetsåtgärder som används för att Behandlingen ska uppfylla kraven enligt PUB-avtalet och artikel 28.3.h i Dataskyddsförordningen.
2.9.2 Personuppgiftsbiträdet ska minst en (1) gång om året granska säkerheten avseende Behandlingen genom en egenkontroll för att säkerställa att Behandlingen följer PUB-avtalet. Resultatet av sådan egenkontroll ska på begäran delges den Personuppgiftsansvarige.
2.9.3 Den Personuppgiftsansvarige äger rätt att, själv eller genom annan av denne utsedd tredje part (som inte får vara en konkurrent till Personuppgiftsbiträdet), följa upp att Personuppgiftsbiträdet uppfyller PUB-avtalets, Instruktionernas och Dataskyddslagstiftningens krav. Personuppgiftsbiträdet ska vid sådan granskning bistå den Personuppgiftsansvarige, eller den som utför granskningen i den Personuppgiftsansvariges ställe, med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna granska Personuppgiftsbiträdets efterlevnad av PUB-avtalet, Instruktioner och Dataskyddslagstiftningen. Den Personuppgiftsansvarige ska säkerställa att personal som genomför granskningen är underkastade sekretess eller tystnadsplikt enligt lag eller avtal.
2.9.4 Personuppgiftsbiträdet äger alternativt till vad som stadgas i punkterna 9.2–9.3, rätt att erbjuda andra tillvägagångssätt för granskning av Behandlingen, exempelvis granskning genomförd av oberoende tredje part. Den Personuppgiftsansvarige ska i sådant fall äga rätt, men inte skyldighet, att
tillämpa detta alternativa tillvägagångssätt för granskning. Vid sådan granskning ska Personuppgiftsbiträdet ge den Personuppgiftsansvarige eller en tredje part den assistans som behövs för utförandet av granskningen.
2.9.5 Personuppgiftbiträdet ska bereda tillsynsmyndighet, eller annan myndighet som har laglig rätt
till det, möjlighet att göra tillsyn enligt myndighetens begäran i enlighet med vid var tid gällande lagstiftning, även om sådan tillsyn annars skulle stå i strid med bestämmelserna i PUB-avtalet.
2.9.6 Personuppgiftsbiträdet ska tillförsäkra den Personuppgiftsansvarige rättigheter gentemot Underbiträdet vilka motsvarar den Personuppgiftsansvariges samtliga rättigheter gentemot Personuppgiftsbiträdet enligt punkten 9 i PUB-avtalet.
2.10. HANTERING AV RÄTTELSER OCH RADERING M.M.
2.10.1 För det fall den Personuppgiftsansvarige begärt rättelse eller radering på grund av Personuppgiftsbiträdets felaktiga Behandling ska Personuppgiftsbiträdet vidta lämplig åtgärd utan onödigt dröjsmål, senast inom trettio (30) dagar, från det att Personuppgiftsbiträdet mottagit erforderlig information från den Personuppgiftsansvarige. När den Personuppgiftsansvarige begärt radering får Personuppgiftsbiträdet endast utföra Behandling av den aktuella Personuppgiften som ett led i processen för rättelse eller radering.
2.10.2 Om tekniska och organisatoriska åtgärder (t.ex. uppgraderingar eller felsökningar) vidtas av
Personuppgiftsbiträdet i Behandlingen, vilka kan väntas påverka Behandlingen, ska Personuppgiftsbiträdet skriftligt informera den Personuppgiftsansvarige om detta i enlighet med vad stadgas om meddelanden i punkten 19 i PUB-avtalet. Informationen ska lämnas i god tid innan åtgärderna vidtas.
2.11. PERSONUPPGIFTSINCIDENTER
2.11.1 Personuppgiftsbiträdet ska ha förmåga att återställa tillgängligheten och tillgången till Personuppgifterna i rimlig tid vid en fysisk eller teknisk incident enligt artikel 32.1.c i Dataskyddsförordningen.
2.11.2 Personuppgiftbiträdet åtar sig att med beaktande av Behandlingens art, och den information som Personuppgiftsbiträdet har att tillgå, bistå den Personuppgiftsansvarige med att fullgöra dennes
skyldigheter vid en Personuppgiftsincident beträffande Behandlingen. Personuppgiftbiträdet ska på den Personuppgiftsansvariges begäran även bistå med att utreda misstankar om eventuell obehörigs Behandling och/eller åtkomst till Personuppgifterna.
2.11.3 Vid Personuppgiftsincident, vilken Personuppgiftbiträdet fått vetskap om, ska Personuppgiftsbiträdet utan onödigt dröjsmål skriftligen underrätta den Personuppgiftsansvarige om händelsen. Personuppgiftsbiträdet ska, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå, tillhandahålla den Personuppgiftsansvarige en skriftlig beskrivning av Personuppgiftsincidenten.
Beskrivningen ska redogöra för:
1. Personuppgiftsincidentens art och, om möjligt, de kategorier och antalet Registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
2. de sannolika konsekvenserna av Personuppgiftsincidenten, och
3. åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra Personuppgiftincidentens potentiella negativa effekter.
2.11.4 Om det inte är möjligt för Personuppgiftsbiträdet att tillhandahålla hela beskrivningen samtidigt, enligt punkten 2.11.3 i PUB-avtalet, får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
2.12. UNDERBITRÄDE
2.12.1 Personuppgiftsbiträdet äger rätt att anlita den eller de Underbiträden som framgår av bilagd förteckning över Underbiträden.
2.12.2 Personuppgiftsbiträdet åtar sig att teckna ett skriftligt avtal med Underbiträdet som reglerar Behandlingen som Underbiträdet utför å den Personuppgiftsansvariges vägnar samt att endast anlita Underbiträden som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska
åtgärder så att Behandlingen uppfyller kraven i Dataskyddsförordningen. I fråga om dataskydd ska avtalet ålägga Underbiträdet samma skyldigheter som åläggs Personuppgiftsbiträdet i detta PUBavtal.
2.12.3 Personuppgiftsbiträdet ansvarar fullt ut för Underbiträdets Behandling gentemot den Personuppgiftsansvarige.
12.4 Personuppgiftsbiträdet äger rätt att anlita nya underbiträden och ersätta befintliga underbiträden.
2.12.5 När Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt Underbiträde ska Personuppgiftsbiträdet säkerställa Underbiträdets kapacitet och förmåga att uppfylla sina skyldigheter
enligt Dataskyddslagstiftningen. Personuppgiftsbiträdet ska skriftligen meddela den Personuppgiftsansvarige om
1. Underbiträdets namn, organisationsnummer och säte (adress och land),
2. vilken typ av uppgifter och kategorier av Registrerade som behandlas, och
3. var Personuppgifterna ska behandlas.
2.12.6 Den Personuppgiftsansvarige äger rätt att inom trettio (30) dagar från dag för meddelande enligt punkten 2.12.5 invända mot Personuppgiftsbiträdets anlitande av ett nytt underbiträde och att, med anledning av sådan invändning, säga upp detta PUB-avtal att upphöra i enlighet med vad stadgas i PUB-avtalet, punkten 2.17.4.
2.12.7 När Personuppgiftsbiträdet upphör med att anlita Underbiträdet ska Personuppgiftsbiträdet skriftligen meddela den Personuppgiftsansvarige om att det upphör med att anlita Underbiträdet.
2.12.8 Personuppgiftsbiträdet ska på den Personuppgiftsansvariges begäran översända en kopia av det avtal som reglerar Behandling av Underbiträdets Behandling av Personuppgifter enligt punkten 2.12.2.
2.13. LOKALISERING OCH ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND
2.3.1 Personuppgiftsbiträdet ska säkerställa att Personuppgifterna hanteras och lagras inom EU/EES av en fysisk eller juridisk person som är etablerad inom EU/EES, om inte PUB-avtalets parter kommer överens om något annat.
2.13.2 Personuppgiftsbiträdet äger endast rätt att överföra Personuppgifter till Tredje land för Behandling (t.ex. service, support, underhåll, utveckling, drift eller liknande hantering) om den Personuppgiftsansvarige på förhand skriftligen godkänt sådan överföring och utfärdat Instruktioner för detta ändamål.
2.13.3 Överföring till Tredje land för Behandling enligt PUB-avtalet, punkten 2.13.2, får endast ske om den är förenlig med Dataskyddslagstiftningen och uppfyller de krav på Behandlingen vilka ställs i PUB-avtalet och Instruktioner.
2.14. ANSVAR FÖR SKADA I SAMBAND MED BEHANDLING
2.14.1 Vid ersättning för skada i samband med Behandling som, genom fastställd dom eller förlikning, ska utgå till den Registrerade på grund av överträdelse av bestämmelse i PUB-avtalet, Instruktioner och/eller tillämplig bestämmelse i Dataskyddslagstiftningen ska artikel i 82 i
Dataskyddsförordningen tillämpas.
2.14.2 Sanktionsavgifter enligt artikel 83 i Dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska bäras av den av PUB-avtalets parter som påförts en sådan avgift.
2.14.3 Om endera part får kännedom om omständighet som kan leda till skada för motparten ska parten omedelbart informera motparten om förhållandet och aktivt arbeta tillsammans med motparten för att förhindra och minimera sådan skada.
2.14.4 Oaktat vad sägs i Huvudavtalet gäller detta PUB-avtal, punkterna 14.1 och 14.2, före andra regler om fördelning mellan Parterna av krav sinsemellan såvitt avser Behandlingen.
2.15. LAGVAL OCH TVISTLÖSNING
2.15.1 För detta avtal gäller svensk rätt. Eventuell tolkning eller tvist i anledning av PUB-avtalet, som parterna inte kan lösa på egen hand, ska avgöras av svensk allmän domstol.
2.16. PUB-AVTALETS TECKNANDE, AVTALSTID OCH UPPSÄGNING
2.16.1 PUB-avtalet gäller från och med den tidpunkt PUB-avtalet undertecknats av båda parter och tillsvidare. Parterna äger ömsesidig rätt att säga upp PUB-avtalet att upphöra med trettio (30) dagars varsel.
2.17. ÄNDRINGAR OCH UPPSÄGNING MED OMEDELBAR VERKAN M.M.
2.17.1 Endera part i PUB-avtalet äger rätt att påkalla omförhandling av PUB-avtalet om motpartens ägarförhållanden ändras väsentligt eller om tillämplig lagstiftning, eller tolkningen av den, ändras på ett för Behandlingen avgörande sätt. Påkallande av omförhandling enligt första meningen innebär inte att PUB-avtalet till någon del upphör att gälla utan endast att en omförhandling om PUB-avtalet ska påbörjas.
2.17.2 Tillägg till, och ändringar i, PUB-avtalet ska vara skriftliga och undertecknade av båda parter.
2.17.3 När någon av parterna får kännedom om att motparten agerar i strid med PUB-avtalet och/eller Instruktioner ska parten utan dröjsmål meddela motparten om agerandet. Därefter äger parten rätt att med omedelbar verkan upphöra att utföra sina förpliktelser enligt PUB-avtalet till den tidpunkt motparten förklarat att agerandet upphört och förklaringen accepterats av den part som påtalat agerandet.
2.17.4 Om den Personuppgiftsansvarige invänder mot Personuppgiftsbiträdets anlitande av ett nytt underbiträde, enligt detta PUB-avtal, punkten 2.12.6, har den Personuppgiftsansvarige rätt att säga upp PUB-avtalet att upphöra med omedelbar verkan.
2.18. ÅTGÄRDER VID PUB-AVTALETS UPPHÖRANDE
2.18.1 Vid uppsägning av PUB-avtalet ska den Personuppgiftsansvarige utan onödigt dröjsmål begära att Personuppgiftsbiträdet överlämnar samtliga Personuppgifter till den Personuppgiftsansvarige eller raderar dem, enligt dennes önskemål. Om Personuppgifterna överlämnas ska det ske i ett öppet och standardiserat format. Med samtliga Personuppgifter avses alla Personuppgifter vilka har omfattats av Behandlingen samt annan tillhörande information såsom Loggar, Instruktioner, systemlösningar, beskrivningar och andra handlingar som Personuppgiftsbiträdet erhållit genom informationsutbyte enligt PUB-avtalet.
2.18.2 Överlämning och radering enligt PUB-avtalet, punkten 2.18.1, ska vara utförda senast trettio
(30) dagar räknat från den tidpunkt uppsägning gjorts enligt detta PUB-avtal, punkten 2.16.1.
2.18.3 Behandling som utförs av Personuppgiftsbiträdet efter den tidpunkt som stadgas i punkten
2.18.2 är att betrakta som en otillåten Behandling.
2.18.4 Bestämmelser om sekretess/tystnadsplikt i punkten 2.8 enligt detta PUB-avtal ska fortsätta gälla även om PUB-avtalet i övrigt upphör av gälla.
2.19. MEDDELANDEN INOM RAMEN FÖR DETTA PUB-AVTAL OCH INSTRUKTIONER
2.19.1 Meddelanden om PUB-avtalet och dess administration inklusive uppsägning ska skickas till respektive parts kontaktperson för PUB-avtalet.
2.19.2 Meddelanden om parternas samarbete om dataskydd, gällande Behandlingen, ska skickas till respektive parts kontaktperson för parternas samarbete om dataskydd.
2.19.3 Meddelanden inom ramen för PUB-avtalet och Instruktioner ska skickas skriftligt. Ett meddelande ska anses ha kommit fram till mottagaren senast en (1) arbetsdag efter att meddelandet har skickats.
2.20. KONTAKTPERSONER
2.20.1 Parterna ska utse var sin kontaktperson för PUB-avtalet.
2.20.2 Parterna ska utse var sin kontaktperson för parternas samarbete om dataskydd.
2.21. ANSVAR FÖR UPPGIFTER OM PARTERNA OCH KONTAKTPERSONER SAMT KONTAKTUPPGIFTER
2.21.1 Varje part ansvarar för att de uppgifter som anges i punkten 2.1 i PUB-avtalet (=1.1 i tjänsteavtalet) alltid är aktuella. Ändring av uppgifter i punkten 2.1 ska meddelas skriftligen enligt punkten 2.19.1 i PUB-avtalet.
2.22. PARTERNAS UNDERTECKNANDEN AV PUB-AVTALET
1