PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

Detta personuppgiftsbiträdesavtal (”Avtalet”) har denna dag träffats MELLAN:

1) [KUNDEN], xxx.xx [nummer], [adress] (”KUNDEN”); och

2) iGoMoon AB, xxx.xx 556899-5681, Xxxxxxxxxxxxxxx 0x, XX-000 00 Xxxxxxxxx, Xxxxxx (”IGOMOON”).

Parterna ovan benämns härefter gemensamt som ”Parterna” och var för sig som ”Part”.

1 BAKGRUND

1.1 Parterna har tidigare – eller i samband med detta Avtal – ingått avtal avseende [Ange aktuellt avtal, såsom tjänsteavtal, leveransavtal, driftavtal, underhållsavtal, outsourcingavtal, samarbetsavtal.], hädanefter benämnt ”Huvudavtalet”.

1.2 Inom åtagandena som följer av Huvudavtalet kan IGOMOON komma att behandla personuppgifter för vilka KUNDEN är Personuppgiftsansvarig samt annan information för KUNDENs räkning. IGOMOON agerar därmed som Personuppgiftsbiträde för nämnda Behandling.

1.3 Med anledning av detta ingår Parterna detta Avtal för att reglera förutsättningarna för IGOMOONs Behandling av – och tillgång till – Personuppgifter tillhöriga KUNDEN, enligt definitioner nedan. Avtalet gäller för samtliga mellan Parterna tecknade avtal där IGOMOON är Personuppgiftsbiträde till KUNDEN och Avtalet gäller så länge IGOMOON Behandlar Personuppgifter för KUNDENs räkning.

1.3 Vid konflikt mellan en bestämmelse i detta Avtal och en bestämmelse i Huvudavtalet har bestämmelserna i detta Avtal företräde i den utsträckning be- stämmelsen i detta Avtal föreskriver ett högre skydd för de Personuppgifter som Behandlas.

2 DEFINITIONER

Om inte omständigheterna tydligt utvisar annat ska definition eller begrepp som används i detta dokument ha nedan angiven betydelse och sådan definition eller begrepp som används i Dataskyddförordningen och som inte har angivits nedan, ska ha motsvarande definition som följer av artikel 4 i Dataskyddsförordningen.

”Annat Regelverk” avser Nationella lagar som från tid till annan är

tillämpliga på Behandling av Personuppgifter (exkluderande Dataskyddsförordningen).

”Behandling” avser en åtgärd eller kombination av åtgärder

beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

”Dataskyddsförordningen” avser Europaparlamentets och Rådets Förordning (EU)

2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

”Instruktionen” avser de instruktioner som KUNDEN inom ramen för detta Avtal ger IGOMOON.

”Personuppgifter” avser varje upplysning som avser en identifierad eller

identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

”Personuppgiftsansvarig” avser en fysisk eller juridisk person, offentlig

myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för Behandlingen av Personuppgifter; om ändamålen och medlen för Behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda

kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

”Personuppgiftsbiträde” avser en fysisk eller juridisk person, offentlig

myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.

”Personuppgiftsincident” avser en säkerhetsincident som leder till oavsiktlig eller

olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.

”Registrerad” avser den fysiska person i livet vars Personuppgifter

Behandlas.

3 DOKUMENT

3.1 Avtalet består av detta dokument och den bilagda Instruktionen.

3.2 För det fall det finns motsägelser mellan detta dokument och Instruktionen ska detta dokument äga företräde, om inte annat är särskilt stadgat eller omständigheterna tydligt föranleder annat.

4 ALLMÄNT OM PERSONUPPGIFTSBEHANDLINGEN

4.1 KUNDEN är Personuppgiftsansvarig för de Personuppgifter som Behandlas inom ramen för Huvudavtalet.

4.2 IGOMOON är att betrakta som Personuppgiftsbiträde åt KUNDEN. I egenskap av Personuppgiftsbiträde ansvarar IGOMOON för att utföra all Behandling av Personuppgifter åt KUNDEN i enlighet med Avtalet, Dataskyddsförordningen, Annat Regelverk samt i enlighet med Instruktionen.

4.3 IGOMOON har gett tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på sådant sätt att Behandlingen av Personuppgifter uppfyller kraven i Dataskyddsförordningen och Annat Regelverk samt för att säkerställa att den Registrerades rättigheter skyddas.

4.4 IGOMOON ska, med beaktande av Behandlingens art, assistera KUNDEN genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att KUNDEN kan fullgöra sin skyldighet att svara på begäran om utövande av den Registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen.

4.5 Om IGOMOON anser att Instruktionen eller annan instruktion eller meddelande från KUNDEN står i strid med Dataskyddsförordningen eller Annat Regelverk äger IGOMOON rätt att meddela KUNDEN detta och avvakta med Behandlingen ifråga. Det är KUNDEN som ansvarar för att lämnade instruktioner är i enlighet med Annat Regelverk och Dataskyddsförordningen.

5 ÄNDAMÅL OCH TYP AV PERSONUPPGIFTER M.M.

I Instruktionen ska bl.a. framgå föremålet för Behandlingen, Behandlingens varaktighet, art och ändamål, typen av Personuppgifter och kategorier av Registrerade.

6 IGOMOONS PERSONAL M.M.

6.1 IGOMOON, dess anställda och andra personer som utför arbete under XXXXXXXx överinseende, och som får del av Personuppgifter tillhöriga KUNDEN, får endast Behandla dessa på instruktion från KUNDEN, såvida denne inte är skyldig att göra det enligt unionsrätten eller svensk nationell rätt.

6.2 IGOMOON ska tillse att dess anställda och samtliga övriga personer som IGOMOON ansvarar för och som har behörighet att Behandla Personuppgifter som omfattas av detta Avtal undertecknar ett av KUNDEN godkänt sekretessåtagande (såvida inte denne person omfattas av en relevant och lämplig lagstadgad tystnadsplikt).

7 SÄKERHET

7.1 IGOMOON ska vidta alla åtgärder avseende säkerhet som krävs enligt artikel 32 i Dataskyddsförordningen.

7.2 Med beaktande av typen av Behandling och den information som IGOMOON har ska IGOMOON bistå KUNDEN med att se till att skyldigheterna kring säkerhet – på sätt som följer av artikel 32 i Dataskyddsförordningen – kan fullgöras.

7.3 Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som Behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.

8 PERSONUPPGIFTSINCIDENT

8.1 IGOMOON ska, med beaktande av typen av Behandling och den information som IGOMOON har att tillgå, bistå KUNDEN med att tillse att skyldigheterna i samband med eventuell Personuppgiftsincident kan fullgöras på sätt som följer av artikel 33- 34, i Dataskyddsförordningen.

8.2 IGOMOON ska underrätta KUNDEN utan onödigt dröjsmål, dock inte senare än tjugofyra (24) timmar, efter det att IGOMOON fått vetskap om en Personuppgiftsincident. IGOMOON ska tillhandahålla information som omfattas av informationsskyldigheten i Art. 33 (3) i Dataskyddsförordningen, som är tillgänglig för IGOMOON och som KUNDEN inte kan få tillgång till på annat sätt. Anmälan ska innehålla följande information:

a) en beskrivning av Personuppgiftsincidentens art, kategorier av och antalet registrerade som berörs, samt kategorier av och antalet personuppgifter som berörs;

b) de sannolika konsekvenserna av Personuppgiftsincidenten; samt

c) en beskrivning av de åtgärder som IGOMOON, i förekommande fall, redan har vidtagit eller avser att vidta för att åtgärda Personuppgiftsincidenten och/eller för att begränsa Personuppgiftsincidentens eventuella negativa effekter.

Om och i den utsträckning det inte är möjligt för IGOMOON att tillhandahålla informationen i punkterna ovan samtidigt får IGOMOON (utan onödigt ytterligare dröjsmål) lämna informationen i omgångar.

9 KONSEKVENSBEDÖMNING OCH FÖRHANDSSAMRÅD

IGOMOON ska, med beaktande av Behandlingens art och den information som är tillgänglig för IGOMOON, bistå KUNDEN med att uppfylla dennes eventuella skyldigheter för utövandet av konsekvensbedömning och/eller förhandssamråd med tillsynsmyndighet enligt artikel 35 och 36 Dataskyddsförordningen.

10 INSTRUKTIONEN

10.1 IGOMOON får endast Behandla Personuppgifterna som omfattas av detta Avtal på de dokumenterade Instruktionerna (inbegripet när det gäller överföringar av Personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som IGOMOON omfattas av, och i så fall ska IGOMOON informera KUNDEN om det rättsliga kravet innan uppgifterna Behandlas, såvida sådan information inte är

förbjuden med hänvisning till ett viktigt allmänintresse enligt relevant nationell rätt).

10.2 KUNDEN har rätt att uppdatera Instruktionen från tid till annan. För det fall KUNDEN uppdaterar Instruktionen eller lämnar annan instruktion som går utöver Instruktionen eller Huvudavtalet, ska IGOMOON informera KUNDEN om de implementeringar av åtgärder som därmed krävs, resulterar i kostnader för IGOMOON. IGOMOON ska även tillhandahålla en förklaring till varför åtgärderna medför kostnader. IGOMOON ska vara skyldigt att implementera åtgärderna endast under förutsättning att KUNDEN bekräftar att KUNDEN ska stå kostnaderna för åtgärderna. Instruktionerna ska lämnas skriftligen, om det inte föreligger särskilda skäl som motiverar att instruktionerna lämnas muntligen, varvid KUNDEN i så fall ska dokumentera och bekräfta instruktionerna skriftligen utan dröjsmål.

11 UNDERBITRÄDE

11.1 IGOMOON har rätt att anlita underbiträde för att utföra arbetet enligt Xxxxxxx. KUNDEN ger IGOMOON rätt att ingå personuppgiftsbiträdesavtal för KUNDENS räkning direkt med underbiträdet. Ett sådant personuppgiftsbiträdesavtal med ett underbiträde ska ålägga underbiträdet samma skyldigheter motsvarande och som inte är mindre restriktiva än vad som följder av detta Avtal.

11.2 IGOMOON ska för det fall IGOMOON anlitar ett underbiträde utan onödigt dröjsmål skriftligen lämna KUNDEN information som anges i Bilaga 1.

11.3 KUNDEN har rätt att, med angivande av sakliga skäl inom fem (5) arbetsdagar från det att IGOMOON skriftligen informerat KUNDEN om ett anlitat underbiträde, invända mot att IGOMOON anlitar det aktuella underbiträdet. Om KUNDEN inte har invänt inom den nämnda tiden ska det föreslagna underbiträdet anses ha godkänts. Om KUNDEN invänder mot underbiträdet har IGOMOON rätt att välja något av följande alternativ: (a) avstå från att anlita underbiträdet för att behandla Personuppgifter som omfattas av detta underbiträdesavtal (b) vidta åtgärder som rimligen eliminerar grunden för KUNDENS invändning; eller (c) tillfälligt eller permanent upphöra med att tillhandahålla den del av tjänsten/tjänsterna som medför Behandling av Personuppgifter av det aktuella underbiträdet. Om inget av dessa alternativ är möjliga att tillämpa och KUNDEN vidhåller sin invändning när trettio (30)] dagar har passerat efter det att invändningen framställdes har endera Part rätt att med skälig uppsägningstid säga upp den del av tjänsten/tjänsterna som medför Behandling av Personuppgifter av det aktuella underbiträdet.

11.4 I avtalet mellan IGOMOON och underbiträde ska särskilt regleras att underbiträdet inte får anlita annat underbiträde utan skriftligt godkännande av KUNDEN i förhand.

11.5 IGOMOON ska vid var tid föra en uppdaterad förteckning över vilka underbiträden som anlitas – och har anlitats – samt i vilket land dessa underbiträden utövar sin verksamhet. På begäran av KUNDEN ska IGOMOON överlämna en kopia av förteckningen till KUNDEN.

11.5 Om underbiträdet inte fullgör sina skyldigheter ska IGOMOON vara ansvarig gentemot KUNDEN för utförandet av underbiträdets skyldigheter.

11.6 IGOMOON är medveten om att denne måste respektera vad som anges avseende anlitande av underbiträde.

12 ÖVERFÖRING TILL TREDJE LAND

IGOMOON får förflytta, förvara, överföra eller på annat sätt Behandla Personuppgifter tillhöriga KUNDEN utanför EU/EES om sådan överföring uppfyller de krav och åtgärder som följer av Dataskyddsförordningen.

13 RÄTT TILL INSYN

13.1 IGOMOON ska ge KUNDEN tillgång till all information som krävs och är nödvändig för att KUNDEN ska kunna verifiera att de skyldigheter som följer av artikel 28 i Dataskyddsförordningen har fullgjorts och för att möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av KUNDEN eller av en annan revisor som bemyndigats av KUNDEN. IGOMOON ska alltid ha rätt till skäligt varsel för det fall KUNDEN vill utnyttja sin rätt att genomföra en granskning eller inspektion och KUNDEN ska ersätta IGOMOON för dennes kostnader i samband med sådan granskning eller inspektion.

14 REGISTER ÖVER BEHANDLINGEN

Oavsett om IGOMOON enligt Dataskyddsförordningen är skyldig att föra ett register eller inte, ska IGOMOON enligt detta Avtal föra ett elektroniskt register över alla kategorier av Behandling som utförts för KUNDENs räkning. Registret ska, om inte register ska föras enligt Dataskyddsförordningen, åtminstone innehålla följande information:

d) Namn och kontaktuppgifter för IGOMOON och KUNDEN och i tillämpliga fall, för dataskyddsombudet hos IGOMOON och KUNDEN.

e) Ändamålen med Behandlingen.

f) En beskrivning av kategorierna av Registrerade och av kategorierna av Personuppgifter.

g) De kategorier av Behandlingar som har utförts – och som utförs – för KUNDENs räkning.

h) De kategorier av mottagare till vilka Personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer.

i) De förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.

j) Eventuella överföringar av Personuppgifter till ett tredjeland eller en internationell organisation, samt identifiering av tredjelandet eller den internationella organisationen samt dokumentationen av lämpliga skyddsåtgärder.

k) En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som IGOMOON vidtagit enligt punkt 7 i detta Avtal.

15 ERSÄTTNING

IGOMOON ska erhålla ersättning för åtgärder eller liknande som denne vidtar avseende Behandling av Personuppgifter i enlighet med Avtalet eller som en följd av Avtalet i övrigt.

16 ANSVAR

16.1 Om Parterna har överenskommit om en ansvarsbegränsning i annat avtal gäller sådan ansvarsbegränsning också detta Avtal. Om Parterna inte kommit överens om sådan ansvarsbegränsning ska Parts ansvar enligt detta Avtal eller som en följd av den Behandling som omfattas av Avtalet vara begränsat till etthundratusen (100 000) kronor. Parterna är medvetna om att ansvarsbegränsningen inte gäller (i) för det fall tillsynsmyndighet eller domstol utdömer administrativ avgift gentemot någon av Parterna, (ii) Part har regressrätt gentemot den andra Parten i anledning av sådan Part fått erlägga administrativ avgift som rätteligen (eller genom solidariskt ansvar) skulle ålagts förstnämnda Part eller (iii) vid skadeståndstalan från Registrerad.

17 AVTALETS UPPHÖRANDE

17.1 När IGOMOON upphör med Behandling av Personuppgifter för KUNDENs räkning ska IGOMOON återlämna alla Personuppgifter till KUNDEN på sätt KUNDEN meddelar alternativt – om KUNDEN meddelar så skriftligen – förstöra och radera alla Personuppgifter som har anknytning med Avtalet. Detta Avtal ska gälla även om annat avtal mellan Parterna upphör och tillsvidare till dess att IGOMOON och

eventuella underbiträden anlitade av IGOMOON upphört med att behandla Personuppgifter för KUNDENs räkning.

17.2 Efter att Avtalet upphör äger IGOMOON inte spara några Personuppgifter tillhöriga KUNDEN och så snart IGOMOON uppfyllt vad som följer av punkt 17.1 ovan upphör IGOMOONs rätt att Behandla eller på annat sätt använda Personuppgifter tillhöriga KUNDEN (såvida inte lagring av Personuppgifterna krävs enligt nationell lagstiftning eller unionsrätten eller IGOMOON har laglig grund att behandla relevanta Personuppgifter).

18 SEKRETESS

18.1 Parterna förbinder sig att under avtalstiden och därefter inte till utomstående lämna information avseende Avtalets innehåll och annan information som Parterna fått ta del av med anledning av Xxxxxxx, oavsett om informationen lämnats skriftligen eller muntligen och oberoende av format (”Konfidentiell information”). Parterna förbinder sig att använda Konfidentiell information enbart i syfte att fullgöra sina åtaganden under Xxxxxxx och inte för något annat ändamål. Mottagande Part förbinder sig vidare att vidta erforderliga åtgärder för att förhindra att anställd, underkonsult eller annan mellanman använder eller avslöjar Konfidentiell information för utomstående samt att använda samma nivå av aktsamhet (men inte lägre nivå än skälig aktsamhet) för att undvika utlämnande eller nyttjande av Konfidentiell information som Parten använder avseende sin egen konfidentiella eller upphovsrättsskyddade information.

18.2 Ovanstående gäller inte för sådan information som

a) vid tidpunkten för utlämnandet är eller senare blir tillgänglig för allmänheten på annat sätt än genom överträdelse mot Avtalet; eller

b) redan var tillgänglig för mottagande Part eller som denne på egen hand har utvecklat innan ingåendet av Avtalet och som inte, direkt eller indirekt, har erhållits genom överträdelse mot Avtalet.

18.3 Denna sekretessförbindelse förhindrar inte Part från att lämna sådan information som Part har skyldighet att lämna ut enligt lag, dom eller myndighets beslut eller avtal med börs eller annan marknadsplats. Om Part skulle ha eller åläggas skyldighet att lämna sådan information, åtar sig Parterna att omedelbart underrätta den andra Parten för att ge denne möjlighet att vidta skyddsåtgärder. Parterna ska göra sitt bästa för att tillse att information som lämnas i enlighet med denna punkt, så långt möjligt, behandlas konfidentiellt av mottagaren av informationen.

19 ÖVERLÅTELSE AV AVTALET

Part har inte rätt att helt eller delvis överlåta sina rättigheter och/eller skyldigheter enligt Avtalet utan den andra Partens skriftliga i förväg lämnade godkännande.

20 TILLÄMPLIG LAG OCH TVISTER

20.1 Svensk lag ska tillämpas på Avtalet.

20.2 Tvist i anledning av Avtalet ska slutligt avgöras genom skiljedomsförfarande administrerat av Stockholms Handelskammares Skiljedomsinstitut (SCC). Regler för Förenklat Skiljeförfarande ska tillämpas om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsregler ska tillämpas. I sistnämnda fall ska SCC också bestämma om skiljenämnden ska bestå av en eller tre skiljemän.

20.3 Skiljeförfarandets säte ska vara Stockholm.

20.4 Språket för förfarandet ska vara svenska.

20.5 Skiljeförfarande som påkallats med hänvisning till denna skiljeklausul omfattas av sekretess. Sekretessen omfattar all information som framkommer under förfarandet liksom beslut eller skiljedom som meddelas i anledning av förfarandet. Information som omfattas av sekretess får inte i någon form vidarebefordras till tredje person utan den andra Partens samtycke.

Avtalet har upprättats i två (2) originalexemplar, av vilka Parterna tagit var sitt. [Ort] den [datum]

[KUNDEN] [IGOMOON]

[Behörig firmatecknare] [Behörig firmatecknare]