PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
1.
1.1
1.2
1.3
1.4
Allmänt
Detta Personuppgiftsbiträdesavtal utgör en integrerad del av avtalet om Directory (”Avtalet”) mellan Leverantören och Xxxxxx.
Leverantören kommer vid fullföljandet av Avtalet att Behandla Personuppgifter för Kundens räkning så som Kundens personuppgiftsbiträde. Kunden är personuppgiftsansvarig för Behandlingen av Personuppgifterna.
Om någon annan tillsammans med Xxxxxx är personuppgiftsansvarig för de aktuella Personuppgifterna ska Kunden informera Leverantören om detta. Syftet med detta Personuppgiftsbiträdesavtal är att Xxxxxx och Leverantören ska uppfylla vid var tid gällande krav på Personuppgiftsbiträdesavtal och förpliktelser enligt Dataskyddsregler samt att säkerställa ett adekvat skydd för personlig integritet och grundläggande rättigheter för enskilda i samband med överföring av Personuppgifter från Kunden till Leverantören eller annan Behandling inom ramen för de tjänster Leverantören utför åt Xxxxxx under Avtalet.
2. Definitioner
”Behandling” | avser vid var tid gällande legaldefinition av ”Behandling” enligt Dataskyddsregler. Vid tidpunkten för Avtalets undertecknande innefattar Behandling varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning efter annat tillhandahållande av uppgifter, sammanställning eller samkörning blockering, utplåning eller förstöring. |
”Dataskyddsregler” | avser vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter vilket innefattar men inte är begränsat till Personuppgiftslagen (1998:204) och från den 25 maj 2018 Europaparlamentets och Rådets Förordning (EU) 2016/679 |
(”Dataskyddsförordningen”) vilken ersätter Personuppgiftslagen (1998:204); samt Tillsynsmyndighets bindande beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd.
”Kunden” | avser den part som anges i ingressen ovan. I den mån Kunden ingår detta avtal för andra tjänstemottagares räkning i enlighet med Avtalet ska dock definitionen ”Kund” i tillämpliga delar även avse sådana tjänstemottagare om inte annat uttryckligen framgår av detta Personuppgiftsbiträdesavtal eller Avtalet. |
”Leverantören” | avser den part som anges i ingressen ovan. |
”Personuppgifter” | avser de personuppgifter, som Leverantören Behandlar för Kundens räkning under detta Personuppgiftsbiträdesavtal. Vid tidpunkten för Avtalets undertecknande definieras ”personuppgifter” som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet men begreppet ”personuppgifter” ska anses ha den innebörd som framgår av vid var tid gällande legaldefinition under Dataskyddsregler. |
”Registrerad” | avser den fysiska person som en Personuppgift avser. |
”Tillsynsmyndighet” | avser den eller de tillsynsmyndigheter som har behörighet att bedriva tillsyn över hantering av Personuppgifter eller anses vara berörd tillsynsmyndighet enligt Dataskyddsregler, t.ex. Datainspektionen. |
”Tillämpningsdagen” | avser den dag Dataskyddsförordningen börjar gälla, d.v.s. 25 maj 2018. |
”Underbiträde” | avser den som Behandlar Personuppgifter som underleverantör åt Leverantören (vilket innefattar men inte är begränsat till Leverantörens koncernbolag). |
2.1 Eventuella övriga uttryck eller definitioner med stor begynnelsebokstav som används i detta Personuppgiftsbiträdesavtal ska, om inget annat uttryckligen
anges, ha den innebörd och betydelse som framgår i första hand av Dataskyddsregler och annars av Avtalet om inte omständigheterna uppenbarligen talar för annan tolkningsordning.
3. Ansvar och instruktion
3.1 De Personuppgifter som Behandlas av Leverantören på uppdrag av Xxxxxx är framför allt Personuppgifter rörande kontaktuppgifter om kontaktpersoner hos Xxxxxx, se vidare i Bilaga 1 (Instruktion om hantering av Personuppgifter).
3.2 Kunden är personuppgiftsansvarig för samtliga Personuppgifter som Leverantören Behandlar för Kundens räkning under Avtalet. Xxxxxx ansvarar därmed för att gällande Dataskyddsregler följs. Utöver de krav som gäller direkt för Leverantören enligt Dataskyddsregler ska Leverantören vara skyldig att följa vid var tid gällande krav i Dataskyddsregler samt gällande rekommendationer från Tillsynsmyndighet som Xxxxxx informerat Leverantören om och instruerat Leverantören att följa. Kunden ska även löpande informera Leverantören om tredje parts, däribland Tillsynsmyndighets och Registrerads, åtgärder med anledning av Behandlingen.
3.3 Leverantören och den eller de personer som arbetar under Leverantörens ledning ska endast Behandla Personuppgifter i enlighet med Kundens instruktioner och inte för andra ändamål än dem som Leverantören anlitats för. De instruktioner som gäller vid Personuppgiftsbiträdesavtalets träffande framgår av Bilaga 1 (Instruktion om hantering av Personuppgifter). Utöver de särskilda instruktioner som framgår av Bilaga 1 (Instruktion om hantering av Personuppgifter) ska detta Personuppgiftsbiträdesavtal och Xxxxxxx i övrigt anses utgöra Kundens instruktioner till Leverantören avseende Behandling av Personuppgifter. Kunden ska omedelbart informera Leverantören om förändringar vilka påverkar Leverantörens skyldigheter enligt detta Personuppgiftsbiträdesavtal.
3.4 Från och med Tillämpningsdagen får Behandling även ske om sådan Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Leverantören eller Underbiträde omfattas av. Om Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Leverantören eller Underbiträde omfattas av ska Leverantören eller Underbiträdet informera Kunden om det rättsliga kravet innan Behandlingen, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.
4. Säkerhet m.m.
4.1 Leverantören ska vidta de tekniska och organisatoriska åtgärder som krävs enligt Dataskyddsregler för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken och för att skydda de Personuppgifter som Behandlas mot oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som Behandlas.
4.2 Leverantören ska vidta de åtgärder som krävs för att uppfylla 31 § 1 st. Personuppgiftslagen (1998:204) eller, från och med Tillämpningsdagen, den ersättande Artikel 32 i Dataskyddsförordningen.
5. Utlämnande av Personuppgifter och information,
5.1 Om det till Leverantören kommer in en begäran från Registrerad, Tillsynsmyndighet eller annan tredje man om att få ta del av uppgifter som Leverantören Behandlar för Kundens räkning ska Leverantören utan dröjsmål vidarebefordra begäran till Xxxxxx. Leverantören, eller den som arbetar under Leverantörens ledning, får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan uttrycklig instruktion om detta från Xxxxxx om inte sådan skyldighet föreligger enligt gällande Dataskyddsregler.
6. Begäran från Registrerade
6.1 Från och med Tillämpningsdagen ska Leverantören genom tekniska och organisatoriska åtgärder, som med hänsyn till Behandlingens art är lämpliga, hjälpa Kunden i den mån det är möjligt så att Kunden kan fullgöra sin skyldighet att svara på begäran från den Registrerade vid den Registrerades utövande av sina rättigheter enligt Dataskyddsregler, vilket kan innefatta rätt att erhålla information (registerutdrag) samt att på Registrerads begäran rätta, blockera eller radera Personuppgifter.
6.2 Leverantören ska från och med Tillämpningsdagen tillse att Xxxxxx kan uppfylla eventuell skyldighet att möjliggöra dataportabilitet avseende Personuppgifter som Leverantören Behandlar för Kundens räkning.
7. Kontakt med Tillsynsmyndigheten
7.1 Leverantören ska informera Xxxxxx om eventuella kontakter från Tillsynsmyndigheten som rör Behandling av Personuppgifter. Leverantören har inte rätt att företräda Xxxxxx eller agera för Kundens räkning gentemot Tillsynsmyndighet.
8. Underbiträden
8.1 Personuppgifter får Behandlas av ett Underbiträde på Kundens vägnar under förutsättning att Leverantören ingår ett skriftligt avtal eller annan rättsakt enligt unionsrätten där Underbiträdet åläggs motsvarande skyldigheter i fråga om dataskydd som Leverantören åläggs enligt detta Personuppgiftsbiträdesavtal.
8.2 Leverantören åtar sig att informera Xxxxxx om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden. Kunden har rätt att invända mot sådana förändringar.
8.3 Leverantören är från och med Tillämpningsdagen särskilt ansvarig för att tillse att Artikel 28.2 och 28.4 i Dataskyddsförordningen beaktas vid anlitande av Underbiträden och att tillse att sådant Underbiträde ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i Dataskyddsförordningen.
8.4 Leverantören ska löpande tillhandahålla Kunden korrekt och uppdaterad lista utvisande vilka Underbiträden som anlitats för Behandlingen av Personuppgifter, kontaktuppgifter till dessa samt den geografiska placeringen för sådan Behandling.
8.5 Om ett Underbiträde inte fullgör sina skyldigheter i fråga om dataskydd ska Leverantören vara ansvarig för utförandet av Underbiträdets skyldigheter i relation till Xxxxxx.
9. Rätt till insyn
9.1 Med verkan från och med Tillämpningsdagen ska Leverantören ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som följer av Artikel 28 i Dataskyddsförordningen har fullgjorts inom skälig tid efter sådan begäran framställts av Xxxxxx till Leverantören. Detta medför bland annat att Xxxxxx, i egenskap av personuppgiftsansvarig, har rätt att vidta nödvändiga åtgärder för att verifiera att Leverantören kan fullfölja sina åtaganden enligt detta Personuppgiftsbiträdesavtal och att Leverantören faktiskt har vidtagit åtgärder för att säkerställa detta.
9.2 Leverantören ska ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som följer av detta Personuppgiftsbiträdesavtal har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en annan oberoende revisor som har bemyndigats av Xxxxxx och som Leverantören skäligen kan acceptera.
9.3 Leverantören ska från och med Tillämpningsdagen med hänsyn till skyldigheterna enligt denna punkt 9 omedelbart informera Xxxxxx om Leverantören anser att en instruktion strider mot Dataskyddsregler.
10. Överföring av Personuppgifter utanför EU/EES
10.1 Överföring av Personuppgifter av Leverantören eller av Underbiträde till en plats utanför EES-området får vidtas förutsatt att vid var tid gällande krav för sådan överföring enligt Dataskyddsregler uppfylls.
11. Sekretess
11.1 Leverantören åtar sig att säkerställa att personer med behörighet att Behandla Personuppgifterna har åtagit sig att iaktta sekretess för sådan Behandling eller omfattas av en lämplig lagstadgad tystnadsplikt.
11.2 Sekretessåtagandet gäller under Avtalets giltighetstid och därefter.
12. Ersättning
12.1 Vid Xxxxxxx begäran om assistans enligt punkterna 4.3, 6 och 9 ska rimlig ersättning kunna begäras, om inte annat avtalats. Ersättning utgår då från en fast avgift enligt leverantörens prislista.
13. Ansvar
13.1 Om Leverantören, den som arbetar under Leverantörens ledning eller av Leverantören anlitat Underbiträde Behandlar Personuppgifter i strid med detta Personuppgiftsbiträdesavtal eller de lagenliga anvisningar som Xxxxxx har lämnat, ska Leverantören med beaktande av de ansvarsbegränsningar och övriga villkor för ansvar som följer av Xxxxxxx, ersätta Xxxxxx för den direkta skada som Kunden har orsakats på grund av den felaktiga Behandlingen.
14. Avtalstid och åtgärder vid upphörande
14.1 Personuppgiftsbiträdesavtalet gäller från dess undertecknande och så länge som Leverantören Behandlar Personuppgifter för Kundens räkning.
14.2 Vid Avtalets eller Personuppgiftsbiträdesavtalets upphörande (beroende på vilket som inträffar först) ska Leverantören, beroende på Kundens val såsom det meddelas till Leverantören, radera eller återlämna alla Personuppgifter till Kunden och säkerställa att varje Underbiträde gör detsamma. Leverantören ska radera eventuella befintliga kopior såvida inte lagring av Personuppgifterna krävs enligt unionsrätten eller medlemsstats nationella rätt.
15. Ändringar i Personuppgiftsbiträdesavtalet
15.1 Om Dataskyddsregler ändras under tiden för Personuppgiftsbiträdesavtalet, eller om Tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsregler som föranleder att detta Personuppgiftsbiträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal ska parterna i god anda diskutera nödvändiga förändringar av detta Personuppgiftsbiträdesavtal för att tillgodose sådana nya eller tillkommande krav. Sådan ändring träder ikraft enligt parternas skriftliga överenskommelse därom, eller annars senast inom sådan tidsperiod som anges i Dataskyddsregler, Tillsynsmyndighets riktlinjer, beslut eller föreskrifter. Leverantören har rätt till skälig ersättning för eventuellt arbete, kostnader och utgifter som sådana ändringar föranleder.
15.2 Övriga ändringar av och tillägg till detta Personuppgiftsbiträdesavtal ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av parterna.
16. Övrigt
16.1 I övrigt ska vad som sägs i Avtalet äga tillämpning även för Leverantörens Behandling av Personuppgifter och åtagandena under detta Personuppgiftsbiträdesavtal. Vid oenighet mellan bestämmelserna i Avtalet och detta Personuppgiftsbiträdesavtal ska dock bestämmelserna i Personuppgiftsbiträdesavtalet äga företräde i förhållande till all Behandling av Personuppgifter och inget i Avtalet ska anses begränsa eller ändra åtaganden i detta Personuppgiftsbiträdesavtal i den mån att detta skulle medföra att någon part inte uppfyller kraven enligt Dataskyddsregler.
16.2 Svensk lag ska under alla omständigheter tillämpas på Leverantörens Behandling av Personuppgifter enligt detta Personuppgiftsbiträdesavtal.
16.3 Tvister som uppstår i anledning av detta Personuppgiftsbiträdesavtal ska lösas i enlighet med tvistlösningsbestämmelsen i Avtalet.
* * * *
Bilaga 1 – Instruktion om hantering av Personuppgifter
Följande instruktioner gäller för hantering av de Personuppgifter som Xxxxxx är personuppgiftsansvarig för. Utöver vad som redan framgår av detta Personuppgiftsbiträdesavtal ska Leverantören följa nedanstående instruktioner:
Personuppgiftsbehandling
Ändamål Specificera samtliga ändamål för vilka Personuppgifter som kommer Behandlas av Leverantören är. | Ändamålet med behandlingen är att utföra tjänsten Directory. |
Typer av Personuppgifter Specificera typer av Personuppgifter som kommer behandlas av Leverantören. | Kontaktuppgifter, såsom namn, e-postadress och telefonnummer. |
Kategorier av Registrerade Specificera samtliga kategorier av Registrerade vars uppgifter kommer behandlas av Leverantören | Befattningshavare hos Kunden. |
Gallringstid Specificera gallringstid avseende när Personuppgifterna som Behandlas av Leverantören ska gallras. | Gallring av inaktiva personuppgifter sker en gång per år. |
Praktisk hantering Specificera hur Behandling ska gå till. | Se tjänstebeskrivning för Directory. |