PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

bilaga 1 till Allmänna villkor

1. Definitioner

1.1 Begrepp i detta Biträdesavtal ska tolkas i enlighet med tillämp- lig dataskyddslagstiftning .

1.2 Definitioner som används i detta Biträdesavtal men som inte är definierade i detta Biträdesavtal ska definieras i enlighet med All- männa villkor för e-tjänster och s.k hosting hädanefter referat som allmänna villkor.

2. Bilagor till personuppgiftsbiträdesavtalet

Specifikation över behandlingen av personuppgifter anges på Admi- nors sekretesspolicy webbsida, såkallad ”sekretessinformation”.

3. Behandling av personuppgifter

3.1 Personuppgiftsbiträdet förbinder sig att endast behandla per- sonuppgifter enligt dokumenterade instruktioner från Personupp- giftsansvarig , såvida inte annat följer av tillämplig dataskyddslag- stiftning . Den Personuppgiftsansvariges ursprungliga instruktioner till Personuppgiftsbiträdet om behandlingens föremål och varaktig- het, behandlingens karaktär och ändamål, typ av personuppgifter och kategorier av registrerade anges i detta Biträdesavtal och i Bila- ga 1 .

3.2 I syfte att uppfylla Personuppgiftsbiträdets skyldigheter enligt punktern 11 och 12 i allmänna villkor kommer Personuppgiftsbiträ- det vid behov att göra en kopia av Personuppgiftsansvarigs databas för att utföra tester i sådan kopia istället för direkt i Personuppgifts- ansvarigs databas. Denna kopia av Personuppgiftsansvarigs data- bas kommer att sparas av Personuppgiftsbiträdet i fjorton (14) dagar efter slutförandet av sådana tester och kommer sedan automatiskt att raderas av Personuppgiftsbiträdet.

3.3 Den Personuppgiftsansvarige bekräftar att Personuppgift sbi- trädets skyldigheter enligt detta Biträdesavtal , inklusive Bilaga 1 , med undantag för eventuella skriftliga instruktioner som lämnats i enskilda fall i enlighet med punkt 4 nedan utgör de fullständiga in- struktioner som ska följas av Personuppgiftsbiträdet. Alla ändringar i den Personuppgiftsansvariges instruktioner ska , med undantag från vad som anges i punkt 6.2 nedan, förhandlas separat och ska, för att bli gällande, dokumenteras skriftlig t och undertecknas av båda P arter . Den Personuppgiftsansvarige är skyldigt att inte, utan sådan skriftlig överenskommelse, låta Personuppgiftsbiträdet behandla andra kategorier av personuppgifter, eller behandla personuppgifter om andra kategorier av registrerade, än vad som anges i Bilaga 1.

3.4 Den Personuppgiftsansvarige bekräftar att Xxxxxxx har rätt att, för den Personuppgiftsansvariges räkning, lämna sådana instruktio- ner till Personuppgiftsbiträdet avseende Personuppgiftsbiträdets personuppgiftbehandlingar som är nödvändiga för att Adminor och Personuppgiftsbiträdet ska kunna fullgöra sina respektive förpliktel- ser mot den Personuppgiftsansvarige.

3.5 Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt tillämplig dataskyddslagstiftning och enligt den Personup pgiftsan- svariges skriftliga instruktioner i varje enskilt fall, bistå den Person- uppgiftsansvarige vid fullgörandet av dennes skyldigheter enligt tillämplig dataskyddslagstiftning.

3.6 Personuppgifts biträdet ska omedelbart informera den Person- uppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige strider mot tillämplig dataskydds- lagstiftning.

4. Utlämnande och mottagande av personuppgifter

4.1 Om den Personuppgiftsansvarige till följd av ett ingånget avtal med en tredje part om att sådan tredje part ska tillhandahålla tjäns- ter till den Personuppgiftsansvarige som ska integreras med Tjäns- terna, aktiverar och godkänner sådan integration bekräftar härmed Parterna att Personuppgiftsbiträdet är skyldigt, samt berättigad, att till s ådan tredje part lämna ut och motta de personuppgifter som är nödvändiga för Personuppgiftsbiträdet att lämna ut, respektive mot- ta, för att sådan tredje part och Personuppgiftsbiträdet, ska kunna fullgöra sina respektive förpliktelser mot den Personuppgift sansvari- ge.

4.2 Med undantag för sådan behandling som anges i punkt 3.4 och

4.1 ovan förbinder sig Personuppgiftsbiträdet att inte utan föregåen- de skriftli gt medgivande från den Personuppgiftsansvarige utlämna eller på annat sätt göra personuppgifter som behandlats enligt detta

Biträdesavtal tillgängliga för tredje part, om annat inte följer av svensk eller europeisk lag, domstols - eller myndighetsbeslut.

4.3 Om en registrerad begär information från Personuppgiftsbiträ- det om behandlingen av dennes personuppgifter ska Personupp- giftsbiträdet utan onödigt dröjsmål hänskjuta sådan begäran till den Personuppgiftsansvarige.

4.4 Om behörig myndighet begär information från Personuppgifts- biträdet om behandlingen av personuppgifter ska Personuppgiftsbi- trädet utan onödigt dröjsmål informera den Personuppgifts ansvari- ge om detta, om annat inte följer av svensk eller europeisk tillämplig lag, domstols - eller myndighetsbeslut . Per sonuppgiftsbiträdet får inte i något avseende handla för den Personuppgiftsansvariges räk- ning eller som ombud för denne, och får inte utan föregående med- givande från den Personuppgiftsansvarige överföra eller på annat sätt lämna ut personuppgifter eller an dra uppgifter rörande behand- lingen av personuppgifter till tredje part , om annat inte följer av svensk eller europeisk tillämplig lag, do mstols - eller myndighetsbe- slut.

4.5 Om det enligt tillämplig svensk eller europeisk lag begärs att Personuppgiftsbiträdet ska utlämna personuppgifter som Person- uppgiftsbiträdet behandlar för den Personuppgiftsansvariges räk- ning, är Personuppgiftsbiträdet skyldig t att omgående meddela den Personuppgiftsansvarige om detta , om annat inte följer av aktuell lag, domstols - eller my ndighetsbeslut , och att i samband med ut- lämnandet begära att uppgifterna behandlas med sekretess.

5. Underbiträden och tredjelandsöverföringar

5.1 Den Personuppgiftsansvarige godkänner att Personuppgiftsbi- trädet får anlita underbiträden inom och utanför EU/EES oc h får överföra personuppgifter utanför EU/EES . Personuppgiftsbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyl- digheter som gäller enligt detta Biträdesavtal . Bilaga 2 innehåller en lista på i förhand godkända underbiträden från och med dagen för ikraftträdandet av detta Biträdesavtal .

5.2 Om personuppgifter överförs till , eller åtkomst möjliggörs från, plats utanför EU/EES ska Personuppgiftsbiträdet säkerställa att det f inns en laglig grund för överföringen enligt tillämplig dataskyddslag- stiftning, till exempel EU - kommissionens modellklausuler. Person- uppgiftsansvarig ger Personuppgiftsbiträdet mandat att för Person- uppgiftsansvariges räkning ingå EU - kommissionen s modellkla usuler med underbiträden.

5.3 Om Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt underbiträde för att behandla personuppgifter som om- fattas av detta Biträdesavtal ska Personuppgiftsbiträdet i förväg in- formera den Personuppgiftsansvarige om detta och bereda denne möjlighet att framföra invändningar. Sådana invändningar ska ske skriftligen utan oskäligt dröjsmål från det att den Personuppgiftsan- svarige fått informationen. Personuppgiftsbiträdet ska förse den Per sonuppgiftsansvarige med all information som denne skäligen kan begära för att bedöma om anlitandet av det föreslagna underbiträdet kommer att säkerställa efterlevnaden av den Personuppgiftsansvari- ges skyldigheter enligt detta Biträdesavtal och tillämplig dataskydds- lagstiftning. Om efterlevnaden av dessa skyldigheter, enligt Person- uppgiftsansvariges befogade uppfattning, inte möjliggörs genom det föreslagna underbiträdet och Personuppgiftsbiträdet trots Person- uppgiftsansvariges invändning vill anlita det fö reslagna underbiträ- det, har Personuppgiftsansvarige rätt att säga upp Biträdesavtal et utan extra kostnad. Om invändningen inte är befogad har den Per- sonuppgiftsansvarige inte rätt att säga upp Tjänsteavtalet .

6. Datasäkerhet och sekretess

6.1 Personuppgiftsbiträ det är skyldigt att fullgöra sina rättsliga för- pliktelser avseende informationssäkerhet under tillämplig da- taskyddslagstiftning och ska i samtliga fall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.

6.2 Personuppgiftsbiträdet ska följa de säkerhetsåtgärder som framgår av Bilaga 1 och sina egna säkerhetsföreskrifter. Personupp- giftsbiträdet får ändra sina egna säkerhetsföreskrifter utan föregåen- de skriftligt medgivande från den Personuppgiftsansvarige föruts att att ä ndringen inte står i strid med tillämplig d ataskyddslagstiftning.

6.3 Personuppgiftsbiträdet är skyldigt att säkerställa att endast så- dan personal som direkt måste ha tillgång till personuppgifter för att kunna fullgöra Personuppgiftbiträdets skyldig heter enligt detta Biträ- desavtal får tillgång till sådana uppgifter. Personuppgiftsbiträdet ska

säkerställa att sådan personal omfattas av en sekretessförbindelse som utformas i enlighet med punkt 10 i Allmänna villkor.

6.4 För det fall Personuppgiftsbiträdet, till följd av den verksamhet som den Personuppgiftsansvarige bedriver, kommer att behandla känsliga personuppgifter förbinder sig den Personuppgifts ansvarige att innan sådan behandling påbörjas ta del av de säkerhetsåtgärder som kan komma att kräv a s vid sådan behandling av personuppgif- ter. Den Personuppgiftsansvarige är skyldigt att inte, utan att ha vid- tagit de säkerhetsåtgärder som krävs enligt tillämplig dataskyddds- lagstiftning , låta Personuppgiftsbiträdet behandla känsliga person- uppgifter . En översikt avseende funktioner i Tjänsten som kan kräva säkerhetsåtgärder finns på Adminors webbsida under sektionen ”sekretessinformation”.

7. Personuppgiftsincidenter

7.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige efter att ha fått vetskap om en person- uppgiftsincident.

7.2 Personuppgiftsbiträdet ska bistå den personuppgiftsansvarige med den information som rimligen kan krävas för att uppfylla dennes skyldighet att anmäla personuppgiftsincidenter.

8. Rätt till granskning

8.1 Den Personuppgiftsansvarige ska, i sin egenskap av person- uppgiftsansvarig, ha rätt att vidta erfor derliga åtgärder för att verifie- ra att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta Biträdesavtal och att Personuppgiftsbiträdet faktiskt har vidta- git de åtgärder som krävs för att säkerställa att dessa fullgörs.

8.2 Personuppgiftsbiträd et förbinder sig att tillhandahålla den Per- sonuppgifts - ansvarig e all information som krävs för att visa att de skyldigheter som anges i detta Biträdesavtal efterlevs , samt att möj- liggöra för och medverka till sådan granskning, inklusive kontroll på plats, som genomförs av den Personuppgiftsansvarig e eller annan granskare som utsetts av denne , under förutsättning att de perso- ner som utför granskningen ingår lämpliga sekretessavtal .

9. Avtalstid

Bestämmelserna i detta Biträdesavtal ska gälla så länge som Per- sonuppgiftsbiträdet behandlar personuppgifter för vilka den Person- uppgiftsansvarige är personuppgiftsansvarig.

10. Åtgärder när behandlingen av personuppgifter har av- slutats

10.1 När detta Biträdesavtal upphör har den Personuppgiftsansva- rige trettio (30) dagar på sig att hämta ut alla personuppgifter som behandlats enligt detta Biträdesavtal, varefter Personuppgiftsbiträdet kommer att radera personuppgifterna om inte lagring av personupp- gifterna krävs enligt svensk eller europeisk lagstiftning.

10.2 På begäran av den Personuppgiftsansvarige ska Personupp- giftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseen- de personuppgifterna efter behandlingens avslutande enligt punkt

10.1 ovan.

11. Ersättning

Personuppgiftsbiträdet har rätt till ersättning enligt Personuppgiftsbi- trädets vid var tid gällande prislista för det arbete som utförts på grund av skyldigheterna i punkterna 3.4, 3.5, 4, 6.4, 7.2, 8 och 10 i detta Biträdesavtal.

12. Ansvarsbegränsning

De ansvarsbegränsningar som anges i Allmänna villkor eller andra avtal med Adminor ska tillämpas för Personuppgiftsbiträdets ansvar enligt detta Biträdesavtal. Därtill gäller punkt 11 i Allmänna villkor för missbruk av tjänst, och att Adminor inte kan ansvara för kundens brott mot personuppgiftslag (GDPR).

Ekerö i April 2018