Personuppgiftsbiträdesavtal:
Personuppgiftsbiträdesavtal:
Shark Communication AB (Bilaga B1)
Detta Personuppgiftsbiträdesavtal (“Biträdesavtalet”) har ingåtts mellan:
och
A) Bolaget (“Personuppgiftsansvarig”);
B) SHARK (“Personuppgiftsbiträdet”).
Parterna ovan är nedan benämnda ”Part” och tillsammans ”Parterna”
1. Bakgrund
1.1 Detta Personuppgiftsbiträdesavtal (”Biträdesavtalet”) är del av det huvudavtal som ingåtts mellan Personuppgiftsansvarig och Personuppgiftsbiträdet (”Avtalet”). Biträdesavtalet ska läsas och förstås mot bakgrund av Avtalet och eventuellt senare träffade avtal mellan Parterna. Biträdesavtalet reglerar Personuppgiftsbiträdets behandling av Personuppgifter för Personuppgiftsansvarigs räkning.
1.2 I enlighet med vad som framgår ovan har Parterna genom Biträdesavtalet överenskommit att Personuppgiftsbiträdets behandling av personuppgifter mottagna av Personuppgiftsansvarig ska ske i enlighet vad som närmare stadgas härunder. Motsvarande ska gälla för det fall att det ovan beskrivna avtalsrelationen parterna emellan kommer till att innebära att Personuppgiftsansvarig kommer att behandla personuppgifter som Personuppgiftsbiträdet är personuppgiftsansvarigt för.
1.3 Detta Personuppgiftsbiträdesavtal reglerar inte Personuppgiftsbiträdets rätt till ersättning för tjänsterna utan denna rätt regleras genom Avtalet.
2. Defintioner
I Biträdesavtalet ska nedanstående begrepp ha följande innebörd:
Behandling, avser den åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Gällande dataskyddsregler, avser rådsdirektiv 95/46/EG, införd i svensk rätt genom personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191) samt den allmänna dataskyddsförordningen (EU) 2016/679 (”GDPR”), med tillhörande genomförandeförfattningar eller motsvarande senare lagstiftning som kommer att införas till skydd för behandlingen av personuppgifter.
Personuppgifter, varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgiftsincident, avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats och i övrigt behandlas.
Adress Xxxxx Xxxxxxxxx 00 000 00 Xxxxx | Telefon +46 (0) 73 – 000 00 00 | E-post | Momsregnr SE559287469601 Innehar F-skattebevis |
Standardavtalsvillkor, avser villkor för skydd av personuppgifter överförda till tredje land i enlighet med Europeiska kommissionens beslut C(2010)593 av den 5 februari 2010 eller motsvarande villkor som ersätter dessa.
Underbiträde, avser sådant Personuppgiftsbiträdet som anlitas av det Personuppgiftsbiträdet som är Part i detta Biträdesavtal och som behandlar personuppgifter för Personuppgiftsansvarigs räkning.
3. Personuppgiftsansvarigs ansvar
3.1 Personuppgiftsansvarig ska vidta alla nödvändiga åtgärder för att säkerställa att behandlingen av personuppgifter är laglig enligt vid var tid Gällande dataskyddsregler.
3.2 Personuppgiftsansvarig ska i den mån det är möjligt begränsa överföringen av personuppgifter och endast tillhandahålla Personuppgiftsbiträdet sådana personuppgifter som är nödvändiga för ändamålet med behandlingen.
3.3 Personuppgiftsansvarig ska tillhandhålla Personuppgiftsbiträdet dokumenterade instruktioner och övriga anvisningar avseende ändamålet, omfattningen, arten och varaktigheten av behandlingen samt kategorier av registrerade i den utsträckning som är nödvändig för att Personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt Biträdesavtalet och Gällande dataskyddsregler. Sådana instruktioner bifogas härtill som Bilaga 1B, vilken utgör en del av detta Biträdesavtal.
4. Behandling av personuppgifter
4.1 De personuppgifter som Personuppgiftsbiträdet har åtkomst till får endast behandlas i enlighet med Biträdesavtalet och Gällande dataskyddsregler.
4.2 Personuppgiftsbiträdet får endast behandla personuppgifter i enlighet med Personuppgiftsansvarigs dokumenterade instruktioner såvida inte Personuppgiftsbiträdet är skyldig enligt tvingande författning att behandla personuppgifterna för annat ändamål eller på annat sätt. Har Personuppgiftsansvarig lämnat ofullständiga eller felaktiga instruktioner är Personuppgiftsbiträdet skyldigt att omgående påtala detta för Personuppgiftsansvarig.
4.3 Personuppgiftsbiträdet är skyldigt att utan oskäligt dröjsmål underrätta Personuppgiftsansvarig om denne anser att en behandling strider mot Gällande dataskyddsregler eller annan tillämplig lag och därefter invänta Personuppgiftsansvarigs anvisningar. Vad som anges ovan gäller endast om Personuppgiftsbiträdet inte är förhindrad att på andra grunder att lämna sådan underrättelse.
4.4 Personuppgiftsbiträdet ska utan oskäligt dröjsmål, dock senast trettio (30) dagar från Personuppgiftsansvarigs begäran, ge denne tillgång till personuppgifterna som Personuppgiftsbiträdet har i sin besittning samt genomföra en begärd ändring, radering, begränsning eller överföring av nämnda personuppgifter. Har Personuppgiftsansvarig raderat, eller anvisat Personuppgiftsbiträdet om radering, ska den senare vidta sådana åtgärder som krävs för att personuppgiften inte ska kunna återskapas.
4.5 Personuppgiftsbiträdet ska upprätthålla ett register över all personuppgiftsbehandling som sker på uppdrag av Personuppgiftsansvarig, samt att på Personuppgiftsansvarigs eller behörig tillsynsmyndighets uttryckliga begäran överlämna ett läsbart registerutdrag omfattandes, till ett minimum, uppgifter om:
(a) namn och kontaktuppgifter hos Personuppgiftsbiträdet och i förekommande fall namn och kontaktuppgifter hos sådana företrädare som Personuppgiftsbiträdet anlitar, dennes dataskyddsombud och i förekommande fall anlitade av Underbiträden,
(b) den behandling som utförs av Personuppgiftsbiträdet för Personuppgiftsansvarigs räkning, typen av personuppgifter och i förekommande fall särskilda kategorier,
(c) en allmän beskrivning av vilka tekniska och organisatoriska åtgärder som vidtagits för att upprätthålla en
Adress Xxxxx Xxxxxxxxx 00 000 00 Xxxxx | Telefon +46 (0) 73 – 000 00 00 | E-post | Momsregnr SE559287469601 Innehar F-skattebevis |
lämplig skyddsnivå, och
(d) i förevarande fall, överföring av personuppgifter till tredje land, det tredje land där data behandlas samt vilka adekvata skyddsåtgärder som vidtagits.
5. Kapacitet och förmåga
5.1 Personuppgiftsbiträdet garanterar att dessa besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt Biträdesavtalet och Gällande dataskyddsregler.
5.2 Personuppgiftsbiträdet ska på Personuppgiftsansvarigs begäran styrka att de skyldigheter som framgår av Biträdesavtalet och Gällande dataskyddsregler uppfylls genom att tillhandahålla relevant dokumentation, hänvisa till relevant och godkänd uppförandekod eller certifiering, möjliggöra och bidra till granskningar och inspektioner och/eller tillhandahålla Personuppgiftsansvarig annan adekvat bevisning.
5.3 Personuppgiftsbiträdet ska på Personuppgiftsansvarigs begäran, utan oskäligt dröjsmål ge denne, eller en oberoende tredjeman som denne anlitat, tillgång till sådana upplysningar och handlingar som är nödvändiga för att Personuppgiftsansvarig ska kunna utöva en effektiv kontroll av Personuppgiftsbiträdets åtgärder enligt Biträdesavtalet eller Gällande dataskyddsregler.
5.4 Utan hinder av punkten 5.3 är Personuppgiftsbiträdet endast skyldig att bevilja Personuppgiftsansvarig, eller oberoende tredjeman som denne anlitat, tillgång till lokaler och utrustning för inspektion om det kan ske utan säkerhets- eller integritetsrisker eller om sådana inspektioner är nödvändiga för att fullgöra en rättslig förpliktelse.
6. Säkerhet och sekretess
6.1 Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder begränsa tillgången till personuppgifterna och endast ge behörighet till sådan personal som behöver ha tillgång till personuppgifterna för att fullgöra sina åtaganden enligt Biträdesavtalet. Personuppgiftsbiträdet ska vidare tillse att sådan personal har erforderlig utbildning och i tillräcklig mån har instruerats att hantera personuppgifterna på ett ändamålsenligt och säkert sätt.
6.2 Personuppgiftsbiträdet ska behandla personuppgifter med sekretess enligt lagen om offentlighet och sekretess (2009:400) och enligt de sekretessregler som följer av annan lagstiftning, samt i båda fall motsvarande senare införd lagstiftning, samt att personer med behörighet att behandla personuppgifterna hos Personuppgiftsbiträdet har ingått särskild sekretessförbindelse eller upplysts om att särskild tystnadsplikt föreligger enligt avtal eller gällande rätt.
6.3 Personuppgiftsbiträdet ska utan oskäligt dröjsmål, dock senast inom 24 timmar från att det kommit Personuppgiftsbiträdet till kännedom, underrätta Personuppgiftsansvarig om förekomsten av eller risken för en Personuppgiftsincident. En sådan underrättelse ska innehålla all nödvändig och tillgänglig information som Personuppgiftsansvarig behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan av personuppgiftsincidenter till behörig tillsynsmyndighet.
7. Samverkan
7.1 Parterna är överens om att Personuppgiftsbiträdet, på Personuppgiftsansvarigs förfrågan, ska bistå Personuppgiftsansvarigs att fullgöra sina skyldigheter enligt Gällande dataskyddsregler, såsom utförandet av konsekvensbedömningar avseende dataskydd, utformningen av lämpliga tekniska och organisatoriska åtgärder för inbyggt dataskydd, förhandssamråd med behörig tillsynsmyndighet samt medverka till utredning av inträffade personuppgiftsincidenter. Såvida Parterna inte kommit överens om annat ska sådant bistånd som avses i detta stycke inte ge Personuppgiftsbiträdet rätt till särskild ersättning.
Adress Xxxxx Xxxxxxxxx 00 000 00 Xxxxx | Telefon +46 (0) 73 – 000 00 00 | E-post | Momsregnr SE559287469601 Innehar F-skattebevis |
7.2 Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarig om denne kontaktas av behörig tillsynsmyndighet eller annan tredje part i syfte att få tillgång till personuppgifter som Personuppgiftsbiträdet, eller i förekommande fall Underbiträdet, har i sin besittning.
7.3 Personuppgiftsbiträdet ska skriftligen och senast trettio (30) dagar innan en planerad ändring av behandlingsförfarandet, däribland tekniska och organisatoriska ändringar som kan påverka skyddet av personuppgifterna och Personuppgiftsbiträdets efterlevnad av Gällande dataskyddsregler, informera Personuppgiftsansvarig. Innan sådana ändringar genomförs ska Personuppgiftsansvarig lämna sitt samtycke, vilket inte skäligen ska förvägras.
8. Anlitande av underbiträde
8.1 Personuppgiftsbiträdet får inte anlita ett annat Personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den Personuppgiftsansvarig. Sådan överlåtelse medför inga ändringar i den ansvarsfördelning som gäller mellan Parterna i detta Biträdesavtal.
8.2 Har Personuppgiftsbiträdet ansökt om att få överlåta behandlingen av personuppgifter till ett Underbiträde och beviljats detta enligt punkten 8.1 ska Personuppgiftsbiträdet säkerställa att Underbiträdet uppfyller Gällande dataskyddsregler samt de skyldigheter som följer av detta Biträdesavtal.
8.3 Avser Personuppgiftsbiträdet att byta ut ett befintligt Underbiträde mot ett annat Underbiträde ska Personuppgiftsbiträdet senast trettio (30) dagar innan informera Personuppgiftsansvarig om sina avsikter så att Personuppgiftsansvarig har möjlighet att invända mot en sådan förändring. Motsätter sig Personuppgiftsansvarig utbyte av Underbiträde eller återkallar denne sitt tidigare medgivande om användning av Underbiträde har Personuppgiftsansvarig rätt att säga upp detta Biträdesavtal och andra ingångna avtal som berör Behandling av Personuppgifter. Under uppsägningstiden får överföring av Personuppgifter till annat Underbiträde inte ske.
9. Överföring av personuppgifter till tredje land
9.1 I fall där Personuppgiftsbiträdet i samband med behandlingen överför personuppgifter till ett tredje land utanför Europeiska Ekonomiska Samarbetet (”EES”) och som av Europeiska kommissionen inte anses uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Parterna ingå ett tilläggsavtal baserad på Standardavtalsvillkor.
9.2 Har Personuppgiftsbiträdet anlitat ett Underbiträde med innebörden att personuppgifter överförs till ett tredje land utanför EES som Europeiska kommissionen inte anser uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Personuppgiftsbiträdet och Underbiträdet ingå ett tilläggsavtal baserad på Standardavtalsvillkor. I förekommande fall ska Personuppgiftsbiträdet på begäran tillhandahålla Personuppgiftsansvarig en underskriven kopia av ett sådant tilläggsavtal som avses ovan.
9.3 I händelse av konflikt mellan Biträdesavtalet och Standardavtalsklausuler ska de senare äga företräde.
10. Underrättelser
Underrättelser som sker i enlighet med Biträdesavtalet ska ske skriftligen per e-post till följande kontaktpersoner hos respektive part:
För Personuppgiftsansvarig:
Av bolaget angiven kontaktperson (se Avtalet). För Personuppgiftsbiträdet:
Av bolaget angiven kontaktperson (se Avtalet).
Adress Xxxxx Xxxxxxxxx 00 000 00 Xxxxx | Telefon +46 (0) 73 – 000 00 00 | E-post | Momsregnr SE559287469601 Innehar F-skattebevis |
11. Giltighet
11.1 Biträdesavtalet är giltigt tills Personuppgiftsbiträdets behandling av personuppgifterna upphör eller ersätts av ett annat Personuppgiftsbiträdesavtal.
11.2 Personuppgiftsbiträdet ska vid avslutad behandling återlämna personuppgifterna i ett allmänt och läsbart format till Personuppgiftsansvarig och därefter radera personuppgifterna från sådana system som använts vid behandlingen, såvida inte detta är oförenligt med annan tvingande lag.
12. Överlåtelse av avtalet
Part har inte rätt att utan motpartens föregående skriftliga samtycke överlåta sina rättigheter och skyldigheter enligt detta avtal. Part har dock rätt att göra sådan överlåtelse till annat helägt bolag inom samma koncern (enligt aktiebolagslagens definition) eller intressebolag som ägs av koncernmodern.
13. Tillämplig lag och tvist
13.1 Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt.
13.2 Tvist med anledning av Biträdesavtalet, om den inte kan lösas genom överläggning mellan parterna, ska slutligt avgöras genom skiljedom enligt Stockholms Handelskammares skiljedomsinstituts regler för förenklat skiljeförfarande. Skiljeförfarandets säte skall vara Malmö.
13.3 All information som framkommer under förfarandet enligt punkten 13.2, xxxxxxx beslut och skiljedom som meddelas i anledning av förfarandet, omfattas av sekretess. Information som omfattas av sekretess får inte röjas för tredje person utan samtliga parters skriftliga medgivande, såvida detta inte är nödvändigt för exekution av domen, domstolsbeslut, begäran från Finansinspektionen eller annars följer av lag.
Adress Xxxxx Xxxxxxxxx 00 000 00 Xxxxx | Telefon +46 (0) 73 – 000 00 00 | E-post | Momsregnr SE559287469601 Innehar F-skattebevis |
Instruktioner:
Shark Communication AB (Bilaga B2)
Dessa instruktioner utgör en integrerad del av Biträdesavtalet och ska följas av Personuppgiftsbiträdet vid utförande av personuppgiftsbehandlingen såvida inte annat uttryckligen anges i Biträdesavtalet.
Genom undertecknande av Biträdesavtalet har Personuppgiftsbiträdet bekräftat innebörden av dessa instruktioner. Ändringar och tillägg till dessa instruktioner är endast giltiga om de skett skriftligen.
1. Ändamål
Parterna har tillsammans enats om följande ändamål för behandling som sker inom ramen för detta Biträdesavtal:
I egenskap av leverantör kommer Personuppgiftsbiträdet ta emot och administrera personuppgifter från Personuppgiftsansvarig i syfte att kunna utföra de tjänster som Personuppgiftsbiträdet anlitats för att utföra på uppdrag av Personuppgiftsansvarig. Ändamålet med behandlingen är således att kunna utföra nödvändiga åtgärder för att utföra Uppdraget som följer av Avtalet.
2. Typ av behandling
Personuppgiftsbiträdets kommer i enlighet med Biträdesavtalet utföra behandlingar primärt genom:
- inhämtning och avläsning,
- organisering och strukturering,
- användning,
- lagring, samt
- överföring till myndighet
3. Typ av personuppgifter
Personuppgifterna som behandlas inom ramen för Biträdesavtalet kommer att omfatta:
- namn,
- personnummer,
- telefonnummer,
- post- och e-postadresser,
4. Kategorier av registrerade
Personuppgifterna som kommer att behandlas inom ramen för Biträdesavtalet kommer att vara hänförliga till följande kategorier av registrerade:
- aktieägare och anställda och i viss utsträckning tidigare aktieägare och anställda,
- närstående till aktieägare och anställda,
- uppdragstagare och styrelseledamöter,
5. Plats för behandlingen
Personuppgiftsbiträdets behandling kommer att primärt utföras digitalt från deras arbetsställe på Stortorget 3 i Malmö.
I enlighet med ovan kommer således all Behandling som sker direkt av Personuppgiftsbiträdet att ske inom EU:s medlemsstater, EES eller godkänd stat enligt EU som uppfyller adekvat skyddsnivå.
6. Varaktighet
Behandlingen inom ramen för dessa instruktioner ska ske löpande med start från dagen för båda Parters undertecknande av Avtalet till dagen för Uppdragets genomförande eller uppsägning av tjänsterna. Personuppgiftsansvarig har dock rätt att när som förklara att någon del, eller all, behandling ska upphöra.
Adress Xxxxx Xxxxxxxxx 00 000 00 Xxxxx | Telefon +46 (0) 73 – 000 00 00 | E-post | Momsregnr SE559287469601 Innehar F-skattebevis |
7. Underbiträden
Med avsteg från punkten 8.1 i Biträdesavtalet har Personuppgiftsansvarig godkänt och givit Personuppgiftsbiträdet mandat att teckna Personuppgiftsbiträdesavtal för Personuppgiftsansvarigs räkning med nedan angivna Underbiträden.
Iver, f.d. DGC Access AB, xxx.xx. 556575-3042 Xxx 00 000, 000 00 Xxxxxxxxx
Diflex AB, xxx.xx. 556089-4874 Xxxxxxxxxxx 0, 000 00 Xxxxxxxxx
Telavox AB, xxx.xx. 556600-7786 Xxxxx Xxxxxxxxxx 0 X, 000 00 Xxxxx
Cision Sverige AB, reg. no. 556317-1916 Xxxxxxxxxx 00, 000 00 Xxxxxxxxx
Assidi Consulting AB, xxx.xx. 556872-9528 Xxxxxxx 00, 000 00 Xxxxxxxxx
8. Överföring till tredje land
För det fall överföring till tredje land utförs kommer Personuppgiftsbiträdet att tillse att Gällande dataskyddsregler följs.
9. Dataskydd
Personuppgiftsbiträdet har vidtagit nödvändiga tekniska och organisatoriska åtgärder för att garantera integritet och konfidentialitet av Personuppgiftsansvarigs uppgifter, vilket innefattar bland annat följande åtgärder:
Personal Sekretess
Personuppgiftsbiträdet har vidtagit nödvändiga åtgärder för att garantera att personal som arbetar med Personuppgiftsansvarigs Personuppgifter har kvalificerad bakgrund och kompetens. Dessa åtgärder kan innefatta:
• Bakgrundskontroller i form av referenser och/eller utdrag från belastningsregistret
• Skriftlig överenskommelse om tystnadsplikt
• Följer Personuppgiftsbiträdet aktuella policies och arbetsrutiner
• Kontinuerlig utbildning och kompetenshöjande åtgärder
Fysisk säkerhet
Personuppgiftsbiträdet säkerhetsställer att en adekvat fysisk säkerhetsnivå på områden där Personuppgiftsansvarigs Personuppgifter Behandlas upprätthålls vilket kan innefatta:
• Begränsad och/eller övervakad tillgång till fysiska lokaler
• Övervakning i form av larm och/eller fysisk övervakning
Utrustning-, system- och nätverkssäkerhet
Personuppgiftsbiträdet ska genomföra lämpliga och tidsenliga säkerhetsåtgärder och för hela Tjänsteavtalets period upprätthålla en tillräcklig säkerhetsnivå för alla system, nätverk och enheter som används för att leverera Tjänst till Personuppgiftsansvarig. Detta kan innefatta;
• Har adekvat brandväggsskydd
• Komplett auditloggning för övervakning av tjänst
• Autentiseringssystem för tillgång till Tjänst och System
• Rättighetssystem för tillgång till Tjänst och System
• Övervakning & kryptering av fysiska hårddiskar
• Processer & xxxxxxx för att kontinuerligt utvärdera datasäkerhet
• Säkerhetsställa möjligheter till återskapning av Personuppgifter via backuper
***
Adress Norra Xxxxxxxxx 00 000 00 Xxxxx | Telefon +46 (0) 73 – 000 00 00 | E-post | Momsregnr SE559287469601 Innehar F-skattebevis |