Bilaga 1 - PERSONUPPGIFTSBITRÄDESAVTAL
Bilaga 1 - PERSONUPPGIFTSBITRÄDESAVTAL
1 Bakgrund
1.1 Kunden Ansvarig ) och Depona Biträdet har träffat ett avtal där Depona ger Kunden möjlighet att arkivera Kundens data genom tillgång till ett molnbaserat e- Avtalet som detta Biträdesavtalet utgör en bilaga till. Inom ramen för Avtalet kommer Biträdet att, i egenskap av personuppgiftsbiträde, behandla personuppgifter för
Behandlingen
1.2 Syftet med Biträdesavtalet är att tillse att Behandlingen sker i enlighet med Dataskyddslagstiftningen, Ansvarigs instruktioner samt vad som i övrigt har överenskommits mellan Parterna.
2 Definitioner
2.1 Vid Behandlingen ska Dataskyddslagstiftningen tillämpas.
2.2 Såvida inte annat framgår av Biträdesavtalet ska begrepp som används i Biträdesavtalet ha den innebörd som de ges i Dataskyddslagstiftningen. Begrepp som används med versal begynnelsebokstav, som inte har definierats särskilt i Biträdesavtalet, ska ha samma betydelse som i Avtalet.
3 Ansvarigs åtagande
3.1 I förhållande till de registrerade ansvarar Ansvarig för att de rättsliga kraven på Behandlingen uppfyller kraven i Dataskyddslagstiftningen.
3.2 Ansvarig intygar att Behandlingen överensstämmer med de ändamål för vilka de personuppgifter som omfattas av Behandlingen har samlats in.
3.3 Det är Ansvarigs ansvar att tillse att Biträdet vid var tid är informerat om Ansvarigs gällande instruktioner, såsom dem i punkt 11 nedan samt andra skriftliga instruktioner från Ansvarig avseende Behandlingen. För det fall Ansvarig ger nya instruktioner avseende Behandlingen som avviker från dem som följer av Tjänsten under Xxxxxxx, och dessa instruktioner kräver mer av Biträdet och går längre än vad som föreskrivs av Dataskyddslagstiftningen, ska Biträdet överväga, men har ingen skyldighet att, acceptera sådana instruktioner. Om sådana tillkommande instruktioner innebär att omfattningen av de tjänster Biträdet utför under Avtalet förändras ska Biträdet ha rätt till ersättning för sådana förändringar.
3.4 Samtliga instruktioner från Ansvarig ska vara skriftliga eller på annat sätt dokumenterade.
4 Biträdets åtaganden
4.1 Behandlingen beskrivs närmre i punkt 11. Biträdet åtar sig att behandla personuppgifter på det sätt och för de ändamål som är nödvändiga för att uppfylla sina åtaganden enligt Xxxxxxx eller i enlighet med de dokumenterade instruktioner som lämnats av Ansvarig i Punkt 11 och vilka har godkänts av Biträdet. Biträdet kan även komma att behandla personuppgifter för att
tillhandahålla eventuella tilläggstjänster som Ansvarig från tid till annan beställer.
4.2 Efter mottagande av skriftliga instruktioner beträffande Behandlingen från Ansvarig, såsom dem i punkt 11, ska Biträdet inom skälig tid vidta lämpliga åtgärder för att tillse att Behandlingen anpassas enligt instruktionerna. För sådana åtgärder avseende Behandlingen som inte uttryckligen specificerats av Ansvarig vid tiden för ingående av Avtalet och Biträdesavtalet har Biträdet rätt att begära särskild ersättning.
4.3 Biträdet åtar sig att säkerställa att varje fysisk person som utför arbete under dess ledning och som får tillgång till personuppgifter är informerad om innehållet i Biträdesavtalet och endast behandlar personuppgifterna i enlighet med Avtalet och Ansvarigs dokumenterade instruktioner.
4.4 Biträdet ska i skälig utsträckning bistå Ansvarig genom lämpliga tekniska och organisatoriska åtgärder i den mån det är nödvändigt för att Ansvarig ska kunna fullgöra sina skyldigheter att svara på begäran från de registrerade om registerutdrag eller rättelse, blockering eller utplåning av personuppgifter.
4.5 Biträdet ska utan oskäligt dröjsmål från det att Biträdet har fått vetskap om en personuppgiftsincident underrätta Ansvarig därom. Biträdet ska, i skälig utsträckning, bistå Ansvarig med den information som Ansvarig behöver för att uppfylla sina skyldigheter avseende anmälan av personuppgiftsincidenten till behörig tillsynsmyndighet samt i tillämpliga fall, information till de registrerade om personuppgiftsincidenten.
4.6 Biträdet åtar sig att, i skälig utsträckning, bistå Ansvarig vid utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd samt medverka till utredning av inträffade personuppgiftsincidenter med behöriga tillsynsmyndigheter.
4.7 Biträdet ska, utöver vad som sägs uttryckligen ovan, ha rätt till skälig ersättning för nedlagt arbete avseende åtagandena i punkterna 4.4. till 4.6.
5 Överföring av personuppgifter
5.1 Biträdet får inte lämna ut några personuppgifter till tredje man utan föregående skriftligt godkännande därom från Ansvarig, såvida inte utlämnande krävs enligt gällande lag eller myndighetsbeslut. Biträdet har dock alltid rätt att lämna ut personuppgifter till underleverantör i enlighet med punkt 6.1
5.2 Om Biträdet åläggs av domstol eller myndighet att lämna ut personuppgifter eller vidta annan åtgärd till följd av Behandlingen, har Biträdet rätt till skälig ersättning för nedlagt arbete. Biträdet har även rätt till skälig ersättning för annat utlämnande av personuppgifter till annan än Ansvarig samt för åtgärder i anslutning till sådant utlämnande.
5.3 Biträdet äger inte rätt att överföra personuppgifter till tredje land, såvida inte någon av följande förutsättningar är uppfyllda:
(a) det finns en adekvat skyddsnivå i mottagarlandet;
(b) den registrerade har gett sitt samtycke till överföringen;
(c) avtal som innehåller EU-kommissionens modellklausuler (2010/87/EU) har ingåtts, utan
ändringar eller tillägg som står i strid med klausulerna; eller
(d) Biträdet har upprättat bindande företagsinterna regler som godkänts av Datainspektionen (så kallade Binding Corporate Rules) och mottagaren av personuppgifterna i tredje land omfattas av dessa.
6 Anlitande av Underbiträde
6.1 Genom undertecknande av Biträdesavtalet godkänner Ansvarig att Biträdet anlitar
Underbiträde
personuppgifter till Underbiträde sker på Biträdets risk och medför inga förändringar i den ansvarsfördelning som gäller mellan Biträdet och Ansvarig.
6.2 Biträdet åtar sig att skriftligen informera Ansvarig innan nytt Underbiträde anlitas. Ansvarig ska ha möjlighet att invända mot Biträdets val av Underbiträde inom fem (5) dagar från det att Ansvarig mottagit Biträdets meddelande härom. Biträdet får inte anlita det valda Underbiträdet om Ansvarig har presenterat skäliga invändningar. Parterna är överens om att Ansvarig genom undertecknandet av Biträdesavtalet får anses vara informerad om att Biträdet avser anlita de Underbiträden som listas i punkt 12.
6.3 När Biträdet anlitar Underbiträde för utförande av Behandlingen, åtar sig Biträdet att teckna ett avtal för hanteringen av personuppgifter med Underbiträdet, varigenom Underbiträdet åläggs samma skyldigheter som enligt Biträdesavtalet åligger Biträdet.
7 Tekniska och organisatoriska säkerhetsåtgärder
7.1 Biträdet ska vidta de tekniska och organisatoriska åtgärder som erfordras enligt Dataskyddslagstiftningen för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, särskilt i förhållande till risker avseende obehörig åtkomst, förstörelse och ändring av de personuppgifter Behandlingen omfattar. Biträdet avgör hur sådana åtgärder ska implementeras för att uppnå erforderlig skyddsnivå.
7.2 Om Ansvarig gör sannolikt att ny skyddsåtgärd krävs eller att befintlig skyddsåtgärd måste anpassas för att uppfylla lagkrav om lämplig säkerhetsnivå eller för att efterkomma myndighetsbeslut ska Parterna diskutera implementationen av sådan åtgärd eller ändring av befintlig skyddsåtgärd. Utökad eller tillkommande skyddsåtgärd kräver skriftlig överenskommelse mellan Parterna. Biträdet ska i sådant fall ha rätt till särskild ersättning för vidtagna säkerhetsåtgärder.
8 Revision och granskning
8.1 Ansvarig har rätt att med trettio (30) dagars varsel på egen bekostnad, själv eller genom denne
Revisorn
kontrollera att Biträdet följer Biträdesavtalet.
8.2 När Revisorn utses ska Ansvarig ta hänsyn till sådana konkurrensaspekter som hänför sig till affärsrelationer mellan Biträdet och den tilltänkte Revisorn. I detta avseende måste Revisorn godkännas av Biträdet. Sådant godkännande ska dock inte oskäligen vägras av Biträdet.
8.3 Biträdet åtar sig att ge Ansvarig eller Revisorn tillgång till den dokumentation som krävs för att visa att Biträdet har fullgjort sina skyldigheter under Xxxxxxx och ska även i övrigt bistå Ansvarig eller Revisorn vid genomförande av granskning och inspektion. Granskning och inspektion får genomföras under kontorstid, på vardagar mellan kl. 9 och 17.
8.4 Biträdet får ge Revisorn begränsad tillgång till Biträdets lokaler där Behandlingen utförs. När sådan platsinspektion genomförs ska Revisorn följa Biträdes skäliga arbetsregler, säkerhetskrav och andra föreskrifter som gäller på arbetsplatsen och får inte störa Biträdets dagliga verksamhet. Revisorn ska inte ha tillgång till sådan konfidentiell information som rör Biträdets andra kunder eller andra personuppgifter som inte behandlas inom ramen för Biträdesavtalet.
9 Avtalstid och åtgärder vid Biträdesavtalets upphörande
9.1 Biträdesavtalet gäller från det att båda Parter undertecknat Avtalet och så länge som Biträdet behandlar personuppgifter för Ansvarigs räkning. Bestämmelser om uppsägning finns i Avtalet.
9.2 Såvida Ansvarig inte uttryckligen instruerar Biträdet att personuppgifterna ska återlämnas, åtar sig Biträdet att vid Biträdesavtalets upphörande radera alla personuppgifter som omfattas av Behandlingen från sådana system som använts vid Behandlingen, såvida sådant förfarande inte är oförenligt med gällande nationell rätt eller EU-rätt. Begäran om återlämning av personuppgifter ska vara skriftlig och lämnas till Biträdet senast i samband med att Xxxxxxx sägs upp eller upphör att gälla.
9.3 Om Avtalet upphör och nytt sådant avtal, som även omfattar behandling av personuppgifter, träffas utan att ett nytt personuppgiftsbiträdesavtal träffas, gäller Biträdesavtalet även för personuppgiftsbehandling som sker som en del av tjänster som tillhandahålls enligt det nya avtalet.
10 Lagval och tvistlösning
För Biträdesavtalet gäller svensk rätt, och tvister ska lösas i enlighet med bestämmelserna i Avtalet.
11 Instruktioner för Behandlingen
Utöver vad som anges i Avtalet ska nedan instruktioner gälla och iakttas av Biträdet vid utförandet av Behandlingen.
Ändamål: Behandlingen får endast utföras för att Depona ska kunna utföra Tjänsten enligt Avtalet.
Typer av behandlingar: Biträdet får använda sig av sådana typer av behandling av personuppgifter som är nödvändig för att tillhandahålla Tjänsten enligt Avtalet, däribland organisering, lagring, ändring, användning, publicering och radering.
Typer av personuppgifter: Biträdet får behandla de personuppgifter som ingår i Kundens data. Biträdet får även behandla andra personuppgifter om det är nödvändigt för att tillhandahålla de tjänster som framgår av Avtalet.
Kategorier av registrerade: De personkategorier som ingår i Kundens data.
Behandlingens varaktighet: Personuppgifterna ska raderas av Biträdet i enlighet med vad som framgår av Xxxxxxx.
12 Godkända Underbiträden
Ansvarig godkänner och är informerad om att Biträdet anlitar följande Underbiträden i enlighet med punkten 6.2 i Biträdesavtalet.