PERSONUPPGIFTBITRÄDESAVTAL
PERSONUPPGIFTBITRÄDESAVTAL
Parter
(i) Boappa AB, org. nr. 559081-8273, (”Personuppgiftsbiträdet”); och
(ii) Den aktör med vilken Boappa dag som denna ingått Tjänsteavtalet (enligt definition nedan) (”Personuppgiftsansvarige”).
Personuppgiftsansvarige och Personuppgiftsansvarige benämns nedan var och en för sig ”Part” och gemensamt ”Parterna”.
1. Bakgrund
1.1 Parterna har ingått avtal rörande Personuppgiftbiträdets tillhandahållande av kommunikationsplattformen Boappa (”Tjänsteavtalet”), vilket detta personuppgiftbiträdesavtal är en bilaga till och utgör en integrerad del av. Personuppgiftsbiträdet kommer vid fullgörandet av Tjänsteavtalet att behandla personuppgifter för Personuppgiftsansvariges räkning och därmed vara Personuppgiftsansvariges personuppgiftsbiträde.
Detta huvuddokument, inklusive angivna bilagor (enligt definition nedan) och andra eventuella bifogade dokument (gemensamt ”Personuppgiftsbiträdesavtalet”), utgör sådant avtal mellan personuppgiftsansvarig och personuppgiftsbiträde som regleras i GDPR (enligt definition nedan).
2. Tolkning och definitioner
2.1 Om konflikt eller bristande överensstämmelse uppstår mellan Personuppgiftsbiträdesavtalet och Tjänsteavtalet rörande behandling av personuppgifter, ska bestämmelserna i Personuppgiftsbiträdesavtalet äga företräde.
2.2 Begrepp som legaldefinieras i GDPR, såsom ”personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”personuppgift”, ”behandling” och ”registrerad”, ska tolkas och tillämpas i enlighet med GDPR.
2.3 Därutöver, och i tillägg till de begrepp som definierats ovan, ska följande definitioner ha den betydelse som anges nedan:
”GDPR” Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
”Omfattade Personuppgifter”
De personuppgifter som behandlas av Personuppgiftsbiträdet på uppdrag av Personuppgiftsansvarige, se Specifikationen.
”Specifikationen”
”Säkerhetsbilaga”
Avser Bilaga A.
Avser Bilaga B
Tillsynsmyndighet Svensk eller EU-myndighet såsom svenska Integritetsskyddsmyndigheten och i förekommande fall annan tillsynsmyndighet som med stöd av lag utövar tillsyn över Personuppgiftsansvariges verksamhet.
3. Laglig behandling
3.1 Båda Parter åtar sig att behandla Omfattade Personuppgifter i enlighet med GDPR.
3.2 Därtill ska Personuppgiftsbiträdet behandla Omfattade Personuppgifter i enlighet med Personuppgiftsbiträdesavtalet, Tjänsteavtalet och Personuppgiftsansvariges dokumenterade instruktioner från tid till annan (se punkten 4 nedan).
4. Instruktioner
4.1 Personuppgiftsbiträdet, eventuella underleverantörer och personer som agerar under Personuppgiftsbiträdets överinseende ska behandla Omfattade Personuppgifter i enlighet med Personuppgiftsansvariges instruktioner. För andra ändamål än de som omfattas av detta Personuppgiftbiträdesavtal är Personuppgiftsbiträdet personuppgiftsansvarig i enlighet med vad som framgår av Personuppgiftbiträdets vid var tid gällande information om personuppgiftsbehandling och cookiehantering som återfinns på xxxxx://xxxxxx.xxx/xx/xxxxxxxxxxxxxxxxxxxx. Personuppgiftsansvariges instruk- tioner vid Personuppgiftsbiträdesavtalets ingående gällande behandlingen av Omfattade Personuppgifter följer av Personuppgiftsbiträdesavtalet och Tjänsteavtalet.
4.2 Personuppgiftsansvarige äger dessutom rätt att skriftligen meddela Personuppgiftsbiträdet ytterligare instruktioner om behandlingen av Omfattade Personuppgifter (”Tillkommande Instruktion”), varvid Personuppgiftsbiträdet har rätt till ersättning för att följa sådan instruktion enligt vad som följer av punkt 13 nedan. Om Personuppgiftsbiträdet anser att Tillkommande Instruktion är olämplig, t.ex. att den är obehövlig eller onödigt omfattande för att uppfylla GDPR eller annars inte möjlig för Personuppgiftsbiträdet att efterkomma, ska Personuppgiftsbiträdet utan onödigt dröjsmål redovisa sin uppfattning för Personuppgiftsansvarige. Om Personuppgiftsansvarige inte accepterar Personuppgiftsbiträdets inställning, och Parterna inte lyckas enas inom trettio (30) dagar från Personuppgiftsbiträdets meddelande, har båda Parter rätt att säga upp berörda delar av Personuppgiftsbiträdesavtalet och Tjänsteavtalet med tre (3) månaders skriftlig uppsägningstid.
4.3 Om Personuppgiftsbiträdet anser att Personuppgiftsansvariges instruktioner, enligt Personuppgiftsbiträdets bedömning, kan strida mot GDPR eller andra europeiska eller svenska dataskyddsbestämmelser, ska Personuppgiftsbiträdet utan dröjsmål meddela Personuppgiftsansvarige och invänta vidare instruktioner innan Personuppgiftsbiträdet fortsätter med behandling av Omfattade Personuppgifter.
5. Tekniska och organisatoriska skyddsåtgärder
5.1 Personuppgiftsbiträdet har vidtagit de tekniska och organisatoriska åtgärder som beskrivs i Säkerhetsbilagan för att säkerställa en säkerhetsnivå som är lämplig i förhållande till behandlingen av Omfattade Personuppgifter. Personuppgiftsansvarige bekräftar och godkänner att de åtgärder som beskrivs i Personuppgiftsbiträdesavtalet är lämpliga för Personuppgiftsbiträdets behandling av Omfattade Personuppgifter enligt GDPR.
5.2 Personuppgiftsbiträdet ska se till att endast sådan personal som behöver tillgång till Omfattade Personuppgifter för att uppfylla sina åtaganden gentemot Personuppgiftsansvarige har tillgång till Omfattade Personuppgifter och att varje person som får tillgång till Omfattade Personuppgifter är föremål för adekvat sekretessåtagande.
6. Överföring av personuppgifter utanför EU/EES
6.1 Personuppgiftsbiträdet får överföra Omfattade Personuppgifter till land utanför EU/EES, inbegripet att utföra behandlingen av Omfattade Personuppgifter under Tjänsteavtalet på utrustning eller med användning av resurs som är belägen utanför EU/EES, för att uppfylla sina åtaganden i Tjänsteavtalet under förutsättning att:
a) Personuppgiftsbiträdet säkerställer laglig mekanism för överföringen i enlighet med kapitel V GDPR, såsom att ingå standardavtalsklausuler antagna av EU-kommissionen från tid till annan; och
b) Personuppgiftsbiträdet vidtar lämpliga säkerhetsåtgärder till skydd för Omfattade Personuppgifter.
7. Informationsskyldighet och skyldighet att hjälpa Personuppgiftsansvarige
7.1 Personuppgiftsbiträdet är skyldigt att genom lämpliga tekniska och organisatoriska åtgärder hjälpa Personuppgiftsansvarige att fullgöra sina skyldigheter vad gäller Omfattade Personuppgifter såsom att svara på begäran om utövande av registrerades rättigheter och rätta, radera, begränsa behandling av, och/eller blockera Omfattade Personuppgifter i enlighet med Personuppgiftsansvariges instruktioner.
7.2 Personuppgiftsbiträdet åtar sig att skriftligen informera Personuppgiftsansvarige om varje personuppgiftsincident omedelbart efter att personuppgiftsincidenten upptäcktes av Personuppgiftsbiträdet. Om och i den utsträckning det inte är möjligt att tillhandahålla all information samtidigt får Personuppgiftsbiträdet tillhandahålla informationen i omgångar, under förutsättning att Personuppgiftsbiträdet (i) förklarar anledningen till att all information inte kan lämnas samtidigt, och (ii) kompletterar med fullständig information utan onödigt dröjsmål. Informationen ska skickas till den person som Personuppgiftsansvarige skriftligen meddelar Personuppgiftsbiträdet. Om Personuppgiftsansvarige inte skriftligen meddelat någon sådan person får informationen skickas till den adress som Personuppgiftsbiträdet vanligen kontakter Personuppgiftsansvarige på.
7.3 Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran hjälpa Personuppgiftsansvarige att säkerställa att Personuppgiftsansvarige kan fullgöra sina skyldigheter avseende konsekvensbedömning och förhandssamråd.
8. Kontakt med registrerade och tillsynsmyndigheter
8.1 För det fall en registrerad, Tillsynsmyndighet eller annan tredje man begär information från Personuppgiftsbiträdet som berör behandlingen av Omfattade Personuppgifter, ska Personuppgiftsbiträdet hänvisa sådan förfrågan till Personuppgiftsansvarige och invänta instruktioner enligt punkt 4.3 ovan.
8.2 Personuppgiftsbiträdet ska informera Personuppgiftsansvarige om all kontakt med registrerade, Tillsynsmyndigheter eller annan tredje man, som avser Personuppgiftsbiträdets behandling av Omfattade Personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarige eller på annat sätt agera för Personuppgiftsansvariges räkning gentemot registrerade, Tillsynsmyndighet eller annan tredje man.
9. Revision
9.1 Personuppgiftsbiträdet ska ge Personuppgiftsansvarige tillgång till all information som krävs för att visa att Personuppgiftsbiträdet fullgjort sina skyldigheter enligt GDPR. Personuppgiftsbiträdet ska också bidra till granskningar, inbegripet inspektioner, som genomförs av Personuppgiftsansvarige, Tillsynsmyndighet eller av en annan revisor som bemyndigats av Personuppgiftsansvarige.
9.2 Personuppgiftsansvarige ska begära revision skriftligen minst tjugo (20) arbetsdagar i förväg. Granskningen ska utföras under normala kontorstider och Personuppgiftsansvarige ska vidta alla nödvändiga åtgärder för att minska effekterna på Personuppgiftsbiträdets verksamhet. Personuppgiftsansvarige åtar sig att tillse att varje enskild person som utför revision godkänner Personuppgiftsbiträdets säkerhetsföreskrifter och, på Personuppgiftsbiträdets begäran, undertecknar särskild sekretessförbindelse i förhållande till Personuppgiftsbiträdet. Personuppgiftsbiträdet ska inte under några omständigheter vara skyldig att avslöja information som omfattas av sekretess enligt lag eller avtal och inte heller Personuppgiftsbiträdets företagshemligheter eller liknande information.
10. Underleverantör
10.1 Personuppgiftsansvarige ger Personuppgiftsbiträdet ett allmänt förhandstillstånd att anlita underleverantör för utförande av behandlingen av Omfattade Personuppgifter. Personuppgiftsbiträdet ska på begäran informera Personuppgiftsansvarige om vilka underleverantörer som används och geografisk placering för sådana underleverantörer. Personuppgiftsbiträdet ska vidare informera Personuppgiftsansvarige om eventuella planer på att anlita nya underleverantörer eller ersätta underleverantörer, så att Personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.
10.2 Personuppgiftsbiträdet ska ingå ett personuppgiftsbiträdesavtal med varje underleverantör. Sådant avtal ska ålägga underleverantör väsentligen samma och motsvarande skyldigheter som Personuppgiftsbiträdet har enligt detta Personuppgiftsbiträdesavtal.
11. Sekretess
11.1 Utöver de sekretessåtaganden som följer av Tjänsteavtalet, åtar sig Personuppgiftsbiträdet att inte lämna ut Omfattade Personuppgifter eller annan information om behandlingen av Omfattade Personuppgifter, till tredje man utan uttrycklig instruktion från Personuppgiftsansvarige.
11.2 Personuppgiftsbiträdet ska se till att varje person som får tillgång till Omfattade Personuppgifter, är föremål för skriftligt sekretessåtagande.
11.3 Sekretessåtagandet enligt punkt 11.1 ovan är inte tillämpligt i förhållande till underleverantörer med vilka det finns personuppgiftsbiträdesavtal i enlighet med punkt 10 ovan. Sådant personuppgiftsbiträdesavtal ska dock innehålla motsvaran- de sekretessåtagande för underleverantör.
12. Tredjepartskrav
12.1 Om en registrerad, Tillsynsmyndighet eller annan tredje part väcker talan mot en Part (”Svarande Part”) rörande åtgärd, brist eller behandling av Omfattade Personuppgifter som den andra Parten svarar för enligt
Personuppgiftsbiträdesavtalet, ska den andra Parten hålla Svarande Part skadeslös genom att ersätta varje förlust eller kostnad (inklusive skadestånd, administrativ sanktionsavgift, nedlagd arbetstid och rimliga ombudskostnader) som den Svarande Parten drabbas av. Ovanstående åtagande gäller inte i den utsträckning den andra Parten kan visa att anspråket hade kunnat undvikas genom att Svarande Part uppfyllt sina skyldigheter under GDPR eller detta Personuppgiftsbiträdesavtal.
12.2 Svarande Part ska utan dröjsmål underrätta den andra Parten om krav enligt punkt 12.1, samt låta den andra Parten få insyn i relevanta handlingar i sådant mål. Svarande Part ska även samråda med den andra Parten i samband med försvaret mot sådan talan, såvida det inte bedöms olämpligt av den Svarande Parten.
12.3 Parts totala ansvar enligt denna punkt ska, såvida inte ansvar orsakats av uppsåt eller grov vårdslöshet, vara begränsat till ett maximalt belopp om tolv (12) månaders fakturering enligt Tjänsteavtalet för alla krav under avtalstiden. Part är inte skyldig att ersätta den andra Parten för belopp som i förekommande fall ersatts av den andra Partens försäkring.
13. Ersättning
13.1 Om inte annat avtalats har Personuppgiftsbiträdet rätt till ersättning under Personuppgiftsbiträdesavtalet med skäligt arvode för varje åtgärd som inte ingår enligt Tjänsteavtalet. Detta innebär att Personuppgiftsbiträdet bl.a. har rätt till ersättning för arbete avseende tillkommande instruktioner enligt punkten 4; att Personuppgiftsbiträdet, enligt punkten 7, bistår Personuppgiftsansvarige med att svara på begäran från registrerade om att utöva sina rättigheter enligt GDPR; att Personuppgiftsbiträdet, enligt punkten 7.3, bistår Personuppgiftsansvarige vid begäran om konsekvensbedömningar och förhandssamråd; och att Personuppgiftsansvarige utför revision enligt punkten 9.1.
14. Upphörande av behandling av personuppgifter
14.1 Vid upphörande av Personuppgiftsbiträdets behandling av Omfattade Personuppgifter, oavsett orsak, ska Personuppgiftsbiträdet i enlighet med Personuppgiftsansvariges instruktioner, antingen (i) överföra alla Omfattade Personuppgifter till Personuppgiftsansvarige på sådant sätt, på sådant medium och i sådant format som Personuppgiftsansvarige meddelar; eller (ii) permanent radera och utplåna Omfattade Personuppgifter samt radera befintliga kopior. Vid överföring eller radering, beroende på vilket som ska tillämpas, ska Personuppgiftsbiträdet se till att Omfattade Personuppgifter inte kan återskapas.
15. Avtalstid
15.1 Detta Personuppgiftsbiträdesavtal gäller från dess undertecknande och så länge som Personuppgiftsbiträdet behandlar Omfattade Personuppgifter.
16. Tillämplig lag och tvistelösning
16.1 Tillämplig lag samt tvist angående tolkning eller tillämpning av detta Personuppgiftsbiträdesavtal ska avgöras enligt Tjänsteavtalets bestämmelser om tvistlösning.
* * *
BILAGA A – SPECIFIKATION
Syfte
1.1 Denna Bilaga A (Specifikation) till Personuppgiftsbiträdesavtal mellan Personuppgiftsbiträdet och Personuppgiftsansvarige beskriver behandlingen av Omfattade Personuppgifter som Personuppgiftsbiträdet utför på uppdrag av Personuppgiftsansvarige under Personuppgiftsbiträdesavtalet.
1.2 Syftet med denna Bilaga A (Specifikation) är att förtydliga vilka behandlingar och vilka personuppgifter som omfattas av Tjänsteavtalet och att uppfylla GDPR:s krav avseende skyldighet att precisera ett personuppgiftsbiträdes behandling av personuppgifter, se exempelvis artikel 28.3 GDPR.
Ändringshantering
2.1 Ändringar av denna Bilaga A (Specifikation) kräver skriftlig överenskommelse mellan Parterna, om inte annan särskild ändringsprocess har avtalats mellan Parterna.
Beskrivning av behandling av Omfattade Personuppgifter
Föremålet för behandlingen av Omfattade Personuppgifter beskrivs i Tjänsteavtalet. | |
Ändamålet och föremål för behandlingen | Omfattade Personuppgifter behandlas av Personuppgiftsansvarig för Personuppgiftsansvariges ändamål, dvs. för att tillhandahålla Personuppgiftsansvarige kommunikationsplattformen Boappa i enlighet med Tjänsteavtalet och genom detta bl.a. underlätta och förbättra kommunikationen och boendet för Personuppgiftsansvariges medlemmar andra användare samt för att hantera styrelsearbete. |
Kategorier av personuppgifter | Följande kategorier av Omfattade Personuppgifter behandlas: • Kontaktuppgifter (såsom namn, adress, e-post och telefonnummer) • Boende- och medlemsuppgifter (såsom lägenhetsnummer, avgiftsinformation, medlemskap i förening, tidpunkt för medlemskap, felanmälan, samfällighetsandel och ägandeandel) • Uppgifter som postas i Personuppgiftsansvariges grupp (såsom inlägg, chatt, dokument och interaktioner) |
Kategorier av registrerade | Kategorier av registrerade: • Boende i Personuppgiftsansvariges förening eller blivande förening inklusive styrelsemedlemmar • Kontaktpersoner hos Personuppgiftsansvariges leverantörer (såsom revisor, fastighetsförvaltare, ekonomisk förvaltare) |
Behandlingens varaktighet | Omfattade Personuppgifter kommer, såvida Personuppgiftsansvarige inte instruerar annat, att behandlas under den tid som Tjänsteavtalet är gällande, såtillvida inte fortsatt lagring krävs enligt lag eller myndighetsbeslut. |
Godkända underleverantörer och överföring till tredje land | Personuppgiftsbiträdet får anlita på Personuppgiftsbiträdets webbplats xxxxx://xxxxxx.xxx/xxxxxxxxxxxxxxxxx/, vid Personuppgiftsbiträdesavtalets ingående, angivna underleverantörer. Personuppgiftsbiträdet ska informera Personuppgiftsansvarige om anlitandet av nya underleverantörer i enlighet med Personuppgiftsbiträdesavtalet. |