Free Standard Templates

Explore a free library of open-source, peer-reviewed contract standards, adopted by thousands of business around the world and signed millions of times.

Explore Now
oneNDA-badge

BILAGA: KUNDAVTAL FÖR CERTIFIKATTJÄNSTER

TIFIKATTJÄNSTER NR


BILAGA: KUNDAVTAL FÖR CERTIFIKATTJÄNSTER

1 Allmänt


1.1. Denna avtalsbilaga ”Villkor för behandling av personuppgifter” ingår i kundavtalet för certifikattjänsterna, nedan ”Avtalet”, som Myndigheten för digitalisering och befolkningsdata (MDB) har ingått med stämpelcertifikatkunden (Kunden), nedan tillsammans ”Parterna”.


1.2. Parterna godkänner dessa villkor för att säkerställa att artikel 28 i EU:s allmänna data- skyddsförordning följs. Villkoren får inte tolkas på ett sätt som strider mot EU:s allmänna dataskyddsförordning.


1.3. I denna avtalsbilaga fastställs på ett sätt som binder Parterna de avtalsvillkor om be- handling och skydd av personuppgifter, enligt vilka MDB på uppdrag av Kunden behandlar personuppgifter på Kundens vägnar och för Kundens räkning utöver avtalsvillkoren i Avta- let. MDB har då rollen som personuppgiftsbiträde och Xxxxxx har rollen som personupp- giftsansvarig.


1.4. Parterna förbinder sig att i sin verksamhet iaktta gällande lagstiftning om behandling av personuppgifter och dataskydd (bl.a. EU:s allmänna dataskyddsförordning (EU) 2016/679).


2 Parternas roller vid behandlingen av personuppgifter


2.1. Parten är den personuppgiftsansvarige som avses i lagstiftningen om behandling och skydd av personuppgifter i de fall där den fastställer ändamålen och sätten för behand- lingen av personuppgifterna. MDB är personuppgiftsansvarig och fastställer ändamålen och metoderna för behandlingen av personuppgifter i sin roll som certifikatutfärdare, när behandlingen av personuppgifter gäller utfärdande, produktion och serviceadministration av certifikat. Kunden är personuppgiftsansvarig och fastställer ändamålen och metoderna för personuppgiftsbehandlingen i MDB:s stämpeltjänst i fråga om hanteringen av Kundens dokument.


2.2. MDB är det personuppgiftsbiträde som avses i lagstiftningen om behandling och skydd av personuppgifter. Personuppgiftsbiträdet behandlar Kundens personuppgifter på Kun- dens vägnar och för Kundens räkning i MDB:s stämpeltjänst. De underleverantörer som MDB anlitar i enlighet med Avtalet och denna avtalsbilaga, och som medverkar i behand- lingen av Kundens personuppgifter, agerar också som personuppgiftsbiträden på Kundens vägnar och för Kundens räkning.


2.3. Föremålet för behandlingen av personuppgifter, behandlingens art och ändamål samt typerna av personuppgifter och grupper av registrerade samt den personuppgiftsansvari- ges och personuppgiftsbiträdets skyldigheter, rättigheter och ansvar beskrivs i Avtalet, i den för Parterna bindande dokumentationen som upprättas under den tid den avtalsenliga tjänsten tillhandahålls eller i andra anvisningar. Dessutom kan ovan nämnda rättigheter, skyldigheter och ansvar lyftas fram i utbildningar som ordnas enligt separat överenskom- melse. Parterna binder sig att följa de villkor och beskrivningar som gäller behandling av personuppgifter i Avtalet, dokumentationen och anvisningarna. Parterna ansvarar för att de anvisningar de utarbetat upprätthålls och är tillgängliga.



Tfn. 0295 536 000 (växel) Kontaktuppgifter, se xxx.xxx.xx/xx


2.4. Om anvisningar och beskrivningar enligt punkt 2.3 inte har gjorts eller om de är bristfäl- liga, utarbetar eller kompletterar Parterna vid behov anvisningarna och beskrivningarna till- sammans. Parten ska meddela den andra Parten om dennes anvisningar är bristfälliga el- ler om Parten misstänker att de strider mot lag.


3 Användning av underbehandlare


3.1. MDB har rätt att använda underbehandlare för behandling av personuppgifter, om inte annat har avtalats skriftligen. MDB är skyldig att skriftligen underrätta Xxxxxx om använd- ningen av underbehandlare som fungerar som personuppgiftsbiträden. Kunden ska ges möjlighet att av grundad anledning motsätta sig ändringar som gäller underbehandlare.


3.2. Till den del MDB i sin verksamhet anlitar underbehandlare som behandlar personupp- gifter ska utöver Xxxxxxx även villkoren i denna avtalsbilaga tillämpas på underbehand- lingen.


3.3. MDB och dess underbehandlare, vilka i egenskap av personuppgiftsbiträden behand- lar Kundens personuppgifter för Kundens vägnar och för Kundens räkning, förbinder sig till alla skyldigheter och ansvar som enligt denna avtalsbilaga gäller personuppgiftsbiträden. MDB är skyldig att genom avtal förplikta sina underbehandlare att iaktta villkoren i denna avtalsbilaga.


3.4. MDB ansvarar för eventuella överträdelser eller försummelser av MDB:s underbe- handlares Avtal som behandlar Kundens personuppgifter, denna avtalsbilaga eller tilllämp- lig lagstiftning än sina egna. Om MDB:s underbehandlare som behandlar uppgifterna inte uppfyller sina dataskyddsförpliktelser, ansvarar MDB i förhållande till Kunden. Om Xxxxxx med fog anser att MDB:s underbehandlare inte uppfyller sina dataskyddsförpliktelser, har Xxxxxx rätt att kräva att MDB byter underbehandlare. Om MDB trots Xxxxxxx begäran inte går med på att byta underbehandlare, är detta en grund för uppsägning av avtalet.


4 Personuppgiftsbiträdets allmänna skyldigheter och ansvar


4.1. Personuppgiftsbiträdet behandlar personuppgifter i enlighet med Avtalet och den per- sonuppgiftsansvariges anvisningar.


4.2. Personuppgiftsbiträdet ska säkerställa att alla personer som utför arbete under person- uppgiftsbiträdets överinseende, och som har rätt att behandla personuppgifter, har förbun- dit sig att iaktta tystnadsplikten eller att de omfattas av en lagstadgad tystnadsplikt.


4.3. Utöver det som i Avtalet har avtalats om skydd av personuppgifter, informationssäker- het och krav på konfidentialitet, förbinder sig personuppgiftsbiträdet att, i syfte att säker- ställa en säkerhetsnivå som motsvarar riskerna, vidta lämpliga tekniska och organisato- riska åtgärder som tryggar säkerheten vid behandlingen av personuppgifterna med beak- tande av senaste teknik och kostnaderna för genomförandet, behandlingens art, omfatt- ning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, samt att iaktta den personuppgiftsansvariges gällande anvisningar.


4.4. Personuppgiftsbiträdet ska vidare genomföra åtgärder för att säkerställa att varje fysisk person som utför arbete under personuppgiftsbiträdets överinseende, och som får tillgång


till personuppgifter, endast behandlar dessa i enlighet med Avtalet och den personuppgift- ansvariges anvisningar.


4.5. Personuppgiftsbiträdet förbinder sig att utan onödigt dröjsmål i enlighet med dessa an- visningar underrätta den personuppgiftsansvarige om alla begäranden från registrerade som gäller utövandet av den registrerades rättigheter i enlighet med tillämplig lagstiftning.


4.6. Personuppgiftsbiträdet förbinder sig att bistå den personuppgiftsansvarige med tillbör- liga tekniska och organisatoriska åtgärder för att den personuppgiftsansvarige ska kunna fullgöra sin skyldighet att besvara begäranden som gäller utövandet av den registrerades rättigheter. Personuppgiftsbiträdet förstår att begäranden som gäller utövandet av dessa rättigheter kan förutsätta att personuppgiftsbiträdet biträder Beställaren till exempel vid in- formationen och kommunikationen till den registrerade, vid rättelser av personuppgifter el- ler vid radering av personuppgifter.


4.7. Personuppgiftsbiträdet förbinder sig att vid behov biträda den personuppgiftsansvarige vid utarbetandet av en konsekvensbedömning avseende dataskydd, vid ett eventuellt för- handssamråd och vid införskaffandet av en eventuell certifiering av dataskyddet. Person- uppgiftsbiträdet har rätt att debitera skäliga arbetskostnader på det sätt som Parterna över- enskommer separat.


4.8. Personuppgiftsbiträdet får i regel inte överföra personuppgifter utanför EU eller EES- området.


4.9. Personuppgiftsbiträdet tillhandahåller den personuppgiftsansvarige alla uppgifter och allt material som behövs för att visa att de skyldigheter som fastställs i denna avtalsbilaga har fullgjorts, och tillåter den personuppgiftsansvarige att befullmäktiga en revisor att utföra revisioner, inbegripet inspektioner, och deltar också i dem.


5 Informationssäkerhet


5.1. Personuppgiftsbiträdet ska vidta de tekniska och organisatoriska åtgärder som specifi- ceras i Avtalet för att säkerställa att personuppgifterna är korrekt säkra. Kravet gäller både personuppgifternas integritet, konfidentialitet och tillgänglighet. Detta omfattar skydd av uppgifter mot personuppgiftsincidenter. Vid bedömningen av en ändamålsenlig säkerhets- nivå och de åtgärder som behövs för att genomföra den ska den senaste tekniken, verk- ställighetskostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt de risker som den registrerade utsätts för beaktas.


5.2. Personuppgiftsbiträdet lämnar ut personuppgifter till personer som arbetar för dess räkning endast i den utsträckning som det är absolut nödvändigt för att genomföra, admini- strera och övervaka avtalet mellan parterna. Personuppgiftsbiträdet säkerställer att perso- ner som har rätt att behandla personuppgifter har förbundit sig att iaktta tystnadsplikt eller att de omfattas av lagstadgad tystnadsplikt.


5.3. Personuppgiftsbiträdet underrättar utan dröjsmål den personuppgiftsansvarige om det upptäcker att de personuppgifter som behandlas är felaktiga eller föråldrade eller att be- handlingen av dem i övrigt strider mot lag. Parterna underrättar utan dröjsmål varandra om nya risker som de identifierat i anslutning till behandlingen av personuppgifter.


5.4. Personuppgiftsbiträdet ska skriftligen underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident. Dessutom förbinder sig MDB att underrätta Kunden om andra väsentliga störningar eller problem i MDB:s tjänst som kan ha effekter för de registrerades ställning och rättigheter. En anmälan ska göras inom ovan nämnda tidsfrist (utan onödigt dröjsmål), om ingen annan period har fastställts i Avtalet eller dess bilagor.


5.5. Personuppgiftsbiträdet ska ge den personuppgiftsansvarige minst följande uppgifter om en personuppgiftsincident:


1) en beskrivning av personuppgiftsincidentens art, inbegripet, om så är möjligt, de katego- rier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs;


2) namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas;


3) en beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten, och


4) en beskrivning av de åtgärder som den personuppgiftsansvarige har vidtagit eller fö- reslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.


6 Övriga krav


6.1. Den personuppgiftsansvarige har rätt att ändra, komplettera och uppdatera anvisning- arna till personuppgiftsbiträdet om behandlingen och skyddet av personuppgifterna. Dessa anvisningar kan vara ändringar, kompletteringar eller uppdateringar i anslutning till de tek- niska eller organisatoriska åtgärderna för behandling och skydd av personuppgifter.


Personuppgiftsbiträdet gör nödvändiga ändringar enligt den personuppgiftsansvariges an- visningar. Om den personuppgiftsansvariges anvisningar orsakar personuppgiftsbiträdet väsentliga ändringsarbeten (över ett (1) dagsverke), avtalar Parterna vid behov separat om kostnaderna. MDB och underbehandlarna förbinder sig att följa dessa ändrade, komplette- rade eller uppdaterade anvisningarna.


6.2. Personuppgiftsbiträdet förbinder sig att reagera senast inom 72 timmar från att den personuppgiftsansvarige tagit kontakt och att svara senast inom en (1) vecka från den per- sonuppgiftsansvariges anmälningar, reklamationer eller andra meddelanden som gäller dataskyddet, bortsett från personuppgiftsincidenter enligt EU:s allmänna dataskyddsförord- ning, på vilka tillämpas de tidsfrister som fastställts i Avtalet och ovan i denna bilaga. Om Parterna med stöd av någon annan speciallagstiftning har avtalet eller avtalar om andra tidsfrister, iakttas dessa andra tidsfrister i första hand.


6.3. Om personuppgiftsbiträdet försummar eller bryter mot denna avtalsbilaga, Avtalet i öv- rigt eller den tillämpliga lagstiftningen, fastställs personuppgiftsbiträdets ersättningsansvar i den lagstiftning som tillämpas utöver Avtalet. Dessutom utgör en sådan försummelse eller överträdelse ett väsentligt avtalsbrott som avses i Avtalet, med en påföljd att den person- uppgiftsansvarige har möjlighet att hänvisa till de rättsmedel som fastställts i Avtalet.


6.4. Om det i denna avtalsbilaga görs sådana ändringar som orsakar väsentliga extra kost- nader för personuppgiftsbiträdet (mer än ett (1) dagsverke), kan Parterna vid behov avtala separat om ersättningen av kostnaderna. MDB och underbehandlarna av personuppgifter förbinder sig att även följa den reviderade avtalsbilagan.

Document Metadata

Filed: January 29th, 2024