Bilaga 2 Personuppgiftsbiträdesavtal

Bilaga 2 Personuppgiftsbiträdesavtal

Bakgrund

Detta är en bilaga till avtal om redovisningstjänster (Uppdragbrevet)

Personuppgiftsbiträdet kommer att behandla personuppgifter i samband med fullgörandet av Uppdragsavtalet för den Personuppgiftsansvariges räkning. Parterna har med anledning av detta överenskommit att i detta personuppgiftsbiträdesavtal reglera Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning (”Biträdesavtalet”).

Om definitionen av ett begrepp inte anges i Biträdesavtalet ska det anses ha samma betydelse som i artikel 4 i Dataskyddsförordningen1.

Den Personuppgiftsansvariges ansvar

Den Personuppgiftsansvarige ansvarar för att behandlingen av personuppgifter sker enligt gällande rätt. Den Personuppgiftsansvarige får endast tillhandahålla Personuppgiftsbiträdet de personuppgifter som behövs för att utföra och administrera uppdraget. Den Personuppgiftsansvarige är ansvarig för att denne har rätt att överföra personuppgifter till Personuppgiftsbiträdet i samband med utförandet av tjänsterna enligt Uppdragsavtalet och att dessa personuppgifter har behandlats i enlighet med gällande rätt.

Ändamålet med, typ av behandling samt uppgift om kategorier av registrerade, kategorier av personuppgifter och mottagare av personuppgifter som omfattas av behandlingen samt de tekniska och organisatoriska skyddsåtgärder som ska vidtas anges i Bilaga 3 i den utsträckning som behövs för att Personuppgiftsbiträdet ska kunna tillhandahålla tjänsterna enligt Uppdragsavtalet. I händelse av att den Personuppgiftsansvarige avser ändra eller meddela nya instruktioner som väsentligt påverkar Personuppgiftsbiträdets utförande av tjänsterna ska Personuppgiftsbiträdet ha rätt att invända mot sådan ändring och Parterna äger då rätt att frånträda Biträdesavtalet och Uppdragsavtalet med omedelbar verkan. Den Personuppgiftsansvarige ska svara för alla kostnader och utgifter som Personuppgiftsbiträdet åsamkas med anledning av att den Personuppgiftsansvarige ändrar eller meddelar nya instruktioner.

Personuppgiftsbiträdets ansvar

Personuppgiftsbiträdet ska behandla personuppgifter i enlighet med den Personuppgiftsansvariges dokumenterade instruktioner som anges i Bilaga 3, såvida inte annat följer av gällande rätt.

Personuppgiftsbiträdet ska, när så är tillåtet, informera den Personuppgiftsansvarige om det rättsliga kravet att behandla personuppgifterna.

Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige när Personuppgiftsbiträdet anser att en instruktion enligt Biträdesavtalet eller andra instruktioner meddelade av den Personuppgiftsansvarige strider mot gällande rätt. Vad som anges ovan fråntar dock inte den Personuppgiftsansvarige från dennes ansvar för lämnade instruktioner och gäller endast om Personuppgiftsbiträdet inte är förhindrat att lämna sådan information enligt gällande rätt.

1 Europaparlamentet och rådets förordning (EU) 2016/679 från den 27 april 2016 om skydd för fysiska personer i fråga om behandling av personuppgifter och om den fria rörligheten för sådana uppgifter och om upphävande av direktiv 95/46/EG

Personuppgiftsbiträdet ska i den mån det är möjligt bistå den Personuppgiftsansvarige med att besvara en registrerads begäran (såsom exempelvis begäran om registerutdrag eller rättelse/uppdatering av personuppgifter som rör den registrerade). För det fall en registrerad kontaktar Personuppgiftsbiträdet direkt med en sådan begäran ska Personuppgiftsbiträdet utan onödigt dröjsmål informera den Personuppgiftsansvarige om begäran. Personuppgiftsbiträdet får inte på egen hand besvara en registrerads begäran.

Personuppgiftsbiträdet ska underrätta den Personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident. En sådan underrättelse ska innehålla den information som den Personuppgiftsansvarige rimligen behöver för att kunna uppfylla sina rättsliga skyldigheter, inklusive en beskrivning av de åtgärder som Personuppgiftsbiträdet har vidtagit eller föreslår för att mildra potentiella negativa effekter. Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige vid fullgörande av dess skyldigheter i samband med en personuppgiftsincident.

Tekniska och organisatoriska skyddsåtgärder

Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas enligt Biträdesavtalet. Åtgärderna ska anpassas till en lämplig nivå med beaktande av typerna av behandling, kategorierna av personuppgifter, särskilda risker samt kostnader för genomförandet.

Personuppgiftsbiträdet ska begränsa tillgången till personuppgifterna och endast ge behörighet till sådan personal som behöver ha tillgång till personuppgifterna för utförandet av Uppdragsavtalet.

Granskning

För det fall den Personuppgiftsansvarige begär att få granska att Personuppgiftsbiträdet fullgör sina skyldigheter enligt gällande rätt och Biträdesavtalet ska den Personuppgiftsansvarige skriftligen avisera sin begäran senast tio arbetsdagar dessförinnan. Sådan granskning ska inte störa Personuppgiftsbiträdets löpande verksamhet och ska inte heller innebära rätt att få ta del av information som omfattas av lagstadgad eller avtalad tystnadsplikt. Personuppgiftsbiträdet ska förse den Personuppgiftsansvarige med den information som rimligen krävs för att visa att skyldigheterna har fullgjorts. Den Personuppgiftsansvarige har rätt att anlita en utomstående för sådan granskning

(”Granskare”), under förutsättning att Granskaren har åtagit sig eller annars är bunden av tystnadsplikt avseende all information som Granskaren får tillgång till vid granskningen. Alla kostnader som uppkommer för Personuppgiftsbiträdet i samband med granskningen ska bäras av den Personuppgiftsansvarige.

Anlitande av ett annat personuppgiftsbiträde

Personuppgiftsbiträdet har rätt att anlita ett annat personuppgiftsbiträde för behandling av personuppgifter för den Personuppgiftsansvariges räkning (”Underbiträde”). Anlitande av ett Underbiträde medför inga ändringar i den ansvarsfördelning som gäller mellan Parterna.

Personuppgiftsbiträdet ansvarar för Underbiträdens behandling av personuppgifter i samma utsträckning som Personuppgiftsbiträdets egen behandling enligt Biträdesavtalet.

Personuppgiftsbiträdet anlitar följande Underbiträden för behandling av personuppgifter på den Personuppgiftsansvariges vägnar: Fortnox AB, Oxceed AB, REALgood AB, Scancloud AB, Addera IT AB, Hogia Aktiebolag, Montania system AB samt andra Baker Tilly företag. För de kunder där

personuppgiftsbiträdet endast gör bokslut så anlitas Visma, Wolters Kluwer, Hogia Aktiebolag, Montania system AB och Oxceed AB.

Överföring av personuppgifter till tredje land

Personuppgiftsbiträdet får överföra personuppgifter till ett tredjeland utanför EU/EES eller en internationell organisation, endast i följande situationer.

• Europeiska kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå, eller

• Personuppgiftsbiträdet har vidtagit någon av de lämpliga skyddsåtgärder som anges i artikel 46 i Dataskyddsförordningen och överföringen omfattas av vidtagna skyddsåtgärder, t.ex. i form av bindande företagsbestämmelser.

Tystnadsplikt

Personuppgiftsbiträdet ska säkerställa att dess anställda och Underbiträden som behandlar personuppgifter för den Personuppgiftsansvariges räkning har åtagit sig eller annars omfattas av tystnadsplikt som omfattar behandlingen av personuppgifterna. Bestämmelser om tystnadsplikt regleras i Uppdragsavtalet.

Skada

Personuppgiftsbiträdet ska ansvara för skada som uppkommer för den Personuppgiftsansvarige till följd av behandlingen endast om Personuppgiftsbiträdet har agerat utöver eller i strid med den Personuppgiftsansvariges instruktioner eller inte har fullgjort de skyldigheter i gällande rätt som specifikt riktar sig till Personuppgiftsbiträdet.

Om Personuppgiftsbiträdet utfört behandling i enlighet med den Personuppgiftsansvariges instruktioner och gällande rätt, och skada trots detta uppkommer, ska Personuppgiftsbiträdet hållas skadelöst.

Närmare bestämmelser om skadeståndsansvar regleras i Uppdragsavtalet.

Giltighetstid

Biträdesavtalet gäller under den tid som Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning för fullgörandet av Uppdragsavtalet. Om Uppdragsavtalet upphör att gälla upphör även Biträdesavtalet att gälla.

När Biträdesavtalet upphör att gälla ska Personuppgiftsbiträdet återlämna alla personuppgifter till den Personuppgiftsansvarige, eller om denne skriftligen begär det, radera alla personuppgifter som har behandlats för den Personuppgiftsansvariges räkning. Personuppgiftsbiträdet har dock rätt att bevara personuppgifter om det följer av gällande rätt eller annars för att dokumentera det specifika uppdraget.

Tillämplig lag och tvistelösning

Biträdesavtalet ska tolkas och tillämpas i enlighet med bestämmelserna som i Uppdragsavtalet. Tvistlösningsbestämmelsen i Uppdragsavtalet ska gälla.