Personuppgiftsbiträdesavtal

Avtal mellan personuppgiftsansvarig och personuppgiftsbiträde. Detta avtal gäller vid användande av Tjänsten om inte separat biträdesavtal tecknats mellan Kund och Leverantör.

PARTER

Personuppgiftsansvarig (PuA): Kund som har tjänsteavtal.

Personuppgiftsbiträde (PuB): Bizsys AB, 556488-3865, Sjötullgatan 68 B 826 50 Söderhamn

1 BAKGRUND OCH SYFTE

1.1 Detta Personuppgiftsbiträdesavtal är en del av ett huvudavtal om tillhandahållandet av tjänster som ingåtts mellan PuA och PuB och ska läsas och förstås mot bakgrund av detta. Personuppgiftsbiträdesavtalet reglerar PuB’s behandling av Personuppgifter för PuA’s räkning samt den integritetsnivå som ska uppnås vid behandlingen.

1.2 Detta Personuppgiftsbiträdesavtal syftar till att säkerställa de registrerades fri- och rättigheter när PuA anlitar ett personuppgiftsbiträde vid behandling av personuppgifter och till att uppfylla artikel 28.3 Allmänna Dataskyddsförordningen EU 2016/679, i det följande kallad Dataskyddsförordningen.

2 DEFINITIONER

Behandling av personuppgifter Åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Dataskyddslag Avser sådan integritets- och personuppgiftslagstiftning samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på den personuppgiftsbehandling som sker under detta Avtal, inklusive nationell sådan lagstiftning och EU Lagstiftning, såsom denna kan komma att förändras över tid.
Personuppgiftsansvarig Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
Personuppgiftsbiträde Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Personuppgifter Varje upplysning som avser en identifierad eller identifierbar fysisk person (registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgiftsincident En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Register En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
Registrerad Den som personuppgiften avser.
Tredje land En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.

3 BEHANDLINGEN AV PERSONUPPGIFTER, ÄNDAMÅL, TYP AV PERSONUPPGIFTER M.M

3.1 PuB får endast behandla PuA’s personuppgifter i enlighet med syftet i avtalet och PuA’s skriftliga instruktioner för att fullgöra sitt uppdrag åt PuA så som framgår av det tillhörande tjänsteavtalet.

4 Personuppgiftsansvariges ansvar

4.1 PuA åtar sig att säkerställa att det finns en laglig grund för aktuella behandlingar enligt punkt 3 och att utforma skriftliga instruktioner för att PuB och eventuella underbiträden ska kunna fullgöra sitt uppdrag enligt detta personbiträdesavtal.

4.2 PuA åtar sig att utan dröjsmål informera PuB om förändringar i behandlingen vilka påverkar PuB’s skyldigheter enligt gällande dataskyddslag eller annan relevant lagstiftning.

4.3 PuA ansvarar för att informera registrerade om behandlingarna enligt avtalet och för att, i de fall det krävs, inhämta samtycke från den registrerade samt tillvarata de registrerades rätt till insyn och radering m.m.

5 PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN

5.1 PuB förbinder sig att endast behandla personuppgifterna för de syften som anges i punkt 3 av detta avtal och följa gällande dataskyddslag eller annan relevant lagstiftning med avseende på behandling av personuppgifter och att hålla sig informerad om gällande rätt på området.

5.2 PuB ska vidta åtgärder för att skydda personuppgifterna mot förstörning, ändring, otillåten spridning och obehörig tillgång samt mot varje annat slag av otillåten behandling.

5.3 PuB åtar sig att säkerställa att samtliga personer som arbetar under dennes ledning följer vad som framgår av detta personuppgiftsbiträdesavtal och vid var tid gällande instruktion från PuA, samt informeras om relevant lagstiftning.

5.4 PuB ska vid behov assistera PuA med att ta fram information som begärts av tredje man.

5.5 För det fall att PuB finner att PuA’s instruktioner är otydliga, olagliga eller saknas, och som PuB bedömer är nödvändiga för att genomföra sina åtaganden ska denne, utan dröjsmål, informera PuA om detta och invänta nya instruktioner.

6 SÄKERHETSÅTGÄRDER

6.1 PuB åtar sig att vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med gällande dataskyddslagstiftning samt de eventuella åtgärder som framgår av instruktionerna för att skydda personuppgifterna.

6.2 I det fall PuB behandlar känsliga personuppgifter vilka omfattas av sekretess, ställs särskilt höga säkerhetskrav. PuA får då lämna ytterligare instruktioner om säkerhetsåtgärder.

6.3 PuB ska ha ett behörighetskontrollsystem som förhindrar obehörig behandling av personuppgifter eller obehörig åtkomst till personuppgifter.

6.4 PuB ska genom behörighetskontrollsystemet aktivt begränsa åtkomsten till personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av avtalen mellan PuB och PuA.

7 SEKRETESS

7.1 PuB och den personal som arbetar under detta personuppgiftsbiträdesavtal ska vid behandling av personuppgifter iaktta sekretess, såväl handlingssektess som tystnadsplikt. Personuppgifterna, information, instruktioner, systemlösningar, beskrivningar eller andra handlingar som PuB erhåller genom informationsutbyte enligt detta personuppgiftsbiträdesavtal eller annat avtal parterna emellan får inte utnyttjas eller röjas för annat ändamål än som framgår av detta personuppgiftsbiträdesavtal eller annat avtal parterna emellan, vare sig direkt eller indirekt, om inte PuA på förhand skriftligen medgivit detta.

7.2 PuB ska utan dröjsmål skriftligen underrätta PuA om eventuella kontakter med tillsynsmyndighet som rör eller kan vara av betydelse för Behandling av Personuppgifterna. PuB har inte rätt att företräda PuA eller agera för PuAs räkning gentemot tillsynsmyndigheter i frågor som rör eller kan vara av betydelse för behandling av personuppgifterna.

7.3 Om den registrerade, tillsynsmyndigheter eller annan tredje man begär information från PuB som rör behandling av personuppgifter, ska PuB hänvisa till PuA. PuB får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan skriftligt föregående medgivande från PuA. PuB åtar sig efter sådant medgivande att hjälpa till med att ge registrerade, tillsynsmyndigheter eller annan tredje man information om en viss behandling av personuppgifter.

8 RÄTTELSE OCH RADERING AV PERSONUPPGIFTER samt Drift och underhåll

8.1 PuB åtar sig att utan dröjsmål vidta rättelse (rätta, radera eller blocka) av felaktiga eller ofullständiga personuppgifter efter instruktioner från PuA.

Efter det att PuA skriftligen begärt rättelse av personuppgift får PuB endast behandla personuppgiften som ett led i rättelseprocessen och åtar sig att vidta åtgärden utan dröjsmål.

9 PERSONUPPGIFTSINCIDENTER

9.1 Personuppgiftbiträdet ska tillhandahålla och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till personuppgifterna. Vid obehörig behandling, obehörig åtkomst, förstörelse eller ändring av personuppgifter, samt försök till dessa, ska PuB omedelbart skriftligen underrätta PuA om händelsen.

9.2 PuB åtar sig att assistera PuA för att fullgöra dennes skyldigheter enligt Artikel 32 i Dataskyddsförordningen. personuppgiftsincidenter, intrångsförsök eller annat bedrägligt förfarande för att få åtkomst till PuA’s personuppgifter ska enligt artikel 33 i Dataskyddsförordningen utan dröjsmål anmälas av PuB till PuA’s kontaktperson.

9.3 PuB ska tillhandahålla PuA en beskrivning av personuppgiftsincidenten. En sådan ska

1. redogöra för personuppgiftsincidentens art och, om möjligt, de kategorier och antalet registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,

2. redogöra för de sannolika konsekvenserna av personuppgiftsincidenten, och

3. redogöra för de åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra personuppgiftensincidentens potentiella negativa effekter.

10 UNDERBITRÄDEN

10.1 PuB har endast rätt att använda de underbiträden som framgår av Bilaga 1. PuA ska skriftligen godkänna nya underbiträden som anlitas av PuB.

10.2 Om PuB avser att anlita underbiträden ska denne tillhandahålla information om vilken typ av uppgifter och kategorier av registrerade ett visst underbiträde ska befatta sig med samt dess kapacitet och förmåga att leva upp till sina skyldigheter enligt dataskyddslag och annan relevant lagstiftning med avseende på behandling av personuppgifter.

10.3 Underbiträdena åta sig motsvarande villkor för behandlingen av personuppgifterna som gäller enligt detta personuppgiftsbiträdesavtal.

11 ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND OCH LOKALISERING

11.1 PuB äger endast överföra personuppgifter till tredje land, för exempelvis service, support, underhåll, utveckling, drift eller liknande hantering, om PuA godkänt sådan överföring (bilaga 1).

11.2 Innan överföring påbörjas, ska PuB uppvisa dokumentation som styrker att kraven i gällande dataskyddslag eller annan relevant lagstiftning och instruktionen till detta Personuppgiftsavtal är uppfyllda.

11.4 PuB ska tillse att personuppgifterna lagras inom EU, om inte parterna skriftligen kommer överens om något annat.

12 LAGVAL OCH TVISTLÖSNING

12.1 För detta avtal gäller svensk rätt. Eventuell tolkning eller tvist i anledning av avtalet, som parterna inte kan lösa på egen hand, ska avgöras av svensk allmän domstol.

13 TILLÄGG, ÄNDRING ELLER UPPSÄGNING AV AVTAL

13.1 Tillägg och ändringar av detta personuppgiftbiträdesavtal ska, för att vara giltiga, vara skriftliga och undertecknas av båda parter.

13.2 Parterna har rätt att påkalla omförhandling av detta avtal och andra bilagor, för det fall att

1.    motpartens ägarförhållanden ändras väsentligt, eller

2.    tillämplig lagstiftning eller tolkningen av den, ändras på ett sätt som påverkar behandlingen av personuppgifter som omfattas av detta avtal.

13.3 En begäran om ändring av endera parten innebär inte att personuppgiftsbiträdesavtalet bryts utan endast att en omförhandling påbörjas.

14 AVTALSTID OCH UPPHÖRANDE AV BEHANDLING

14.1 Detta personuppgiftsbiträdesavtal gäller tillsvidare och upphör först när PuB slutat behandla personuppgifter för PuAs räkning. När personuppgiftsbiträdesavtal upphör, oavsett orsak, ska samtliga personuppgifter överlämnas till PuA.

14.2 Biträdet åtar sig att radera samtliga personuppgifter som behandlats enligt detta Personuppgiftsbiträdesavtal inom 180 dagar från uppsägningen. Radering ska emellertid inte ske förrän PuB skriftligen har informerat PuA om när radering kommer att ske och har överlämnat personuppgifterna.

Detta gäller även annan tillhörande information såsom, instruktioner, systemlösningar, beskrivningar eller andra handlingar som PuB erhållit genom informationsutbyte enligt detta personuppgiftsbiträdesavtal

14.4 Bestämmelser om sekretess i punkten 7 ska fortsätta att gälla även efter detta personuppgiftsbiträdesavtal i övrigt upphört av gälla.

14.5 Vardera Part har rätt att skriftligen säga upp avtalet. Vid uppsägning av avtalet gäller en uppsägningstid om tre (3) månader.

Part är berättigad att säga upp detta avtal om motparten;

1.   gör sig skyldig till väsentligt brott mot bestämmelse i detta avtal, och underlåter att vidta rättelse inom trettio (30) dagar från mottagande av skriftlig begäran därom från den andra parten, eller

2.   försätts i konkurs, inleder ackordsförhandling eller annars är på obestånd.

15 ÖVRIGT

15.1 Parterna ska utse var sin kontaktperson med ansvar för parternas samarbete. Ändring av kontaktperson eller kontaktuppgifter ska skriftligen meddelas den andra parten.

15.2 Reglering av ersättning med anledning av detta personuppgiftsbiträdesavtal och de eventuella merkostnader PuB har för att fullgöra sina skyldigheter enligt detta avtal regleras av huvudavtalet.

Bilaga 1 Vår roll som personuppgiftsbiträde

Behöver du fortfarande hjälp? Kontakta oss Kontakta oss