Detta Personuppgiftsbiträdesavtal (”Biträdesavtalet”) gäller mellan Bluescreen AB, org.nr 556881-2670, Stansargränd 4, 72130 Västerås (”Personuppgiftsbiträdet”, ”Leverantören”) och Kunder som valt att ingå detta Biträdesavtal med Leverantören (”Personuppgiftsansvarige”, ”Kunden”). Gemensamt benämns dessa ”Parterna” eller var för sig ”Part”.
1- BAKGRUND OCH SYFTE
- Biträdesavtalet reglerar Leverantörens behandling av Personuppgifter för Kundens räkning samt den integritetsnivå som ska uppnås vid Behandlingen.
- Detta Biträdesavtal är en del av ett huvudavtal (”Tjänsteavtal”) om tillhandahållandet av tjänster som ingåtts mellan Leverantören och Kunden och ska läsas och förstås mot bakgrund av detta.
- Syftet med biträdesavtalet är att reglera Parternas rättigheter och skyldigheter som följer med uppdraget att behandla personuppgifter, för att på så vis säkerställa att personuppgifterna behandlas i enlighet med de bestämmelser som följer av Dataskyddslagstiftningen och eventuell senare ersättande eller kompletterande lagstiftning.
2– DEFINITIONER
| Behandling | En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. |
| Dataskyddslagstiftning | Avser sådan nationell och EU-rättslig integritets- och personuppgiftslagstiftning samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på den personuppgiftsbehandling som sker under detta Avtal. |
| Personuppgiftsansvarig | En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. |
| Personuppgiftsbiträde | En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. |
| Personuppgifter | Varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
| Personuppgiftsincident | En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. |
| Registrerad | Den som personuppgiften avser. |
| Tredje land | Stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. |
3- BILAGOR TILL PERSONUPPGIFTSBITRÄDESAVTALET
Bilaga 1 – Specifikation över behandlingen av personuppgifter
Bilaga 2 – Lista över underbiträden
4- PERSONUPPGIFTSBEHANDLINGENS ÄNDAMÅL OCH OMFATTNING
- Syftet med behandlingen av personuppgifter framgår av Bilaga 1 till detta Biträdesavtal.
- Kategorier av registrerade och kategorier av personuppgifter som kan förekomma inom ramen för behandlingen av personuppgifter framgår av Bilaga 1 till detta Biträdesavtal.
5- PERSONUPPGIFTSANSVARIGES ANSVAR
- Den Personuppgiftsansvarige åtar sig att säkerställa att det finns en laglig grund för aktuella behandlingar och att utforma skriftliga instruktioner för att Personuppgiftsbiträdet och eventuella underbiträden ska kunna fullgöra sitt uppdrag enligt detta Biträdesavtal.
- Den Personuppgiftsansvarige åtar sig att utan dröjsmål informera Personuppgiftsbiträdet om alla förhållanden som kan medföra behov av förändringar i behandlingen vilka påverkar Personuppgiftsbiträdets skyldigheter enligt gällande Dataskyddslag eller annan relevant lagstiftning.
- Den Personuppgiftsansvarige ansvarar för att informera den registrerade om behandlingarna enligt avtalet och för att, i de fall det krävs, inhämta samtycke från den registrerade samt tillvarata dennes rätt till insyn och radering m.m.
6- PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN
- Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifter enligt dokumenterade instruktioner från Personuppgiftsansvarig, såvida inte annat följer av tillämplig dataskyddslagstiftning. Den Personuppgiftsansvariges ursprungliga instruktioner till Personuppgiftsbiträdet om behandlingens föremål och varaktighet, behandlingens karaktär och ändamål, typ av personuppgifter och kategorier av registrerade anges i Bilaga 1.
- För det fall att Personuppgiftsbiträdet finner att Personuppgiftsansvariges instruktioner är otydliga, olagliga eller saknas, och som Personuppgiftsbiträdet bedömer är nödvändiga för att genomföra sina åtaganden, ska denne, utan dröjsmål, informera Personuppgiftsansvarig om detta och invänta nya instruktioner.
- Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt tillämplig dataskyddslagstiftning och enligt den Personuppgiftsansvariges skriftliga instruktioner i varje enskilt fall, bistå den Personuppgiftsansvarige vid fullgörandet av dennes skyldigheter enligt tillämplig dataskyddslagstiftning.
- Personuppgiftsbiträdet åtar sig att säkerställa att samtliga personer som arbetar under dennes ledning följer vad som framgår av detta Personuppgiftsbiträdesavtal och vid var tid gällande instruktion från Personuppgiftsansvarig, samt informeras om relevant lagstiftning.
- I syfte att uppfylla Personuppgiftsbiträdets skyldigheter enligt Tjänsteavtalet kommer Personuppgiftsbiträdet vid behov att göra en kopia av Personuppgiftsansvarigs databas för att utföra tester i sådan kopia istället för direkt i Personuppgiftsansvarigs databas. Denna kopia av Personuppgiftsansvarigs databas kommer att sparas av Personuppgiftsbiträdet i fjorton (14) dagar efter slutförandet av sådana tester och kommer sedan automatiskt att raderas av Personuppgiftsbiträdet.
- Den Personuppgiftsansvarige bekräftar att Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal, inklusive Bilaga 1, med undantag för eventuella skriftliga instruktioner som lämnats i enskilda fall i enlighet med punkt 7 nedan utgör de fullständiga instruktioner som ska följas av Personuppgiftsbiträdet. Alla ändringar i den Personuppgiftsansvariges instruktioner ska, med undantag från vad som anges i punkt 9.2 nedan, förhandlas separat och ska, för att bli gällande, dokumenteras skriftligt och undertecknas av båda Parter. Den Personuppgiftsansvarige är skyldigt att inte, utan sådan skriftlig överenskommelse, låta Personuppgiftsbiträdet behandla andra kategorier av personuppgifter, eller behandla personuppgifter om andra kategorier av registrerade, än vad som anges i Bilaga 1.
7- UTLÄMNANDE OCH MOTTAGANDE AV PERSONUPPGIFTER
- Om den Personuppgiftsansvarige till följd av ett ingånget avtal med en tredje part om att sådan tredje part ska tillhandahålla tjänster till den Personuppgiftsansvarige som ska integreras med Tjänsterna aktiverar och godkänner sådan integration, bekräftar härmed Parterna att Personuppgiftsbiträdet är skyldigt, samt berättigad, att till sådan tredje part lämna ut och motta de personuppgifter som är nödvändiga för Personuppgiftsbiträdet att lämna ut respektive motta, för att sådan tredje part och Personuppgiftsbiträdet, ska kunna fullgöra sina respektive förpliktelser mot den Personuppgiftsansvarige.
- Med undantag för sådan behandling som anges i punkt 7.1 ovan förbinder sig Personuppgiftsbiträdet att inte utan föregående skriftligt medgivande från den Personuppgiftsansvarige utlämna eller på annat sätt göra personuppgifter som behandlats enligt detta Biträdesavtal tillgängliga för tredje part, om annat inte följer av svensk eller europeisk lag, domstols- eller myndighetsbeslut.
- För de fall att en Registrerad, Datainspektionen eller annan tredjeman begär information från Personuppgiftsbiträdet rörande behandlingen av personuppgifter ska Personuppgiftsbiträdet hänskjuta sådan begäran till den Personuppgiftsansvarige.
- Om behörig myndighet begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter ska Personuppgiftsbiträdet utan onödigt dröjsmål informera den Personuppgiftsansvarige om detta, om annat inte följer av svensk eller europeisk tillämplig lag, domstols- eller myndighetsbeslut. Personuppgiftsbiträdet får inte i något avseende handla för den Personuppgiftsansvariges räkning eller som ombud för denne, och får inte utan föregående medgivande från den Personuppgiftsansvarige överföra eller på annat sätt lämna ut personuppgifter eller andra uppgifter rörande behandlingen av personuppgifter till tredje part, om annat inte följer av svensk eller europeisk tillämplig lag, domstols- eller myndighetsbeslut.
- Om det enligt tillämplig svensk eller europeisk lag begärs att Personuppgiftsbiträdet ska utlämna personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning, är Personuppgiftsbiträdet skyldigt att omgående meddela den Personuppgiftsansvarige om detta, om annat inte följer av aktuell lag, domstols- eller myndighetsbeslut, och att i samband med utlämnandet begära att uppgifterna behandlas med sekretess
8- UNDERBITRÄDEN OCH TREDJELANDSÖVERFÖRINGAR
- Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet får anlita underbiträden inom och utanför EU/EES och får överföra personuppgifter utanför EU/EES. Personuppgiftsbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt detta Biträdesavtal. Bilaga 2 innehåller en lista på i förhand godkända underbiträden från och med dagen för ikraftträdandet av detta Biträdesavtal.
- Om personuppgifter överförs till, eller åtkomst möjliggörs från, plats utanför EU/EES ska Personuppgiftsbiträdet säkerställa att det finns en laglig grund för överföringen enligt tillämplig dataskyddslagstiftning, till exempel EU/Swiss Privacy Shield. Personuppgiftsansvarig ger Personuppgiftsbiträdet mandat att för Personuppgiftsansvariges räkning ingå överenskommelser så som Privacy Shield med underbiträden.
- Om Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt underbiträde för att behandla personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet i förväg informera den Personuppgiftsansvarige om detta och bereda denne möjlighet att framföra invändningar. Sådana invändningar ska ske skriftligen utan oskäligt dröjsmål från det att den Personuppgiftsansvarige fått informationen. Personuppgiftsbiträdet ska förse den Personuppgiftsansvarige med all information som denne skäligen kan begära för att bedöma om anlitandet av det föreslagna underbiträdet kommer att säkerställa efterlevnaden av den Personuppgiftsansvariges skyldigheter enligt detta Biträdesavtal och tillämplig dataskyddslagstiftning. Om efterlevnaden av dessa skyldigheter, enligt Personuppgiftsansvariges befogade uppfattning, inte möjliggörs genom det föreslagna underbiträdet och Personuppgiftsbiträdet trots Personuppgiftsansvariges invändning vill anlita det föreslagna underbiträdet, har Personuppgiftsansvarige rätt att säga upp Biträdesavtalet utan extra kostnad. Om invändningen inte är befogad har den Personuppgiftsansvarige inte rätt att säga upp Tjänsteavtalet.
9- SÄKERHETSÅTGÄRDER OCH SEKRETESS
- Personuppgiftsbiträdet är skyldigt att fullgöra sina rättsliga förpliktelser avseende informationssäkerhet under tillämplig dataskyddslagstiftning och ska i samtliga fall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas mot obehörig åtkomst, förstörelse och ändring i enlighet med dataskyddslagstiftningens krav.
- Personuppgiftsbiträdet ska följa de säkerhetsåtgärder som framgår av Bilaga 1 och sina egna säkerhetsföreskrifter. Personuppgiftsbiträdet får ändra sina egna säkerhetsföreskrifter utan föregående skriftligt medgivande från den Personuppgiftsansvarige förutsatt att ändringen inte står i strid med tillämplig dataskyddslagstiftning.
- Personuppgiftsbiträdet ska ha ett behörighetskontrollsystem som förhindrar obehörig behandling av personuppgifter eller obehörig åtkomst till personuppgifter. Personuppgiftbiträdet ska genom behörighetskontrollsystemet aktivt begränsa åtkomsten till personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av avtalen mellan Personuppgiftsbiträdet och Personuppgiftsansvarig. Personuppgiftsbiträdet ska säkerställa att personal med behörighet omfattas av en sekretessförbindelse.
- För det fall Personuppgiftsbiträdet, till följd av den verksamhet som den Personuppgiftsansvarige bedriver, kommer att behandla känsliga personuppgifter förbinder sig den Personuppgiftsansvarige att innan sådan behandling påbörjas ta del av de säkerhetsåtgärder som kan komma att krävas vid sådan behandling av personuppgifter. Den Personuppgiftsansvarige är skyldigt att inte, utan att ha vidtagit de säkerhetsåtgärder som krävs enligt tillämplig dataskyddslagstiftning, låta Personuppgiftsbiträdet behandla känsliga personuppgifter.
10- PERSONUPPGIFTSINCIDENTER
- Vid upptäckt av en personuppgiftsincident ska Personuppgiftsbiträdet underrätta den Personuppgiftsansvarige om detta utan onödigt dröjsmål, dock senast inom trettiosex (36) timmar. Vidare information om berörda uppgifter får lämnas stegvis till den Personuppgiftsansvarige i de fall Personuppgiftsbiträdet inte har informationen tillgänglig vid tidpunkten för underrättelsen.
- Det juridiska ansvaret att anmäla personuppgiftsincidenten ligger hos den Personuppgiftsansvarige. Personuppgiftsbiträdet ska emellertid bistå den Personuppgiftsansvarige med den information som rimligen kan krävas för att uppfylla dennes skyldighet att anmäla personuppgiftsincidenter.
11- GRANSKNING OCH REVISION
- Den Personuppgiftsansvarige ska, i sin egenskap av personuppgiftsansvarig, ha rätt att vidta erforderliga åtgärder för att verifiera att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta Biträdesavtal och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa fullgörs.
- Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige all information som krävs för att visa att de skyldigheter som anges i detta Biträdesavtal efterlevs, samt att möjliggöra för och medverka till sådan granskning, inklusive kontroll på plats, som genomförs av den Personuppgiftsansvarige eller annan granskare som utsetts av denne, under förutsättning att de personer som utför granskningen ingår lämpliga sekretessavtal.
12- RÄTTELSE OCH RADERING AV PERSONUPPGIFTER
- Personuppgiftsbiträdet åtar sig att utan dröjsmål vidta rättelse (rätta, radera eller blockera) av felaktiga eller ofullständiga personuppgifter efter instruktioner från Personuppgiftsansvarig.
- Efter det att Personuppgiftsansvarig skriftligen begärt rättelse av personuppgift får Personuppgiftsbiträdet endast behandla personuppgiften som ett led i rättelseprocessen och åtar sig att vidta åtgärden utan dröjsmål, dock senast inom 90 dagar.
13- KVALITETSSÄKRING OCH TESTNING
Innan Personuppgiftsbiträdet och dess underbiträden driftsätter sina system för mottagande eller utlämnande av information enligt detta avtal ska systemen kvalitetssäkras genom tester i testmiljö.
14- RÄTT TILL OMFÖRHANDLING
- Båda parter har rätt att påkalla omförhandling av detta avtal inklusive instruktioner och andra bilagor, för det fall att
– motpartens ägarförhållanden ändras väsentligt,
– tillämplig lagstiftning eller tolkningen av den ändras på ett sätt som påverkar behandlingen av personuppgifter som omfattas av detta avtal. - En begäran om ändring av endera parten innebär inte att Personuppgiftsbiträdesavtalet bryts utan endast att en omförhandling påbörjas.
15- AVTALSTID
- Detta Personuppgiftsbiträdesavtal gäller tillsvidare och upphör först när Personuppgiftsbiträdet slutat behandla Personuppgifter för Personuppgiftsansvarigs räkning. När Biträdesavtal upphör, oavsett orsak, ska samtliga Personuppgifter överlämnas till Personuppgiftsansvarig i ett format som denne bestämmer.
- Biträdet åtar sig att radera samtliga Personuppgifter som behandlats enligt detta Biträdesavtal inom 180 dagar från uppsägningen. Radering ska emellertid inte ske förrän Personuppgiftsbiträdet skriftligen har informerat Personuppgiftsansvarig om när radering kommer att ske och har överlämnat Personuppgifterna.
Detta gäller även annan tillhörande information såsom instruktioner, systemlösningar, beskrivningar eller andra handlingar som Personuppgiftsbiträdet erhållit genom informationsutbyte enligt detta Biträdesavtal.
16- ÅTGÄRDER NÄR BEHANDLINGEN AV PERSONUPPGIFTER HAR AVSLUTATS
- När detta Biträdesavtal upphör har den Personuppgiftsansvarige trettio (30) dagar på sig att hämta ut alla personuppgifter som behandlats enligt detta Biträdesavtal, varefter Personuppgiftsbiträdet kommer att radera personuppgifterna om inte lagring av personuppgifterna krävs enligt svensk eller europeisk lagstiftning.
- På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna efter behandlingens avslutande enligt punkt 15.1 ovan.
17- ERSÄTTNING
Personuppgiftsbiträdet har rätt till ersättning enligt Personuppgiftsbiträdets vid var tid gällande prislista för det arbete som utförts på grund av skyldigheterna i punkterna 5.2, 6.3, 11 och 15 i detta Biträdesavtal.
18- ANSVARSBEGRÄNSNING
De ansvarsbegränsningar som anges i Tjänsteavtalet ska tillämpas för Personuppgiftsbiträdets ansvar enligt detta Biträdesavtal.
19- LAGVAL OCH TVISTLÖSNING
För detta avtal gäller svensk rätt. Eventuell tolkning eller tvist i anledning av avtalet, som parterna inte kan lösa på egen hand, ska avgöras av svensk allmän domstol.
20- ÖVRIGT
Utsedda kontaktpersoner i Tjänsteavtalet bär ansvaret för Parternas samarbete. Ändring av kontaktperson eller kontaktuppgifter ska skriftligen meddelas den andra parten.
