PERSONUPPGIFTSBITRÄDESAVTAL

Avtal enligt artikel 28.3, Europaparlamentets och Rådets förordning (EU) 2016/679 (nedan kallad ”Förordningen”)[1]

 

Detta Personuppgiftsbiträdesavtal (”Biträdesavtalet”) gäller mellan Bluescreen AB, org.nr 556881-2670, Stansargränd 4, 72130 Västerås (”Personuppgiftsbiträdet”, ”Leverantören”) och Kunder som valt att ingå detta Biträdesavtal med Leverantören (”Personuppgiftsansvarige”, ”Kunden”). Gemensamt benämns dessa ”Parterna” eller var för sig ”Part”.

  1. Bakgrund och syfte
    • Detta Biträdesavtal är en del av ett huvudavtal (”Tjänsteavtal”) om tillhandahållandet av tjänster som ingåtts mellan Leverantören och Kunden och ska läsas och förstås mot bakgrund av detta.
    • Biträdesavtalet reglerar Leverantörens behandling av Personuppgifter för Kundens räkning samt den integritetsnivå som ska uppnås vid Behandlingen.
    • Syftet med biträdesavtalet är att reglera Parternas rättigheter och skyldigheter som följer med uppdraget att behandla personuppgifter, för att på så vis säkerställa att personuppgifterna behandlas i enlighet med de bestämmelser som följer av Dataskyddslagstiftningen och eventuell senare ersättande eller kompletterande lagstiftning.

 

  1. Definitioner[2]
Behandling En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Dataskyddslagstiftning Avser sådan nationell och EU-rättslig integritets- och personuppgiftslagstiftning samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på den personuppgiftsbehandling som sker under detta Avtal.
Personuppgiftsansvarig En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
Personuppgiftsbiträde En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Personuppgifter Varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgiftsincident En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Registrerad Den som personuppgiften avser.
Tredje land Stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.

 

  1. BILAGOR TILL PERSONUPPGIFTSBITRÄDESAVTALET

Specifikation över behandlingen av personuppgifter Bilaga 1

Underbiträden Bilaga 2

  1. PERSONUPPGIFTSBEHANDLINGENS ÄNDAMÅL OCH OMFATTNING
    • Syftet med behandlingen av personuppgifter framgår av Bilaga 1 till detta Biträdesavtal.
    • Kategorier av registrerade och kategorier av personuppgifter som kan förekomma inom ramen för behandlingen av personuppgifter framgår av Bilaga 1 till detta Biträdesavtal.

 

  1. PERSONUPPGIFTSANSVARIGES ANSVAR
    • Den Personuppgiftsansvarige åtar sig att säkerställa att det finns en laglig grund för aktuella behandlingar och att utforma skriftliga instruktioner för att Personuppgiftsbiträdet och eventuella underbiträden ska kunna fullgöra sitt uppdrag enligt detta Biträdesavtal.
    • Den Personuppgiftsansvarige åtar sig att utan dröjsmål informera Personuppgiftsbiträdet om alla förhållanden som kan medföra behov av förändringar i behandlingen vilka påverkar Personuppgiftsbiträdets skyldigheter enligt gällande Dataskyddslag eller annan relevant lagstiftning.
    • Den Personuppgiftsansvarige ansvarar för att informera den registrerade om behandlingarna enligt avtalet och för att, i de fall det krävs, inhämta samtycke från den registrerade samt tillvarata dennes rätt till insyn och radering m.m.

 

  1. PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN
    • Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifter enligt dokumenterade instruktioner från Personuppgiftsansvarig, såvida inte annat följer av tillämplig dataskyddslagstiftning. Den Personuppgiftsansvariges ursprungliga instruktioner till Personuppgiftsbiträdet om behandlingens föremål och varaktighet, behandlingens karaktär och ändamål, typ av personuppgifter och kategorier av registrerade anges i Bilaga 1.
    • För det fall att Personuppgiftsbiträdet finner att Personuppgiftsansvariges instruktioner är otydliga, olagliga eller saknas, och som Personuppgiftsbiträdet bedömer är nödvändiga för att genomföra sina åtaganden, ska denne, utan dröjsmål, informera Personuppgiftsansvarig om detta och invänta nya instruktioner.
    • Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt tillämplig dataskyddslagstiftning och enligt den Personuppgiftsansvariges skriftliga instruktioner i varje enskilt fall, bistå den Personuppgiftsansvarige vid fullgörandet av dennes skyldigheter enligt tillämplig dataskyddslagstiftning.
    • Personuppgiftsbiträdet åtar sig att säkerställa att samtliga personer som arbetar under dennes ledning följer vad som framgår av detta Personuppgiftsbiträdesavtal och vid var tid gällande instruktion från Personuppgiftsansvarig, samt informeras om relevant lagstiftning.
    • I syfte att uppfylla Personuppgiftsbiträdets skyldigheter enligt Tjänsteavtalet kommer Personuppgiftsbiträdet vid behov att göra en kopia av Personuppgiftsansvarigs databas för att utföra tester i sådan kopia istället för direkt i Personuppgiftsansvarigs databas. Denna kopia av Personuppgiftsansvarigs databas kommer att sparas av Personuppgiftsbiträdet i fjorton (14) dagar efter slutförandet av sådana tester och kommer sedan automatiskt att raderas av Personuppgiftsbiträdet.
    • Den Personuppgiftsansvarige bekräftar att Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal, inklusive Bilaga 1, med undantag för eventuella skriftliga instruktioner som lämnats i enskilda fall i enlighet med punkt 7 nedan utgör de fullständiga instruktioner som ska följas av Personuppgiftsbiträdet. Alla ändringar i den Personuppgiftsansvariges instruktioner ska, med undantag från vad som anges i punkt 9.2 nedan, förhandlas separat och ska, för att bli gällande, dokumenteras skriftligt och undertecknas av båda Parter. Den Personuppgiftsansvarige är skyldigt att inte, utan sådan skriftlig överenskommelse, låta Personuppgiftsbiträdet behandla andra kategorier av personuppgifter, eller behandla personuppgifter om andra kategorier av registrerade, än vad som anges i Bilaga 1.

 

  1. UTLÄMNANDE OCH MOTTAGANDE PERSONUPPGIFTER
    • Om den Personuppgiftsansvarige till följd av ett ingånget avtal med en tredje part om att sådan tredje part ska tillhandahålla tjänster till den Personuppgiftsansvarige som ska integreras med Tjänsterna, aktiverar och godkänner sådan integration bekräftar härmed Parterna att Personuppgiftsbiträdet är skyldigt, samt berättigad, att till sådan tredje part lämna ut och motta de personuppgifter som är nödvändiga för Personuppgiftsbiträdet att lämna ut, respektive motta, för att sådan tredje part och Personuppgiftsbiträdet, ska kunna fullgöra sina respektive förpliktelser mot den Personuppgiftsansvarige.
    • Med undantag för sådan behandling som anges i punkt 7.1 ovan förbinder sig Personuppgiftsbiträdet att inte utan föregående skriftligt medgivande från den Personuppgiftsansvarige utlämna eller på annat sätt göra personuppgifter som behandlats enligt detta Biträdesavtal tillgängliga för tredje part, om annat inte följer av svensk eller europeisk lag, domstols- eller myndighetsbeslut.
    • För de fall att en Registrerad, Datainspektionen eller annan tredjeman begär information från Personuppgiftsbiträdet rörande behandlingen av personuppgifter ska Personuppgiftsbiträdet hänskjuta sådan begäran till den Personuppgiftsansvarige.
    • Om behörig myndighet begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter ska Personuppgiftsbiträdet utan onödigt dröjsmål informera den Personuppgiftsansvarige om detta, om annat inte följer av svensk eller europeisk tillämplig lag, domstols- eller myndighetsbeslut. Personuppgiftsbiträdet får inte i något avseende handla för den Personuppgiftsansvariges räkning eller som ombud för denne, och får inte utan föregående medgivande från den Personuppgiftsansvarige överföra eller på annat sätt lämna ut personuppgifter eller andra uppgifter rörande behandlingen av personuppgifter till tredje part, om annat inte följer av svensk eller europeisk tillämplig lag, domstols- eller myndighetsbeslut.
    • Om det enligt tillämplig svensk eller europeisk lag begärs att Personuppgiftsbiträdet ska utlämna personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning, är Personuppgiftsbiträdet skyldigt att omgående meddela den Personuppgiftsansvarige om detta, om annat inte följer av aktuell lag, domstols- eller myndighetsbeslut, och att i samband med utlämnandet begära att uppgifterna behandlas med sekretess.

 

  1. UNDERBITRÄDEN OCH TREDJELANDSÖVERFÖRINGAR
    • Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet får anlita underbiträden inom och utanför EU/EES och får överföra personuppgifter utanför EU/EES. Personuppgiftsbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt detta Biträdesavtal. Bilaga 2 innehåller en lista på i förhand godkända underbiträden från och med dagen för ikraftträdandet av detta Biträdesavtal.
    • Om personuppgifter överförs till, eller åtkomst möjliggörs från, plats utanför EU/EES ska Personuppgiftsbiträdet säkerställa att det finns en laglig grund för överföringen enligt tillämplig dataskyddslagstiftning, till exempel EU/Swiss Privacy Shield. Personuppgiftsansvarig ger Personuppgiftsbiträdet mandat att för Personuppgiftsansvariges räkning ingå överenskommelser så som Privacy Shield med underbiträden.
    • Om Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt underbiträde för att behandla personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet i förväg informera den Personuppgiftsansvarige om detta och bereda denne möjlighet att framföra invändningar. Sådana invändningar ska ske skriftligen utan oskäligt dröjsmål från det att den Personuppgiftsansvarige fått informationen. Personuppgiftsbiträdet ska förse den Personuppgiftsansvarige med all information som denne skäligen kan begära för att bedöma om anlitandet av det föreslagna underbiträdet kommer att säkerställa efterlevnaden av den Personuppgiftsansvariges skyldigheter enligt detta Biträdesavtal och tillämplig dataskyddslagstiftning. Om efterlevnaden av dessa skyldigheter, enligt Personuppgiftsansvariges befogade uppfattning, inte möjliggörs genom det föreslagna underbiträdet och Personuppgiftsbiträdet trots Personuppgiftsansvariges invändning vill anlita det föreslagna underbiträdet, har Personuppgiftsansvarige rätt att säga upp Biträdesavtalet utan extra kostnad. Om invändningen inte är befogad har den Personuppgiftsansvarige inte rätt att säga upp Tjänsteavtalet.

 

  1. SÄKERHETSÅTGÄRDER OCH SEKRETESS
    • Personuppgiftsbiträdet är skyldigt att fullgöra sina rättsliga förpliktelser avseende informationssäkerhet under tillämplig dataskyddslagstiftning och ska i samtliga fall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas mot obehörig åtkomst, förstörelse och ändring i enlighet med dataskyddslagstiftningens krav.
    • Personuppgiftsbiträdet ska följa de säkerhetsåtgärder som framgår av Bilaga 1 och sina egna säkerhetsföreskrifter. Personuppgiftsbiträdet får ändra sina egna säkerhetsföreskrifter utan föregående skriftligt medgivande från den Personuppgiftsansvarige förutsatt att ändringen inte står i strid med tillämplig dataskyddslagstiftning.
    • Personuppgiftsbiträdet ska ha ett behörighetskontrollsystem som förhindrar obehörig behandling av personuppgifter eller obehörig åtkomst till personuppgifter. Personuppgiftbiträdet ska genom behörighetskontrollsystemet aktivt begränsa åtkomsten till personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av avtalen mellan Personuppgiftsbiträdet och Personuppgiftsansvarig.
      Personuppgiftsbiträdet ska säkerställa att personal med behörighet omfattas av en sekretessförbindelse.
    • För det fall Personuppgiftsbiträdet, till följd av den verksamhet som den Personuppgiftsansvarige bedriver, kommer att behandla känsliga personuppgifter förbinder sig den Personuppgiftsansvarige att innan sådan behandling påbörjas ta del av de säkerhetsåtgärder som kan komma att krävas vid sådan behandling av personuppgifter. Den Personuppgiftsansvarige är skyldigt att inte, utan att ha vidtagit de säkerhetsåtgärder som krävs enligt tillämplig dataskyddslagstiftning, låta Personuppgiftsbiträdet behandla känsliga personuppgifter.

 

  1. PERSONUPPGIFTSINCIDENTER
    • Vid upptäckt av en personuppgiftsincident ska Personuppgiftsbiträdet underrätta den Personuppgiftsansvarige om detta utan onödigt dröjsmål, dock senast inom trettiosex (36) timmar. Vidare information om berörda uppgifter får lämnas stegvis till den Personuppgiftsansvarige i de fall Personuppgiftsbiträdet inte har informationen tillgänglig vid tidpunkten för underrättelsen.
    • Det juridiska ansvaret att anmäla personuppgiftsincidenten ligger hos den Personuppgiftsansvarige. Personuppgiftsbiträdet ska emellertid bistå den Personuppgiftsansvarige med den information som rimligen kan krävas för att uppfylla dennes skyldighet att anmäla personuppgiftsincidenter.

 

  1. GRANSKNING OCH REVISION
    • Den Personuppgiftsansvarige ska, i sin egenskap av personuppgiftsansvarig, ha rätt att vidta erforderliga åtgärder för att verifiera att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta Biträdesavtal och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa fullgörs.
    • Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige all information som krävs för att visa att de skyldigheter som anges i detta Biträdesavtal efterlevs, samt att möjliggöra för och medverka till sådan granskning, inklusive kontroll på plats, som genomförs av den Personuppgiftsansvarige eller annan granskare som utsetts av denne, under förutsättning att de personer som utför granskningen ingår lämpliga sekretessavtal.

 

  1. RÄTTELSE OCH RADERING AV PERSONUPPGIFTER
    • Personuppgiftsbiträdet åtar sig att utan dröjsmål vidta rättelse (rätta, radera eller blockera) av felaktiga eller ofullständiga personuppgifter efter instruktioner från Personuppgiftsansvarig.
    • Efter det att Personuppgiftsansvarig skriftligen begärt rättelse av personuppgift får Personuppgiftsbiträdet endast behandla personuppgiften som ett led i rättelseprocessen och åtar sig att vidta åtgärden utan dröjsmål, dock senast inom 90 dagar.

 

  1. KVALITETSSÄKRING OCH TESTNING
    Innan Personuppgiftsbiträdet och dess underbiträden driftsätter sina system för mottagande eller utlämnande av information enligt detta avtal ska systemen kvalitetssäkras genom tester i testmiljö.

 

  1. RÄTT TILL OMFÖRHANDLING
    • Båda parter har rätt att påkalla omförhandling av detta avtal inklusive instruktioner och andra bilagor, för det fall att
      • motpartens ägarförhållanden ändras väsentligt,
      • tillämplig lagstiftning eller tolkningen av den ändras på ett sätt som påverkar behandlingen av personuppgifter som omfattas av detta avtal.
    • En begäran om ändring av endera parten innebär inte att Personuppgiftsbiträdesavtalet bryts utan endast att en omförhandling påbörjas.

 

  1. AVTALSTID
    • Detta Personuppgiftsbiträdesavtal gäller tillsvidare och upphör först när Personuppgiftsbiträdet slutat behandla Personuppgifter för Personuppgiftsansvarigs räkning. När Biträdesavtal upphör, oavsett orsak, ska samtliga Personuppgifter överlämnas till Personuppgiftsansvarig i ett format som denne bestämmer.
    • Biträdet åtar sig att radera samtliga Personuppgifter som behandlats enligt detta Biträdesavtal inom 180 dagar från uppsägningen. Radering ska emellertid inte ske förrän Personuppgiftsbiträdet skriftligen har informerat Personuppgiftsansvarig om när radering kommer att ske och har överlämnat Personuppgifterna.

Detta gäller även annan tillhörande information såsom instruktioner, systemlösningar, beskrivningar eller andra handlingar som Personuppgiftsbiträdet erhållit genom informationsutbyte enligt detta Biträdesavtal.

 

  1. ÅTGÄRDER NÄR BEHANDLINGEN AV PERSONUPPGIFTER HAR AVSLUTATS
    • När detta Biträdesavtal upphör har den Personuppgiftsansvarige trettio (30) dagar på sig att hämta ut alla personuppgifter som behandlats enligt detta Biträdesavtal, varefter Personuppgiftsbiträdet kommer att radera personuppgifterna om inte lagring av personuppgifterna krävs enligt svensk eller europeisk lagstiftning.
    • På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna efter behandlingens avslutande enligt punkt 15.1 ovan.

 

  1. ERSÄTTNING

Personuppgiftsbiträdet har rätt till ersättning enligt Personuppgiftsbiträdets vid var tid gällande prislista för det arbete som utförts på grund av skyldigheterna i punkterna 5.2, 6.3, 11 och 15 i detta Biträdesavtal.

 

  1. ANSVARSBEGRÄNSNING

De ansvarsbegränsningar som anges i Tjänsteavtalet ska tillämpas för Personuppgiftsbiträdets ansvar enligt detta Biträdesavtal.

 

  1. LAGVAL OCH TVISTLÖSNING

För detta avtal gäller svensk rätt. Eventuell tolkning eller tvist i anledning av avtalet, som parterna inte kan lösa på egen hand, ska avgöras av svensk allmän domstol.

 

  1. ÖVRIGT

I tjänsteavtalet utsedda kontaktpersoner bär ansvaret för partnernas samarbete. Ändring av kontaktperson eller kontaktuppgifter ska skriftligen meddelas den andra parten.

 

BILAGA 1 – Instruktion för behandling av Personuppgifter

Ändamål

Ändamål för vilka personuppgifterna ska behandlas av Personuppgiftsbiträdet

Fullgöra sina skyldigheter enligt Tjänsteavtalet, eventuella tjänstespecifika villkor och detta Biträdesavtal.

Fullgöra föreskrivna skyldigheter enligt tillämplig dataskyddslagstiftning som är tillämpliga för Personuppgiftsbiträdet i dennes egenskap av personuppgiftsbiträde vid behandlingen av personuppgifter enligt Tjänsteavtalet och detta Biträdesavtal.

Kategorier av personuppgifter

Personuppgifter som ska behandlas av Personuppgiftsbiträdet

Följande kategorier kan förekomma i behandlingen av personuppgifter beroende på vilka av Tjänsterna som används av den Personuppgiftsansvarige:

Person och kontaktuppgifter, såsom t.ex. namn, e-postadress och adress

Faktureringsinformation, såsom till exempel kundnummer adress och referens

Företagsuppgifter, såsom kundnr, företagsnamn, organisationsnummer, adress, postnummer, ort, faktura- & leveransadress, webbsida

Enhetsinformation, såsom IP-adress, språkinställningar, webbläsarinställningar, tidszon, operativsystem, plattform och skärmupplösning

Finansiell information, såsom eventuella krediter, skulder eller negativ betalningshistorik

Geografisk information, såsom din geografiska placering

Historisk information, såsom tidigare köp, betalnings- och kredithistorik

Information om produkter/tjänster, såsom detaljer angående de produkter eller tjänster du har köpt/visat intresse för att köpa

Inloggningsuppgifter, såsom användarnamn, lösenord

Personaluppgifter, såsom personnummer och bankkontonummer samt personuppgifter om hälsa såsom sjukfrånvaro

Ärendeuppgifter, såsom meddelande i fritext*

Kategorier av registrerade

Kategorier av registrerade vars uppgifter ska behandlas av Personuppgiftsbiträdet

Kategorierna av registrerade inkluderar den Personuppgiftsansvariges:

– Den Personuppgiftsansvarige, om denne är en enskild firma.

– Den Personuppgiftsansvariges anställda, kunder, medlemmar och leverantörer samt andra kategorier av registrerade vars personuppgifter som den Personuppgiftsansvarige beslutar.

– Beroende på vilken verksamhet som den Personuppgiftsansvarige väljer att använda Tjänsterna inom kan Personuppgiftsbiträdet komma att behandla personuppgifter om minderåriga.

Informationssäkerhet Personuppgiftsbiträdet och ev. underbiträden ska vidta tekniska, administrativa och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripande;

1. pseudonymisering och kryptering av personuppgifter,

2. förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos informationssystemet samt e-tjänster,

3. förmågan att återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, och

4. ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

Fullständig information angående implementerade organisatoriska och tekniska säkerhetsåtgärder finns tillgänglig på Bluescreens Integritetspolicysida, se https://www.bluescreen.se/integritetspolicy/.

Överföring av personuppgifter till tredje land

Den omfattning som personuppgifter kan komma att överföras utanför EU/EES i syfte att tillhandahålla tjänsterna enligt Tjänsteavtalet

Som en del av Personuppbiträdets fullgörande av tjänsterna som levereras enligt Tjänsteavtalet kan personuppgifter hänförliga till den Personuppgiftsansvariges registrerade komma att föras över till Personuppbiträdets underleverantör. (Ev. underbiträden i USA ska vara anslutna till Privacy Shield.)

 

*Innehåller personuppgifter som den personuppgiftsansvariges registrerade har valt att skriva/lämna.

BILAGA 2 – Lista över underbiträden

Namn Plats för behandling
Fortnox Aktiebolag + Fortnox Finans AB  EU
Cellsynt AB EU
Ilait AB EU
Microsoft (Office 365) EU
SkyKick USA – Privacy Shield
ALSO Sweden AB EU
Tech Data AB EU

 

[1] Förordningen föreskriver att det ska finnas ett skriftligt avtal om Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning.

[2] Jfr artikel 4 i Förordningen.