Personuppgiftsbiträdesavtal.
Personuppgiftsbiträdesavtal
1. Definitioner
Om inget annat anges ska begrepp anses ha samma innebörd som i Gällande dataskyddsregler, vilka bland annat innebär:
Behandling, avser den åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Gällande dataskyddsregler, avser dataskyddsförordningen (GDPR), (EU) 2016/679, dataskyddslagen i Sverige och Integritetsskyddsmyndigheten bindande föreskrifter och beslut som meddelas under eller med avseende på nämnda förordning eller lag och som är direkt tillämpliga på behandlingen av Personuppgifter inom ramen för Biträdesavtalet.
Känsliga Personuppgifter, definieras såsom särskilda kategorier av Personuppgifter i artikel 9 GDPR.
Personuppgifter, varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad Registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgiftsincident, avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats och i övrigt Behandlas.
Registrerad, avser en identifierad eller identifierbar fysisk person.
Underbiträde, avser sådant personuppgiftsbiträde som anlitas av det Personuppgiftsbiträde som är Part i detta Biträdesavtal och som Behandlar Personuppgifter för Personuppgiftsansvarigs räkning.
2. Allmänt
Personuppgiftsansvarig är personuppgiftsansvarig för all personuppgiftsbehandling som sker med hjälp av Personuppgiftsbiträdets tjänster om inte annat anges i detta Biträdesavtal. Personuppgiftsbiträdet kommer inom ramen för tjänsten behandla Personuppgifter på uppdrag av Personuppgiftsansvarig i egenskap av personuppgifts-biträde. Föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade som berörs av behandlingen beskrivs närmare i Bilaga 1 (Instruktion över behandling av Personuppgifter). Personuppgifts-ansvarig ansvarar för att all sådan personuppgiftsbehandling äger rum i enlighet med Gällande dataskyddsregler.
3. Behandling av Personuppgifter
3.1. Personuppgiftsbiträdet ska endast Behandla Personuppgifter i enlighet med dokumenterade instruktioner från den Personuppgiftsansvarige och i enlighet med detta Biträdesavtal. Den typen av Personuppgifter och de kategorier av Registrerade som Behandlas under detta Biträdesavtal samt Behandlingens ändamål, art, varaktighet och föremål beskrivs i Bilaga 1 (Instruktion över behandling av Personuppgifter).
3.2. Personuppgiftsbiträdet får inte Behandla Personuppgifter för egna eller några andra ändamål än de som Personuppgiftsbiträdet anlitats för av Personuppgiftsansvarig.
3.3. Personuppgiftsbiträdet ska utan oskäligt dröjsmål, dock senast trettio (30) dagar från Personuppgiftsansvarigs begäran, ge denne tillgång till Personuppgifter som Personuppgiftsbiträdet har i sin besittning samt genomföra av Personuppgiftsansvarig begärd ändring, radering, begränsning eller överföring av Personuppgifter. Personuppgiftsansvarig är medvetet om att Personuppgiftsbiträdets tjänster levereras till ett stort antal kunder och att Personuppgiftsbiträdet därför inte nödvändigtvis kommer att ha möjlighet att följa sådana instruktioner som inte är en direkt följd av Personuppgiftsansvarigs behov av att följa Gällande dataskyddsregler. Har Personuppgiftsansvarig raderat, eller anvisat Personuppgiftsbiträdet om radering, ska den senare vidta sådana åtgärder som krävs för att Personuppgiften inte ska kunna återskapas.
3.4. Personuppgiftsbiträdet är skyldigt att upprätta ett register över den Behandling som sker på Personuppgiftsansvarigs uppdrag. Vid begäran ska ett registerutdrag överlämnas till Personuppgiftsansvarig eller behörig tillsynsmyndighet i ett läsbart format. Registret ska omfatta följande:
3.4.1. Namn och kontaktuppgifter för Personuppgiftsbiträdet och dess dataskyddsombud, om sådant finns, samt för Personuppgiftsansvarig för vars räkning Behandling utförs. I förekommande fall även kontaktuppgifter för Underbiträden;
3.4.2. de kategorier av Behandling som utförs för Personuppgiftsansvarigs räkning;
3.4.3. i tillämpliga fall, överföringar av Personuppgifter till Tredje land, information om vilket Tredje land som avses samt vilka lämpliga skyddsåtgärder som vidtagits; och
3.4.4. en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som vidtagits för att uppnå en lämplig skyddsnivå.
3.5. Personuppgiftsbiträdet ska bara Behandla och överföra Personuppgifter enligt dokumenterade instruktioner från den Personuppgiftsansvarige, såvida inte behandlingen i fråga krävs enligt Gällande dataskyddsregler. Om behandlingen krävs enligt Gällande dataskyddsregler ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om det rättsliga kravet innan uppgifterna Behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt tillämplig lag.
3.6. Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion strider mot Gällande dataskyddsregler.
4. Personuppgiftsansvarigs ansvar
4.1. Personuppgiftsansvarig ska ansvara för att Behandlingen av Personuppgifter är laglig och sker i enlighet med Gällande dataskyddsregler.
4.2. Personuppgiftsansvarig ska omedelbart lämna Personuppgiftsbiträdet korrekta uppgifter i händelse av att instruktionerna är felaktiga, ofullständiga eller i övrigt behöver förändras.
4.3. Personuppgiftsansvarig ska endast ge Personuppgiftsbiträdet tillträde till de Personuppgifter som är nödvändiga med hänsyn till ändamålet med Behandlingen.
5. Kapacitet och förmåga
5.1. Personuppgiftsbiträdet garanterar att denne besitter lämplig teknisk och organisatorisk kapacitet och förmåga att fullgöra sina skyldigheter enligt detta Biträdesavtal och Gällande dataskyddsregler såsom att vidta de säkerhetsåtgärder som framgår av artikel 32 i GDPR för att skydda de Personuppgifter som Behandlas under detta Biträdesavtal.
5.2. Personuppgiftsbiträdet ska på Personuppgiftsansvarigs begäran, eller oberoende tredje part som denna anlitat, visa att de skyldigheter som framgår av detta Biträdesavtal och Gällande dataskyddsregler uppfylls genom att utan onödigt dröjsmål tillhandahålla relevant dokumentation, hänvisa till relevant och godkänd uppförandekod eller certifiering, möjliggöra och bidra till granskningar och inspektioner av lokaler, IT-system och andra tillgångar och/eller tillhandahålla annan adekvat bevisning. Personuppgiftsbiträdet ska tillförsäkra Personuppgiftsansvarig motsvarande rättigheter i förhållande till anlitade
Underbiträden. Personuppgiftsbiträdet ska vidare i övrigt ge Personuppgiftsansvarige tillgång till sådan information som krävs för att Personuppgiftsansvarige ska kunna uppfylla sina skyldigheter såsom personuppgiftsansvarig gentemot tillsynsmyndighet och/eller enskilda.
6. Säkerhetsåtgärder
6.1. Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder begränsa tillgången till Personuppgifterna och endast ge behörighet till sådan personal som behöver ha tillgång till Personuppgifterna för att fullgöra sina åtaganden enligt detta Biträdesavtal, samt att tillse att sådan personal har erforderlig utbildning och i tillräcklig mån har instruerats att hantera Personuppgifterna på ett ändamålsenligt och säkert sätt.
6.2. Personuppgifterna ska av Personuppgiftsbiträdet skyddas mot all typ av otillåten Behandling så som förstöring, otillåten spridning och obehörig tillgång.
6.3. Personuppgiftsbiträdet ska Behandla Personuppgifter med sekretess och tillse att personer med behörighet att Behandla Personuppgifterna hos Personuppgiftsbiträdet har ingått särskild sekretessförbindelse eller upplysts om att särskild tystnadsplikt föreligger enligt avtal eller gällande rätt.
6.4. I det fall Personuppgiftsbiträdet Behandlar Känsliga Personuppgifter eller på annat sätt Behandlar integritetskänsliga Personuppgifter vilka exempelvis omfattas av sekretess, ställs särskilt höga säkerhetskrav innefattande exempelvis tvåstegsautentisering och kryptering.
6.5. Personuppgiftsbiträdet ska utan oskäligt dröjsmål från att det kommit Personuppgiftsbiträdet till kännedom, underrätta Personuppgiftsansvarig om förekomsten av eller risken för en Personuppgiftsincident. En sådan underrättelse ska innehålla all nödvändig och tillgänglig information som Personuppgiftsbiträdet besitter och som Personuppgiftsansvarig behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan av Personuppgiftsincidenter till behörig tillsynsmyndighet.
7. Sekretess
7.1. Personuppgiftsbiträdet ska hålla personuppgifter som behandlas för Personuppgiftsansvarigs räkning strikt konfidentiella. Personuppgiftsbiträdet ska således inte, direkt eller indirekt, utlämna några personuppgifter till tredje part om inte Personuppgiftsansvarig skriftligen godkänt detta, såvida inte Personuppgiftsbiträdet är skyldigt enligt lag att lämna ut personuppgifter eller om det är nödvändigt för fullgörandet av Parternas avtal. Personuppgiftsbiträdet accepterar att detta sekretessåtagande ska fortsätta att gälla även efter att Partenas avtal har upphört.
7.2. Personuppgiftsansvarig förbinder sig att hålla all information som Personuppgiftsansvarig erhåller avseende Personuppgiftsbiträdets säkerhetsåtgärder, rutiner, IT-system eller som annars är av konfidentiell karaktär, strikt konfidentiell och förbinder sig vidare att inte till någon utomstående röja konfidentiell information som härrör från Personuppgiftsbiträdet eller dess Underbiträden. Personuppgiftsansvarig har dock rätt att röja sådan information
som Personuppgiftsansvarig är skyldig att röja enligt lag eller enligt Avtalet. Personuppgiftsansvarig accepterar att detta sekretessåtagande ska fortsätta att gälla även efter att Parternas avtal har upphört.
8. Samverkan
8.1 Personuppgiftsbiträdet ska, med hänsyn taget till Behandlingens art, bistå Personuppgiftsansvarige att uppfylla kraven avseende säkerhet som framgår av artikel 32-36 i GDPR (så som tekniska och organisatoriska åtgärder, anmälan och information vid personuppgiftsincidenter, konsekvensbedömning och föregående samråd), samt Personuppgiftsansvariges skyldigheter avseende individuella rättigheter i Kapitel III i GDPR uppfylls (så som rätten till information, åtkomst, rättelse, radering, begränsning av behandling, dataportabilitet, invändning mot automatiserat beslutsfattande).
8.2 Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarig om denne kontaktas av behörig tillsynsmyndighet eller annan tredje part i syfte att få tillgång till Personuppgifter som Personuppgiftsbiträdet, eller i förekommande fall Underbiträdet, har i sin besittning.
8.3 Personuppgiftsbiträdet ska skriftligen och i förväg informera Personuppgiftsansvarig om planerade ändringar av behandlingsförfarandet, däribland tekniska och organisatoriska ändringar som kan påverka skyddet av Personuppgifterna och Personuppgiftsbiträdets efterlevnad av Gällande dataskyddsregler. Personuppgiftsansvarig ska, inom fem arbetsdagar från det att Personuppgiftsbiträdet informerat om sådana ändringar, meddela om dessa får genomföras. Har Personuppgiftsansvarig inte lämnat besked om sin inställning till sådana ändringar inom denna period anses Personuppgiftsansvarig ha accepterat ändringarna.
9. Underbiträde
9.1. Personuppgiftsansvarig godkänner härmed att de av Personuppgiftsbiträdet anlitade Underbiträdena som framgår på av Personuppgiftsbiträdet från tid till annan angiven webbsida får behandla personuppgifter för Personuppgifts-ansvarigs ens räkning i samband med tjänsten. Personuppgiftsansvarig lämnar vidare ett allmänt förhandsgodkännande till Personuppgiftsbiträdet för anlitande av nya Underbiträden under förutsättning att Personuppgiftsbiträdet säkerställer att Underbiträdet lämnar tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen uppfyller kraven i Gällande dataskyddsregler.
9.2. Personuppgiftsbiträdet ska ingå ett personuppgiftsbiträdesavtal med Underbiträdet. Ett sådant personuppgiftsbiträdesavtal ska innehålla bestämmelser som motsvarar vad som följer av detta Biträdesavtal och Gällande dataskydds-regler.
9.3. För det fall Personuppgiftsbiträdet avser att anlita ett nytt Underbiträde ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om detta genom e-post till Personuppgiftsansvarigs avtalsansvarig. Personuppgiftsbiträdet ska därvid lämna information om Underbiträdets identitet (inbegripet fullständig firma, organisationsnummer och adress), på vilken plats (geografiskt) Underbiträdet
kommer att behandla personuppgifter, vilken typ av tjänst som Underbiträdet utför, samt vilka skyddsåtgärder som kommer att vidtas av Underbiträdet för att skydda de personuppgifter som behandlas. Personuppgiftsansvarig har rätt att inom en vecka räknat från meddelandet invända mot att Personuppgiftsbiträdet anlitar Underbiträdet för att behandla personuppgifter på uppdrag av Personuppgifts-ansvarig, varvid Personuppgiftsbiträdet och Personuppgiftsansvarig gemensamt ska söka en samförståndslösning och i annat fall kan Avtalet sägas upp i förtid.
9.4. Det är Personuppgiftsbiträdets ansvar att med lämpliga åtgärder säkerställa att ett anlitat Underbiträde uppfyller alla tillämpliga bestämmelser om skydd för Personuppgifter samt i väsentliga delar uppfyller de skyldigheter som regleras i detta Biträdesavtal.
10. Överföring till tredje land
10.1. Personuppgiftsansvarig lämnar härmed sitt godkännande till att Personuppgiftsbiträdet i förekommande fall för över Personuppgiftsansvarigs personuppgifter utanför EU/EES-området. Sådan överföring får dock end¬ast ske om (i) landet har adekvat skyddsnivå för personuppgifter enligt beslut meddelat av EU-kommissionen som omfattar behandlingen av personuppgifter, (ii) om Personuppgiftsbiträdet säkerställer att det finns lämpliga skyddsåtgärder på plats, såsom standardiserade dataskyddsbestämmelser, som antagits av EU-kommissionen, i ljuset av mottagarlandets lagstiftning eller (iii) om något annat undantag i Gällande dataskyddsreger möjliggör överföringen.
10.2. För det fall Personuppgiftsbiträdet överför personuppgifter utanför EU/EES med stöd av standardiserade dataskyddsbestämmelser ger Personuppgiftsansvarigs härmed fullmakt till Personuppgiftsbiträdet att ingå sådana standardavtalsklausuler för Personuppgifts-ansvarigs räkning.
11. Ansvar för skada
11.1. Ingen av Parterna ansvarar gentemot den andra Parten under några omständigheter för indirekt skada som t.ex. utebliven vinst, minskad omsättning, förlust och förvanskning av data, hinder att uppfylla förpliktelser mot tredje part eller utebliven nytta av Behandlingen eller Biträdesavtalet i övrigt.
11.2. Om Personuppgiftsbiträdet eller ett av Personuppgiftsbiträdet anlitat Underbiträde Behandlar Personuppgifter i strid med detta Biträdesavtal eller de dokumenterade instruktioner som Personuppgiftsansvarig har lämnat, ska Personuppgiftsbiträdet ersätta Personuppgiftsansvarig för den direkta skada som Personuppgiftsansvarig har orsakats på grund av den felaktiga behandlingen. Personuppgiftsbiträdets ansvar ska vara begränsat till ett belopp motsvarande de avgifter som Personuppgiftsansvarig har betalat till Personuppgiftsbiträdet under en period om tolv (12) månader innan skadan uppstod. Beloppet som avses är det som Personuppgiftsansvarig har betalat för den tjänst dit skadan kan hänföras.
11.3. Om tredje man riktar krav mot Personuppgiftsbiträdet på grund av Personuppgiftsbiträdets eller Underbiträdes felaktiga Behandling av Personuppgifter för Personuppgiftsansvarigs räkning, ska Personuppgiftsansvarig ersätta Personuppgiftsbiträdet för den direkta skada som Personuppgiftsbiträdet orsakas p.g.a. kravet, förutsatt att överträdelsen beror på
Personuppgiftsansvarigs bristfälliga eller otillåtna instruktioner för Behandlingen av Personuppgifter, bristfällig information från Personuppgiftsansvarig om vilka kategorier av Personuppgifter som Behandlas eller annars beroende på omständighet på Personuppgiftsansvarigs sida.
12. Avtalstid
12.1. Detta Biträdesavtal är giltigt från dagen för signering av båda Parter tills Personuppgiftsbiträdets Behandling av Personuppgifterna upphör eller tills det ersätts av ett nytt biträdesavtal.
12.2. Personuppgiftsbiträdet ska, beroende på vad den Personuppgiftsansvarige väljer, radera, anonymisera eller återlämna alla Personuppgifter när Biträdesavtalet upphör eller på begäran av den Personuppgiftsansvarige, oavsett anledning därtill, inklusive att radera samtliga kopior vilka inte enligt Gällande dataskyddsregler måste sparas.
13. Lagval och tvistlösning
13.1. På detta Biträdesavtal tillämpas svensk rätt, utan hänsyn till dess lagvalsregler.
13.2. Tvister i anledning av detta Biträdesavtal ska slutligt avgöras i allmän domstol, med Jönköpings tingsrätt som första instans.
Bilaga 1 – Instruktioner för behandling m.m.
1. Instruktion
1.1. Personuppgiftbiträdet åtar sig att följa de instruktioner som anges i denna Bilaga 1 vilka kan komma att ändras och/eller kompletteras genom skriftligt meddelande från Personuppgiftsansvarig.
1.2. Personuppgiftbiträdet ska agera som personuppgiftsbiträde i den mån Personuppgiftsansvarigs Personuppgifter Behandlas inom ramen för följande tjänster:
1.2.1. Lagring, dvs tillhandahålla en backup av Personuppgiftsansvariges filer.
2. Platser där personuppgifter kommer att behandlas
Personuppgifterna behandlas av Personuppgiftbiträdet. För information om vilka Underbiträden som Personuppgiftbiträdet anlitat och var de behandlar Personuppgiftsansvarigs personuppgifter se av Personuppgiftbiträdet från tid till annan anvisad webbsida.
3. Beskrivning av Behandlingen
3.1. Personuppgiftsbiträdet ska utföra följande behandling av Personuppgifter:
3.1.1. Lagring
4. Ändamål
Personuppgiftebehandlingen utförs med följande ändamålet att tillhandahålla de ovan angivna tjänsterna.
5. Kategorier av personuppgifter
5.1. Personuppgiftbiträdet ska Behandla följande kategorier av Personuppgifter:
5.1.1. Personuppgifter vilka kan förekomma i Personuppgiftsansvarigs backup.
6. Kategorier av Registrerade
6.1. Personuppgiftsbiträdet ska Behandla följande kategorier av registrerade
6.1.1. De kategorier av Registrerade vilka kan förekomma i Personuppgiftsansvarigs backup.
7. Gallring av personuppgifter
Personuppgiftsbiträdet lagrar kopior på filer åt personuppgiftsansvarig, för att ha en backup om något skulle hända med ursprungsinformationen. Lagringsmediet roteras enligt schema och innehåller som äldst 1 månad gammal information, gallringstiden är således maximalt en månad.
8. Underbiträden
Personuppgiftsbiträdet anlitar de Underbiträden som från tid till annan framgår via wisest.se
9. Tekniska och organisatoriska säkerhetsåtgärder
Följande tekniska och organisatoriska åtgärder vidtar Personuppgiftsbiträdet och Underbiträden för att skydda de Personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal:
· Åtgärder för åtkomstkontroll, t.ex. rutiner för lösenordshantering och autentisering (genom tvåfaktorautentisering), loggning, behörighetsstyrning för användare och tillgång till driftlokaler.
· Åtgärder för att säkerställa konfidentialitet, t.ex. kryptering vid överföring.
· Åtgärder för att säkerställa tillgänglighet, t.ex. säkerhetskopiering, brandväggar, antivirussystem, loggning och oavbruten strömförsörjning (UPS).
I övrigt har Personuppgiftsbiträdet rutiner för att hantera säkerhetsincidenter, personalen omfattas av sekretess och säkerhetstester genomförs på regelbunden basis.