Personuppgiftsbiträdesavtal
Mellan dig (”Personuppgiftsansvarig” och kund till PAAM) och AE Scandinavia AB , org.nr. 559463-3520, Örebro (”Personuppgiftsbiträde”) tillsammans med utsedda underlicensinnehavare som finns på kontaktsidan.
Bakgrund
Europaparlamentets och rådets förordning 2016/679 (Allmän Dataskyddsförordning), nedan kallad Dataskyddsförordningen eller Förordningen ställer krav på skriftligt personuppgiftsbiträdesavtal när en part ska Behandla Personuppgifter för annan parts räkning. Personuppgiftsbiträdesavtalet är ett tillägg till det redan existerande Avtalet mellan parterna, eller den beställning som är gjord enligt villkoren som anges i Offert, Servicenivå-avtal och/eller Hosting-avtalet.
1. Definitioner
1.1. Med ”Personuppgifter” avses varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
1.2. Med ”Registrerad” avses nedan den som en personuppgift avser.
1.3. ”Behandling” eller ”Behandla” avses enligt förordningen en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
1.4. Med ”Förordningen” avses GDPR (Dataskyddsförordningen)
1.5. Med ”Instruktion” eller ”Instruktionen” avses den skriftliga instruktion angående Personuppgiftshantering som den Personuppgiftsansvarige har tillhandahållit Personuppgiftsbiträdet.
1.6. I övrigt skall begrepp enligt detta avtal tolkas i enlighet med Förordningen.
2. Hantering av personuppgifter
2.1. Personuppgiftsbiträdet kommer i och med leverans av Huvudtjänsten till den Personuppgiftsansvarige Behandla viss typ av Personuppgifter på uppdrag av den Personuppgiftsansvarige. Det är generella Personuppgifter såsom namn, kontaktuppgifter som e-postadress , telefonnummer och postadress till kundens personal och kundens kund.
2.2. Personuppgiftsbiträdet ska endast Behandla Personuppgifter på uppdrag av den Personuppgiftsansvarige som föranleds av Avtalet eller om Huvudtjänsten på något sätt kräver åtgärd. Behandling görs endast på begäran av den Personuppgiftsansvarige, utom de fall Personuppgiftsansvarig även har Hosting-tjänsten, där Behandling också innefattar lagring av Personuppgifter.
2.3. Personuppgiftsbiträdet ska ha och underhålla ett register innehållande Behandlingsaktiviteter i enlighet med GDPR, artikel 32.
3. Instruktion
3.1. Personuppgiftsbiträdet får endast behandla Personuppgifter på det sätt som är dokumenterat i Instruktionen, såvida inte Personuppgiftsbiträdet måste Behandla Personuppgifterna enligt gällande lag. Instruktionen vid tidpunkten då detta Personuppgiftsbiträdesavtal träder i kraft är att Personuppgiftsbiträdet endast ska behandla Personuppgifter med syfte att leverera Produkten beskrivet i Huvudavtalet. Åtskilt från villkoren kan den Personuppgiftsansvarige utfärda ytterligare skriftliga instruktioner, dock förenliga med villkoren enligt gällande lag. Den Personuppgiftsansvarige är ansvarig för att de individer som förser Personuppgiftsbiträdet med skriftliga instruktioner är behörig att göra det.
4. Personuppgiftsbiträdets åtagande
4.1. Personuppgiftsbiträdet förbinder sig att följa Dataskyddsförordningen, samt att hålla sig informerad om Förordningen och angränsande lagstiftning av relevans för den avtalade Behandlingen.
4.2. Personuppgiftsbiträdet och den eller de personer som arbetar under dennes ledning får endast Behandla Personuppgifter i enlighet med de Instruktioner som anges i detta Avtal eller som från tid till annan lämnas av den Personuppgiftsansvarige. För det fall Personuppgiftsbiträdet saknar instruktioner som Personuppgiftsbiträdet bedömer är nödvändiga för att genomföra det uppdrag Personuppgiftsbiträdet erhållit från den Personuppgiftsansvarige, eller om instruktionerna bryter mot Förordningen, ska Personuppgiftsbiträdet, utan dröjsmål, informera den Personuppgiftsansvarige om sin inställning och invänta de instruktioner som den Personuppgiftsansvarige bedömer erfordras. Mottagna instruktioner skall dokumenteras.
4.3. Personuppgiftsbiträdet ska endast Behandla Personuppgifter på utrustning som fysiskt befinner sig inom EES, inbegripet nyttjandet av molntjänster. Personuppgiftsbiträdet äger rätt att flytta utrustningen eller Behandla Personuppgifter på annan utrustning då detta ses som nödvändigt ur säkerhetsaspekt eller för att säkerställa drift, dock endast efter samråd med Personuppgiftsansvarig.
4.4. För de fall att en Registrerad, relevant myndighet eller annan tredjeman begär information från Personuppgiftsbiträdet som för Behandling av Personuppgifter ska Personuppgiftsbiträdet hänvisa till den Personuppgiftsansvarige. Personuppgiftsbiträdet ska utan dröjsmål informera Personuppgiftsansvarige om en sådan kontakt ägt rum. Personuppgiftsbiträdet får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan uttrycklig instruktion från den Personuppgiftsansvarige.
4.5. Personuppgiftsbiträdet ska då det är relevant, bistå den Personuppgiftsansvarige med att förbereda en konsekvensbedömning i enlighet med GDPR, artikel 35, tillsammans med förhandssamråd enligt GDPR, artikel 36.
4.6. Om den Personuppgiftsansvarige mottar en begäran från en Registrerad att utöva dess rättighet i enlighet med gällande lag och begäran kräver Personuppgiftsbiträdets hjälp ska Personuppgiftsbiträdet tillhandahålla nödvändig information och dokumentation. Personuppgiftsbiträdet ska ges rimlig tid att bistå den Personuppgiftsansvarige med sådana förfrågningar.
4.7. Vid upptäckt av en personuppgiftsincident, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om detta utan onödigt dröjsmål, samt i övrigt bistå den Personuppgiftsansvarige med att se till att dennes skyldigheter gällande personuppgiftsincidenter kan fullgöras.
4.8. Personuppgiftsbiträdet ska, i den mån det är relevant med hänsyn till Behandlingens art, omfattning, sammanhang och ändamål, utföra en konsekvensbedömning avseende den planerade behandlingens konsekvenser för skyddet av personuppgifter, om det är sannolikt att Behandlingen kan leda till hög risk för fysiska personers rättigheter och friheter. Konsekvensbedömningens utformande ska göras med utgångspunkt i artikel 35 i Förordningen. Personuppgiftsbiträdet ska samråda med Datainspektionen, om konsekvensbedömningen visar att Behandlingen sannolikt leder till hög risk för Registrerade.
4.9. Personuppgiftsbiträdet ska när detta avtal upphör att gälla överlämna Personuppgifter på av den Personuppgiftsansvarige angivet medium om det av något skäl inte har gått att extrahera dessa via den inbyggda funktionen. Sedan detta har skett ska Personuppgiftsbiträdet radera Personuppgifterna på ett sådant sätt att de inte kan återskapas och därvid se till att det inte finns några Personuppgifter kvar hos Personuppgiftsbiträdet, såvida det inte av annan gällande lag krävs av Personuppgiftsbiträdet att sådana uppgifter sparas. Villkoren i detta avtal fortsätter att gälla för sådana Personuppgifter.
5. Underbiträden
5.1. Personuppgiftsbiträdet ges generellt tillstånd att anlita tredjepart för Behandlingen av Personuppgifter (”Underbiträde”) utan att få ytterligare skriftligt, specifikt godkännande från den Personuppgiftsansvarige, under förutsättning att Personuppgiftsbiträdet skriftligt meddelar den Personuppgiftsansvarige innan det potentiella Underbiträdet ingår avtal eller någon Behandling görs av Underbiträdet. Om den Personuppgiftsansvarige invänder mot anlitandet av Underbiträdet, ska denne skriftligen meddela detta inom femton (15) dagar från mottagandet av anmälan från Personuppgiftsbiträdet.
5.2. Om den Personuppgiftsansvarige invänder mot ett nytt Underbiträde och Personuppgiftsbiträdet inte kan tillmötesgå invändningen, kan den Personuppgiftsansvarige avsluta Tjänsten genom att skriftligt meddela Personuppgiftsbiträdet.
5.3. Personuppgiftsbiträdet ska ingå ett skriftligt avtal med samtliga Underbiträden. Ett sådant avtal ska minst möta de villkor som gäller för Personuppgiftsbiträdet gentemot den Personuppgiftsansvarige, inklusive skyldigheterna i detta Personuppgiftsbiträdesavtal.
5.4. Personuppgiftsbiträdet använder sig för närvarande av Underbiträdet Digital Ocean (Gäller endast för kunder som använder tjänsten Hosting). Om Personuppgiftsbiträdet anlitar ett nytt Underbiträde kommer det att läggas till här.
6. Säkerhet
6.1. Personuppgiftsbiträdet ska vidta rimliga tekniska och organisatoriska åtgärder för att skydda Personuppgifter mot obehörig åtkomst, förstörelse och ändring i enlighet med kraven i Förordningen med avseende GDPR, artikel 32. Detta efterföljs genom att; (i) begränsa åtkomst till system och servrar genom både fysisk och digital behörighetsstyrning, (ii) kryptera trafik, lagring, enheter och servrar så långt det är möjligt, (iii) använda multifaktor autentisering för alla system, servrar och enheter där det är möjligt.
7. Sekretess
7.1. Personuppgiftsbiträdet förbinder sig att inte till tredje man lämna ut eller på annat sätt röja information om Behandlingen av Personuppgifter som omfattas av detta avtal eller annan information som Personuppgiftsbiträdet erhållit till följd av detta Avtal eller annan information som Personuppgiftsbiträdet erhållit i sin roll som Personuppgiftsbiträde. Detta åtagande gäller inte information som Personuppgiftsbiträdet föreläggs utge till myndighet. Sekretessåtagandet gäller även efter att detta Avtal i övrigt upphört att gälla.
7.2. Personuppgiftsbiträdet ska behandla alla Personuppgifter som strikt konfidentiell information. Personuppgifterna får inte kopieras, överföras eller på annat sätt behandlas i strid mot Instruktionen, såvida inte den Personuppgiftsansvarige skriftligen har gett tillstånd till det.
7.3. Personuppgiftsbiträdet förbinder sig att säkerställa att personer med behörighet att Behandla Personuppgifter åtar sig att iaktta samma nivå av konfidentialitet som gäller för Personuppgiftsbiträdet enligt detta Avtal eller annan lag.
8. Den Personuppgiftsansvariges ansvar
8.1. Den Personuppgiftsansvarige ska tillse att Behandlingen sker i enlighet med Förordningen. Den Personuppgiftsansvarige ansvarar bland annat för att informera de Registrerade om Behandlingen, för att i nödvändiga fall inhämta samtycke från de Registrerade och för att i tillämpliga fall samråda avseende Behandlingen till Datainspektionen.
8.2. Den Personuppgiftsansvarige ska utan dröjsmål informera Personuppgiftsbiträdet om förändringar i Behandlingen som påverkar Personuppgiftsbiträdets.
9. Ersättning och kostnader
9.1. Den Personuppgiftsansvarige ska ersätta Personuppgiftsbiträdet för den tid och material som krävs för att anta och ändra metoden för Behandlingen vid eventuell ändring i Instruktionen, inklusive implementationskostnader och extra kostnader som krävs för att leverera Huvudtjänsterna.
9.2. Personuppgiftsbiträdet är befriad från ansvar som beskrivs i Huvudavtalet om skyldigheterna i Huvudavtalet skulle strida mot Instruktionen eller avtalsenlig leverans om den ändrade Instruktionen är omöjlig. Detta kan till exempel vara fallet; (i) om ändringarna i Instruktionen inte kan genomföras tekniskt, praktiskt eller juridiskt, (ii) där den Personuppgiftsansvarige kräver att ändringarna i Instruktionen ska tillämpas innan ändringarna kan genomföras och (iii) under tiden tills Huvudavtalet ändras för att återspegla de nya Instruktionerna och villkoren i den.
10. Ansvar
10.1. För den händelse en Registrerad, eller annan tredje man, riktar krav mot den Personuppgiftsansvarige på grund av Personuppgiftsbiträdets Behandling av Personuppgifter ska Personuppgiftsbiträdet hålla den Personuppgiftsansvarige skadelös för sådana krav som följer av att Personuppgiftsbiträdet inte efterföljt detta avtal eller av den Personuppgiftsansvarige meddelade instruktioner.
11. Avtalets omformulering
11.1. Om så krävs, på grund av ny lagstiftning i området eller bindande föreskrifter från myndighet, ska Avtalet utan onödigt dröjsmål förnyas på så sätt att det är överensstämmer med den lagstiftning som orsakade omformuleringen.
12. Avtalstid
12.1. Avtalet gäller så länge som Personuppgiftsbiträdet Behandlar Personuppgifter för den Personuppgiftsansvariges räkning. Detta regleras i separat avtal som beskriver vilken typ av tjänst Behandlingen avser..
