Mellan dig (”Personuppgiftsansvarig” och kund till PAAM Systems) och PAAM Systems, org.nr. 556842-0672, Idrottsvägen 33, 702 32 Örebro (”Personuppgiftsbiträde”)

Bakgrund

Europaparlamentets och rådets förordning 2016/679 (Allmän Dataskyddsförordning), nedan kallad Dataskyddsförordningen eller Förordningen ställer krav på skriftligt personuppgiftsbiträdesavtal när en part ska Behandla Personuppgifter för annan parts räkning. PAAM Systems behandlar Personuppgifter för att kunna efterleva ingått avtal med dess kunder.

1. Definitioner

1.1. Med ”Personuppgifter” avses varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

1.2. Med ”Registrerad” avses nedan den som en personuppgift avser.

1.3. ”Behandling” eller ”Behandla” avses enligt förordningen en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

1.4. Med ”Förordningen” avses GDPR (Dataskyddsförordningen)

1.5. I övrigt skall begrepp enligt detta avtal tolkas i enlighet med Förordningen.

2. Personuppgiftsbiträdets åtagande

2.1. Personuppgiftsbiträdet förbinder sig att följa Dataskyddsförordningen, samt att hålla sig informerad om Förordningen och angränsande lagstiftning av relevans för den avtalade Behandlingen.

2.2. Personuppgiftsbiträdet och den eller de personer som arbetar under dennes ledning får endast Behandla Personuppgifter i enlighet med de instruktioner som anges i detta avtal eller som från tid till annan lämnas av den Personuppgiftsansvarige. För det fall Personuppgiftsbiträdet saknar instruktioner som Personuppgiftsbiträdet bedömer är nödvändiga för att genomföra det uppdrag Personuppgiftsbiträdet erhållit från den Personuppgiftsansvarige, eller om instruktionerna bryter mot Förordningen, ska Personuppgiftsbiträdet, utan dröjsmål, informera den

Personuppgiftsansvarige om sin inställning och invänta de instruktioner som den Personuppgiftsansvarige bedömer erfordras. Mottagna instruktioner skall dokumenteras.

2.3. Vid anlitande av ytterligare Personuppgiftsbiträde, ska Personuppgiftsbiträdet säkerställa att detta ytterligare Personuppgiftsbiträde åtar sig att utföra Behandling på samma villkor och efter samma standard som Personuppgiftsbiträdet självt. Personuppgiftsbiträdet måste också erhålla ett skriftligt godkännande om Personuppgiftsbiträdet planerar att byta eller använda sig av ett nytt ytterligare Personuppgiftsbiträde.

2.4. Personuppgiftsbiträdet ska endast Behandla Personuppgifter på utrustning som fysiskt befinner sig inom EES, inbegripet nyttjandet av molntjänster. Personuppgiftsbiträdet äger rätt att flytta utrustningen eller Behandla Personuppgifter på annan utrustning då detta ses som nödvändigt ur säkerhetsaspekt eller för att säkerställa drift, dock endast efter samråd med Personuppgiftsansvarig.

2.5. För de fall att en Registrerad, Datainspektionen eller annan tredjeman begär information från Personuppgiftsbiträdet som för Behandling av Personuppgifter ska Personuppgiftsbiträdet hänvisa till den Personuppgiftsansvarige. Av punkten 4 nedan följer bland annat att Personuppgiftsbiträdet inte får lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan uttrycklig instruktion från den Personuppgiftsansvarige.

2.6. Personuppgiftsbiträdet ska utan dröjsmål informera den Personuppgiftsansvarige om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för Behandlingen av Personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda den Personuppgiftsansvarige eller agera för den Personuppgiftsansvariges räkning gentemot Datainspektionen eller annan tredje man.

2.7. Vid upptäckt av en personuppgiftsincident, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om detta utan onödigt dröjsmål.

2.8. Personuppgiftsbiträdet ska vidta skäliga tekniska och organisatoriska åtgärder för att skydda Personuppgifter mot obehörig åtkomst, förstörelse och ändring i enlighet med Förordningens krav, med särskilt beaktande av kraven i artikel 32. Personuppgiftsbiträdet ska därvid särskilt iaktta Datainspektionens instruktioner i dess allmänna råd ”Säkerhet för personuppgifter” eller andra föreskrifter som Datainspektionen ger ut.

2.9. Personuppgiftsbiträdet ska, i den mån det är aktuellt med hänsyn till Behandlingens art, omfattning, sammanhang och ändamål, utföra en konsekvensbedömning avseende den planerade behandlingens konsekvenser för skyddet av personuppgifter, om det är sannolikt att Behandlingen kan leda till hög risk för fysiska personers rättigheter och friheter. Konsekvensbedömningens utformande ska göras med utgångspunkt i artikel 35 i Förordningen. Personuppgiftsbiträdet ska samråda med Datainspektionen, om konsekvensbedömningen visar att Behandlingen sannolikt leder till hög risk för Registrerade.

2.10. Personuppgiftsbiträdet ska när detta avtal upphör att gälla överlämna Personuppgifter på av den Personuppgiftsansvarige angivet medium om det av något skäl inte har gått att extrahera dessa via inbyggd funktion. Sedan detta har skett ska Personuppgiftsbiträdet radera Personuppgifterna på ett sådant sätt att de inte kan återskapas och därvid se till att det inte finns några

Personuppgifter kvar hos Personuppgiftsbiträdet.

2.11. Personuppgiftsbiträdet ska assistera den Personuppgiftsansvarige med att ta fram information som begärts av Datainspektionen eller av en Registrerad, eller på annat sätt underlätta för den Personuppgiftsansvarige att tillgodose en Registrerads rättigheter enligt Förordningen.

2.12. Personuppgiftsbiträdet får inte under några omständigheter föra ut Personuppgifter från den Personuppgiftsansvarige utanför EES utan den Personuppgiftsansvariges samtycke.

3. Den Personuppgiftsansvariges ansvar

3.1. Den Personuppgiftsansvarige ska tillse att Behandlingen sker i enlighet med Förordningen. Den Personuppgiftsansvarige ansvarar bland annat för att informera de Registrerade om Behandlingen, för att i nödvändiga fall inhämta samtycke från de Registrerade och för att i tillämpliga fall samråda avseende Behandlingen till Datainspektionen.

3.2. Den Personuppgiftsansvarige ska utan dröjsmål informera Personuppgiftsbiträdet om förändringar i Behandlingen som påverkar Personuppgiftsbiträdets skyldigheter. Den Personuppgiftsansvarige ska tillika informera Personuppgiftsbiträdet om tredje parts, däribland Datainspektionen och de Registrerades åtgärder med anledning av Behandlingen.

4. Sekretess

4.1. Personuppgiftsbiträdet förbinder sig att inte till tredje man lämna ut eller på annat sätt röja information om Behandlingen av Personuppgifter som omfattas av detta avtal eller annan information som Personuppgiftsbiträdet erhållit till följd av detta avtal eller annan information som Personuppgiftsbiträdet erhållit i sin roll som Personuppgiftsbiträde. Detta åtagande gäller inte information som Personuppgiftsbiträdet föreläggs utge till myndighet. Sekretessåtagandet gäller även efter att detta avtal i övrigt upphört att gälla.

4.2. Personuppgiftsbiträdet förbinder sig att säkerställa att personer med behörighet att Behandla Personuppgifter åtar sig att iaktta samma nivå av konfidentialitet som gäller för Personuppgiftsbiträdet enligt detta avtal eller lag

5. Ansvar gentemot tredje man

För den händelse en Registrerad, eller annan tredje man, riktar krav mot den Personuppgiftsansvarige på grund av Personuppgiftsbiträdets Behandling av Personuppgifter ska Personuppgiftsbiträdet hålla den Personuppgiftsansvarige skadelös för sådana krav som följer av att Personuppgiftsbiträdet inte efterföljt detta avtal eller av den Personuppgiftsansvarige meddelade instruktioner.

6. Avtalets omformulering

Om så krävs på grund av lagstiftning på området eller bindande föreskrifter från myndighet, ska parterna utan onödigt dröjsmål förnya detta avtal på så sätt att det är följsamt med den lagstiftning som föranledde omformuleringen.

7. Avtalstid

Avtalet gäller så länge som Personuppgiftsbiträdet Behandlar Personuppgifter för den Personuppgiftsansvariges räkning. Detta regleras i separat avtal som beskriver vilken typ av tjänst Behandlingen avser.