Personuppgiftsbiträdesavtal till
Tjänsten GDPR Hero

 

1 Inledning

1.1 Genom detta personuppgiftsbiträdesavtal (härefter Biträdesavtalet) uppfyller Parterna det krav som uppställs i Gällande dataskyddslagstiftning om att det ska finnas ett skriftligt avtal när den Personuppgiftsansvarige överlåter till ett Personuppgiftsbiträde att behandla personuppgifter för den Personuppgiftsansvariges räkning. Syftet med Biträdesavtalet är att säkerställa att den registrerades personuppgifter erhåller en adekvat skyddsnivå.

1.2 Biträdesavtalet utgör en bilaga till Användaravtalet till Tjänsten GDPR Hero och omfattar samma tidsperiod som Användaravtalet. Genom Biträdesavtalet och Användaravtalet ger den Personuppgiftsansvarige instruktioner till Personuppgiftsbiträdet om hur Personuppgiftsbiträdet ska utföra uppdraget. Ytterligare instruktioner om behandling av personuppgifter ska följa de formkrav som uppställs i detta Biträdesavtal.

2 Definitioner

Dessa begrepp, med inledande versal, används konsekvent i avtalet och definieras enligt följande:

Med Användaravtal avses vid varje tidpunkt gällande användaravtal, tillgängligt https://gdprhero.se/anvandaravtal/. 

Med Behörig tillsynsmyndighet avses för Sveriges vidkommande Datainspektionen.

Med Biträdesavtal avses detta skriftliga personuppgiftsbiträdesavtal mellan Parterna.

Med Gällande dataskyddslagstiftning avses Personuppgiftslagen (1998:204), Personuppgiftsförordningen (1998:1191), EU:s allmänna dataskyddsförordning (EU) 2016/679 (General Data Protection Regulation, ”GDPR”) och annan tillämplig dataskyddslagstiftning. Vid konflikt mellan lagarna har den allmänna dataskyddsförordningen företräde fr.o.m. den 25 maj 2018.

Med Part avses Personuppgiftsansvarig eller Personuppgiftsbiträde.

Med Parter avses Personuppgiftsansvarig och Personuppgiftsbiträde.

Med Personuppgiftsansvarig avses användare av GDPR Hero.

Med Personuppgiftsbiträde avses GDPR Hero AB, organisationsnummer 559088-5116, Bankgatan 1A, 223 52 Lund.

Med Tjänsten avses molntjänsten GDPR Hero.

Samtliga begrepp i avtalet ska tolkas i enligt med de definitioner som anges i Förordning (EU) 2016/679 (”allmän dataskyddsförordning”) och i enlighet med praxis.

3 Personuppgiftsansvariges ansvar och instruktioner

Lagstöd för all behandling av personuppgifter

3.1 Den Personuppgiftsansvarige ska säkerställa att all behandling av personuppgifter är tillåten enligt Gällande dataskyddslagstiftning.

Endast personuppgifter som är nödvändiga för ändamålet

3.2 Den Personuppgiftsansvarige får endast tillhandahålla Personuppgiftsbiträdet sådana personuppgifter som är nödvändiga för att uppnå ändamålet för behandlingen. 

4 Behandling av personuppgifter av Personuppgiftsbiträdet

Personuppgiftsbiträdets skyldigheter

4.1 Enligt punkt 1.2 ovan, ska den Personuppgiftsansvarige genom detta Biträdesavtal och Användaravtal ge instruktioner till Personuppgiftsbiträdet om hur Personuppgiftsbiträdet ska behandla personuppgifter och fullgöra sina skyldigheter enligt Biträdesavtalet och Gällande dataskyddslagstiftning för den Personuppgiftsansvariges räkning.

För vidare behandling utöver Biträdesavtal och Användaravtalen, ska den Personuppgiftsansvarige tillhandahålla kompletterande instruktioner till Personuppgiftsbiträdet.

Instruktionerna ska vara skriftliga och den Personuppgiftsansvarige ansvarar för att de kompletterande skriftliga instruktionerna är tillåtna enligt punkt 3.1 och 3.2, ovan. Skulle instruktionerna strida mot punkt 3.1 eller 3.2 ovan, förbehåller sig Personuppgiftsbiträdet att vägra tillmötesgå den kompletterande behandlingen.

4.2 Personuppgiftsbiträdet får endast behandla personuppgifter enligt Personuppgiftsansvariges instruktion och enligt Gällande dataskyddslagstiftning.

Uppmärksammar Personuppgiftsbiträdet att den Personuppgiftsansvarige har lämnat felaktiga, ofullständiga eller bristfälliga instruktioner, ska denna utan oskäligt dröjsmål skriftligen meddela den Personuppgiftsansvarige om detta.

Personuppgiftsbiträdets uppgifter

4.3 Personuppgiftsbiträdet behandlar personuppgifter åt den Personuppgiftsansvarige genom att tillåta lagring på Personuppgiftsbiträdets servrar. Lagring innefattar även back-up-hantering enligt Användaravtalet.

Personuppgiftsbiträdet behandlar även kontaktuppgifter till Personuppgiftsansvariges användare av tjänsten, för att kunna uppfylla sina förpliktelser i enlighet med Användaravtalet.

Kontakt med tillsynsmyndighet

4.4 Personuppgiftsbiträdet får inte företräda den Personuppgiftsansvarige inför Behörig tillsynsmyndighet.

Personuppgiftsbiträdet ska skriftligen informera den Personuppgiftsansvarige om kontakter som denna haft med Behörig tillsynsmyndighet avseende behandling av personuppgifter.

Förfrågan från en registrerad

4.5 Förfrågan från en registrerad ställd till Personuppgiftsbiträdet om hur dennes eller dennas personuppgifter behandlas, ska utan oskäligt dröjsmål vidarebefordras till den Personuppgiftsansvarige. Personuppgiftsbiträdet får endast efter ett skriftligt godkännande av den Personuppgiftsansvarige lämna ut information till den registrerade om hur dennes eller dennas personuppgifter behandlas, såvida det inte finns en laglig skyldighet för Personuppgiftsbiträdet att tillhandahålla informationen.

5 Personuppgiftsbiträdets organisatoriska och tekniska kapacitet

Personuppgiftsbiträdets ansvar

5.1 Personuppgiftsbiträdet intygar genom detta Biträdesavtal att denne besitter tillräcklig och nödvändig teknisk och organisatorisk kapacitet samt förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska- och personella resurser, rutiner och metoder för att kunna fullgöra sina skyldigheter enligt detta Biträdesavtal och Gällande dataskyddslagstiftning.

5.2 Inom ramen för Personuppgiftsbiträdets rättsliga skyldigheter ska Personuppgiftsbiträdet bistå den Personuppgiftsansvarige med att fullgöra sina skyldigheter enligt Gällande dataskyddslagstiftning.

Avser den Personuppgiftsansvariges begäran enligt första stycket ovan, samverkan avseende konsekvensbedömningar för dataskydd, samverkan avseende förhandssamråd med Integritetsmyndigheten eller annan behörig tillsynsmyndighet eller samverkan avseende utformningen av tekniska och organisatoriska åtgärder för dataskydd hos den Personuppgiftsansvarige, är Personuppgiftsbiträdet berättigat till ersättning enligt vid var tid gällande timtaxa.

Personuppgiftsbiträdet ska skriftligen informera den Personuppgiftsansvarige om att det begärda arbetet ska debiteras i enlighet med vid var tid gällande timtaxa innan ett sådant arbete kan påbörjas.

6 Säkerhet och sekretess

Sekretess mellan Parterna

6.1 Samtliga representanter för Personuppgiftsbiträdet har genom sitt anställningsavtal tecknat ett sekretessavtal som omfattar samtlig behandling av personuppgifter åt Personuppgiftsansvarigs räkning som utförs inom Tjänsten.

Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder samt rutiner begränsa tillgången till personuppgifter till endast behörig personal. Detta ska särskilt ske genom att all personal som hanterar personuppgifter för Personbiträdets räkning har genomgått särskild utbildning avseende dataskydd samt att all personuppgiftshantering övervakas av en särskilt utsedd arbetsledare med goda kunskaper och erfarenheter inom Gällande dataskyddslagstiftning.

Utlämnande av Personuppgifter

Personuppgiftsbiträdet får inte lämna ut Personuppgifter utan den Personuppgiftsansvariges skriftliga godkännande, om det inte finns en skyldighet för Personuppgiftsbiträdet enligt Gällande dataskyddslagstiftning att lämna ut Personuppgifterna.

Vid personuppgiftsincident

6.2 Personuppgiftsbiträdet ska utan oskäligt dröjsmål och inte senare än tjugofyra (24) timmar, från att det kommit till Personuppgiftsbiträdets kännedom, underrätta den Personuppgiftsansvarige om förekomsten av, eller risken för en personuppgiftsincident. 

Underrättelse enligt första stycket, ovan, ska innehålla all nödvändig och tillgänglig information som den Personuppgiftsansvarige för att utreda en inträffad eller befarad personuppgiftsincident.

7 Underbiträden

7.1 För att Personuppgiftsbiträdet ska kunna uppfylla skyldigheterna enligt Tjänsteavtalet och detta Avtal har Personuppgiftsbiträdet rätt att anlita underbiträde. Om Personuppgiftsbiträdet avser att lägga till ett underbiträde kommer Personuppgiftsbiträdet att informera om detta så att den Personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.

7.2 Om Personuppgiftsbiträdet anlitar underbiträde ska Personuppgiftsbiträdet ingå särskilt personuppgiftsbiträdesavtal med sådant underbiträde vad avser underbiträdets behandling av personuppgifter. I ett sådant avtal ska det framgå att underbiträdet har motsvarande skyldigheter som Personuppgiftsbiträdet har enligt detta Avtal.

7.3 Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran tillhandahålla kopia av de delar av Personuppgiftsbiträdets avtal med underbiträde som krävs för att utvisa att Personuppgiftsbiträdet uppfyllt sina åtaganden enligt detta Avtal.

8 Kommunikation mellan Parterna

All kommunikation mellan parterna ska i första hand ske skriftligt och i andra hand ska den ske muntligt. Kommunikationen ska i första hand ske på svenska och i andra hand på engelska.

9 Tillämplig lag och tvist

Tvist avseende tolkning eller tillämpning av detta Biträdesavtal ska avgöras enligt bestämmelserna om tillämplig lag och tvist i Användaravtalet. Användaravtalet har vid tvist om tolkning eller tillämpning tolkningsföreträde.

 

 

 

Share This