Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL – TILLÄGG TILL ABONNEMANGSAVTAL

PARTER

Personuppgiftsbiträde

Redlight Media AB, org nr 556958-1654, Rossnäsvägen 23, 811 93 Sandviken (nedan benämnd Personuppgiftsbiträde).

och

Personuppgiftsansvarig

Företag, förening eller organisation som abonnerar på av Redlight Media AB tillhandahållna tjänster så som bl.a. e-handelslösning, tillägg till e-handelsplattform i form av Swish, BankID etc. (nedan benämnd Personuppgiftsansvarig eller Kunden)

BAKGRUND

Den Personuppgiftsansvarige och Personuppgiftsbiträdet har ingått avtal avseende abonnemang av olika webblösningar så som bl.a. e-handelslösning, tillägg till e-handelsplattform i form av Swish, BankID etc. härefter benämnt Huvudavtalet. Med anledning av ovan nämnda Huvudavtal får Personuppgiftsbiträdet tillgång till personuppgifter för vilka kunden, är personuppgiftsansvarig. Detta personuppgiftsbiträdesavtal utgör en obligatorisk bilaga till Huvudavtalet och syftar till att säkerställa att Personuppgiftsbiträdets behandling av personuppgifter för Personuppgiftsansvariges räkning sker i enlighet med tillämplig dataskyddslagstifning och enligt vad som överenskommits i detta avtal.

Kunden ger genom bekräftelse av att detta Personuppgiftbiträdesavtal utgör en bilaga till Huvudavtalet Personuppgiftsbiträdet uppgift att behandla personuppgifter i enlighet med villkoren i detta avtal. 

  1. DEFINITIONER

I detta personuppgiftsbiträdesavtal ska följande uttryck ha den betydelse som anges nedan:

”tillämplig dataskyddslagstiftning”betyder alla tvingande nationella och internationella lagar och regelverk om dataskydd som gäller vid var tid under detta personuppgiftsbiträdesavtals avtalstid för den Personuppgiftsansvarige respektive Personuppgiftsbiträdet. däribland EU:s allmänna dataskyddsförordning (GDPR) som trädde i kraft den 25 maj 2018. 
”Personuppgiftsansvarig”betyder den juridiska person som enligt detta personuppgiftsbiträdesavtal bestämmer ändamålen och medlen för behandlingen av personuppgifter;
”Personuppgiftsbiträde”betyder den juridiska person som behandlar personuppgifter för den Personuppgiftsansvariges räkning enligt detta personuppgiftsbiträdesavtal; 
”personuppgifter”betyder varje upplysning som avser en identifierad eller identifierbar fysisk person;
”behandling” betyder en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, utplåning eller förstöring.
”underbiträde”betyder en underleverantör som anlitats av Personuppgiftsbiträdet och som ska behandla personuppgifter för den Personuppgiftsansvariges räkning i enlighet med underleverantörens uppdrag att tillhandahålla tjänsten.
  1. BEHANDLING AV PERSONUPPGIFTER
    1. Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifter i enlighet med dokumenterade instruktioner som från tid till annan meddelats av den Personuppgiftsansvarige. Personuppgiftsbiträdet får inte behandla Personuppgifterna för egna ändamål.
    2. När Personuppgiftsbiträdet behandlar personuppgifter enligt detta personuppgiftsbiträdesavtal ska denne uppfylla alla tillämpliga dataskyddslagar och tillämpliga rekommendationer från Datainspektionen och andra behöriga myndigheter. 
    3. Personuppgiftsbiträdet ska biträda den Personuppgiftsansvarige vid fullgörandet av sina skyldigheter enligt tillämplig dataskyddslagstiftning, innefattande men inte begränsat till den Personuppgiftsansvariges skyldighet att hantera krav gällande utövande av de registrerade personernas rättigheter till information om behandlingen av deras personuppgifter (registerutdrag) och till att få personuppgifter rättade, blockerade eller utplånade. 
    4. Personuppgiftsbiträdet får vidare inte vidta någon åtgärd som kan medföra att den Personuppgiftsansvarige bryter mot tillämplig dataskyddslagstiftning.
    5. Personuppgiftsbiträdet ska omgående meddela den Personuppgiftsansvarige om Personuppgiftsbiträdet saknar en instruktion för hur personuppgifter ska behandlas i en specifik situation eller om en instruktion som utfärdats enligt detta personuppgiftsbiträdesavtal strider mot tillämplig dataskyddslagstiftning. 
    6. Om registrerad person, behörig myndighet eller annan tredje part begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal ska Personuppgiftsbiträdet hänskjuta sådan begäran till den Personuppgiftsansvarige. Personuppgiftsbiträdet ska vid behov assistera Personuppgiftsansvarig med att ta fram information som begärts.
    7. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarigs räkning gentemot tredjeman. 
  2. UNDERBITRÄDE
    1. Personuppgiftsbiträdet får inte anlita underbiträde utan föregående särskilt eller allmänt medgivande från den Personuppgiftsansvarige. Om ett allmänt medgivande har erhållits, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om eventuella planer på att anlita nya underbiträden eller ersätta underbiträden, med rätt för den Personuppgiftsansvarige att göra invändningar mot sådana förändringar.
    2. Personuppgiftsbiträdet ska tillse att alla godkända underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt detta personuppgiftsbiträdesavtal.  
    3. Den Personuppgiftsansvarige får begära att Personuppgiftsbiträdet granskar underbiträdet eller bekräftar att sådan granskning har skett eller, när sådan finns, inhämta eller biträda den Personuppgiftsansvarige med att inhämta en granskningsrapport av tredje part beträffande underbiträdets verksamhet för att säkerställa efterlevnaden av tillämplig dataskyddslagstiftning. Den Personuppgiftsansvarige har också rätt att efter skriftlig begäran erhålla kopior på de relevanta villkoren i Personuppgiftsbiträdets avtal med de underbiträden som får behandla personuppgifter. 
    4. Personuppgiftsbiträdet är ansvarig gentemot den Personuppgiftsansvarige för underbiträdets utförande av sina förpliktelser.
  3. ÖVERFÖRING TILL TREDJE LAND
    1. Personuppgiftsbiträdet får inte, utan föregående skriftligt medgivande från den Personuppgiftsansvarige, överföra personuppgifter utanför Europeiska Ekonomiska Samarbetsområdet. Om den Personuppgiftsansvarige godkänner sådan överföring ska parterna ingå bindande avtal enligt EU:s tillämpliga standardklausuler (Kommissionens beslut om standardavtalsklausuler för överföring av personuppgifter till tredjeland). Anslutningen till ”Ramen för skölden för skydd av privatlivet”, som antogs av Europeiska kommissionen den 12 juli 2016, utgör ett alternativ till EU:s standardklausuler för Personuppgiftsbiträden som finns i USA.
    2. Om den Personuppgiftsansvarige godkänner underbiträden som finns utanför det Europeiska Ekonomiska Samarbetsområdet, ska Personuppgiftsbiträdet ingå bindande avtal med den juridiska person som finns utanför det Europeiska Ekonomiska Samarbetsområdet, i den Personuppgiftsansvariges namn och för dennes räkning, enligt EU:s standardklausuler, som ska avspegla instruktionerna för behandlingen. Anslutningen till ”Ramen för skölden för skydd av privatlivet”, som antogs av Europeiska kommissionen den 12 juli 2016, utgör ett alternativ till EU:s standardklausuler för Personuppgiftsbiträden som finns i USA. 
  4. DATASÄKERHET OCH SEKRETESS
    1. För att biträda den Personuppgiftsansvarige vid fullgörandet av dennes rättsliga förpliktelser innefattande men inte begränsat till säkerhetsåtgärder och riskbedömningar, är Personuppgiftsbiträdet skyldig att vidta de tekniska och organisatoriska åtgärder som krävs för att skydda de personuppgifter som behandlas, samt att därvid iaktta de skriftliga säkerhetskrav och riktlinjer som från tid till annan meddelats av den Personuppgiftsansvarige. 
    2. Personuppgiftsbiträdet ska kontinuerligt bibehålla en adekvat säkerhet för personuppgifterna. Personuppgiftsbiträdet ska skydda personuppgifterna mot förstörelse, ändring, olaglig spridning och obehörig åtkomst. Personuppgifterna ska även skyddas mot alla övriga former av olaglig behandling. 
    3. Personuppgiftsbiträdet ska om möjligt underrätta den Personuppgiftsansvarige och vidta alla nödvändiga åtgärder vid oavsiktlig eller obehörig åtkomst av personuppgifter eller annan säkerhetsincident (personuppgiftsincident) omgående, eller åtminstone inom 24 timmar efter det att Personuppgiftsbiträdet fick vetskap om sådan incident. 
    4. Personuppgiftsbiträdet förbinder sig att inte utan föregående skriftligt medgivande av den Personuppgiftsansvarige utlämna eller på annat sätt göra personuppgifter som behandlats enligt detta personuppgiftsbiträdesavtal tillgängliga för tredje part, med undantag för underbiträde som anlitats enligt detta personuppgiftsbiträdesavtal. För tydlighetens skull ger den Personuppgiftsansvarige Personuppgiftsbiträdet rätt att göra personuppgifter som behandlats enligt detta personuppgiftsbiträdesavtal tillgängliga för tredje part i den mån så krävs enligt avtal med t.ex. bank avseende tjänster för BankID, Swish etc. 
    5. Personuppgiftsbiträdet är skyldig att säkerställa att endast sådan personal som direkt måste ha tillgång till personuppgifter för att kunna fullgöra Personuppgiftsbiträdets skyldigheter enligt detta personuppgiftsbiträdesavtal får tillgång till sådana uppgifter. Personuppgiftsbiträdet ska säkerställa att sådan personal omfattas av en sekretessförbindelse avseende dessa personuppgifter som motsvarar vad som gäller för Personuppgiftsbiträdet enligt detta personuppgiftsbiträdesavtal. 
  1. AVTALSTID 

Bestämmelserna i detta personuppgiftsbiträdesavtal ska gälla så länge som Personuppgiftsbiträdet med stöd av Huvudavtalet behandlar personuppgifter för vilka den Personuppgiftsansvarige är personuppgiftsansvarig. 

  1. TILLÄMPLIG LAG OCH TVISTELÖSNING

Detta avtal ska regleras av och tolkas enligt svensk materiell rätt. Tvister i anledning av avtalet ska slutligt avgöras av svensk allmän domstol med Gävle tingsrätt som säte. 

  1. ÅTGÄRDER NÄR BEHANDLINGEN AV PERSONUPPGIFTER AVSLUTATS
    1. När detta personuppgiftsbiträdesavtal upphör ska Personuppgiftsbiträdet, efter den Personuppgiftsansvariges beslut som meddelas till Personuppgiftsbiträdet, förstöra eller återlämna alla personuppgifter till den Personuppgiftsansvarige och tillse att alla underbiträden gör detsamma.
    2. På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna efter behandlingens avslutande.  
  2. ERSÄTTNING

Personuppgiftsbiträdet rätt till ersättning för fullgörandet av sina skyldigheter enligt detta personuppgiftsbiträdesavtal regleras av Huvudavtalet.

  1. ÖVRIGT
    1. I händelse av motstridiga uppgifter mellan personuppgiftsbiträdesavtalet och Huvudavtalet har Huvudavtalet företräde framför detta personuppgiftsbiträdesavtal. 
    2. Personuppgiftsbiträdet får inte överlåta detta avtal utan den Personuppgiftsansvariges skriftliga godkännande.