Parter

Förbergs IT AB 556973–7884 (nedan kallad Personuppgiftsansvarig eller Bolaget) och Kunden (Nedan kallad Personuppgiftsbiträde) har denna dag ingått följande Personuppgiftsbiträdesavtal (nedan kallat Avtal).

Definitioner

Begrepp och definitioner i detta Avtal ska ha motsvarande betydelse som i europaparlamentets och Rådets förordning (EU) 2016/279 (nedan kallad dataskyddsförordningen) samt tolkas som tillämpas i enlighet med Tillämplig dataskyddslagstiftning. Detta innebär bland annat följande:

BEHANDLING

avser en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, så som insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

TILLÄMPLIG DATASKYDDSLAGSTIFTNING

avser Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG och de nationella lagar som stiftas till följd av denna förordning. ”Tillämplig dataskyddslagstiftning” inkluderar även banande vägledningar, utlåtanden, rekommendationer och beslut från tillsynsmyndigheter, domstol eller annan myndighet.

PERSONUPPGIFTSANSVARIG

den som på egen hand eller tillsammans med andra, fastställer ändamål och medel för behandlingen av personuppgifterna.

PERSONUPPGIFTSBITRÄDE

Personuppgiftsbiträdeavser den som behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige.

 

PERSONUPPGIFTER

varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifikator som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

 

PERSONUPPGIFTSINCIDENT

avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Innehåll och syfte

Den Personuppgiftsansvarige och Personuppgiftsbiträdet har ingått detta Avtal angående de tjänster som Personuppgiftsbiträdet ska tillhandahålla den Personuppgiftsansvarige. Med anledning av detta Avtal kommer Personuppgiftsbiträdet att behandla personuppgifter för Personuppgiftsansvariges räkning. Detta Avtal har upprättats för att bland annat uppfylla kravet i artikel 28 i dataskyddsförordningen om att det ska finnas ett skriftligt avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde för behandling av personuppgifter.

Behandling av personuppgifter

Den Personuppgiftsansvarige garanterar att denne har rätt att behandla personuppgifter samt att behandlingen är i enlighet med Tillämplig dataskyddslagstiftning.

Personuppgiftsbiträdet åtar sig att endast behandla personuppgifter i enlighet med Avtalet och med den Personuppgiftsansvariges instruktioner enligt bilaga 1 i detta Avtal. Personuppgiftsbiträdet ska vid behandling av personuppgifter följa Tillämplig dataskyddslagstiftning.

Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet saknar instruktion om hur denne ska behandla personuppgifter i en specifik situation eller om en instruktion enligt detta avtal eller i annat fall strider mot Tillämplig dataskyddslagstiftning.

Personuppgiftsbiträdet får inte, utan föreläggande från relevant myndighet eller tvingande lagstiftning:

  • samla in eller lämna ut personuppgifter från eller till någon tredje part om inte annat skriftligen har överenskommits,
  • ändra metod för behandling,
  • kopiera eller återskapa personuppgifter eller
  • på något annat sätt behandla personuppgifter för andra ändamål än de som anges i Avtalet.

För det fall att registrerad, Datainspektionen eller annan tredje man begär information från Personuppgiftsbiträdet som rör behandling av personuppgifter enligt detta avtal, ska Personuppgiftsbiträdet hänvisa till Personuppgiftsansvarig. Personuppgiftsbiträdet får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan uttrycklig instruktion från Personuppgiftsansvarig.

Personuppgiftsbiträdet ska utan dröjsmål informera Bolaget om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandlingen av personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarig räkning gentemot Datainspektionen eller annan tredje man.

Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med att ta fram information som begärts av Datainspektionen eller av registrerad.

Personuppgiftsbiträdet ska när detta avtal upphör att gälla överlämna personuppgifter i det format som den Personuppgiftsansvarige begär och se till att det inte finns några personuppgifter kvar hos Personuppgiftsbiträdet eller, enligt skriftlig överenskommelse mellan parterna radera alla data som innehåller personuppgifter, samt, efter Personuppgiftsansvariges anfordran, skriftligen bekräfta att personuppgifterna har utplånats på samtliga media som har använts för behandlingen på ett sådant sätt att de inte kan återskapas. Personuppgiftsbiträdet ska säkerställa att Underbiträde vidtar samma åtgärder.

Överföring till tredje land

Överföring av personuppgifter till en stat utanför EU och EES kräver den Personuppgiftsansvariges skriftliga samtycke i förväg och får endast ske om de villkor för överföring till tredje länder som framgår av Tillämplig dataskyddslagstiftning har uppfyllts.

Säkerhet

Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska innebära en säkerhetsnivå som överensstämmer med Tillämplig dataskyddslagstiftning och som är lämplig med beaktande av:

  • de tekniska möjligheter som finns,
  • vad det skulle kosta att genomföra åtgärderna,
  • de särskilda risker som finns med behandlingen av personuppgifterna och
  • hur pass känsliga de behandlade personuppgifterna är.

Avtalade åtgärder, vilka uppfyller denna punkt, ska åstadkomma en säkerhetsnivå som Personuppgiftsansvarig bedömer lämplig.

Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens omfattning, sammanhang och ändamål samt riskerna för fysiska personens rättigheter och friheter, ska Personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna, inbegripet, när det är lämpligt

  • pseudonymisering och kryptering av personuppgifter,
  • förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos de system och tjänster som behandlar personuppgifter,
  • förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, och
  • ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

Personuppgiftsansvarige har rätt att vidta nödvändiga åtgärder för att förvissa sig om att Personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som ska vidtas enligt ovan, samt för att förvissa sig om att Personuppgiftsbiträdet verkligen vidtar dessa åtgärder. Personuppgiftsbiträdet åtar sig att se till att Personuppgiftsansvarige får den assistans som skäligen kan krävas för att på ett enkelt sätt ska kunna förvissa sig om detta.

Immateriella rättigheter

Samtliga immateriella rättigheter till samlingen av personuppgifter tillkommer den Personuppgiftsansvarige och Personuppgiftsbiträdet får endast en icke-exklusiv rätt att nyttja personuppgifterna för utförandet av uppdrag enligt detta avtal.

Sekretess

Personuppgiftsbiträdet är skyldigt att säkerställa att endast personer som har ett direkt behov av tillgång till Personuppgifter för att kunna infria Personuppgiftsbiträdets åtaganden i enlighet med Avtalet har tillgång till sådan information. Personuppgiftsbiträdet ska se till att samtliga anställda, konsulter och övriga som är involverade i behandlingen är bundna av sekretess samt att de är informerade om hur behandling av personuppgifterna får ske.

Underbiträden

För att Personuppgiftsbiträdet ska kunna uppfylla skyldigheterna enligt Avtalet och detta Avtal har Personuppgiftsbiträdet rätt att anlita underbiträde. Den Personuppgiftsansvarige samtycker till att de underbiträden som listas i Bilaga 2 kan komma att anlitas som underbiträde. Om Personuppgiftsbiträdet avser att ändra, ta bort eller lägga till ett underbiträde kommer Personuppgiftsbiträdet att informera om detta så att den Personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.

Om Personuppgiftsbiträdet anlitar underbiträde ska Personuppgiftsbiträdet ingå särskilt personuppgiftsbiträdesavtal med sådant underbiträde vad avser underbiträdets behandling av personuppgifter. I ett sådan avtal ska det framgå att underbiträdet har motsvarande skyldigheter som Personuppgiftsbiträdet har enligt detta Avtal. Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran tillhandahålla kopia av de delar av Personuppgiftsbiträdets avtal med underbiträde som krävs för att utvisa att Personuppgiftsbiträdet uppfyllt sina åtaganden enligt detta Avtal.

Assistans

Personuppgiftsbiträdet ska, med hänsyn taget till behandlingens art, hjälpa Personuppgiftsansvarig genom lämplig tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Personuppgiftsansvarig kan fullgöra sin skyldighet att svara när den Registrerade vill utöva sina rättigheter.

Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med att se till att den Personuppgiftsansvarige kan uppfylla sina rättliga skyldigheter som Personuppgiftsansvarig enligt Tillämplig dataskyddslagstiftning.

Granskning

Den Personuppgiftsansvarige äger rätt att, själv eller genom tredje man, genomföra revision gentemot Personuppgiftsbiträdet eller på annat sätt kontrollera att personuppgiftsbiträdets behandling av personuppgifter följer detta Avtal. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge Personuppgiftsansvarige den assistans som behövs för genomförandet.

Personuppgiftsincident

Vid en personuppgiftsincident som omfattar personuppgifter som behandlas på uppdrag av den Personuppgiftsansvarige ska Personuppgiftsbiträdet omedelbart undersöka incidenten och vidta lämpliga åtgärder för att mildra dess potentiella negativa effekt och förhindra upprepning. Personuppgiftsbiträdet ska även omedelbart tillhandahålla Personuppgiftsansvarig en beskrivning av incidenten. Beskrivningen ska åtminstone

  • beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
  • förmedla namnet på den person som kan tillhandahålla mer information eller svara på frågor,
  • beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
  • beskriva de åtgärder som Personuppgiftsbiträdet har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

Ersättning

Personuppgiftsbiträdet har inte rätt till särskild ersättning för behandling av personuppgifter enligt detta Avtal.

Ansvar gentemot tredje man

För det fall registrerad, eller annan tredje man riktar anspråk mot den Personuppgiftsansvarige på grund av Personuppgiftsbiträdets behandling av personuppgifter ska Personuppgiftsbiträdet hålla Personuppgiftsansvarige skadeslös för sådana krav som följer av att Personuppgiftsbiträdet inte behandlat personuppgifterna i enlighet med personuppgiftslagen.

Avtalets upphörande

Villkoren i detta Avtal ska gälla så länge Personuppgiftsbiträdet behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige.

Ändringar

Ändringar eller tillägg till Avtalet ska göras skriftligen och undertecknas av båda Parterna.

Tvist

Tvist angående tolkning eller tillämpning av detta Avtal ska avgöras enligt svenska lag och Avtalets bestämmelse om tvist. Om Avtalet inte innehåller någon sådan bestämmelse gäller att tvist ska avgöras av svenska allmän domstol.

Av detta Avtal har två originalexemplar upprättats och utväxlats mellan parterna.

 

Ort Datum
 

 

Underskrift av behörig för Personuppgiftsansvarig Underskrift av behörig för Personuppgiftsbiträde
 

 

Namnförtydligande Namnförtydligande