Biträdesavtal personuppgifter

1. Bakgrund

Detta Personuppgiftsbiträdesavtal (PUB-avtalet) ska anses gällande i samband vid tecknande av ”Huvudavtalet”. Inom ramen för Personuppgiftsbiträdets tillhandahållande av tjänster enligt Huvudavtalet kan Personuppgiftsbiträdet komma att Behandla Personuppgifter. Med anledning av detta ingår Parterna detta PUB-avtal, vilket följer av lag, för att reglera förutsättningarna för Personuppgiftsbiträdets Behandling av – och tillgång till – Personuppgifter tillhöriga kunden. PUB-avtalet gäller för samtliga mellan Parterna tecknade avtal där Kunden är personuppgiftsbiträde till kunden och PUB-avtalet gäller så länge Personuppgiftsbiträdet Behandlar Personuppgifter för kundens räkning.

2. Bilagor

PUB-avtalet består av detta avtal och nedan angivna bilagor samt eventuella ändringar och tillägg:

För det fall att handlingarnas innehåll inte överensstämmer har PUB-avtalet företräde framför bilagan/bilagorna. Vid eventuell motstridighet mellan vad som anges i PUB-avtalet och vad som anges i Huvudavtalet avseende Behandling av Personuppgifter, äger bestämmelsen i detta PUB-avtal företräde i den utsträckning bestämmelsen i detta PUB-avtal innebär ett bättre skydd för de Personuppgifter som Behandlas.

3. Definitioner

I PUB-avtalet ska följande definitioner ha den betydelse som anges nedan:
Behandling”, ”Personuppgiftsansvarig”, ”Personuppgifter”, ”Personuppgiftsbiträde”,
Personuppgiftsincident”, samt ”Registrerad” ska ha samma innebörd som i Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (”Dataskyddsförordningen”);

Instruktion”/”Instruktioner” betyder de skriftliga instruktioner som närmare anger föremål, varaktighet, art och ändamål, typ av Personuppgifter samt kategorier av Registrerade och särskilda behov som omfattas av Behandlingen;

Tillämplig Lagstiftning” betyder från tid till annan gällande lagstiftning, förordningar och föreskrifter i EU och i relevanta medlemsstater som är tillämplig på Personuppgiftsbiträdet och kunden;

Tillämplig Dataskyddslagstiftning” betyder bestämmelser och praxis hänförlig till Dataskyddsförordningen, nationell kompletteringslagstiftning till Dataskyddsförordningen, tillsynsmyndigheters inkl. Europeiska dataskyddsstyrelsen föreskrifter och yttranden och kommissionens rättsakter på dataskyddsområdet;

Tredje Land” betyder en stat som inte ingår i Europeiska unionen (EU) eller är ansluten till det europeiska ekonomiska samarbetsområdet (EES).

Underbiträde” betyder fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som i egenskap av underleverantör till Personuppgiftsbiträdet Behandlar Personuppgifter för Personuppgiftsansvariges räkning.

4. Personuppgiftsansvar

4.1. Kunden bestämmer över ändamålen med och medlen för Behandlingen av Personuppgifterna och är därför ansvarig för Behandlingen. Personuppgiftsbiträdet behandlar Personuppgifter för Kundens räkning och är därmed att se som Personuppgiftsbiträde.

4.2. Kundens ansvar innefattar bland annat att Behandlingen av Personuppgifterna sker i enlighet med PUB-avtalet, Tillämplig Dataskyddslagstiftning, Tillämplig Lagstiftning, att det finns rättslig grund för Behandlingen och att de Registrerade informeras av Behandlingen.

4.3. Kunden ska tillhandahålla Personuppgiftsbiträdet med Instruktioner samt med den information och de Personuppgifter som behövs och är ändamålsenliga för att denne ska kunna fullgöra sina skyldigheter enligt PUB-avtalet och Tillämplig Dataskyddslagstiftning.

4.4. Kunden ska utan onödigt dröjsmål informera Personuppgiftsbiträdet om förändringar i Behandlingen vilka påverkar Personuppgiftsbiträdets skyldigheter enligt Tillämplig Dataskyddslagstiftning.

5. Personuppgiftsbiträdets skyldigheter

Behandling av Personuppgifter

5.1. Personuppgiftsbiträdet förbinder sig att endast Behandla Personuppgifter i enlighet med PUB-avtalet, Instruktioner och Huvudavtalet samt att följa Tillämplig Dataskyddslagstiftning. Personuppgiftsbiträdet förbinder sig även att fortlöpande hålla sig informerad om gällande rätt på området.

5.2. Personuppgiftsbiträdet har rätt att Behandla Personuppgifter i den utsträckning som krävs för att Personuppgiftsbiträdet ska kunna uppfylla skyldigheter som åvilar Personuppgiftsbiträdet och som följer av från tid till annan Tillämplig Lagstiftning. Det ankommer dock på Personuppgiftsbiträdet att informera Kunden om den rättsliga skyldigheten, såvida inte Personuppgiftsbiträdet är förhindrad enligt Tillämplig Lagstiftning att lämna sådan information.

5.3. Personuppgiftsbiträdet får inte, utan Kundens skriftliga godkännande, föreläggande från relevant tillsynsmyndighet eller

Tillämplig Lagstiftning:

  • samla in eller lämna ut Personuppgifter från eller till någon tredje part om inte annat skriftligen överenskommits,
  • ändra metod för Behandling,
  • kopiera eller återskapa Personuppgifter, eller
  • på något annat sätt Behandla Personuppgifter för andra ändamål än dem som anges i Instruktionerna.

5.4. Personuppgiftsbiträdet ska utan dröjsmål informera Kunden om all kontakt med Registrerade, tillsynsmyndighet eller annan tredje man, som avser Personuppgiftsbiträdets behandling av Personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda Kunden eller på annat sätt agera för Kundens räkning gentemot Registrerade, tillsynsmyndighet eller annan tredje man.

5.5. Personuppgiftsbiträdet åtar sig att säkerställa att samtliga fysiska personer som arbetar under dess ledning följer PUB-avtalet samt Instruktionerna och att de fysiska personerna informeras om Tillämplig Dataskyddslagstiftning samt att de fysiska personerna har tillräcklig kunskap och utbildning för att utföra Behandlingen.

5.6. Personuppgiftsbiträdet ska genomföra ändringar, raderingar, begränsningar och överföringar på Kundens uttryckliga begäran, dock inte om en sådan begäran strider mot PUB-avtalet eller Tillämplig Lagstiftning/Dataskyddslagstiftning.

5.7. Personuppgiftsbiträdet garanterar att denne besitter nödvändig kapacitet och förmåga att fullgöra sina skyldigheter enligt PUB-avtalet och Tillämplig Dataskyddslagstiftning.

Bistå Kunden

5.8. Personuppgiftsbiträdet ska på begäran från Kunden bistå denne om möjligt, att uppfylla tillämpliga delar av de skyldigheter som följer av artikel 32–36 i Dataskyddsförordningen fullgörs och svara på begäran om utövande av den Registrerades rättigheter i enlighet med Dataskyddsförordningen, kap. III, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå.

5.9. Personuppgiftsbiträdet ska vidta de tekniska och organisatoriska åtgärder som är nödvändiga för att Kunden ska kunna fullgöra sin skyldighet att svara på en begäran om utövande av en Registrerads rättighet som tillkommer en Registrerad enligt Tillämplig Dataskyddslagstiftning.

5.10. Personuppgiftsbiträdet ska vidare, på begäran, bistå Kunden med nödvändig information för att Kunden, i förekommande fall, ska kunna uppfylla sina skyldigheter att genomföra konsekvensbedömning och förhandssamråd med berörda tillsynsmyndigheter avseende den Behandling av Personuppgifter som omfattas av PUB-avtalet.

Information

5.11. För det fall att Personuppgiftsbiträdet finner att Instruktioner är otydliga, i strid med Tillämplig Dataskyddslagstiftning eller saknas och Personuppgiftsbiträdet bedömer att nya eller kompletterande Instruktioner är nödvändiga för att genomföra sina åtaganden ska Personuppgiftsbiträdet utan dröjsmål informera Kunden, tillfälligt upphöra med Behandlingen och invänta nya Instruktioner.

5.12. För det fall att Kunden förser Personuppgiftsbiträdet med nya eller ändrade Instruktioner ska Personuppgiftsbiträdet, utan onödigt dröjsmål från mottagandet, meddela Kunden huruvida genomförandet av de nya Instruktionerna föranleder förändrade kostnader för Personuppgiftsbiträdet.
5.13. Om Personuppgiftsbiträdet avser att genomföra förändringar av hur Personuppgifter Behandlas eller i övrigt genomföra förändringar som kan påverka säkerheten för de Registrerade, de Registrerades rättigheter eller efterlevnaden av PUB-avtalet eller gällande rätt ska Personuppgiftsbiträdet skriftligen informera Kunden i förväg. Kunden ska ge sitt godkännande till sådana förändringar.

Förteckning

5.14. Personuppgiftsbiträdet ska upprätta en skriftlig förteckning, inbegripet i elektronisk form, över alla kategorier av Behandling som utförs för Kundens räkning. Förteckningen ska omfattas namn och kontaktuppgifter för Personuppgiftsbiträdet (i tillämpliga fall även dess Dataskyddsombud), de kategorier av Behandling som utförs för Kundens räkning, information om överföringar av Personuppgifter till ett tredjeland eller en internationell organisation (inbegripet identifiering av tredjelandet eller den internationella organisationen och dokumentationen av lämpliga skyddsåtgärder) samt en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna för Behandlingen.

Säkerhetsåtgärder

Skyldighet att vidta tekniska och organisatoriska åtgärder för att skydda Personuppgifter
5.15. Personuppgiftsbiträdet ska utvärdera riskerna med Behandlingen och med beaktande av den senaste utvecklingen, genomförandekostnaderna och Behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska Personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som uppfyller i kraven i Tillämplig Dataskyddslagstiftning och är adekvat i förhållande till risken, inbegripet, när det är lämpligt:

  • pseudonymisering och kryptering av Personuppgifter,
  • förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och tjänsterna,
  • förmågan att återställa tillgängligheten och tillgången till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident, och
  • ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.

5.16. Personuppgiftbiträdet ska genom behörighetskontrollsystem endast ge åtkomst till Personuppgifterna för sådana fysiska personer som arbetar under Personuppgiftsbiträdets ledning och som behöver åtkomsten för att kunna utföra sina arbetsuppgifter.

5.17. Personuppgiftsbiträdet ska ha rutiner och verktyg som förhindrar obehörig Behandling av, eller obehörig åtkomst till, Personuppgifter. Personuppgiftsbiträdet ska kunna spåra Behandlingen av Personuppgifter genom loggning. Dessa loggar ska omfattas av erforderliga skyddsåtgärder. Loggar lagras som längst under en period av fem (5) år efter loggningstillfället, om inte annan kravställning anges i Instruktionerna.

5.18. Ytterligare information om de tekniska och organisatoriska åtgärderna följer av Instruktionerna.

Personuppgiftsincident

5.19. Vid en misstänkt eller upptäckt Personuppgiftsincident ska Personuppgiftsbiträdet omedelbart undersöka incidenten och vidta lämpliga åtgärder för att förhindra eller begränsa dess potentiella negativa effekter.

5.20. Personuppgiftsbiträdet ska underrätta Kunden utan onödigt dröjsmål efter att ha fått vetskap om en Personuppgiftsincident.

5.21. Personuppgiftsbiträdet ska lämna en beskrivning av Personuppgiftsincidenten, vilken åtminstone ska innehålla

  • beskrivning av Personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet Registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
  • namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,
  • beskrivning av de sannolika konsekvenserna av Personuppgiftsincidenten, och
  • beskrivning de åtgärder som Personuppgiftsbiträdet har vidtagit eller föreslagit för att åtgärda Personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter. Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

5.22. Ovanstående underrättelseskyldighet till Kunden gäller även om Personuppgiftsbiträdet av någon annan anledning inte kan uppfylla åtaganden enligt PUB-avtalet eller Instruktionerna alternativt får kännedom om att Personuppgifter har Behandlats i strid med PUB-avtalet.

5.23. Personuppgiftsbiträdet ska bistå Kunden med att se till att dennes skyldigheter enligt Tillämplig Dataskyddslagstiftning om Personuppgiftsincidenter fullgörs, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå. Detta gäller även om Kunden misstänkt eller upptäckt en Personuppgiftsincident.

5.24. Personuppgiftsbiträdet ska ha förmåga att återställa tillgängligheten och tillgången till Personuppgifterna i rimlig tid vid en fysisk eller teknisk incident enligt artikel 32.1.c i Dataskyddsförordningen.

6. Granskning, tillsyn och revision

6.1. Kunden äger rätt att, själv eller genom tredje man, genomföra revision gentemot Personuppgiftsbiträdet eller på annat sätt kontrollera att Personuppgiftsbiträdets Behandling av Personuppgifter följer PUB-avtalet och Tillämplig Dataskyddslagstiftning. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge Kunden den assistansen (till exempel tillgång till information, system, utrustning, lokaler och andra tillgångar) som behövs för genomförande av revision.

6.2. Kunden ska säkerställa att personal som genomför granskningen är underkastade sekretess eller tystnadsplikt enligt lag eller avtal. Sådan inspektion ska under inga omständigheter omfatta någon annan information rörande Personuppgiftsbiträdets affärsverksamhet, vilken saknar betydelse i förhållande till Personuppgiftsbiträdets Behandling av Personuppgifter för Kundens räkning.

6.3. Personuppgiftsbiträdet ska på begäran och utan onödigt dröjsmål visa att förpliktelserna enligt PUB-avtalet och Tillämplig Dataskyddslagstiftning efterlevs. Detta innefattar bland annat, men inte uteslutande, en skyldighet att tillhandahålla dokumentation, visa att godkända uppförandekoder eller certifieringar är uppfyllda samt möjliggöra och bidra till att Kunden kan utföra nödvändiga granskningar och inspektioner.

6.4. Personuppgiftsbiträdet ska ge Kunden tillgång till alla de Personuppgifter som Personuppgiftsbiträdet Behandlar för Kundens räkning. Detta innefattar även tillgång till upplysningar och handlingar som Kunden behöver för att utöva kontroll över Personuppgiftsbiträdets efterlevnad av PUB-avtalet och Tillämplig Dataskyddslagstiftning. En sådan tillgång ska ges utan oskäligt dröjsmål, men inte senare än tjugo (20) dagar från Kundens uttryckliga och skriftliga begäran.

6.5. Personuppgiftsbiträdet ska tillförsäkra Kunden rättigheter gentemot Underbiträdet vilka motsvarar Kundens samtliga rättigheter gentemot Personuppgiftsbiträdet enligt PUB-avtalet.

7. Anlitande av underbiträden

7.1. Personuppgiftsbiträdet äger rätt att anlita den eller de Underbiträden som framgår av Bilaga 2 – Underbiträden.

7.2. Personuppgiftsbiträdet ska för det fall Personuppgiftsbiträdet planerar att anlita ett Underbiträde som kan ha väsentlig inverkan på den aktuella behandlingen, utan onödigt dröjsmål, skriftligen informera Kunden om de uppgifter som följer av Bilaga 2 – Underbiträden.

7.3. Personuppgiftsbiträdet åtar sig att teckna ett skriftligt avtal med Underbiträdet som reglerar Behandlingen som Underbiträdet utför åt Kunden samt att endast anlita Underbiträden som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder så att Behandlingen uppfyller kraven Tillämplig Dataskyddslagstiftning. Underbiträdet ska åläggas samma skyldigheter som åläggs Personuppgiftsbiträdet enligt detta PUB-avtal. I avtalet mellan Personuppgiftsbiträdet och Underbiträde ska särskilt reglera att Underbiträdet inte får anlita annat Underbiträde utan skriftligt förhandstillstånd av Kunden. Personuppgiftsbiträdet ansvarar fullt ut för Underbiträdets Behandling gentemot Kunden.

7.4. Personuppgiftsbiträdet ska på Kundens begäran översända en kopia av det avtal som reglerar Underbiträdets Behandling av Personuppgifter.

7.5 Personuppgiftsbiträdet ska, innan åtgärder vidtas och under förutsättning att ansökan om Underbiträde accepterats av Kunden, informera denne om anlitande eller byte av Underbiträde. Kunden äger rätt att inom trettio (30) dagar från dag för meddelande enligt punkten 14 invända mot Personuppgiftsbiträdets anlitande av ett nytt Underbiträde och att, med anledning av sådan invändning.

7.6. När Personuppgiftsbiträdet upphör med att anlita Underbiträde ska Personuppgiftsbiträdet skriftligen meddela Kunden om att det upphör med att anlita Underbiträde.

8. Överföring till och behandling av personuppgifter i tredje land

8.1. Personuppgiftsbiträdet ska säkerställa att Personuppgifterna Behandlas inom EU/EES av en juridisk person som är etablerad inom EU/EES, om inte Parterna kommer överens om något annat.

8.2. Personuppgiftsbiträdet äger endast rätt att överföra Personuppgifter till Tredje Land för Behandling (till exempel service, support, underhåll, utveckling, drift eller liknande hantering) om Kunden på förhand skriftligen godkänt sådan överföring och utfärdat Instruktioner för detta ändamål.

8.3. Överföring till Tredje Land för Behandling enligt PUB-avtalet, får endast ske om den är förenlig med Tillämplig Dataskyddslagstiftning (främst de krav som ställs i Kapitel V) och uppfyller de krav på Behandlingen vilka ställs i PUB-avtalet och Instruktioner.

9. Sekretess

9.1. Utan att det påverkar tillämpningen av eventuella sekretessåtaganden i Huvudavtalet ska Personuppgiftsbiträdet hålla alla Personuppgifter som Behandlas för Kundens räkning strikt konfidentiella, oavsett om informationen lämnats skriftligen eller muntligen och oberoende av format. Personuppgiftsbiträdet ska således inte, direkt eller indirekt, utlämna några Personuppgifter till tredje part om inte Kunden skriftligen på förhand godkänt detta, såvida inte Personuppgiftsbiträdet är skyldig enligt Tillämplig Lagstiftning att lämna ut Personuppgifterna, eller om det är nödvändigt för fullgörandet av PUB-avtalet. Vid utlämning av Personuppgifter till tredje part ska Personuppgiftsbiträdet informera Kunden om utlämningen av Personuppgifter såvida hinder inte föreligger enligt Tillämplig Lagstiftning.

9.2. Personuppgiftsbiträdet och samtliga fysiska personer som arbetar under dess ledning ska vid Behandlingen iaktta såväl sekretess som tystnadsplikt. Personuppgifterna får inte nyttjas eller spridas för andra ändamål, varken direkt eller indirekt, såvida inte annat avtalats. Personuppgiftsbiträdet ska tillse att samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen, är bundna av sekretessförbindelse avseende Behandlingen. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag. Personuppgiftsbiträdet åtar sig även att tillse att det finns sekretessavtal med Underbiträdet samt sekretessförbindelser mellan Underbiträdet och samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen.

9.3. Kunden förbinder sig att hålla all information som Kunden erhåller avseende Personuppgiftsbiträdets säkerhetsåtgärder, rutiner, IT-system eller som annars är av konfidentiell karaktär strikt konfidentiell och att inte till någon utomstående röja konfidentiell information som härrör från Personuppgiftsbiträdet eller dess Underbiträden. Detta gäller inte för sådan information som

  • vid tidpunkten för utlämnandet är eller senare blir tillgänglig för allmänheten på annat sätt än genom överträdelse mot PUB-avtalet; eller
  • redan var tillgänglig för mottagande Part eller som denne på egen hand har utvecklat innan ingåendet av PUB-avtalet och som inte, direkt eller indirekt, har erhållits genom överträdelse mot PUB-avtalet. Kunden har endast rätt att röja sådan information som Kunden är skyldig att röja enligt Tillämplig Lagstiftning, Huvudavtalet eller PUB-avtalet.

9.4. Brott mot punkt 9 föreligger även om uppsåt eller oaktsamhet inte kan påvisas.

9.5. Ovanstående sekretessåtaganden gäller utan begränsning i tid och således även efter att PUB-avtalet i övrigt upphört att gälla (oavsett skälet därtill).

10. Ansvar

10.1. Om en Registrerad eller annan tredje man, riktar krav mot Kunden på grund av Personuppgiftsbiträdets Behandling av Personuppgifter eller om tillsynsmyndighet/domstol utfärdat vite eller andra administrativa sanktionsavgifter, ska Personuppgiftsbiträdet hålla Kunden skadelös för krav som har sin grund i att Personuppgiftsbiträdet inte efterkommit detta PUB-avtal, Instruktioner eller Tillämplig Dataskyddslagstiftning. Kunden ska skyndsamt informera Personuppgiftsbiträdet om att sådant krav inkommit.

10.2. Om en Registrerad eller annan tredje man, riktar krav mot Personuppgiftsbiträdet på grund av Kunden Behandling av Personuppgifter eller om tillsynsmyndighet/domstol utfärdat vite eller andra administrativa sanktionsavgifter, ska Kunden hålla Personuppgiftsbiträdet skadelös för krav som följer av att Kunden inte följt Tillämplig Dataskyddslagstiftning. Personuppgiftsbiträdet ska snarast underrätta Kunden om anspråk som riktas mot Personuppgiftsbiträdet med anledning av Behandlingar av Personuppgifter inom ramen för PUB-avtalet

10.3. Om ansvar för skada och kränkning av den personliga integriteten som en Behandling i strid med PUB-avtalet ger upphov till blir aktuellt har Kunden, i egenskap av Personuppgiftsansvarig, rätt att få tillträde till Personuppgiftsbiträdets lokaler, datorutrustning, handlingar och andra dokument samt annat som Kunden skäligen finner erforderligt för bedömningen av Personuppgiftsbiträdets utförande av uppdraget som följer av PUB-avtalet.

10.4. För den händelse ett krav avser Personuppgifter som inte omfattas av Huvudavtalet, men som Personuppgiftsansvarig är ansvarig för, ska Personuppgiftsbiträdet inte hållas ansvarig. Detta gäller även för det fall att Personuppgiftsansvarig Behandlar Personuppgifter för andra ändamål än som omfattas av Huvudavtalet.

11. Avtalsperiod och upphörande

11.1. PUB-avtalet gäller från dess att det har undertecknats av Parterna och under den tid Personuppgiftsbiträdet Behandlar Personuppgifter i enlighet med Kundens Instruktioner, eller till dess endera Parten säger upp PUB-avtalet till upphörande. Vid uppsägning ska uppsägningstiden regleras av huvudavtalets lydelse.

11.2. Endera Part äger rätt att påkalla omförhandling av PUB-avtalet om motpartens ägarförhållanden ändras väsentligt eller om Tillämplig Lagstiftning, eller tolkningen av den, ändras på ett för Behandlingen avgörande sätt. Påkallande av omförhandling enligt första meningen innebär inte att PUB-avtalet till någon del upphör att gälla utan endast att en omförhandling om PUB-avtalet ska påbörjas.

11.3. Vardera Part äger rätt att skriftligen säga upp PUB-avtalet, med omedelbar verkan, om motparten agerat i strid med PUB-avtalet och/eller Instruktioner, och underlåter att vidta rättelse inom sextio (60) dagar från mottagande av skriftlig begäran därom från den andra Parten.

11.4. Vid uppsägning av PUB-avtalet ska Personuppgiftsbiträdet utan onödigt dröjsmål överlämna samtliga Personuppgifter till Kunden eller radera dem. Om Personuppgifterna överlämnas ska det ske i ett öppet och standardiserat format, varav särskilda instruktioner anges i bilaga 1. Överlämning och radering enligt PUB-avtalet ska vara utförda senast trettio (30) dagar räknat från den tidpunkt uppsägning gjorts enligt detta PUB-avtal.

11.5. Behandling som utförs av Personuppgiftsbiträdet efter PUB-avtalets upphörande är att betrakta som otillåten Behandling.

11.6. Bestämmelser om sekretess/tystnadsplikt i punkten 9 ska fortsätta gälla även om PUB-avtalet i övrigt upphör av gälla.

12. Överlåtelse

12.1. Ingen av Parterna ska äga rätt att helt eller delvis överlåta sina rättigheter eller skyldigheter enligt PUB-avtalet utan den andra Partens skriftliga godkännande.

13. Meddelanden inom ramen för detta PUB-avtal och instruktioner

13.1. Meddelanden om PUB-avtalet och dess administration inklusive uppsägning ska skickas till respektive Parts kontaktperson för PUB-avtalet. Meddelanden om Parternas samarbete om dataskydd, gällande Behandlingen, ska skickas till respektive Parts kontaktperson för Parternas samarbete om dataskydd.

13.2. Meddelanden inom ramen för PUB-avtalet och Instruktioner ska skickas skriftligt och elektroniskt.

14. Kontaktpersoner

14.1. Parterna ska utse var sin kontaktperson för PUB-avtalet, tillika kontaktperson för Parternas samarbete om dataskydd.

15. Ändringar och tillägg

15.1. Tillägg och ändringar av PUB-avtalet ska, för att vara giltiga, vara skriftliga och undertecknas av båda Parter.

15.2. Endera Part äger rätt att påkalla omförhandling av PUB-avtalet om motpartens ägarförhållanden ändras väsentligt eller om Tillämplig Lagstiftning, eller tolkningen av den, ändras på ett för Behandlingen avgörande sätt.

15.3. Begäran om ändring eller påkallande av omförhandling enligt innebär inte att PUB avtalet till någon del upphör att gälla utan endast att en omförhandling om PUB avtalet ska påbörjas.

Bilaga 1 – Instruktion

Denna bilaga utgör en integrerad del av Avtalet.

Ändamål med Behandlingen

Personuppgifterna behandlas för följande ändamål:

Personuppgifter i Aiai behandlas för att kunder ska kunna tillgodogöra sig tjänsten enligt huvudavtal.

Erbjuda möjlighet för kommunikation mellan kund och deras kund samt för att på ett smidigt och effektivt sätt hantera kundärenden i vår support – genom säkerhetskopiering och backup.

Typer av Behandlingar

Personuppgifterna kommer på uppdrag av den personuppgiftsansvarige att behandlas på följande sätt:

  • Insamling
  • Lagring och sortering
  • Utlämning genom överföring till myndighet (Försäkringskassan och kommun)
  • Radering vid begäran

Behandlingen omfattar följande typer av Personuppgifter

Vilka personuppgifter som kan komma att behandlas beror på i vilken utsträckning personuppgiftsansvarig använder sig av tjänsten men består av följande kategorier:

  • Namn
  • Personnummer
  • Användarnamn
  • Mailadresser
  • Fotografier
  • Adresser
  • Mobil/Telefonnr

Personuppgiftsbiträdet ansvara också för att via teknisk integration föra över följande information till externa system:

  • Namn
  • Personnummer
  • Adresser
  • Mobil/Telefonnr
  • Arbetad tid
  • Hälsa

Behandlingen omfattar följande typer av Personuppgifter vid val av tilläggstjänst

I vissa avseenden förekommer även behandling av känsliga personuppgifter så som:

  • Medicinsk information
  • Hälsa – sjukdom
  • Ekonomisk information
  • Information om sexualliv

Behandlingen omfattar följande kategorier av Registrerade

  • Anställda
  • Assistansberättigade
  • Konsulter
  • Prospects
  • Anhöriga till anställda
  • Övriga intressenter till kunden

Ange särskilda hanteringskrav vad gäller Behandling av Person­uppgifter som utförs av Person­uppgifts­biträdet/­biträdena

  • Personuppgifter kommer inte användas i personuppgiftsbiträdets eget syfte eller ändamål
  • Dokument och data som personuppgiftsansvarige hanterar för att använda tjänsten kommer att lagras under den tid som huvudavtal är giltigt eller gallras utifrån personuppgiftsansvarige eget ansvar.
  • Användning av tjänsten kan föreskriva långa lagringstider och krav på gallring enligt lag (1993:387) om stöd och service till vissa funktionshindrade.

Ange särskilda tekniska och organisatoriska säkerhets­åtgärder vad gäller Behandling av Person­uppgifter som utförs av Person­uppgifts­biträdet

Personuppgiftsbiträdet ska vidta alla lämpliga tekniska och organisatoriska åtgärder för att skydda mot personuppgifts incidenter och upprätthålla en adekvat säkerhetsnivå för de personuppgifter som behandlas. Åtgärderna ska uppnå den säkerhetsnivå som följer av tillämplig dataskyddsstiftning och ska inbegripa, men inte vara begränsat till, följande åtgärder;

  • Rutin för att skydd för fysisk åtkomst varigenom Personuppgiftfsbiträdets lokaler för datorutrustning och bärbar/flyttbar information eller lagringsmedia som innehåller Personuppgifter ska låsas när de står utan tillsyn av behörig person i enlighet med punkt 2 nedan i syfte att skydda mot obehörig användning, stöld etc.
  • Behörighetskontroll varigenom åtkomst till personuppgifter hanteras via ett tekniskt system för ändamålet. Behörighet ska begränsas till de som behöver Personuppgifterna för sitt arbete. Användar-ID och lösenord ska vara personliga och får inte överlåtas eller lånas ut till annan. Det finns processer för att tilldela och återkalla behörighet.
  • Process för test av återläsning av Personuppgifter då dessa har återskapats från säkerhetskopia
  • Förmåga att logga åtkomst till Personuppgifter. Det ska vara möjligt att retroaktivt följa upp åtkomst till Personuppgifter genom en logg eller liknande information.
  • Säker kommunikation varigenom anknytningar till extern datakommunikation ska skyddas av tekniska funktioner som säkerställer att anknytningen är behörig och krypteringsfunktion avseende innehåll i data som transporteras i kommunikationskanaler utanför de system som personuppgiftsansvarige kontrollerar.
  • Process för att säkerställa att personuppgifter raderas på ett säkert sätt när fast eller flyttbar lagringsmedia inte längre ska användas för sitt ändamål.
  • Rutiner för att ingå sekretessavtal med leverantör som tillhandahåller reparation och service av utrustning som används för att lagra personuppgifter
  • Rutiner för att övervaka arbete som utförs av leverantörer i personuppgiftsbiträdet lokaler. lagringsmedia som innehåller personuppgifter ska ställas undan om övervakning inte är möjlig

Personuppgiftsbiträdet ska vid begäran bistå Personuppgiftsansvarige med fullgörande av Personuppgiftsansvariges skyldighet vid utförande av risk- och sårbarhetsanalys eller konsekvensbedömningar avseende dataskydd för de Personuppgifter som Behandlas, vilket från och med tillämpningsdagen om Personuppgiftsansvarige så begär innefattar deltagande i förhandssamråd med tillsynsmyndighet. Personuppgiftsbiträdet ska utöver ovan, från och med tillämpningsdagen, även i övrigt bistå Personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32-36 i dataskyddsförordningen fullgörs, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå. Personuppgiftsbiträdet ska dokumentera de tekniska och organisatoriska säkerhetsåtgärder som används för att uppfylla säkerhetskraven enligt Tillämplig Dataskyddslagstiftning och detta PUB-avtal.]

Bilaga 2

Personuppgiftsbiträdet använder sig av följande Underbiträden:

Namn

Organisationsnr

Adress

Beskrivning av behandling

Geografisk plats för Underbiträdets behandling

Cygate AB

556549-8952

Stjärntorget 1, 169 79 Solna

Cygate används för att lagra vår data.  Drift och support av servrarna utförs av Telia Cygate

Sverige

Cellsynt AB

556635-4121

BOX 1264, 251 12 Helsingborg

Cellsynt är ett svenskt bolag som vi använder för att skicka ut SMS. Leverantören sparar loggar på dessa sms. De sms som skickas innehåller framförallt notifieringar och påminnelser, men kan även innehålla fritext.

Sverige

Flowmailer

Van Nelleweg 1, 3044 BC Rotterdam

Flowmailer använder vi  för att skicka ut mail från systemet. De mail som skickas innehåller framförallt notifieringar och påminnelser, men kan även innehålla fritext.

Nederländerna