PARTER

Detta personuppgiftsbiträdesavtal ("Biträdesavtalet") har ingåtts mellan: Användaren som har Avtalet (i det följande ”Personuppgiftsansvarig"); och HTM System Solutions AB, org. nr. 559087-6578 med adressen Sollentunavägen 63, 191 40 Sollentuna (i det följande "Personuppgiftsbiträde"), samt var för sig benämnda "Part" och tillsammans "Parterna"

1. BAKGRUND OCH SYFTE

1.1. AVTALET reglerar PERSONUPPGIFTSBITRÄDETS behandling av personuppgifter för PERSONUPPGIFTSANSVARIGS räkning samt den integritetsnivå som ska uppnås vid behandling (”BEHANDLING”).

1.2. AVTALET syftar till att säkerställa de registrerades fri- och rättigheter när PERSONUPPGIFTSANSVARIG anlitar ett PERSONUPPGIFTSBITRÄDE vid BEHANDLING av personuppgifter och till att uppfylla tillämpliga dataskyddsregler (”DATASKYDDSREGLER”).

1.3. Eventuella tidigare regleringar avseende leverantörens BEHANDLING av personuppgifter för PERSONUPPGIFTSANSVARIGS räkning ersätts till fullo av AVTALET. I övrigt påverkas inte PARTERNAS åtaganden i huvudavtalet.

2. DEFINITIONER

2.1. Om inget annat uttryckligen anges ska begreppen i AVTALET ha samma innebörd som i gällande DATASKYDDSREGLER.

  1. Behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,
  2. Personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (”REGISTRERAD”), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,
  3. PERSONUPPGIFTSANSVARIG: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för BEHANDLINGEN av personuppgifter; om ändamålen och medlen för BEHANDLINGEN bestäms av unionsrätten eller medlemsstaternas nationella rätt kan PERSONUPPGIFTSANSVARIG eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,
  4. PERSONUPPGIFTSBITRÄDE: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för PERSONUPPGIFTSANSVARIGS räkning,
  5. Underbiträde: avser sådant PERSONUPPGIFTSBITRÄDE som anlitas av det PERSONUPPGIFTSBITRÄDE som är PART och som behandlar personuppgifter för PERSONUPPGIFTSANSVARIGS räkning,
  6. Personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
  7. DATASKYDDSREGLER: avser sådan integritets- och personuppgiftslagstiftning exempelvis den allmänna dataskyddsförordningen (GDPR), (EU) 2016/679 med tillhörande genomförandeförfattningar samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på den personuppgiftsbehandling som sker under AVTALET, inklusive nationell sådan lagstiftning och EU Lagstiftning, såsom denna kan komma att förändras över tid.

3. PERSONUPPGIFTSANSVARIGS ANSVAR

3.1. PERSONUPPGIFTSANSVARIG ska säkerställa att BEHANDLINGEN av PERSONUPPGIFTER är laglig enligt DATASKYDDSREGLER.

3.2. PERSONUPPGIFTSANSVARIG får endast tillhandahålla PERSONUPPGIFTSBITRÄDET sådana PERSONUPPGIFTER som är nödvändiga för ändamålet med BEHANDLINGEN.

3.3. PERSONUPPGIFTSANSVARIG ska tillhandhålla PERSONUPPGIFTSBITRÄDET dokumenterade instruktioner och övriga anvisningar avseende ändamålet, omfattningen, arten och varaktigheten av BEHANDLINGEN samt kategorier av REGISTRERADE i den utsträckning som är nödvändig för att PERSONUPPGIFTSBITRÄDET ska kunna uppfylla sina skyldigheter enligt AVTALET och DATASKYDDSREGLER.

4. PERSONUPPGIFTSBITRÄDETS BEHANDLING AV PERSONUPPGIFTER OCH BITRÄDE TILL PERSONUPPGIFTSANSVARIG

4.1. De PERSONUPPGIFTER som PERSONUPPGIFTSBITRÄDET har åtkomst till får endast behandlas i enlighet med AVTALET och DATASKYDDSREGLER.

4.2. PERSONUPPGIFTSBITRÄDET får endast behandla PERSONUPPGIFTER i enlighet med PERSONUPPGIFTSANSVARIGS instruktioner i Bilaga 1 samt i enlighet med kompletterande instruktioner såvida inte PERSONUPPGIFTSBITRÄDET är skyldig enligt lag eller författning att behandla PERSONUPPGIFTER för annat ändamål eller på annat sätt. Har PERSONUPPGIFTSANSVARIG lämnat ofullständiga eller felaktiga instruktioner ska PERSONUPPGIFTSBITRÄDET omgående påtala detta för PERSONUPPGIFTSANSVARIG.

4.3. PERSONUPPGIFTSBITRÄDET ska utan oskäligt dröjsmål underrätta PERSONUPPGIFTSANSVARIG när denne anser att en BEHANDLING strider mot DATASKYDDSREGLER eller annan tillämplig lag och därefter invänta PERSONUPPGIFTSANSVARIGS anvisningar. Vad som anges ovan gäller endast om PERSONUPPGIFTSBITRÄDET inte är förhindrad att på andra grunder lämna sådan underrättelse.

4.4. PERSONUPPGIFTSBITRÄDET ska utan oskäligt dröjsmål, dock senast fjorton (14) dagar från PERSONUPPGIFTSANSVARIGS begäran, ge denne tillgång till PERSONUPPGIFTER som PERSONUPPGIFTSBITRÄDET behandlar samt genomföra en begärd ändring, radering, begränsning eller överföring av nämnda PERSONUPPGIFTER. Har PERSONUPPGIFTSANSVARIG raderat, eller anvisat PERSONUPPGIFTSBITRÄDET om radering, ska den senare vidta sådana åtgärder som krävs för att PERSONUPPGIFTEN inte ska kunna återskapas.

4.5. PERSONUPPGIFTSBITRÄDET ska upprätthålla ett register över all BEHANDLING som sker på uppdrag av PERSONUPPGIFTSANSVARIG, samt att på PERSONUPPGIFTSANSVARIGS eller behörig tillsynsmyndighets uttryckliga begäran överlämna ett läsbart registerutdrag omfattandes, till ett minimum, de uppgifter som stadgas i den allmänna dataskyddsförordningens Artikel 30 p2.

4.6. PERSONUPPGIFTSBITRÄDET ska på PERSONUPPGIFTSANSVARIGS förfrågan bistå denne att fullgöra sina skyldigheter enligt DATASKYDDSREGLER, såsom utförandet av konsekvensbedömningar avseende dataskydd, utformningen av lämpliga tekniska och organisatoriska åtgärder för inbyggt dataskydd, förhandssamråd med behörig tillsynsmyndighet samt medverka till utredning av inträffade Personuppgiftsincidenter. Såvida PARTERNA inte kommit överens om annat ska sådant bistånd som avses i detta stycke inte ge PERSONUPPGIFTSBITRÄDET rätt till särskild ersättning.

4.7. PERSONUPPGIFTSBITRÄDET ska utan oskäligt dröjsmål underrätta PERSONUPPGIFTSANSVARIG om denne kontaktas av behörig tillsynsmyndighet, någon REGISTRERAD eller annan tredje part i syfte att få tillgång till Personuppgifter som PERSONUPPGIFTSBITRÄDET, eller i förekommande fall ett UNDERBITRÄDE, behandlar.

4.8. PERSONUPPGIFTSBITRÄDET ska skriftligen och senast trettio (30) dagar innan en väsentlig förändring av behandlingsförfarandet, däribland tekniska och organisatoriska ändringar som kan påverka skyddet av PERSONUPPGIFT och PERSONUPPGIFTSBITRÄDETS efterlevnad av DATASKYDDSREGLER, informera PERSONUPPGIFTSANSVARIG. Innan sådana ändringar genomförs ska PERSONUPPGIFTSANSVARIG lämna sitt samtycke, vilket inte skäligen ska förvägras.

5. UNDERBITRÄDEN OCH TREDJELANDSÖVERFÖRINGAR

5.1. PERSONUPPGIFTSANSVARIG godkänner att PERSONUPPGIFTSBITRÄDET får anlita i förhand godkända UNDERBITRÄDEN som listas i Bilaga 1, från och med dagen för ikraftträdandet av AVTALET. PERSONUPPGIFTSBITRÄDET ska tillse att UNDERBITRÄDEN är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt AVTALET.

5.2. PERSONUPPGIFTSBITRÄDET förbinder sig att inte anlita UNDERBITRÄDEN utanför EU/EES och får inte överföra PERSONUPPGIFTER utanför EU/EES.

5.3. Om PERSONUPPGIFTSBITRÄDET avser att anlita ett nytt UNDERBITRÄDE för BEHANDLING av PERSONUPPGIFTER som omfattas av AVTALET ska PERSONUPPGIFTSBITRÄDET, innan det nya UNDERBITRÄDET anlitas, informera PERSONUPPGIFTSANSVARIG därom så att PERSONUPPGIFTSANSVARIG har möjlighet att invända. PERSONUPPGIFTSBITRÄDET ska tillhandahålla PERSONUPPGIFTSANSVARIG all information som skäligen begärs av PERSONUPPGIFTSANSVARIG så att PERSONUPPGIFTSANSVARIG kan bedöma huruvida användningen av det föreslagna UNDERBITRÄDET säkerställer PERSONUPPGIFTSANSVARIGS efterlevnad av AVTALET och tillämpliga DATASKYDDSREGLER. Om denna efterlevnad, enligt PERSONUPPGIFTSANSVARIGS rimliga uppfattning, inte går att uppfylla genom det föreslagna nya UNDERBITRÄDET har PERSONUPPGIFTSANSVARIG rätt att säga upp huvudavtalet.

6. TEKNISK OCH ORGANISATORISK KAPACITET OCH SÄKERHETSÅTGÄRDER

6.1. PERSONUPPGIFTSBITRÄDET garanterar att denne besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt AVTALET och DATASKYDDSREGLER.

6.2. PERSONUPPGIFTSBITRÄDET ska på PERSONUPPGIFTSANSVARIGS begäran kunna visa att de skyldigheter som framgår av AVTALET och DATASKYDDSREGLER uppfylls genom att tillhandahålla relevant dokumentation, hänvisa till relevant och godkänd uppförandekod eller certifiering, möjliggöra och bidra till granskningar och inspektioner och/eller tillhandahålla PERSONUPPGIFTSANSVARIG andra adekvata underlag.

6.3. I det fall PERSONUPPGIFTSBITRÄDET behandlar känsliga PERSONUPPGIFTER vilka omfattas av sekretess, ställs särskilt höga säkerhetskrav. PERSONUPPGIFTSANSVARIG får då lämna ytterligare instruktioner om säkerhetsåtgärder.

6.4. PERSONUPPGIFTSBITRÄDET ska ha ett behörighetskontrollsystem som förhindrar obehörig BEHANDLING av PERSONUPPGIFTER eller obehörig åtkomst till PERSONUPPGIFTER. PERSONUPPGIFTSBITRÄDE ska använda ett loggsystem som möjliggör att BEHANDLING av PERSONUPPGIFTER kan spåras och ska även tillse loggarna har ett adekvat säkerhetsskydd.

6.5. PERSONUPPGIFTSBITRÄDET ska genom behörighetskontrollsystemet aktivt begränsa åtkomsten till PERSONUPPGIFTER till sådana personer som arbetar under dennes ledning och som behöver PERSONUPPGIFTER för att utföra sina arbetsuppgifter för fullgörande av avtalen mellan PERSONUPPGIFTSBITRÄDET och PERSONUPPGIFTSANSVARIG.

7. SEKRETESS

7.1. PERSONUPPGIFTSBITRÄDET och den personal som arbetar under AVTALET ska vid BEHANDLING av PERSONUPPGIFTER iaktta sekretess, såväl handlingssekretess som tystnadsplikt. Personuppgifterna, information, instruktioner, systemlösningar, beskrivningar eller andra handlingar som PERSONUPPGIFTSBITRÄDET erhåller genom informationsutbyte enligt AVTALET eller annat avtal PARTERNA emellan får inte utnyttjas eller röjas för annat ändamål än som framgår av AVTALET eller annat avtal PARTERNA emellan, vare sig direkt eller indirekt, om inte PERSONUPPGIFTSANSVARIG på förhand skriftligen medgivit detta.

7.2. PERSONUPPGIFTSBITRÄDET åtar sig att tillse att samtliga anställda, konsulter och övriga som PERSONUPPGIFTSBITRÄDET svarar för och som behandlar PERSONUPPGIFTER är bundna av en sekretessförbindelse. (Sekretessförbindelser krävs inte om PERSONUPPGIFTSBITRÄDET och dess personal omfattas av en straffsanktionerad tystnadsplikt som följer av lag.) PERSONUPPGIFTSBITRÄDET åtar sig även att tillse att det finns lämpliga sekretessavtal med ett ev. UNDERBITRÄDE samt sekretessförbindelser mellan UNDERBITRÄDET och dess personal.

7.3. PERSONUPPGIFTSBITRÄDET ska utan dröjsmål skriftligen underrätta PERSONUPPGIFTSANSVARIG om eventuella kontakter med tillsynsmyndighet som rör eller kan vara av betydelse för BEHANDLING av PERSONUPPGIFTER. PERSONUPPGIFTSBITRÄDET har inte rätt att företräda PERSONUPPGIFTSANSVARIG eller agera för PERSONUPPGIFTSANSVARIGS räkning gentemot tillsynsmyndigheter i frågor som rör eller kan vara av betydelse för BEHANDLING av PERSONUPPGIFTER.

7.4. Om den REGISTRERADE, tillsynsmyndigheter eller annan tredje man begär information från PERSONUPPGIFTSBITRÄDET som rör BEHANDLING av PERSONUPPGIFTER, ska PERSONUPPGIFTSBITRÄDET hänvisa till PERSONUPPGIFTSANSVARIG. PERSONUPPGIFTSBITRÄDET får inte lämna ut PERSONUPPGIFTER eller annan information om BEHANDLINGEN av PERSONUPPGIFTER utan skriftligt föregående medgivande från PERSONUPPGIFTSANSVARIG. PERSONUPPGIFTSBITRÄDET åtar sig efter sådant medgivande att hjälpa till med att ge REGISTRERADE, tillsynsmyndigheter eller annan tredje man information om en viss BEHANDLING av PERSONUPPGIFTER.

8. PERSONUPPGIFTSINCIDENTER

8.1. PERSONUPPGIFTSBITRÄDET ska informera PERSONUPPGIFTSANSVARIG utan onödigt dröjsmål efter att ha fått vetskap om förekomst av eller risken för oavsiktlig eller obehörig åtkomst till PERSONUPPGIFTER eller andra säkerhetsincidenter (”PERSONUPPGIFTSINCIDENT”).

8.2. PERSONUPPGIFTSBITRÄDET ska bistå PERSONUPPGIFTSANSVARIG med skäligen begärd information så att PERSONUPPGIFTSANSVARIG kan uppfylla kraven avseende anmälan av PERSONUPPGIFTSINCIDENT i enlighet med tillämpliga DATASKYDDSREGLER.

8.3. PERSONUPPGIFTSBITRÄDET ska dokumentera alla PERSONUPPGIFTSINCIDENTER, inbegripet omständigheterna kring PERSONUPPGFTSINCIDENTEN, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för PERSONUPPGIFTSANSVARIG och aktuell tillsynsmyndighet att kontrollera efterlevnad av detta kapitel.

9. GILTIGHET

9.1. AVTALET är giltigt så länge som PERSONUPPGIFTSBITRÄDETS BEHANDLING av PERSONUPPGIFTER på uppdrag av PERSONUPPGIFTSANSVARIG pågår. PARTERNA kan dock överenskomma att AVTALET ska ersättas av ett annat personuppgiftsbiträdesavtal.

9.2. PERSONUPPGIFTSBITRÄDET ska vid avslutad BEHANDLING återlämna PERSONUPPGIFTER i ett allmänt och läsbart format till PERSONUPPGIFTSANSVARIG och därefter radera PERSONUPPGIFTER från sådana system som använts vid BEHANDLINGEN, såvida inte detta är oförenligt med då gällande lag.

10. TILLÄMPLIG LAG OCH TVIST

10.1. AVTALET ska tolkas och tillämpas i enlighet med svensk lag. Tvister till följd av tolkningen och tillämpningen av AVTALET ska avgöras av svensk allmän domstol.


Bilaga 1

Instruktion

Underbiträden

  1. Amazon Web Services Inc