Personuppgiftsbitradesavtal

Denna dokumentversion ersätter eventuella tidigare versioner.  

1. Inledning och omfattning

1. Detta personuppgiftsbiträdesavtal ("Biträdesavtal") utgör en bilaga till Kundavtalet som ingåtts mellan  SymbiTech AB:s ("Leverantören") och den kund som angivits i Kundavtalet (“Kunden”).
2. Detta Biträdesavtal ingås mellan Parterna för att säkerställa överensstämmelse med artikel 28 i GDPR. Detta Biträdesavtal reglerar den Personuppgiftsansvariges rättigheter och skyldigheter som Personuppgiftsansvarig och Personuppgiftsbiträdets rättigheter och skyldigheter som Personuppgiftsbiträde.
3. Enligt villkoren i Kundavtalet med bilagor ("Avtalet") är Personuppgiftsbiträdet skyldig att behandla Personuppgifter på uppdrag av Personuppgiftsansvarig. Följaktligen ska Personuppgiftsbiträdet Behandla Personuppgifter i enlighet med de instruktioner som tillhandahålls av Personuppgiftsansvarig, vilka anges i detta Biträdesavtal, för att uppfylla de tjänster som båda Parterna kommit överens om i Avtalet.
4. Båda Parterna ska var för sig agera i enlighet med och uppfylla sina respektive skyldigheter enligt alla tillämpliga nationella regler, lagkrav och lagar relaterade till Behandling av Personuppgifter. Med avseende på EU-personuppgifter ska Parterna uppfylla vardera sina skyldigheter enligt GDPR och all underordnad lagstiftning och förordning som implementerar GDPR och/eller SCC som kan vara tillämplig. Hädanefter gemensamt benämnt som "Tillämplig Dataskyddslagstiftning".
5. Vid händelse av motstridigheter avseende Behandling av Personuppgifter mellan bestämmelser i detta Biträdesavtal och annat avtal mellan Parterna, ska detta Biträdesavtal äga företräde.

2. Bilagor

1. Följande bilagor har bifogats till detta Biträdesavtal och utgör en integrerad del av Biträdesavtalet:

• Bilaga: Godkända Underbiträden (/terms/dataprocessing/appendix1).
• Bilaga: Instruktioner för Personuppgiftsbehandlingen (/terms/dataprocessing/appendix2).
• Bilaga: Säkerhetsåtgärder (/terms/dataprocessing/appendix3).

3. Definitioner

1. I detta Integritetsmeddelande används definitioner som överensstämmer med de som finns i EU:s allmänna dataskyddsförordning 2016/679 ("GDPR"). Exempel på sådana definitioner inkluderar "personuppgifter", "behandling", "registrerad", "personuppgiftsansvarig", "personuppgiftsbiträde" med flera. Var och en av dessa definitioner har samma innebörd som anges i artikel 4 i GDPR. För en fullständig lista och exakta definitioner, vänligen se denna artikel.
2. Utöver ovan angivna definitioner, ska övriga definitioner som anges med versal som begynnelsebokstav ha de betydelser som tilldelas dem i definitionslistan som finns i Användarvillkoren (/terms/user/),  om inte annat uttryckligen anges.

4. Personuppgiftsansvariges skyldigheter

1. Personuppgiftsansvarig intygar härmed att denne:

1. följer bestämmelserna i GDPR avseende sin Behandling av Personuppgifterna som överlämnas till Personuppgiftsbiträdet;
2. utan dröjsmål ska meddela Personuppgiftsbiträdet om eventuella ändringar i instruktionerna rörande Behandlingen av Personuppgifter och tillhandahålla korrekt information till Personuppgiftsbiträdet om tidigare tillhandahållna instruktioner är ofullständiga, felaktiga eller behöver ändras av andra skäl; och
3. utan dröjsmål ska informera Personuppgiftsbiträdet om eventuella relevanta förfrågningar från den Registrerade, tillsynsmyndigheten eller någon annan Tredje part med avseende på Behandlingen av Personuppgifter.

1. Personuppgiftsansvarig bekräftar härmed att de organisatoriska och tekniska säkerhetsåtgärder som Personuppgiftsbiträdet åtar sig att implementera och som definieras i Bilaga: Säkerhetsåtgärder är lämpliga för att skydda de Registrerades rättigheter, och Personuppgiftsansvarig anser att Personuppgiftsbiträdet lämnat tillräckliga garantier med avseende på detta.

5. Personuppgiftbiträdets åtaganden

1. Personuppgiftsbiträdet ska endast Behandla Personuppgifterna enligt den Personuppgiftsansvariges dokumenterade instruktioner, såvida inte Behandlingen i fråga krävs enligt tillämplig lag (i EU eller i ett av EU:s medlemsländer).
2. Om unionsrätten eller enligt en medlemsstats nationella rätt som Personuppgiftsbiträdet omfattas av kräver att Personuppgiftsbiträdet utför en Behandling som den Personuppgistansvarige inte har instruerat Personuppgiftsbiträdet att utföra, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om det rättsliga kravet innan uppgifterna Behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt tillämplig lag.
3. Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarig om denne saknar instruktion om Behandlingen av Personuppgifter i en viss specifik situation. Eventuella instruktioner som lämnats muntligen ska dokumenteras skriftligen i efterhand, utan onödigt dröjsmål.
4. Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarig om Personuppgiftsbiträdet anser att en instruktion strider mot GDPR eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser. Under tiden den Personuppgiftsansvarige utreder invändningen, har Personuppgiftsbiträdet rätt att göra uppehåll avseende den ifrågasatta Behandlingen.
5. I den utsträckning det är praktiskt möjligt och lagligt, ska Personuppgiftsbiträdet utan onödigt dröjsmål meddela Personuppgiftsansvarig om förfrågningar om utlämnande av Personuppgifter eller information som handlar om Behandlingen, som erhållits från en Registrerad, myndighet eller annan Tredje part och ska vid sådana fall hänvisa till Personuppgiftsansvarig. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för dennes räkning gentemot tillsyns-/dataskyddsmyndighet eller annan Tredje part, såvida inte den Personuppgiftsansvarige skriftligen godkänner det.

6. Assistans

1. Personuppgiftsbiträdet ska hjälpa Personuppgiftsansvarig genom lämpliga tekniska och organisatoriska åtgärder, så långt det är möjligt med hänsyn tagen till Behandlingens art och den informationen som är tillgänglig för Personuppgiftsbiträdet, för att Personuppgiftsansvarig ska kunna uppfylla kraven i artikel 28 i GDPR samt för att Personuppgiftsansvarig ska uppfylla sina skyldigheter avseende:

• säkerhet i samband med Behandlingen (artikel 32 GDPR);
• anmälan av en Personuppgiftsincident till tillsyns-/dataskyddsmyndigheten (artikel 33 GDPR);
• information till den Registrerade om en Personuppgiftsincident (artikel 34 GDPR);
• konsekvensbedömning avseende dataskydd (artikel 35 GDPR); och
• förhandssamråd med tillsynsmyndigheten (artikel 36 GDPR).

1. Personuppgiftsbiträdet ska med tanke på Behandlingens art, hjälpa Personuppgiftsansvarig att fullgöra sina skyldigheter att svara på begäran om utövande av den Registrerades rättigheter i enlighet med kapitel 3 GDPR, i den mån det är möjligt, genom lämpliga tekniska och organisatoriska åtgärder.

7. Underbiträden och överföring av Personuppgifter

1. Den Personuppgiftsansvarige ger härmed Personuppgiftsbiträdet ett allmänt skriftligt förhandstillstånd att anlita andra personuppgiftsbiträden (nedan kallade "Underbiträden") för att fullgöra skyldigheterna enligt detta Biträdesavtal. Aktuella Underbiträden förtecknas i Bilaga: Godkända Underbiträden.
2. Om Personuppgiftsbiträdet anlitar ett Underbiträde för att utföra en specifik Behandling på den Personuppgiftsansvariges vägnar ska samma dataskyddsskyldigheter som fastställs i detta Biträdesavtal åläggas Underbiträdet genom ett avtal eller en annan rättsakt enligt unionsrätten eller medlemsstaternas lagstiftning. Underbiträdet ska även särskilt tillhandahålla tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i GDPR.
3. Om Underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd, ska Personuppgiftsbiträdet förbli fullt ansvarig gentemot den Personuppgiftsansvarige för fullgörandet av Underbiträdets skyldigheter.
4. På den Personuppgiftsansvariges begäran ska Personuppgiftsbiträdet skicka en kopia av Personuppgiftsbiträdesavtalet som undertecknats av både Personuppgiftsbiträdet och Underbiträdet.
5. Om Personuppgiftsbiträdet avser att ändra, lägga till eller ersätta ett Underbiträde ska den Personuppgiftsansvarige informeras om sådana ändringar i förväg och ges möjlighet att invända mot ändringarna. Om Parterna inte kan lösa en sådan invändning mot ett visst Underbiträde, har den Personuppgiftsansvarige rätt att säga upp detta Biträdesavtal, inklusive Avtalet, utan att bli skadeståndsskyldig, genom att skriftligen underrätta Personuppgiftsbiträdet om att den Personuppgiftsansvarige inte samtycker till ett visst Underbiträde eller typ av Behandling.

8. Säkerhet

1. Personuppgiftsbiträdet åtar sig att vidta alla åtgärder som krävs enligt artikel 32 GDPR, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som Behandlingen innebär och typen av Personuppgifter som ska skyddas. Detta innefattar bland annat att Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för fysiska personers rättigheter och friheter. Vid bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till risk för oavsiktlig eller olaglig förstöring, förlust, ändring eller till obehörigt röjande eller åtkomst till Personuppgifterna.
2. Personuppgiftsbiträdet avgör hur åtgärderna ska implementeras inom sin verksamhet för att uppnå den skyddsnivå som krävs. Personuppgiftsbiträdet har rätt att ändra de genomförda åtgärderna, under förutsättning att den säkerställda säkerhetsnivån inte är lägre, än den som säkerställs av de åtgärder som gäller vid Biträdesavtalets ingående.
3. Personuppgiftsbiträdet intygar att dennes verksamhet bedrivs på sätt som säkerställer att bestämmelser och krav enligt GDPR avseende adekvat skydd för Behandlingar efterlevs och uppnås.

9. Sekretess

1. Personuppgiftsbiträdet säkerställer att personer som har behörighet att Behandla Personuppgifterna som omfattas av detta Biträdesavtal har åtagit sig att iaktta konfidentialitet genom skriftligt avtal eller omfattas av en lämplig lagstadgad tystnadsplikt.

10. Granskning

1. Personuppgiftsbiträdet ska ge Personuppgiftsansvarig tillgång till all information samt tillhandahålla upplysningar och handlingar som krävs för att visa att de skyldigheter som åligger Personuppgiftsbiträdet enligt detta Biträdesavtal och artikel 28 GDPR har fullgjorts.
2. Personuppgiftsbiträdet ska även möjliggöra och bidra till granskningar samt inspektioner avseende Behandling av Personuppgifterna som omfattas av detta Biträdesavtal som genomförs av Personuppgiftsansvarig, eller annan revisor som denne bemyndigar. Sådan granskning och/eller inspektion ska omfattas av följande villkor:

1. det ska ske på Personuppgiftsansvariges bekostnad,
2. det får enbart omfatta Personuppgifter som Personuppgiftsbiträdet Behandlar för Personuppgiftsansvariges räkning enligt detta Biträdesavtal,
3. det ska genomföras enbart på Personuppgiftsbiträdets registrerade enheter och kontor samt enbart omfatta personalen som är involverade vid Behandlingen,
4. det får enbart genomföras under högst två (2) arbetsdagar, på vardagar mellan kl. 09:00-16:00, och ska utföras så smidigt och effektivt som möjligt för att minimera störningar i Personuppgiftsbiträdets verksamhet,
5. granskningen får inte avslöja eventuella företagshemligheter som skyddas av lag,
6. det ska inte utföras mer än en (1) granskning/inspektion per år, såvida det inte sker efter att väsentligt brott mot Behandlingen har identifierats eller om det krävs enligt tillämplig lag, myndighetsbeslut eller liknande,
7. information om avsikten att genomföra en granskning ska meddelas skriftligen till Personuppgiftsbiträde minst trettio (30) dagar före det önskade datumet för genomförandet av granskningen. Personuppgiftsbiträdet har rätt att föreslå ett nytt revisionsdatum, som ska infalla inom sju (7) arbetsdagar efter det av Personuppgiftsansvarig föreslagna datumet.

1. Personuppgiftsansvarig ansvarar för att tillse att Personuppgiftsbiträdet får tillgång till en skriftlig revisionsrapport utan onödigt dröjsmål efter genomförd revision, som innehåller sammanfattningar av resultaten av revisionen. Rapporten ska utgöra konfidentiell information som inte får delges till Tredje part, utan Personuppgiftsbiträdets föregående skriftliga tillstånd, under förutsättning att delgivande inte krävs enligt tillämplig lag.
2. Personuppgiftsbiträdet ska även tillåta statlig myndighet att genomföra de granskningar som krävs enligt lag avseende Behandling av Personuppgifter.

11. Personuppgiftsincident

1. Personuppgiftsbiträdet ska skriftligen informera den Personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident beträffande Personuppgifter som omfattas av detta Biträdesavtal.
2. Personuppgiftsansvarig ska förbli ansvarig för att följa anmälningskraven på grund av Personuppgiftsincidenter enligt GDPR.

12. Ansvar

1. Vid skadestånd på grund av felaktig Behandling av Personuppgifter, som genom ett fastställt domslut eller förlikning, ska betalas till den Registrerade på grund av överträdelse av bestämmelserna i detta Biträdesavtal, den Personuppgiftsansvariges anvisningar och/eller tillämplig dataskyddslagstiftning, ska artikel 82 GDPR tillämpas.
2. Eventuella administrativa böter/sanktionsavgifter enligt artikel 83 GDPR eller kapitel 6 i Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska bäras av den Part som sanktionsavgiften påförs. Om dock en sanktionsavgift påförs en Part på grund av den andra Partens överträdelse av bestämmelserna i detta Biträdesavtal, den Personuppgiftsansvariges anvisningar och/eller tillämplig dataskyddslagstiftning, ska den överträdande Parten ersätta och hålla den icke-överträdande Parten skadeslös för de skador som den icke-överträdande Parten ådragit sig till följd av den administrativa sanktionsavgiften.
3. Bortsett från vad som anges ovan i klausul 12.2 och när artikel 82 eller 83 i GDPR eller kapitel 6 i Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning tillämpas, ska den totala ansvarssumman för varje Part enligt detta Biträdesavtal inte överstiga ett prisbasbelopp enligt Socialförsäkringsbalken (2010:110), oavsett kravets art.

13. Avtalstid och avtalets upphörande

1. Detta Biträdesavtal gäller så länge som Personuppgiftsbiträdet Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.
2. Efter det att tillhandahållandet av Behandlingstjänsterna i fråga har avslutats ska Personuppgiftsbiträdet, beroende på vad Personuppgiftsansvarig väljer, radera eller återlämna alla Personuppgifter till Personuppgiftsansvarig, och radera befintliga kopior på ett sådant sätt att de inte kan återskapas, såvida inte lagring av Personuppgifterna krävs enligt EU rätten eller nationell rätt.

14. Ändringar

1. Ändringar av och/eller tillägg till detta Biträdesavtal ska upprättas skriftligen och signeras av Parterna för att vara bindande, såvida inte annat angivits.

15. Tillämplig lag och tvistelösning

1. Biträdesavtalet ska tolkas i enlighet med svensk lag och rätt.
2. Tvister som uppstår i anledning av detta Biträdesavtalet ska slutligt avgöras i enlighet med den tvistelösningsklausulen som regleras i Avtalet.