Personuppgiftsbiträdesavtal

Avtal som reglerar hantering av personuppgifter mellan personuppgiftsansvarig och personuppgiftsbiträde.

Dokumenttyp
Avtal
Publicerad
Uppdaterad
Version
1.0.0
Jurisdiktion
Europa
Målgrupp
B2B

Detta personuppgiftsbiträdesavtal är enbart ett utkast av vad som kan ingå i ett sådant avtal. Det är viktigt att anpassa avtalet efter specifika behov och förutsättningar. Kontakta en jurist eller dataskyddsombud för rådgivning.

1. Parter och definitioner

1.1 Parter

Detta personuppgiftsbiträdesavtal (“PUB-avtalet” eller “Avtalet”) ingås mellan:

  • Personuppgiftsansvarig: Den juridiska person som är specificerad i huvudavtalet (“Kunden”, “den Personuppgiftsansvarige”)
  • Personuppgiftsbiträde: NWG Digital AB, med organisationsnummer 559386-0066, adress Bleckslagargatan 16, 934 31 Kåge, Sverige (“Leverantören”, “Personuppgiftsbiträdet”, “vi”, “oss”, “vår”, “HallinMedia”)

Personuppgiftsansvarig och Personuppgiftsbiträde benämns gemensamt som “Parterna” och var för sig som “Part”.

1.2 Definitioner

I detta Avtal används följande begrepp med den innebörd som anges nedan:

  • Personuppgift: Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
  • Behandling: En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
  • Registrerad: Den fysiska person vars personuppgifter behandlas.
  • Personuppgiftsincident: En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
  • Huvudavtal: Det eller de avtal som Parterna ingått avseende tjänster där Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning.
  • Dataskyddslagstiftning: Vid var tid tillämplig lagstiftning avseende behandling av personuppgifter, inklusive men inte begränsat till EU:s dataskyddsförordning (GDPR) och nationella kompletterande bestämmelser.

2. Bakgrund och syfte

2.1 Bakgrund

Parterna har ingått ett eller flera avtal (“Huvudavtalet”) enligt vilket Personuppgiftsbiträdet ska tillhandahålla vissa tjänster till Personuppgiftsansvarig. För att kunna leverera dessa tjänster kommer Personuppgiftsbiträdet att behandla personuppgifter för Personuppgiftsansvarigs räkning.

2.2 Avtalets syfte

Detta Avtal syftar till att uppfylla kraven i artikel 28 i dataskyddsförordningen (GDPR) och säkerställa ett adekvat skydd för de personuppgifter som behandlas av Personuppgiftsbiträdet för Personuppgiftsansvarigs räkning.

Avtalet reglerar:

  • Parternas rättigheter och skyldigheter
  • Ändamål och omfattning av personuppgiftsbehandlingen
  • Tekniska och organisatoriska säkerhetsåtgärder
  • Instruktioner för personuppgiftsbehandling
  • Rutiner för incidenthantering och övriga förpliktelser enligt dataskyddslagstiftningen

2.3 Avtalets relation till Huvudavtalet

Detta Avtal utgör en integrerad del av Huvudavtalet. Vid eventuella motstridigheter mellan bestämmelser i detta Avtal och bestämmelser i Huvudavtalet avseende behandling av personuppgifter ska bestämmelserna i detta Avtal ha företräde.

3. Omfattning och ändamål

3.1 Ändamål med behandlingen

Personuppgiftsbiträdet får endast behandla personuppgifter för det eller de ändamål som är nödvändiga för att tillhandahålla de tjänster som specificeras i Huvudavtalet och i enlighet med Personuppgiftsansvarigs dokumenterade instruktioner.

Huvudsakliga ändamål för behandlingen kan vara:

  • Tillhandahållande av webbutveckling och webbhosting
  • Design- och produktionstjänster
  • Kundrelationshantering
  • Marknadsförings- och kommunikationstjänster
  • Support och underhåll av system och applikationer

3.2 Kategorier av personuppgifter

Typerna av personuppgifter som Personuppgiftsbiträdet kan komma att behandla omfattar, men är inte begränsade till:

  • Kontaktuppgifter (t.ex. namn, adress, e-postadress, telefonnummer)
  • Identifieringsuppgifter (t.ex. personnummer, ID-nummer, användarnamn)
  • Anställningsrelaterade uppgifter (t.ex. titel, arbetsplats, yrkesroll)
  • Tekniska uppgifter (t.ex. IP-adress, geografisk plats, webbläsarhistorik)
  • Beteendedata och preferenser (t.ex. köpvanor, intressen)
  • Användarinnehåll (t.ex. meddelanden, bilder, textmaterial)

3.3 Kategorier av registrerade

De grupper av registrerade vars personuppgifter kan komma att behandlas omfattar:

  • Anställda hos Personuppgiftsansvarig
  • Kunder till Personuppgiftsansvarig
  • Leverantörer och samarbetspartners till Personuppgiftsansvarig
  • Användare av Personuppgiftsansvarigs tjänster och webbplatser
  • Andra kategorier av registrerade som specificeras i Huvudavtalet

3.4 Behandlingsaktiviteter

De behandlingsaktiviteter som Personuppgiftsbiträdet kan utföra omfattar, men är inte begränsade till:

  • Insamling
  • Registrering och strukturering
  • Lagring och hosting
  • Användning och analys
  • Överföring och delning (inom ramen för avtalets omfattning)
  • Radering och förstöring

4. Personuppgiftsansvarigs skyldigheter och rättigheter

4.1 Personuppgiftsansvarigs ansvar

Personuppgiftsansvarig är ansvarig för:

  • Att säkerställa att det finns en rättslig grund för behandling av personuppgifter
  • Att behandlingen sker i enlighet med dataskyddslagstiftningen
  • Att informera de registrerade om behandlingen i enlighet med dataskyddslagstiftningen
  • Att lämna tydliga dokumenterade instruktioner till Personuppgiftsbiträdet
  • Att upprätta ett register över behandlingar som utförs under dess ansvar
  • Att genomföra lämpliga konsekvensbedömningar när så krävs enligt dataskyddslagstiftning
  • Att inhämta förhandstillstånd från tillsynsmyndigheten när så krävs
  • Att meddela Personuppgiftsbiträdet om ändringar i instruktionerna

4.2 Rätt till insyn och kontroll

Personuppgiftsansvarig har rätt att:

  • Få tillgång till all information som är nödvändig för att visa att de skyldigheter som fastställs i artikel 28 i GDPR har fullgjorts
  • Genomföra revisioner, inbegripet inspektioner, hos Personuppgiftsbiträdet
  • Utfärda ytterligare skriftliga instruktioner med avseende på behandlingen

Revisioner ska genomföras på ett sätt som minimerar störningar i Personuppgiftsbiträdets verksamhet och med rimlig förvarning (minst 30 dagar om inget annat avtalats).

5. Personuppgiftsbiträdets skyldigheter

5.1 Grundläggande skyldigheter

Personuppgiftsbiträdet åtar sig att:

  • Endast behandla personuppgifter enligt Personuppgiftsansvarigs dokumenterade instruktioner
  • Säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet
  • Vidta alla tekniska och organisatoriska åtgärder som krävs enligt artikel 32 i GDPR
  • Respektera de villkor som anges i artikel 28.2 och 28.4 i GDPR för anlitande av ett annat personuppgiftsbiträde (underbiträde)
  • Hjälpa Personuppgiftsansvarig, genom lämpliga tekniska och organisatoriska åtgärder, att uppfylla sin skyldighet att svara på begäran om utövande av den registrerades rättigheter
  • Bistå Personuppgiftsansvarig med att säkerställa uppfyllandet av skyldigheterna enligt artiklarna 32-36 i GDPR
  • Efter Personuppgiftsansvarigs val, radera eller återlämna alla personuppgifter när tillhandahållandet av tjänsterna har avslutats
  • Ge Personuppgiftsansvarig tillgång till all information som krävs för att visa att skyldigheterna i artikel 28 i GDPR har fullgjorts
  • Omedelbart informera Personuppgiftsansvarig om en instruktion enligt Personuppgiftsbiträdets uppfattning strider mot dataskyddslagstiftningen

5.2 Säkerhetsåtgärder

Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet:

  • Pseudonymisering och kryptering av personuppgifter där det är lämpligt
  • Förmåga att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos systemen
  • Förmåga att återställa tillgänglighet och åtkomst till personuppgifter i rimlig tid vid fysisk eller teknisk incident
  • Process för regelbunden testning, undersökning och utvärdering av säkerhetsåtgärdernas effektivitet

Specifika säkerhetsåtgärder omfattar, men är inte begränsade till:

  • Strikt åtkomstkontroll och behörighetshantering
  • Säker överföring genom TLS/SSL-kryptering
  • Regelbunden säkerhetskopiering
  • Kontinuerlig övervakning och loggning
  • Säkerhetsuppdateringar och sårbarhetshantering
  • Utbildning av personal
  • Dokumenterade processer för säkerhetshantering
  • Fysisk säkerhet för serverlokaler och utrustning

5.3 Register över behandling

Personuppgiftsbiträdet ska föra ett register över alla kategorier av behandling som utförs för Personuppgiftsansvarigs räkning, vilket ska innehålla:

  • Kontaktuppgifter till Personuppgiftsbiträdet och Personuppgiftsansvarig
  • De kategorier av behandlingar som utförs för Personuppgiftsansvarigs räkning
  • I förekommande fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation
  • En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna

5.4 Rapportering av personuppgiftsincidenter

Vid en personuppgiftsincident ska Personuppgiftsbiträdet:

  • Utan onödigt dröjsmål, och senast inom 24 timmar från upptäckt, underrätta Personuppgiftsansvarig
  • Tillhandahålla Personuppgiftsansvarig tillräcklig information för att uppfylla anmälningsplikten till tillsynsmyndigheten
  • Dokumentera incidenten, dess effekter och de åtgärder som vidtagits
  • Bistå Personuppgiftsansvarig med att kommunicera incidenter till registrerade när så krävs

Informationen som lämnas ska åtminstone:

  • Beskriva personuppgiftsincidentens art
  • Beskriva sannolika konsekvenser
  • Beskriva åtgärder som vidtagits eller föreslagits
  • Förmedla kontaktuppgifter till dataskyddsombud eller annan kontaktpunkt

5.5 Bistånd till Personuppgiftsansvarig

Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med:

  • Att uppfylla skyldigheten att svara på begäranden från registrerade
  • Genomförandet av konsekvensbedömningar avseende dataskydd när så krävs
  • Förhandssamråd med tillsynsmyndigheten
  • Implementering av lämpliga tekniska och organisatoriska åtgärder
  • Att tillhandahålla information som behövs för att visa att artikel 28 i GDPR följs

6. Underbiträden

6.1 Allmänt tillstånd

Personuppgiftsansvarig ger härmed ett allmänt skriftligt tillstånd till Personuppgiftsbiträdet att anlita underbiträden för behandling av personuppgifter inom ramen för detta Avtal.

6.2 Information om underbiträden

Personuppgiftsbiträdet ska hålla en uppdaterad lista över anlitade underbiträden tillgänglig för Personuppgiftsansvarig. Listan ska innehålla:

  • Underbiträdets fullständiga namn och kontaktuppgifter
  • De behandlingsaktiviteter som utförs av underbiträdet
  • Plats för behandlingen (land/region)

Den aktuella listan över underbiträden tillhandahålls på begäran.

6.3 Information om ändringar

Personuppgiftsbiträdet ska informera Personuppgiftsansvarig om eventuella planerade ändringar avseende tillägg eller ersättning av underbiträden minst 30 dagar i förväg, och därigenom ge Personuppgiftsansvarig möjlighet att invända mot sådana ändringar.

6.4 Invändning mot underbiträde

Om Personuppgiftsansvarig har befogade invändningar mot anlitandet av ett visst underbiträde ska Personuppgiftsansvarig meddela detta skriftligen inom 14 dagar efter att ha blivit informerad. Om Personuppgiftsbiträdet trots Personuppgiftsansvarigs invändning ändå avser att anlita underbiträdet, har Personuppgiftsansvarig rätt att säga upp Huvudavtalet med 30 dagars uppsägningstid.

6.5 Underbiträdets skyldigheter

När Personuppgiftsbiträdet anlitar ett underbiträde ska detta ske genom ett skriftligt avtal som ålägger underbiträdet samma skyldigheter i fråga om dataskydd som de som fastställs i detta Avtal. Personuppgiftsbiträdet förblir fullt ansvarigt gentemot Personuppgiftsansvarig för fullgörandet av underbiträdets skyldigheter.

7. Överföring till tredje land

7.1 Grundläggande krav

Personuppgiftsbiträdet får endast överföra personuppgifter till ett land utanför EU/EES (“tredje land”) eller en internationell organisation om:

  • Personuppgiftsansvarig har gett uttryckligt skriftligt tillstånd till sådan överföring
  • Överföringen sker i enlighet med dataskyddslagstiftningens bestämmelser om överföring till tredje land

7.2 Lämpliga skyddsåtgärder

Vid överföring till tredje land ska Personuppgiftsbiträdet säkerställa att en av följande skyddsåtgärder finns på plats:

  • Beslut av Europeiska kommissionen om adekvat skyddsnivå
  • Standardavtalsklausuler som antagits av Europeiska kommissionen
  • Godkänd certifieringsmekanism tillsammans med bindande åtaganden
  • Godkänd uppförandekod tillsammans med bindande åtaganden
  • Bindande företagsbestämmelser godkända enligt GDPR

7.3 Information om överföringar

Personuppgiftsbiträdet ska på begäran informera Personuppgiftsansvarig om vilka länder utanför EU/EES som personuppgifter kan komma att behandlas i samt vilka skyddsåtgärder som implementerats för respektive överföring.

8. Konfidentialitet

8.1 Sekretessåtagande

Personuppgiftsbiträdet förbinder sig att:

  • Behandla all information om personuppgifterna och behandlingen av dessa som konfidentiell
  • Säkerställa att personer som är behöriga att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av lagstadgad tystnadsplikt
  • Inte lämna ut personuppgifter eller information om behandlingen av personuppgifter till tredje part utan föregående skriftligt medgivande från Personuppgiftsansvarig, såvida inte sådan information måste lämnas ut enligt lag

8.2 Anställdas åtagande

Personuppgiftsbiträdet ansvarar för att anställda, konsulter och andra som agerar på Personuppgiftsbiträdets vägnar och har tillgång till personuppgifterna:

  • Är informerade om personuppgifternas konfidentiella natur
  • Har fått lämplig utbildning i skydd av personuppgifter
  • Är medvetna om Personuppgiftsbiträdets skyldigheter enligt detta Avtal
  • Efterlever bestämmelser om konfidentialitet i sina respektive anställnings- eller konsultavtal

8.3 Sekretessens varaktighet

Åtagande om konfidentialitet gäller under detta Avtals giltighetstid och därefter utan tidsbegränsning.

9. Avtalstid och uppsägning

9.1 Avtalstid

Detta Avtal gäller från undertecknandet och så länge som Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning enligt Huvudavtalet.

9.2 Åtgärder vid Avtalets upphörande

När Avtalet upphör ska Personuppgiftsbiträdet, enligt Personuppgiftsansvarigs val:

  • Radera alla personuppgifter som behandlats på uppdrag av Personuppgiftsansvarig, eller
  • Återlämna alla personuppgifter till Personuppgiftsansvarig och radera befintliga kopior

såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt.

9.3 Bekräftelse vid radering

Om Personuppgiftsansvarig väljer att personuppgifterna ska raderas, ska Personuppgiftsbiträdet skriftligen bekräfta att radering har skett inom 30 dagar från raderingen.

10. Ändringar och tillägg

10.1 Skriftliga ändringar

Ändringar av och tillägg till detta Avtal ska göras skriftligen och undertecknas av båda Parter för att vara giltiga.

10.2 Ändringar i lagstiftningen

Om förändringar i dataskyddslagstiftningen eller tillsynsmyndighetens tolkning av denna föranleder behov av ändringar i detta Avtal ska Parterna i god anda samarbeta för att uppdatera Avtalet. Personuppgiftsbiträdet har i sådant fall rätt till skälig ersättning för eventuella nödvändiga anpassningar av tjänsten.

11. Ansvar och ansvarsbegränsning

11.1 Skadestånd till registrerade

Om en registrerad har erhållit ersättning för skada som orsakats av överträdelse av dataskyddslagstiftningen, och både Personuppgiftsansvarig och Personuppgiftsbiträdet har medverkat till behandlingen, ska ansvarsfördelningen mellan Parterna följa artikel 82 i GDPR.

11.2 Viten och andra påföljder

Om tillsynsmyndighet beslutar om administrativa sanktionsavgifter, viten eller andra påföljder för någon av Parterna ska den Part som orsakat överträdelsen genom att inte fullgöra sina skyldigheter enligt detta Avtal ansvara för dessa. Om båda Parter har bidragit till överträdelsen ska ansvaret fördelas i proportion till respektive Parts ansvar för överträdelsen.

11.3 Ansvarsbegränsning

Personuppgiftsbiträdets totala ansvar enligt detta Avtal är begränsat till det belopp som anges i Huvudavtalet avseende ansvarsbegränsning, dock högst till ett belopp motsvarande arvodena som betalats under de senaste 12 månaderna.

Denna ansvarsbegränsning gäller inte vid uppsåt eller grov vårdslöshet eller för ansvar som inte kan begränsas enligt tvingande lag.

12. Meddelanden

12.1 Kontaktpunkter

Meddelanden enligt detta Avtal ska skickas skriftligen till de kontaktpersoner som anges nedan eller som senare skriftligen meddelats den andra Parten.

För Personuppgiftsbiträdet:

Namn: NWG Digital AB

E-post: [email protected]

Adress: NWG Digital AB, Bleckslagargatan 16, 934 31 Kåge, Sverige

För Personuppgiftsansvarig:

Namn: [NAMN]

E-post: [E-POST]

Adress: [ADRESS]

12.2 Dataskyddsombud (om nödvändigt)

För Personuppgiftsbiträdet:

Namn: NWG Digital AB

E-post: [email protected]

Adress: NWG Digital AB, Bleckslagargatan 16, 934 31 Kåge, Sverige

För Personuppgiftsansvarig:

Namn: [NAMN]

E-post: [E-POST]

Adress: [ADRESS]

13. Tillämplig lag och tvistlösning

13.1 Tillämplig lag

Detta Avtal ska tolkas och tillämpas i enlighet med svensk lag, utan hänsyn till dess lagvalsregler.

13.2 Tvistlösning

Tvister som uppstår i anledning av detta Avtal ska slutligt avgöras enligt samma bestämmelser som anges i Huvudavtalet avseende tvistlösning. Om Huvudavtalet saknar bestämmelser om tvistlösning ska tvister avgöras av svensk allmän domstol.

14. Avtalets upprättande

Detta Avtal har upprättats i två (2) likalydande exemplar, varav Parterna har tagit var sitt.

15. Underskrifter

Parterna intygar härmed att de har behörighet att ingå detta Avtal och att de avser att följa dess villkor i enlighet med ovanstående.

Personuppgiftsbiträdet:

Ort och datum: [ORT OCH DATUM]

Underskrift: [UNDERSKRIFT]

Namnförtydligande: [NAMNFÖRTYDLIGANDE]

Personuppgiftsansvarig:

Ort och datum: [ORT OCH DATUM]

Underskrift: [UNDERSKRIFT]

Namnförtydligande: [NAMNFÖRTYDLIGANDE]