Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal        1

Bakgrund        2

Definitioner        2

Behandling av Personuppgifter        2

Underbiträden        3

Begränsningar i rätten att överföra Personuppgifter till Tredje land        3

Säkerhetsåtgärder, granskning och tillsyn        4

Utlämnande av information        5

Sekretess        6

Ersättning        6

Skadestånd och ansvar gentemot tredje man        6

Ansvarsbegränsningar        7

Ändringar        7

Avtalstid        7

Lagval och avgörande av tvist        8

Detta personuppgiftsbiträdesavtal (detta ”Avtal”) är gäller mellan:

Lucid ERP Sweden AB, organisationsnummer 559320-8738 (”Biträdet”) och

Kund som tecknat våra tjänster (”Ansvarig”)

härefter enskilt benämnd ”Part” och tillsammans ”Parterna”.

1. Bakgrund

Ansvarig har anlitat Biträdet för att utföra vissa tjänster åt Ansvarig enligt Allmänna Villkor  (”Uppdragsavtalet”). Europaparlamentets och rådets förordning 2016/679 (Allmän Dataskyddsförordning), nedan kallad Förordningen, ställer krav på skriftligt personuppgiftsbiträdesavtal när en part ska behandla Personuppgifter för annan parts räkning.

2. Definitioner

Begrepp enligt detta Avtal ska tolkas i enlighet med Förordningen.

3. Behandling av Personuppgifter

1. Biträdet förbinder sig att utföra behandlingen, såsom denna är specificerad i Uppdragsavtalet och dess bilagor.

2. Biträdet förbinder sig att följa Förordningen, samt att hålla sig informerad om Förordningen och angränsande lagstiftning av relevans för den avtalade behandlingen.

3. Biträdet och den eller de personer som arbetar under dennes ledning får endast behandla Personuppgifter i enlighet med de instruktioner som anges i detta Avtal eller som från tid till annan lämnas av den Ansvarige. För det fall Biträdet saknar instruktioner som Biträdet bedömer är nödvändiga för att genomföra det uppdrag Biträdet erhållit från den Ansvarige ska Biträdet, utan dröjsmål, informera den Ansvarige om sin inställning och invänta de instruktioner som den Ansvarige bedömer erfordras. Mottagna instruktioner skall dokumenteras.

4. Biträdet ska endast behandla Personuppgifter på utrustning som fysiskt befinner sig inom EU/EES, inbegripet nyttjandet av molntjänster. Biträdet äger rätt att flytta utrustningen eller behandla Personuppgifter på annan utrustning inom EU/EES utan den Ansvariges medgivande.

4. Underbiträden

1. Biträdet får härmed ett allmänt förhandstillstånd att anlita underleverantörer för behandling av Personuppgifter (”Underbiträden”).

2. Om ett Underbiträde anlitas efter det allmänna förhandstillståndet ska Biträdet informera Ansvarig om alla planerade förändringar när det gäller Underbiträdet så att den Ansvarig kan invända mot förändringarna.

3. Biträdet ska ingå avtal med alla sina Underbiträden, med motsvarande nivå av skyldigheter som Biträdet har enligt detta Avtal.

4. Biträdet ansvarar för att underbiträdet uppfyller sina skyldigheter i fråga om dataskydd.

5. Begränsningar i rätten att överföra Personuppgifter till Tredje land

1. Biträdet äger inte rätt att överföra Personuppgifter till Tredje land, såvida inte Ansvarig skriftligen har godkänt sådan överföring och någon av följande förutsättningar är uppfyllda:

• den registrerade har gett sitt Samtycke till överföringen,
• adekvat skyddsnivå enligt Förordningens artikel 45 föreligger,
• mottagaren har vidtagit lämpliga skyddsåtgärder enligt Förordningens artikel 46, till exempel EU-kommissionens modellklausuler eller bindande företagsbestämmelser, eller
• särskilt tillstånd från Datainspektionen.

6. Säkerhetsåtgärder, granskning och tillsyn

1. Biträdet ska vidta skäliga tekniska och organisatoriska åtgärder för att skydda Personuppgifter mot obehörig åtkomst, förstörelse och ändring i enlighet med Förordningens krav, med särskilt beaktande av kraven i dess artikel 32.

2. Vid upptäckt av en personuppgiftsincident, ska Biträdet informera den Ansvarige om detta utan onödigt dröjsmål.

3. Biträdet ska när detta Avtal upphör, radera Personuppgifterna på ett sådant sätt att de inte kan återskapas och därvid se till att det inte finns några Personuppgifter kvar hos Biträdet.

4. Den Ansvarige har rätt att på egen bekostnad själv kontrollera att Biträdet följer detta Avtal. Biträdet ska därvid lämna den Ansvarige den information som behövs för att visa att de skyldigheter som följer av detta Avtal har fullgjorts. Om inte annat skriftligen har överenskommits mellan Parterna får inspektion endast utföras om granskning enligt Tillämplig Dataskyddslagstiftning inte kan fullgöras genom Biträdets tillhandahållande av information. Samtliga kostnader relaterade till granskning ska bäras av Ansvarig. Biträdets kostnader i samband med genomförande av sådan granskning får debiteras Ansvarig.

5. En granskning enligt punkt 6.4 ska föregås av minst nittio (90) dagars föregående skriftligt meddelande från Ansvarig i vilket inspektionens innehåll och omfattning ska specificeras och förutsätter att Ansvarig ingår nödvändiga sekretessåtaganden och följer Biträdets säkerhetsbestämmelser på platsen där inspektionen ska genomföras samt att inspektionen genomförs utan att den oskäligen riskerar att hindra Biträdets verksamhet eller riskerar skyddet för information som rör tredje part. Information som samlas in som en del av granskningen ska omedelbart raderas efter fullgjord inspektion.

6. Biträdet ska assistera den Ansvarige med att ta fram information som begärts av Datainspektionen eller av en Registrerad, eller på annat sätt underlätta för den Ansvarige att tillgodose en Registrerads rättigheter enligt Förordningen.

7. Om Datainspektionen eller annan myndighet inleder granskning av Ansvarigs Behandling av Personuppgifter eller om enskild väcker talan mot Ansvarig med anledning av sådan Behandling och frågan rör Behandling som kan antas ha utförts av Biträdet, ska Biträdet i skälig omfattning och mot ersättning för självkostnader bistå Ansvarig med dokumentation och annan information avseende Behandlingen i syfte att möjliggöra för Ansvarig att tillmötesgå myndigheter i deras granskning och bemöta framställda krav.

7. Utlämnande av information

1. För de fall att en Registrerad, Datainspektionen eller annan tredje man begär information från Biträdet som rör behandling av Personuppgifter (innefattar även rätten till information och registerutdrag, rättelse, radering med mera) ska Biträdet hänvisa till den Ansvarige. Biträdet får inte lämna ut Personuppgifter eller annan information om behandlingen av Personuppgifter utan uttrycklig instruktion från den Ansvarige.

2. Biträdet ska utan dröjsmål informera den Ansvarige om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandlingen av Personuppgifter. Biträdet har inte rätt att företräda den Ansvarige eller agera för den Ansvariges räkning gentemot Datainspektionen eller annan tredje man.

8. Sekretess

1. Biträdet förbinder sig att inte till tredje man lämna ut eller på annat sätt röja information om behandlingen av Personuppgifter som omfattas av detta Avtal eller annan information som Biträdet erhållit till följd av detta Avtal eller annan information som Biträdet erhållit i sin roll som Personuppgiftsbiträde. Detta åtagande gäller inte information som Biträdet föreläggs utge till myndighet. I sådant fall åligger det Biträdet att omgående skriftligen meddela Ansvarig om detta och begära att de efterfrågade Personuppgifterna omfattas av sekretess vid utlämnandet.

2. Biträdet förbinder sig att säkerställa att personer med behörighet att behandla Personuppgifter åtar sig att iaktta samma nivå av konfidentialitet som gäller för Biträdet enligt detta Avtal eller lag.

3. Parts sekretesskyldighet enligt Avtalet gäller under avtalstiden.

9. Ersättning

Biträdet har endast rätt att debitera den Ansvarige ersättning för Behandlingen av Personuppgifter om sådan rätt framgår av Uppdragsavtalet.

10. Skadestånd och ansvar gentemot tredje man

1. För den händelse en Registrerad, eller annan tredje man, riktar krav mot den Ansvarige på grund av Biträdets behandling av Personuppgifter ska Biträdets ansvar enligt Avtalet vara begränsat till endast direkt skada. Biträdets skyldighet att erlägga ersättning för direkt skada under varje 12- månaders period ska vara begränsat till ett belopp som motsvarar 12 månaders abonnemangsavgifter för Tjänsterna under samma period. Sådan återbetalning eller ersättning kan dock aldrig överstiga ett prisbasbelopp enlig 2 kap. 6§ socialförsäkringsbalken.
2. Part ska inte vara skyldig att utge ersättning för indirekta skador såsom exempelvis utebliven vinst enligt detta Avtal.

11.    Ansvarsbegränsningar

De ansvarsbegränsningar som följer av Uppdragsavtalet ska tillämpas för Personuppgiftsbiträdets ansvar enligt detta Biträdesavtal. Om någon del av Avtalet ogiltigförklaras, helt eller delvis, skall detta inte påverka giltigheten av övriga bestämmelser. Den aktuella bestämmelsen skall i sådana fall ersättas med en bestämmelse som, så långt möjligt, uppnår den ursprungliga bestämmelsens syften.

12. Ändringar

Biträdet förbehåller sig rätten att göra ändringar i Avtalet. Materiella ändringar i Avtalet ska meddelas till Ansvarig med sju (7) dagars varsel. Om Ansvarig inte framför några invändningar mot ändringarna ska Ansvarig anses ha accepterat ändringarna. Om Ansvarig inte accepterar sådan materiell ändring, kan Avtalet och Uppdragsavtalet sägas upp skriftligen genom post eller e-post.

13. Avtalstid

1. Avtalet gäller från dess undertecknande och så länge som Biträdet behandlar Personuppgifter för den Ansvariges räkning, eller till dess endera Parten säger upp Avtalet till upphörande.

2. Vid Avtalets och Uppdragsavtalet upphörande kommer Ansvarigs Personuppgifter att raderas och det är upp till Ansvarig att spara undan informationen på annat sätt.

3. Om Uppdragsavtalet upphör och nytt sådant avtal träffas utan att ett nytt personuppgiftsbiträdesavtal träffas, gäller detta Avtal även för det nya uppdragsavtalet.

14. Lagval och avgörande av tvist

För detta Avtal gäller svensk rätt. Tvist i anledning av detta Avtal ska avgöras vid allmän domstol.