Personuppgiftsbiträdesavtalet

daterat den xxxxxx ("Avtalsdagen")

MELLAN:

Dev Bridge Sweden AB, 559435-7443, ("Leverantören");

och

xxx , ("Kunden");

Leverantören och Kunden benämns individuellt som "Part" och gemensamt som "Parterna".

BAKGRUND:

Leverantören och Kunden har ingått ett avtal ("Tjänsteavtalet") enligt vilket Leverantören ska tillhandhålla vissa i Tjänsteavtalet angivna tjänster ("Tjänsterna") till Kunden.

Inom ramen för av Leverantörens tillhandahållande av Tjänster enligt Tjänsteavtalet kan Leverantören komma att Behandla Personuppgifter för vilka Kunden är Personuppgiftsansvarig, enligt vad som närmare framgår av Bilaga 1. Leverantören är Personuppgiftsbiträde för sådan Behandling för Kundens räkning. Syftet med detta Personuppgiftsbiträdesavtal är att reglera hur Leverantören ska Behandla Personuppgifter för Kundens räkning och därigenom tillse att Behandlingen sker i enlighet med Tillämplig Personuppgiftslagstiftning, Kundens instruktioner samt vad som i övrigt har överenskommits mellan Parterna.

Vid konflikt mellan en bestämmelse i detta Personuppgiftsbiträdesavtal och en bestämmelse i Tjänsteavtalet gäller bestämmelserna Personuppgiftsbiträdesavtalet i den utsträckning bestämmelsen Personuppgiftsbiträdesavtalet innebär ett bättre skydd för de Personuppgifter som Behandlas.

1. DEFINITIONER

I detta Personuppgiftsbiträdesavtal ska följande definitioner ha den betydelse som anges nedan:

"Behandling", "Personuppgiftsansvarig", "Personuppgifter", "Personuppgiftsbiträde", Personuppgiftsincident", samt "Registrerad" ska ha samma innebörd som i Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ("Dataskyddsförordningen");

"Personuppgiftsbiträdesavtal" betyder detta Personuppgiftsbiträdesavtal jämte samtliga härtill hörande bilagor;

"Tillämplig Lagstiftning" betyder från tid till annan gällande lagstiftning, förordningar och föreskrifter i EU och i relevanta medlemsstater som är tillämplig på Leverantören och Kunden; samt

"Tillämplig Personuppgiftslagstiftning" betyder från tid till annan gällande lagstiftning, förordningar och föreskrifter, inklusive föreskrifter som meddelats av berörda tillsynsmyndigheter, avseende skydd för fysiska personers grundläggande rättigheter och friheter och särskilt rätt till skydd av deras Personuppgifter vid Behandling av Personuppgifter som är tillämplig på Leverantören och Kunden, inklusive lagstiftning, förordningar och föreskrifter som genomför direktiv 95/46/EG och, från och med den 25 maj 2018, Dataskyddsförordningen; samt

"Tredje Land" betyder en stat som inte ingår i Europeiska unionen (EU) eller är ansluten till det Europeiska ekonomiska samarbetsområdet (EES).

2. KUNDENS SKYLDIGHETER

2.1 I förhållande till de registrerade ansvarar Kunden för att de rättsliga kraven på Behandlingen uppfyller kraven i Tillämplig Personuppgiftslagstiftning.

2.2 Kunden intygar att Behandlingen överensstämmer med de ändamål för vilka de personuppgifterna som omfattas av Behandlingen har samlats in.

2.3 Det är Kundens ansvar att tillse att Leverantören vid var tid är informerad om Kundens gällande instruktioner, såsom dem i Bilaga A samt andra skriftliga instruktioner från Kunden, avseende Behandlingen. För det fall Kunden ger nya instruktioner avseende Behandlingen som avviker från de som följer tjänsterna under Tjänsteavtalet, och dessa instruktioner kräver mer av Leverantören och går längre än vad som föreskrivs av Tillämplig Personuppgiftslagstiftning eller Datainspektionens råd och uttalanden ska Leverantören överväga, men har ingen skyldighet att acceptera, sådana instruktioner. Om sådana tillkommande instruktioner innebär att omfattningen av de tjänster Leverantören utför under Tjänsteavtalet förändras i väsentlig grad ska frågan i första hand hanteras under Tjänsteavtalet.

2.4 Samtliga instruktioner från Kunden ska vara skriftliga eller på annat sätt dokumenterade.

3. LEVERANTÖRENS SKYLDIGHETER

3.1 Leverantören åtar sig att endast Behandla Personuppgifter på det sätt och/eller för de ändamål som är nödvändiga för att uppfylla sina åtaganden enligt detta Personuppgiftsbiträdesavtal och Tjänsteavtalet samt i enlighet med Kundens dokumenterade instruktioner som lämnats i Bilaga 1. Leverantören ska inte Behandla Personuppgifter för vilka Kunden är Personuppgiftsansvarig för några andra ändamål.

3.2 För det fall Kunden inkommer med nya instruktioner som går utöver vad som följer av detta Personuppgiftsbiträdesavtal eller Tjänsteavtalet, ska Leverantören ha rätt till ersättning i enlighet med Leverantörens vid var tid gällande prislista eller enligt överenskommelse mellan Parterna.

3.3 Oaktat vad som anges i punkten 3.1 ovan har Leverantören rätt att Behandla Personuppgifter i den utsträckning som det krävs för att Leverantören ska kunna uppfylla skyldigheter som åvilar Leverantören och som från tid till annan följer av Tillämplig Lagstiftning. Det ankommer dock på Leverantören att innan sådan Behandling genomförs informera Kunden om den rättsliga skyldigheten, såvida inte Leverantören enligt Tillämplig Lagstiftning är förhindrad att lämna sådan information.

3.4 Oaktat bestämmelser om lagval enligt Tjänsteavtalet ska Tillämplig Personuppgiftslagstiftning gälla för Behandlingen av Personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal.

3.5 Leverantören ska informera Kunden om Leverantören inte kan uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal eller om Leverantören anser att en instruktion som Kunden har lämnat avseende Behandlingen av Personuppgifter skulle stå i strid med Tillämplig Personuppgiftslagstiftning, såvida inte Leverantören är förhindrad att lämna sådan information till Kunden enligt Tillämplig Lagstiftning.

4. SÄKERHETSÅTGÄRDER

4.1 Skyldighet att vidta tekniska och organisatoriska åtgärder för att skydda Personuppgifter

4.1.1 Leverantören vidtar lämpliga tekniska och organisatoriska åtgärder för att de Personuppgifter som Behandlas ska vara skyddade mot Personuppgiftsincidenter. Åtgärderna ska åtminstone uppnå den säkerhetsnivå som följer av Tillämplig Personuppgiftslagstiftning samt berörda tillsynsmyndigheters tillämpliga föreskrifter och riktlinjer avseende säkerhet för Personuppgifter.

4.1.2 Leverantören ska vidare på Kundens begäran bistå Kunden med nödvändig information för att Kunden, i förekommande fall, ska kunna uppfylla sina skyldigheter att genomföra konsekvensbedömning och förhandssamråd med berörda tillsynsmyndigheter avseende den Behandling av Personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal. För det fall Kunden begär assistans från Leverantören att bistå vid en konsekvensbedömning trots att skyldighet att genomföra konsekvensbedömning enligt tillämplig Personuppgiftslagstiftning inte föreligger, har Leverantören rätt till ersättning enligt vid var tid gällande prislista.

4.2 Behörighetskontroll och sekretess för Personuppgifter

4.2.1 Leverantören ska tillse att tillgång till Personuppgifterna är begränsad till den personal hos Leverantören som behöver tillgång till Personuppgifterna för att Leverantören ska kunna uppfylla sina åtaganden gentemot Kunden enligt detta Personuppgiftsbiträdesavtal och Tjänsteavtalet.

4.2.2 Leverantören ska vidare tillse att all personal som är behörig att få tillgång till Personuppgifterna iakttar sekretess som inte är mindre omfattande än det sekretessåtagande som följer av detta Personuppgiftsbiträdeavtal.

4.3 Personuppgiftsincidenter

4.3.1 För det fall en Personuppgiftsincident inträffar ska Leverantören skriftligen underrätta Kunden om detta utan onödigt dröjsmål från det att Personuppgiftsincidenten kom till Leverantörens kännedom.

4.3.2 Om det inte är osannolikt att en Personuppgiftsincident medför någon risk för den personliga integriteten hos de Registrerade, ska Leverantören omedelbart efter att Personuppgiftsincidenten kommit till Leverantörens kännedom vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa Personuppgiftsincidentens potentiellt negativa effekter.

4.3.3 På begäran från Kunden ska Leverantören tillhandahålla:

(i) en beskrivning av Personuppgiftsincidentens art, kategorier av och antalet Registrerade som berörs, samt kategorier av och antalet personuppgiftsposter som berörs;

(ii) de sannolika konsekvenserna av Personuppgiftsincidenten; samt

(iii) en beskrivning av de åtgärder som Leverantören, i förekommande fall, redan har vidtagit eller avser att vidta för att åtgärda Personuppgiftsincidenten och/eller för att begränsa Personuppgiftsincidentens potentiellt negativa effekter.

Om och i den utsträckning det inte är möjligt för Leverantören att tillhandahålla informationen samtidigt får informationen lämnas i omgångar utan onödigt ytterligare dröjsmål. Leverantören har rätt till ersättning för de eventuella kostnader som uppstår till följd av att Leverantören tillhandahåller information enligt denna punkt 4.3.3.

4.4 Rätt att granska och inspektioner

4.4.1 Kunden har rätt att en (1) gång per år, antingen själv eller genom tredje part, genomföra inspektion hos Leverantören för att kontrollera att Leverantören fullgör sina skyldigheter i enlighet med Personuppgiftsbiträdesavtalet. Leverantören ska meddelas om en sådan inspektion minst trettio (30) dagar innan inspektionen genomförs. Samtliga kostnader som uppstår i samband med en inspektion enligt denna punkt 4.4.1 ska bäras av Kunden. För undvikande av missförstånd ska en inspektion som vidtas i enlighet med detta avsnitt 4.4 endast avse sådan information som är nödvändig för att Kunden ska kunna fullgöra sin kontrollskyldighet enligt Tillämplig Personuppgiftslagstiftning och innefattar inte under några omständigheter annan information rörande Leverantörens verksamhet som inte är av relevans för Leverantörens Behandling av Personuppgifter för Kundens räkning.

4.4.2 För det fall Kunden anlitar en tredje part ska Kunden säkerställa att den tredje parten undertecknar en sekretessförbindelse avseende all information som den tredje parten tar del av inom ramen för inspektionen och som motsvarar den sekretessförbindelse som framgår av punkt 7.2 nedan. Kunden svarar gentemot Leverantören för sådan tredje parts eventuella brott mot en sådan sekretessförbindelse.

4.4.3 Leverantören dokumenterar skriftligen de åtgärder som Leverantören vidtagit för att uppfylla sina skyldigheter enligt punkten 4 i detta Personuppgiftsbiträdesavtal, t.ex. i en säkerhetspolicy. Kunden har rätt att på begäran få en kopia av sådan dokumentation.

5. ANLITANDE AV UNDERBITRÄDEN

5.1 Leverantören har rätt att anlita underleverantörer, underkonsulter eller andra tredje parter för att Behandla Personuppgifter för Kundens räkning ("Underbiträden").

5.2 För det fall Leverantören anlitar ett Underbiträde godkänner Kunden att Leverantören ingår ett personuppgiftsbiträdesavtal direkt med Underbiträdet. Ett sådant personuppgiftsbiträdesavtal med Underbiträdet ska innehålla skyldigheter motsvarande och inte mindre restriktiva än vad som följer av detta Personuppgiftsbiträdesavtal. I Bilaga 2 listas de Underbiträden som Leverantören har anlitat per Avtalsdagen, vilka Kunden godkänner genom undertecknande av detta Personuppgiftsbiträdesavtal.

5.3 För det fall Leverantören avser att anlita ett nytt Underbiträde ska utan onödigt dröjsmål skriftligen informera Kunden om:

(i) underbiträdets identitet (inklusive uppgift om fullständigt firmanamn, organisationsnummer och adress);

(ii) vilken typ av tjänst som Underbiträdet utför; samt

(iii) på vilken plats Underbiträdet kommer att Behandla Personuppgifter för Kundens räkning.

5.4 Kunden har i förhållande till anlitande av nya Underbiträden möjlighet att göra invändningar mot anlitandet av Underbiträdet.

5.5 Leverantören ska på Kundens begäran, utöver den information som anges i punkten 5.3 ovan, tillhandahålla en kopia på det personuppgiftsbiträdesavtal som Leverantören ingått med Underbiträdet i enlighet med punkten 5.2 ovan.

5.6 Leverantören ansvarar gentemot Kunden för Underbiträdens Behandling av Personuppgifter såsom för egen räkning.

6. ÖVERFÖRING TILL OCH BEHANDLING AV PERSONUPPGIFTER I TREDJE LAND

6.1 Leverantören får inte överföra Personuppgifter som tillhör Kunden till ett Tredje Land utan Kundens skriftliga godkännande därom. Kunden lämnar genom undertecknandet av detta Personuppgiftsbiträdesavtal sitt godkännande till eventuella överföringar till Tredje Land som Leverantören genomför inom ramen för tillhandahållandet av Tjänsterna per dagen för detta Personuppgiftsbiträdesavtal, under förutsättning att någon av förutsättningarna i punkten 6.2 nedan är förhanden.

6.2 För det fall Personuppgifter avses att överföras till eller Behandlas i Tredje Land ska Leverantören dessförinnan:

6.2.1 undersöka om det Tredje Landet säkerställer en adekvat skyddsnivå för Personuppgifter enligt ett beslut meddelat av EU-kommissionen;

6.2.2 säkerställa att det finns lämpliga skyddsåtgärder på plats enligt Tillämplig Personuppgiftslagstiftning, t.ex. standardiserade dataskyddsbestämmelser som antagits av EU-kommissionen, som omfattar överföringen och Behandling av Personuppgifterna; eller

6.2.3 undersöka om det är möjligt att förlita sig på något undantag enligt Tillämplig Personuppgiftslagstiftning för överföringen av Personuppgifter och om så är fallet får Personuppgifterna överföras till det Tredje Lander endast i den utsträckning (i) som det aktuella undantaget omfattar överföringen och Behandlingen av Personuppgifter, samt (ii) Kunden anser att det är möjligt att förlita sig på det aktuella undantaget.

7. SEKRETESS

7.1 Utan att det påverkar tillämpningen av eventuella sekretessåtaganden i Tjänsteavtalet ska Leverantören hålla alla Personuppgifter som Behandlas för Kundens räkning strikt konfidentiella. Leverantören ska således inte, direkt eller indirekt, utlämna några Personuppgifter till tredje part om inte Kunden på förhand godkänt detta skriftligen. Leverantören accepterar att sekretessåtagandet enligt denna punkt 7.1 ska fortsätta att gälla även efter att detta Personuppgiftsbiträdesavtal upphört och till dess att alla Personuppgifter har återlämnats till Kunden eller efter Kundens skriftliga begäran på ett säkert och oåterkalleligt sätt förstörts eller avidentifierats enligt punkten 10 nedan. Sekretessåtagandet i denna punkt 7.1 ska inte gälla information som:

(i) Leverantören enligt Tillämplig Lagstiftning är skyldig att lämna ut;

(ii) är nödvändig att lämna ut för fullgörandet av Tjänsteavtalet eller detta Personuppgiftsbiträdesavtal;

(iii) är allmänt känd eller kommer till allmän kännedom på annat sätt än genom brott mot detta Avtal;

(iv) Leverantören kan visa att Leverantören hade i sin besittning innan Leverantören erhöll informationen från Kunden med anledning av detta Avtal; eller

(v) Leverantören på rättmätigt sätt utan begränsningar i rätten att vidarebefordra densamma erhåller från tredje man utanför detta avtalsförhållande.

7.2 Kunden förbinder sig att hålla all information som Kunden erhåller avseende Leverantörens säkerhetsåtgärder, rutiner, IT-system eller som annars är av kommersiellt känslig karaktär strikt konfidentiellt och att inte till någon utomstående röja konfidentiell information som härrör från Leverantören eller dess Underbiträden. Kunden har endast rätt att röja sådan information som Kunden är skyldig att röja enligt Tillämplig Lagstiftning eller enligt Tjänsteavtalet eller detta Personuppgiftbiträdesavtal. Kunden accepterar att detta sekretessåtagande ska fortsätta att gälla även efter att det att detta Personuppgiftsbiträdesavtal har upphört att gälla.

8. ANSVAR

De bestämmelser avseende ansvar enligt Tjänsteavtalet ska äga motsvarande tillämpning på detta Personuppgiftsbiträdesavtal.

9. REGISTRERADES RÄTTIGHETER

Leverantören ska i den mån det är möjligt bistå Kunden genom att vidta de tekniska och organisatoriska åtgärder som är nödvändiga för att Kunden ska kunna fullgöra sin skyldighet att svara på en begäran om utövande av sådana rättigheter som tillkommer en Registrerad enligt Tillämplig Personuppgiftslagstiftning. Leverantören har rätt till ersättning om 1200 SEK per timme för sådan assistans.

10. ÅTERLÄMNANDE AV PERSONUPPGIFTER

Vid detta Personuppgiftsbiträdesavtals upphörande enligt 11.1 ska Kunden skriftligen instruera Leverantören om de Personuppgifter som Leverantören Behandlat för Kundens räkning inom ramen för detta Personuppgiftsbiträdesavtal ska (i) återlämnas till Kunden eller (ii) oåterkalleligt raderas. Om Kunden inte inkommer med sådan instruktion inom trettio (30) dagar från Personuppgiftsbiträdesavtalets upphörande, ska Leverantören oåterkalleligt radera Personuppgifterna utan onödigt dröjsmål.

11. AVTALSPERIOD OCH UPPHÖRANDE

11.1 Detta Personuppgiftsbiträdesavtal träder i kraft på Avtalsdagen och ska därefter gälla under Tjänsteavtalets löptid eller under den längre period som Leverantören Behandlar Personuppgifter för Kundens räkning.

11.2 Personuppgiftsbiträdesavtal ska gälla även om Tjänsteavtalet upphör, intill dess att Leverantören (och Underbiträden anlitade av Leverantören) upphör med Behandlingen av Personuppgifter för Kundens räkning.

12. ÖVERLÅTELSE

Ingen av Parterna ska äga rätt att helt eller delvis överlåta sina rättigheter eller skyldigheter enligt detta Personuppgiftsbiträdesavtal utan den andra Partens skriftliga samtycke.

13. ÄNDRINGAR OCH TILLÄGG

Ändringar och tillägg till detta Personuppgiftsbiträdesavtal ska vara skriftliga och undertecknade av båda Parter för att äga giltighet.

14. TILLÄMPLIG LAG

På detta Personuppgiftsbiträdesavtal ska svensk lag tillämpas, utan tillämpning av dess lagvalsregler.

15. TVIST

15.1 Oaktat vad som anges i Tjänsteavtalet ska följande gälla beträffande tvist i anledning av detta

Personuppgiftsbiträdesavtal. I första hand ska tvist i anledning av detta Avtal i första hand försöka lösas genom förtroliga diskussioner mellan Parterna. Om inte detta låter sig göras inom fjorton (14) dagar från det att diskussionerna inleddes, ska tvisten slutligt avgöras genom skiljedom vid Stockholms Handelskammares Skiljedomsinstitut ("Institutet"). Institutets Regler för Förenklat Skiljeförfarande ska gälla om inte Institutet med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Regler för Stockholms Handelskammares Skiljedomsinstitut ska tillämpas på förfarandet. I sistnämnda fall ska Institutet också bestämma om skiljenämnden ska bestå av en eller tre skiljemän. Skiljeförfarande ska äga rum i Stockholm och ske på svenska.

15.2 Skiljeförfarande som äger rum enligt detta avsnitt, inklusive all information som avslöjas och all dokumentation som inges eller utfärdas av eller på uppdrag av endera Part eller av skiljenämnden, samt alla beslut och skiljedomar som fattas eller meddelas i samband med skiljeförfarandet, ska vara strikt konfidentiella och inte användas för andra ändamål än skiljeförfarandet i fråga och inte heller röjas till tredje man utan föregående skriftlig överenskommelse mellan Parterna.