Personuppgiftsbiträdesavtal
Läs om hur vi hanterar personuppgifter i enlighet med gällande dataskyddslagstiftning.
PUBA
1 INLEDNING
1.1 Detta PUBA gäller mellan Parterna för de Personuppgifter som AM Hultdin System AB behandlar för Kundens räkning.
2 DEFINITIONER
2.1 De i Avtalet definierade termerna ska i detta PUBA ha samma betydelse som i Avtalet (om inte annat uttryckligen anges). I detta PUBA ska nedan angivna termer ha följande betydelse.
| Behandla | En åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. |
| Dataskyddsförordningen | Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016. |
| Instruktion | Kundens instruktion för behandling av personuppgifter, se bilaga 1.1 till detta PUBA. |
| Området | De länder som ingår i det Europeiska Ekonomiska Samarbetsområdet (EES) samt Schweiz, dvs. samtliga EU-länder; Island, Lichtenstein och Norge; samt Schweiz. |
| Personuppgifter | Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
| PUBA | Detta personuppgiftsbiträdesavtal samt ändringar och tillägg som vidtagits i enlighet med bestämmelserna i Avtalet. |
| Registrerad | En fysisk person som en Personuppgift avser. |
| Underbiträde | Den som anlitats av AM Hultdin System AB för att såsom personuppgiftsunderbiträde till AM Hultdin System AB behandla personuppgifter för AM Hultdin System AB räkning. |
3 BAKGRUND
3.1 Dataskyddsförordningen uppställer krav på att ett skriftligt personuppgiftsbiträdesavtal upprättas när en part ska Behandla Personuppgifter för annan parts räkning.
3.2 Då Avtalet kan komma att innebära att AM Hultdin System AB Behandlar Personuppgifter för Kundens räkning har Parterna ingått detta PUBA för att reglera omfattningen och den närmare utformningen av Behandlingen.
4 PERSONUPPGIFTSBEHANDLING
4.1 AM Hultdin System AB ska vid Behandling av Personuppgifter under Avtalet tillse att sådan Behandling sker i enlighet med Dataskyddsförordningen samt annan tillämplig lag eller föreskrifter gällande Behandling av Personuppgifter samt acceptera ändringar eller tillägg till Avtalet som krävs för att uppfylla kraven i Dataskyddsförordningen eller annan tillämplig lag gällande Behandling av Personuppgifter.
4.2 AM Hultdin System AB och den eller de personer som arbetar under AM Hultdin System AB:s ledning får bara Behandla Personuppgifter i enlighet med den Instruktion som bifogas till detta PUBA eller annan instruktion som från tid till annan lämnas av Kunden. Föremålet för Behandling av Personuppgifter, Behandlingens varaktighet, art och ändamål, typen av Personuppgifter och kategorier av registrerade framgår av innehållet i Avtalet samt Instruktionen.
4.3 AM Hultdin System AB får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan uttrycklig instruktion från Kunden. Detta gäller emellertid inte om AM Hultdin System AB är skyldig därtill enligt lag eller efter föreläggande av myndighet eller behörig domstol.
4.4 Om inte annat uttryckligen anges i Avtalet, har AM Hultdin System AB inte rätt att vidta åtgärder avseende Personuppgifter som AM Hultdin System AB erhåller från Kunden (i) för andra ändamål än för att uppfylla sina förpliktelser enligt Avtalet, eller (ii) på annat sätt än i enlighet med Instruktion från Kunden.
4.5 AM Hultdin System AB ska, med beaktande av Behandlingens art, assistera Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Kunden kan fullgöra sin skyldighet att svara på begäran om utövande av den Registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen.
4.6 Kunden är ansvarig för att all Behandling av Personuppgifter enligt avtalet sker i enlighet med Dataskyddsförordningen. Kunden ska säkerställa att AM Hultdin System AB har erforderliga och fullständiga instruktioner om hur bolaget ska fullfölja sitt uppdrag. Om AM Hultdin System AB saknar instruktioner som AM Hultdin System AB bedömer är nödvändiga för att genomföra uppdrag som erhållits från Kunden ska AM Hultdin System AB utan dröjsmål informera Kunden. Kunden ska utan dröjsmål lämna instruktioner. Vidare ska AM Hultdin System AB utan dröjsmål meddela Kunden om Instruktion strider mot Dataskyddsförordningen eller annan tillämplig lag gällande behandling av personuppgifter.
4.7 För det fall en Registrerad, Integritetsskyddsmyndigheten eller annan behörig tredje man begär information från AM Hultdin System AB som rör Behandling av Personuppgifter ska AM Hultdin System AB hänvisa till Kunden.
4.8 AM Hultdin System AB ska utan dröjsmål informera Kunden om eventuella kontakter från Integritetsskyddsmyndigheten som rör eller kan vara av betydelse för Behandling av Personuppgifter. AM Hultdin System AB har inte rätt att företräda Kunden gentemot Integritetsskyddsmyndigheten, om inte Parterna separat avtalar därom.
5 INFORMATIONSSÄKERHET
5.1 Med beaktande av den senaste utvecklingen, genomförandekostnaderna och Behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska AM Hultdin System AB vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt,
(a) pseudonymisering och kryptering av personuppgifter;
(b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna;
(c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident; samt
(d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
5.2 AM Hultdin System AB ska skydda Personuppgifterna som Behandlas mot oavsiktlig eller olaglig förstöring, förlust eller ändring, obehörigt röjande eller obehörig åtkomst.
5.3 AM Hultdin System AB ska bistå Kunden så att Kunden kan fullgöra sina skyldigheter avseende dataskydd och konsekvensbedömningar av detsamma. Vidare ska AM Hultdin System AB, så långt det är möjligt, bistå Kunden genom lämpliga tekniska och organisatoriska åtgärder så att Kunden kan fullgöra sina skyldigheter att svara på begäran från Registrerad om utövande av den Registrerades rättigheter i enlighet med avsnitt 3 i Dataskyddsförordningen.
6 PERSONUPPGIFTSINCIDENT
6.1 AM Hultdin System AB ska vidta alla nödvändiga åtgärder för att bistå Kunden med att fullgöra sina skyldigheter att anmäla personuppgiftsincident till behörig tillsynsmyndighet samt, om så krävs enligt Dataskyddsförordningen, till den Registrerade. Vid uppkomsten av en personuppgiftsincident ska AM Hultdin System AB utan oskäligt dröjsmål efter personuppgiftsincidenten meddela Kunden därom.
6.2 Meddelande om personuppgiftsincident ska i vart fall innehålla
(a) en beskrivning av personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och de ungefärligt antal Registrerade som berörs av personuppgiftsincidenten;
(b) namnet på och kontaktuppgifter till personuppgiftsombudet eller andra kontaktuppgifter där mer information om personuppgiftsincidenten kan erhållas;
(c) en beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten; samt
(d) en beskrivning av de åtgärder som AM Hultdin System AB har vidtagit alternativt föreslagit att vidta för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
6.3 Om Kunden så begär ska AM Hultdin System AB bistå Kunden vid kommunikationen av personuppgiftsincident till Registrerad.
7 UNDERBITRÄDE
7.1 AM Hultdin System AB har rätt att fritt anlita Underbiträde. Om Underbiträde utses ska AM Hultdin System AB träffa ett personuppgiftsbiträdesavtal med Underbiträdet som motsvarar bestämmelserna i detta PUBA och som i övrigt överensstämmer med Dataskyddsförordningen.
7.2 Kunden ska alltid ha kunskap om vilka Underbiträden som kan komma att ta del av Personuppgifterna. AM Hultdin System AB ska följaktligen informera Kunden vid bruk av Underbiträde samt vid ändring av Underbiträde. En lista över vilka som vid var tid utgör Underbiträden finns tillgänglig här
7.3 AM Hultdin System AB ansvarar för Underbiträdes arbete som för sitt eget och medför ingen förändring av den ansvarsfördelning som gäller mellan Parterna enligt detta PUBA. AM Hultdin System AB har vidare en skyldighet att vid användande av Underbiträde tillse att sådant Underbiträde följer bestämmelserna i detta PUBA, inklusive men inte begränsat till bestämmelserna om Informationssäkerhet under punkten 5 ovan, samt att Behandlingen av Personuppgifter av sådant Underbiträde i övrigt sker i enlighet med Dataskyddsförordningen.
8 ÖVERFÖRING AV PERSONUPPGIFTER UTANFÖR OMRÅDET
8.1 AM Hultdin System AB får inte utan den Personuppgiftsansvariges i förväg inhämtade skriftliga samtycke förflytta, förvara eller på annat sätt Behandla Personuppgifter tillhöriga Kunden utanför Området.
8.2 Om Kunden gett sitt samtycke till överföringen av Personuppgifter till land utanför Området åtar sig AM Hultdin System AB att säkerställa laglig grund för sådan överföring t.ex. genom att, på uppdrag av Kunden, ingå sådana standardklausuler, som tagits fram av EU-kommissionen för överföring av Personuppgifter till tredje land, med Underbiträdet.
8.3 Kunden kan när som helst ta tillbaka sådant samtycke som lämnats enligt denna punkten 8. AM Hultdin System AB ska efter att samtycke tagits tillbaka omedelbart upphöra med överföringen av Personuppgifter, samt vid förfrågan skriftligen intyga att detta upphört.
9 SEKRETESS
9.1 AM Hultdin System AB förbinder sig att inte till tredje man, förutom till Underbiträde som utsetts i enlighet med bestämmelserna i detta PUBA, lämna ut eller på annat sätt avslöja information om Behandling av Personuppgifter som omfattas av detta PUBA.
9.2 AM Hultdin System AB förbinder sig härmed att tillse att endast de personer som arbetar under dennes ledning som har ett behov av att få tillgång till Personuppgifterna för fullföljandet av AM Hultdin System AB:s skyldigheter under detta PUBA, ges tillgång till Personuppgifterna. AM Hultdin System AB ska säkerställa att sådana personer är bundna av sekretess i (åtminstone) samma utsträckning som AM Hultdin System AB enligt detta PUBA.
9.3 Om Underbiträde utses åligger det AM Hultdin System AB att tillse att Underbiträde är bundna av sekretess i (åtminstone) samma utsträckning som AM Hultdin System AB enligt i detta PUBA.
9.4 AM Hultdin System AB äger inte rätt att nyttja sådan information om Behandling av Personuppgifter för andra ändamål än vad som uttryckligen följer av detta PUBA.
9.5 För information som omfattas av detta sekretessåtagande gäller även punkten 12 (Sekretess) i allmänna bestämmelser.
10 ANSVARSBEGRÄNSNING
10.1 AM Hultdin System AB ska i förhållande till Kunden ansvara för direkt skada, med de begränsningar som följer av punkten 10 (Ansvarsbegränsning) i allmänna bestämmelser, uppkommen till följd av behandling av personuppgifter endast om denne inte har fullgjort de skyldigheter enligt Dataskyddsförordningen som specifikt riktar sig till AM Hultdin System AB eller agerat utanför eller i strid med detta PUBA eller i övrigt i strid med Instruktion.
10.2 AM Hultdin System AB ska undgå ansvar enligt ovan om bolaget visar att det inte på något sätt är ansvarigt för den händelse som orsakade skadan.
10.3 Kunden åtar sig att ersätta AM Hultdin System AB för de ersättningar, skadestånd eller motsvarande som AM Hultdin System AB – genom förlikning, dom eller motsvarande – åläggs att erlägga, under förutsättning att anspråket har sin grund i Kundens bristfälliga eller felaktiga Instruktioner till AM Hultdin System AB och att AM Hultdin System AB har fullgjort sina skyldigheter under punkten 4.6 i detta PUBA.
10.4 Om en (i) tillsynsmyndighet eller domstol utdömer administrativ avgift, eller (ii) en Registrerad väcker skadeståndstalan gentemot endera Part äger sådan Part regressrätt gentemot den andra Parten för det fall Part fått erlägga administrativ avgift eller skadestånd som rätteligen (eller genom solidariskt ansvar) skulle ålagts den andra Parten. Sådan regressrätt träffas inte av ansvarsbegränsningen som följer av punkten 10.1 ovan”
11 INSPEKTION
11.1 Kunden har rätt att på egen bekostnad själv eller genom tredje man kontrollera att AM Hultdin System AB följer detta PUBA. AM Hultdin System AB ska lämna Kunden den assistans som behövs vid sådan kontroll. Om Kunden anser att AM Hultdin System AB brister i något avseende vad gäller Behandlingen av Personuppgifter ska AM Hultdin System AB omedelbart efterfölja de eventuella instruktioner som Kunden ger för att AM Hultdin System AB ska uppfylla sina åtaganden enligt detta PUBA.
12 ERSÄTTNING
12.1 Någon särskild ersättning för AM Hultdin System ABs Behandling av Personuppgifter enligt detta Avtal ska inte utgå.
13 AVTALSTID
13.1 Detta PUBA gäller under avtalstiden.
14 ÅTGÄRDER VID UPPHÖRANDE
14.1 Efter det att behandlingen på Kundens vägnar har avslutats, ska AM Hultdin System AB återlämna eller radera Personuppgifterna, i enlighet med Kundens instruktion därom, såvida inte lagring av Personuppgifterna krävs enligt lag som AM Hultdin System AB omfattas av. Om Personuppgifterna ska återlämnas ska det ske utan onödigt dröjsmål och i ett allmänt och läsbart elektroniskt format.