Personuppgifts-
biträdesavtal
Har du några frågor?
Hör av dig till oss i så fall. Maila eller ta upp luren och slå oss en signal på:
Detta Personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) gäller mellan BuildIT i Malmö AB, org.nr. 556389-0556, Kantyxegatan 3, 213 76 Malmö (”BuildIT”) och Kunder som valt att ingå detta.
- Allmänt
- Detta Personuppgiftsbiträdesavtal utgör en integrerad del av avtalet som ingåtts mellan BuildIT och Kunden (”Avtalet”).
- BuildIT kommer vid fullföljandet av Avtalet att behandla Personuppgifter för Kundens räkning såsom Kundens personuppgiftsbiträde. Kunden är personuppgiftsansvarig för behandlingen av Personuppgifterna.
- Om någon annan tillsammans med Kunden är personuppgiftsansvarig för de aktuella Personuppgifterna ska Kunden informera BuildIT om detta.
- Syftet med detta Personuppgiftsbiträdesavtal är att Kunden och BuildIT ska uppfylla vid var tid gällande krav på personuppgiftsbiträdesavtal och förpliktelser enligt Dataskyddsregler samt att säkerställa ett adekvat skydd för personlig integritet och grundläggande rättigheter för enskilda i samband med överföring av Personuppgifter från Kunden till BuildIT inom ramen för de tjänster BuildIT utför åt Kunden under Avtalet.
- Definitioner
- Dataskyddsregler
avser vid var tid gällande lag eller förordning som ska tillämpas på behandling av Personuppgifter vilket innefattar men inte är begränsat till personuppgiftslagen (1998:204) och från den 25 maj 2018 Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (”Dataskyddsförordningen”) vilken ersätter personuppgiftslagen (1998:204); samt Tillsynsmyndighets bindande beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd. - Kunden
avser den part som anges i ingressen ovan, i den mån Kunden ingår detta avtal för andra tjänstemottagares räkning i enlighet med Avtalet ska dock definitionen ”Kund” i tillämpliga delar även avse sådana tjänstemottagare om inte annat uttryckligen framgår av detta Personuppgiftsbiträdesavtal. - BuildIT
avser den part som anges i ingressen ovan. - Personuppgifter
avser varje upplysning som avser en identifierad eller identifierbar fysisk person (en Registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet, som BuildIT behandlar för Kundens räkning under detta Personuppgiftsbiträdesavtal. - Registrerad
avser den fysiska person som en Personuppgift avser. - Tillsynsmyndighet
avser den eller de tillsynsmyndigheter som har behörighet att bedriva tillsyn över behandling av Personuppgifter eller anses vara berörd tillsynsmyndighet enligt Dataskyddsregler, t.ex. Datainspektionen. - Underbiträde
avser den som behandlar Personuppgifter som underleverantör åt BuildIT (vilket innefattar men inte är begränsat till BuildIT koncernbolag). - Eventuella övriga definitioner
med stor begynnelsebokstav, eller som i övrigt kan relateras till behandling av personuppgifter, som används i detta Personuppgiftsbiträdesavtal ska, om inget annat uttryckligen anges, ha den innebörd och betydelse som framgår i första hand av Dataskyddsregler och annars av Avtalet om inte omständigheterna uppenbarligen talar för annan tolkningsordning.
- Dataskyddsregler
- Ansvar och instruktion
- Kunden är personuppgiftsansvarig för samtliga Personuppgifter som BuildIT behandlar för Kundens räkning under Avtalet. Kunden ansvarar därmed för att gällande Dataskyddsregler följs. Kunden har skyldighet att informera BuildIT om eventuell förändring i Kunds verksamhet som gör att BuildIT behöver vidta någon form av åtgärd eller förändrad rutin gällande innehållet i Dataskyddsregler. Utöver de krav som gäller direkt för Leverantören enligt Dataskyddsregler ska BuildIT vara skyldig att följa vid var tid gällande krav i Dataskyddsregler samt gällande rekommendationer från Tillsynsmyndighet. Kunden ska även löpande informera BuildIT om tredje parts, däribland Tillsynsmyndighets och Registrerads, åtgärder med anledning av behandlingen.
- BuildIT och den eller de personer som arbetar under BuildIT ledning ska endast behandla Personuppgifter i enlighet med Kundens dokumenterade instruktioner och inte för några andra ändamål än dem som BuildIT anlitats för och som anges i detta Personuppgiftsbiträdesavtal. De instruktioner som gäller vid Personuppgiftsbiträdesavtalets ingående framgår av Bilaga 1. Utöver de särskilda instruktioner som framgår av Bilaga 1 ska detta Personuppgiftsbiträdesavtal och Avtalet i övrigt anses utgöra Kundens samtliga instruktioner till BuildIT avseende behandling av Personuppgifter. Kunden ska omedelbart informera BuildIT om förändringar vilka påverkar BuildIT skyldigheter enligt detta Personuppgiftsbiträdesavtal.
- Behandling får även ske om sådan behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som BuildIT eller Underbiträde omfattas av. Om behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som BuildIT eller Underbiträde omfattas av ska BuildIT eller Underbiträdet informera Kunden om det rättsliga kravet innan behandlingen, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt sådan rätt.
- Till undvikande av missförstånd, BuildIT har rätt att under Personuppgiftsbiträdesavtalets giltighetstid och därefter lagra och behandla data som härrör från Kunden i aggregerat eller anonymiserat format, d.v.s. data som inte innehåller Personuppgifter.
- Säkerhet m.m.
- BuildIT ska vidta de åtgärder som krävs för att uppfylla Artikel 32 i Dataskyddsförordningen. BuildIT ska därvid säkerställa en säkerhetsnivå som är lämplig i förhållande till risken som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som behandlas.
- BuildIT ska även bistå Kunden med att se till att skyldigheterna enligt Artiklarna 32–36 i Dataskyddsförordningen fullgörs, med beaktande av typen av behandling och den information som BuildIT har att tillgå. BuildIT skall säkerställa att personer med behörighet att behandla Personuppgifterna antingen omfattas av en lagstadgad tystnadsplikt eller har åtagit sig det i ett bindande avtal. Tystnadsplikten skall gälla även efter det att detta Personuppgiftsbiträdesavtal upphört att gälla. Åtkomst till Personuppgifterna skall begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter.
- Utlämnande av Personuppgifter och information
- Om det till BuildIT kommer in en begäran från Registrerad, Tillsynsmyndighet eller annan tredje man om att få ta del av uppgifter som BuildIT behandlar för Kundens räkning ska BuildIT utan dröjsmål vidarebefordra begäran till Kunden. BuildIT, eller den som arbetar under BuildITs ledning, får inte lämna ut Personuppgifter eller annan information om behandlingen av Personuppgifter utan uttrycklig instruktion om detta från Kunden om inte sådan skyldighet föreligger enligt gällande Dataskyddsregler.
- BuildIT ska, med tanke på behandlingens art, hjälpa Kunden genom tekniska och organisatoriska åtgärder, i den mån det är möjligt, så att Kunden kan fullgöra sin skyldighet att svara på begäran från den Registrerade vid den Registrerades utövande av sina rättigheter enligt Dataskyddsregler i enlighet med kapitel III i Dataskyddsförordningen.
- Kunden ska utge separat ersättning till BuildIT för BuildITs arbete med anledning av sina åtaganden enligt denna punkt 5 i enlighet med BuildITs vid var tid gällande timpriser.
- Kontakt med Tillsynsmyndigheten
- BuildIT ska informera Kunden om eventuella kontakter från Tillsynsmyndigheten som rör behandling av Personuppgifter.
- Underbiträden
- Personuppgifter får behandlas av ett Underbiträde under förutsättning att BuildIT på Kundens vägnar ingår ett skriftligt avtal eller annan rättsakt enligt unionsrätten där Underbiträdet åläggs motsvarande skyldigheter i fråga om dataskydd som BuildIT åläggs enligt detta Personuppgiftsbiträdesavtal.
- BuildIT åtar sig att informera Kunden om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden. Kunden har rätt att invända mot sådana förändringar. Sådan invändning får endast hänföra sig till objektiva grunder hänförliga till exempelvis säkerheten av behandlingen enligt Personuppgiftsbiträdesavtalet. Om Kunden gör en sådan befogad invändning och BuildIT inte accepterar att byta ut aktuellt Underbiträde har BuildIT rätt till extra ersättning av Kunden för de kostnader som BuildIT drabbas av p.g.a. aktuellt Underbiträde inte kan användas. BuildIT har även rätt att säga upp Avtalet och/eller detta Personuppgiftsbiträdesavtal helt eller delvis, t.ex. vad avser viss tilläggstjänst med trettio (30) dagars uppsägningstid.
- BuildIT är särskilt ansvarig för att tillse att Artiklarna 28.2 och 28.4 i Dataskyddsförordningen beaktas vid anlitande av Underbiträden och att tillse att sådant Underbiträde ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen.
- BuildIT ska på begäran från Kunden tillhandahålla Kunden (och om så begärs, Kundens kunder som är personuppgiftsansvariga) en korrekt och uppdaterad lista om vilka Underbiträden som anlitats av BuildIT för behandlingen av Personuppgifter, kontaktuppgifter till dessa samt den geografiska placeringen för sådan behandling.
- Rätt till insyn
- BuildIT ska ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som följer av Artikel 28 i Dataskyddsförordningen har fullgjorts inom skälig tid efter sådan begäran framställts av Kunden till BuildIT. Detta medför bland annat att Kunden, i egenskap av personuppgiftsansvarig, har rätt att vidta nödvändiga åtgärder för att verifiera att BuildIT kan fullfölja sina åtaganden enligt detta Personuppgiftsbiträdesavtal och att Leverantören faktiskt har vidtagit åtgärder för att säkerställa detta.
- BuildIT ska även möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en annan oberoende revisor.
- Överföring av Personuppgifter utanför EU/EES
- Överföring av Personuppgifter av BuildIT eller av Underbiträde till en plats utanför EES-området (s.k. tredje land) får vidtas förutsatt att vid var tid gällande krav för sådan överföring enligt Dataskyddsregler uppfylls. BuildIT ska vid sådan överföring tillämpa, och i förhållande till Underbiträde i tredje land för Kundens räkning ingå avtal där Underbiträdet åläggs att tillämpa, EU:s standardklausuler (2010/87/EU) eller de standardklausuler som ersätter dessa efter eventuellt beslut av EU-kommissionen och/eller EU-domstolen.
- Sekretess
- BuildIT ska säkerställa att personer med behörighet att behandla Personuppgifterna antingen omfattas av en lagstadgad tystnadsplikt eller har åtagit sig det i ett bindande avtal. Tystnadsplikten ska gälla även efter det att detta Personuppgiftsbiträdesavtal upphört att gälla. Åtkomst till Personuppgifterna skall begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter.
- Åtagandet i punkt 10.1 ovan gäller inte information som BuildIT föreläggs utge till myndighet eller enligt Dataskyddsregler eller annan lagstadgad skyldighet. Sekretessåtagandet gäller under Avtalets giltighetstid och därefter.
- Dataportabilitet
- BuildIT ska tillse att Kunden kan uppfylla eventuell skyldighet att möjliggöra dataportabilitet avseende Personuppgifter som BuildIT behandlar för Kundens räkning.
- Ersättning
- BuildIT ska ha rätt till full ersättning från Kunden för samtligt arbete och samtliga kostnader som uppstår till följd av fullgörande av punkterna 8, 11, och 15.1 som beror på instruktioner för behandling av personuppgifter som Kunden ger BuildIT och som går utöver vad som framgår av Bilaga 2 eller de funktioner och den säkerhetsnivå som följer av de tjänster som BuildIT normalt erbjuder sina kunder, t.ex. vad gäller BuildITs servertjänster och sådant som kräver att BuildIT behöver göra specialanpassningar på beställning av Kunden. BuildIT ska även ha rätt till ersättning för sitt arbete med anledning av sina åtaganden enligt punkten 5. Samtligt arbete som BuildIT har rätt till ersättning för enligt denna punkt ska ersättas i enlighet med BuildIT vid var tid gällande timpriser. Kostnadsersättning ska ersättas med BuildITs faktiska kostnader.
- Ansvar
- Om BuildIT, den som arbetar under BuildITs ledning eller av BuildIT anlitat Underbiträde behandlar Personuppgifter i strid med detta Personuppgiftsbiträdesavtal eller de lagenliga anvisningar som Kunden har lämnat, ska BuildIT med beaktande av de ansvarsbegränsningar som följer av Avtalet, ersätta Kunden för den direkta skada som Kunden har orsakats på grund av den felaktiga behandlingen, inklusive skadestånd och administrativa sanktionsavgifter som Kunden behövt erlägga till tredje man. Oaktat ansvarsbegränsning enligt Avtalet ska BuildITs ansvar enligt denna punkt 13.1 alltid vara begränsat till ett belopp motsvarande de avgifter som Kunden erlagt till BuildIT under Avtalet under en period om tolv (12) månader innan skadan uppstod.
- Om Kunden, den som arbetar under Kundens ledning eller av Kunden anlitad tredje part orsakar BuildIT skada som beror på otydliga, bristfälliga eller otillåtna instruktioner från Kunden, bristfällig information från Kunden om vilka kategorier av uppgifter som behandlas (t.ex. om känsliga Personuppgifter behandlas utan att Kunden informerat BuildIT om detta) eller som annars beror på brott mot detta Personuppgiftsbiträdesavtal, ska Kunden ersätta BuildIT för sådan skada, inklusive skadestånd och administrativa sanktionsavgifter som BuildIT behövt erlägga till tredje man.
- BuildITs ersättningsskyldigheter avseende krav och skador enligt denna punkt 13 gäller under förutsättning att i) Kunden utan onödigt dröjsmål skriftligen underrättar BuildIT om krav som framställts mot Kunden; och ii) Kunden låter BuildIT kontrollera försvaret av kravet och ensam fatta beslut om eventuell förlikning.
- Avtalstid och åtgärder vid upphörande
- Personuppgiftsbiträdesavtalet gäller från dess undertecknande och så länge som Leverantören behandlar Personuppgifter för Kundens räkning.
- Ändringar i Personuppgiftsbiträdesavtalet
- Om Dataskyddsregler ändras under tiden för Personuppgiftsbiträdesavtalet, eller om Tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsregler som föranleder att detta Personuppgiftsbiträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal ska parterna i god anda diskutera nödvändiga förändringar av detta Personuppgiftsbiträdesavtal för att tillgodose sådana nya eller tillkommande krav. Sådan ändring träder ikraft enligt parternas skriftliga överenskommelse därom, eller annars senast inom sådan tidsperiod som anges i Dataskyddsregler, Tillsynsmyndighets riktlinjer, beslut eller föreskrifter. BuildIT har rätt till skälig ersättning för eventuellt arbete, kostnader och utgifter som sådana ändringar föranleder.
- Övriga ändringar av och tillägg till detta Personuppgiftsbiträdesavtal ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av parterna.
- Övrigt
- I övrigt ska vad som sägs i Avtalet äga tillämpning även för BuildITs behandling av Personuppgifter och åtagandena under detta Personuppgiftsbiträdesavtal. Vid oenighet mellan bestämmelserna i Avtalet och detta Personuppgiftsbiträdesavtal ska dock bestämmelserna i Personuppgiftsbiträdesavtalet äga företräde i förhållande till all behandling av Personuppgifter och inget i Avtalet ska anses begränsa eller ändra åtaganden i detta Personuppgiftsbiträdesavtal i den mån att detta skulle medföra att någon part inte uppfyller kraven enligt Dataskyddsregler.
- Svensk lag ska under alla omständigheter tillämpas på detta Personuppgiftsbiträdesavtal. Tvister som uppstår i anledning av detta Personuppgiftsbiträdesavtal ska lösas i enlighet med tvistlösningsbestämmelsen i Avtalet.
Senast uppdaterat 2018-05-23