BILAGA 1 – PERSONUPPGIFTSBITRÄDESAVTAL

  1. BAKGRUND, SYFTE OCH TERMINOLOGI
    1. Parterna har ingått ett avtal varigenom Asteria tillhandahåller vissa tjänster till Användaren/Kunden (”Avtalet”).
    2. I samband med Avtalets fullgörande kan Asteria (”Personuppgiftsbiträdet”) komma att behandla personuppgifter för vilka Kunden (den ”Personuppgiftsansvarige”) är att betrakta som personuppgiftsansvarig (”Ansvarigs Personuppgifter”).
    3. Detta Biträdesavtal ska tillämpas på all behandling av Ansvarigs Personuppgifter på den Personuppgiftsansvariges vägnar som utförs av Personuppgiftsbiträdet inom ramen för de tjänster som Personuppgiftsbiträdet tillhandahåller under Avtalet.
    4. Med “Dataskyddsreglering” avses vid tillämpningen av Biträdesavtalet all EU-lagstiftning och annan tillämplig nationell dataskyddslagstiftning och reglering som är tillämplig på behandlingen av Ansvarigs Personuppgifter, inklusive men inte begränsat till den allmänna dataskyddsförordningen (2016/679/EU) (“GDPR”) och EU-domstolens praxis vid tillämpningen av nämnda lagstiftning, samt för Part bindande instruktioner och beslut av behöriga tillsynsmyndigheter.
    5. Begrepp som förekommer i GDPR såsom den “personuppgiftsansvarige”, “personuppgiftsbiträde”, “personuppgifter”, “behandling”, “registrerad”, “bindande företagsbestämmelser” och “tillsynsmyndighet” ska ha vid tillämpningen av Biträdesavtalet anses ha den innebörd som anges i GDPR.
  2. OM BEHANDLINGEN AV ANSVARIGS PERSONUPPGIFTER
    1. Personuppgiftsbiträdets behandling av Ansvarigs Personuppgifter under Biträdesavtalet avser följande:
      1. Behandlingens art:Behandling av Ansvarigs Uppgifter vid den Personuppgiftsansvariges nyttjande av den tjänst som tillhandahålls av Personuppgiftsbiträdet under Avtalet.
      2. Behandlingens ändamål:Ekonomiska analyser och prognoser
      3. Kategorier av registrerade:Anställda, kontaktpersoner hos kunder och leverantörer.
      4. Kategorier av personuppgifter:Namn, kontaktuppgifter, organisationstillhörighet, ekonomiska data samt systemloggar
  3. DEN PERSONUPPGIFTSANSVARIGES RÄTTIGHETER OCH SKYLDIGHETER
    1. Den Personuppgiftsansvarige (i) ska tillse att den Personuppgiftsansvariges i sin behandling av Ansvarigs Personuppgifter efterlever Dataskyddsregleringen, (ii) har rätt att när som helst lämna ytterligare eller förnyade instruktioner avseende behandling av Ansvarigs Personuppgifter, varvid Personuppgiftsbiträdet ska ges skälig tid för implementering (iii) ska utan dröjsmål informera Personuppgiftsbiträdet om varje förhållande som kan medföra behov av förändringar av Personuppgiftsbiträdets behandling av Ansvarigs Personuppgifter, (iv) har rätt att när som helst, genom skriftligt meddelade till Personuppgiftsbiträdet, välja att avbryta Personuppgiftsbiträdets behandling av Ansvarigs Personuppgifter om den Personuppgiftsansvarige har skälig anledning att anta att Personuppgiftsbiträdet är oförmöget, eller har misslyckats med, att efterleva bestämmelserna i Biträdesavtalet och/eller Dataskyddsregleringen, och (v) ger genom Biträdesavtalet Personuppgiftsbiträdet ett allmänt tillstånd att anlita Underbiträden, dock endast under förutsättning att samtliga bestämmelser om Underbiträden i Biträdesavtalet efterlevs.
  4. PERSONUPPGIFTSBITRÄDETS SKYLDIGHETER
    1. Personuppgiftsbiträdet ska behandla Ansvarigs Personuppgifter enbart på den Personuppgiftsansvariges vägnar och uteslutande för av den Personuppgiftsansvarige anvisade ändamål. Därvid ska Personuppgiftsbiträdet i synnerhet:
      1. Behandla Ansvarigs Personuppgifter endast i enlighet med Biträdesavtalet och de instruktioner avseende behandling av Personuppgifter som tillhandahålls av den Personuppgiftsansvarige. Om Personuppgiftsbiträdet, för att kunna iaktta Dataskyddsregleringen, är tvingad att avvika från bestämmelserna i detta Biträdesavtal och/eller den Personuppgiftsansvariges instruktioner, ska Personuppgiftsbiträdet utan onödigt dröjsmål och innan ytterligare behandling av Ansvarigs Personuppgifter genomförs, informera den Personuppgiftsansvarige om ett sådant tvingande krav, såvida inte ett sådant förfarande strider mot Dataskyddsregleringen.
      2. Etablera sådana tekniska, fysiska, administrativa och organisatoriska säkerhetsåtgärder som krävs enligt artikel 32 GDPR och som är lämpliga i förhållande till den risk som behandling av Ansvarigs Personuppgifter kan medföra för de registrerads rättigheter och friheter och för den Personuppgiftsansvariges verksamhet. Personuppgiftsbiträdet ska därvid ta särskild hänsyn till risken för oavsiktlig eller olaglig förstöring, förlust eller ändring och till risken för obehörigt röjande av eller obehörig åtkomst till Ansvarigs Personuppgifter samt till risken för personuppgiftsincidenter och vidta lämpliga åtgärder med hänsyn därtill.
      3. Säkerställa att personer med behörighet att behandla Ansvarigs Personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.
      4. Säkerställa att personer med behörighet att behandla Ansvarigs Personuppgifter har genomgått den utbildning som kan krävas i förhållande till behandlingen av Ansvarigs Personuppgifter.
      5. Bistå den Personuppgiftsansvarige genom att se till att dennes skyldigheter enligt Dataskyddsregleringen och Biträdesavtalet fullgörs, till exempel gällande utförande av konsekvensbedömningar avseende dataskydd eller vid tillsyn som genomförs av behörig tillsynsmyndighet.
      6. Bistå den Personuppgiftsansvarige genom att genomföra lämpliga tekniska och organisatoriska åtgärder för att fullgöra den Personuppgiftsansvariges skyldigheter i förhållande till registrerads utövande av sina rättigheter enligt artiklarna 12-23 GDPR. Personuppgiftsbiträdet ska omedelbart underrätta den Personuppgiftsansvarige om begäran om utövande av rättighet som mottagits från en registrerad. Såvida inget annat följer av tvingande lag eller beslut av behörig tillsynsmyndighet får Personuppgiftsbiträdet inte svara på en registrerads begäran utan att det uttryckligen framgår av den Personuppgiftsansvariges instruktioner om hur begäran ska hanteras.
      7. Utan onödigt dröjsmål ge den Personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som åvilar Personuppgiftsbiträdet, och som fastställts i detta Biträdesavtal och/eller i Dataskyddsregleringen, har fullgjorts. Personuppgiftsbiträdet ska också möjliggöra och bidra till den Personuppgiftsansvariges granskningar av Personuppgiftsbiträdets behandling av Ansvarigs Personuppgifter, inbegripet revisioner av Personuppgiftsbiträdets lokaler, utrustning och/eller system (”Revisioner”). Vad som nu sagts gäller också i förhållande till tredje part som bemyndigats av den Personuppgiftsansvarige att för dennes räkning genomföra sådana Revisioner (”Bemyndigad Tredje Part”), dock endast under förutsättning att en sådan Bemyndigad Tredje Part (i) har iklätt sig en för ändamålet lämplig tystnadsplikt, (ii) och inte bedriver med Personuppgiftsbiträdet konkurrerande verksamhet. Den Personuppgiftsansvarige ansvarar för att granskningar och Revisioner genomförs utan oskäliga störningar av Personuppgiftsbiträdets verksamhet, innefattande de verksamheter som bedrivs av Personuppgiftsbiträdets övriga kunder och deras skäliga behov av skydd för sin verksamhet. Den Personuppgiftsansvarige svarar för sina egna och Bemyndigad Tredje Parts kostnader för Revisioner.
      8. Föra en förteckning i enlighet med Dataskyddsregleringen över behandling av Ansvarigs Personuppgifter som sker enligt detta Biträdesavtal och låta den Personuppgiftsansvarige ta del av en sådan förteckning på dennes begäran.
      9. Överföring av Ansvarigs Personuppgifter till Tredje Land genomförs endast under förutsättning att överföringen är tillåten enligt Dataskyddsregleringen. Personuppgiftsbiträdet ska på begäran tillställa den Personuppgiftsansvarige dokumentation och annan information som kan krävas för att utvisa att sådan överföring är tillåten enligt Dataskyddsregleringen.
      10. Säkerställa att Ansvarigs Personuppgifter bara överförs eller på annat sätt görs tillgängliga av Personuppgiftsbiträdet för annat personuppgiftsbiträde (”Underbiträde”) som genom avtal med Personuppgiftsbiträdet har iklätt skyldigheter som motsvarar de skyldigheter Personuppgiftsbiträdet har iklätt sig genom detta Biträdesavtal. Personuppgiftsbiträdet ansvarar gentemot den Personuppgiftsansvarige såsom för egen del för Underbiträdets behandling av Ansvarigs Personuppgifter och i övrigt för Underbiträdets åtgärder och underlåtenheter.
      11. Vid ersättande av Underbiträde eller anlitande av nytt Underbiträde säkerställa att den Personuppgiftsansvarige ges möjlighet att göra invändningar mot sådana förändringar. Om den Personuppgiftsansvarige på rimliga och skäliga grunder invänder mot ersättande eller anlitande av visst Underbiträde, ska Personuppgiftsbiträdet tillse Underbiträdets behandling av Ansvarigs Personuppgifter inte påbörjas respektive, i förekommande fall, utan onödigt dröjsmål avslutas. Den Personuppgiftsansvarige är införstådd med att invändning mot visst Underbiträde kan medföra begränsningar av Personuppgiftsbiträdets möjligheter att fullgöra sina skyldigheter enligt Avtalet.
      12. Utan onödigt dröjsmål informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige strider mot Dataskyddsregleringen eller att Ansvarigs Personuppgifter behandlas eller kan komma att behandlas i strid med Dataskyddsregleringen. Personuppgiftsbiträdet har dock inte rätt att avbryta behandlingen av Ansvarigs Uppgifter såvida inte Personuppgiftsbiträdet rimligen kan visa att fortsatt behandling skulle leda till att Personuppgiftsbiträdet behandlar Ansvarigs Personuppgifter i strid med Biträdesavtalet och/eller Dataskyddsregleringen.
      13. Utan onödigt dröjsmål informera den Personuppgiftsansvarige om behörig tillsynsmyndighets tillsyn över behandlingen av Ansvarigs Personuppgifter, såvida inte sådan information strider mot tvingande lag.
      14. Utan onödigt dröjsmål meddela den Personuppgiftsansvarige vid en befarad eller konstaterad personuppgiftsincident med anknytning till behandlingen av Ansvarigs Personuppgifter. Ett sådant meddelande ska innehålla information enligt artikel 33.3 a-d GDPR (”Obligatorisk Information”) och allt övrigt som kan tänkas vara nödvändigt för den Personuppgiftsansvarige att känna till i syfte att inte äventyra registrerads fri-och rättigheter, särskilt dennes rätt till skydd av personuppgifter. Om Personuppgiftsbiträdet vid tidpunkten för meddelande om befarad eller konstaterad personuppgiftsincident inte har tillgång till fullständig Obligatorisk Information, ska ej rapporterade delar av Obligatorisk Information meddelas till den Personuppgiftsansvarige utan dröjsmål och i den takt som dessa delar blir tillgängliga för Personuppgiftsbiträdet. Om det är sannolikt att en befarad eller konstaterad personuppgiftsincident medför risk för registrerads fri- och rättigheter ska Personuppgiftsbiträdet utan onödigt dröjsmål vidta lämpliga åtgärder för att förhindra och/eller begränsa potentiellt negativa effekter och konsekvenser av incidenten.
      15. Vid upphörande av detta Biträdesavtal eller på begäran av den Personuppgiftsansvarige, beroende på vad den Personuppgiftsansvarige väljer, antingen radera eller återlämna alla Ansvarigs Personuppgifter, innefattande kopior, om inte annat följer av tvingande lag.
      16. Om en granskning eller Revision av Personuppgiftsbiträdet som begärs av den Personuppgiftsansvarige enligt punkt 4.1.g) avser ett förhållande som behandlas i en granskningsrapport i enlighet med en allmänt erkänd granskningsstandard ska den Personuppgiftsansvarige godta resultaten av granskningsrapporten istället för att den begärda granskningen eller Revisionen genomförs. Vad som nu sagts gäller dock endast om (i) granskningsrapporten har genomförts av en oberoende tredje part som på skäliga och rimliga grunder kan antas besitta relevanta kompetenser, (ii) Personuppgiftsbiträdet bekräftar att i granskningsrapporten granskade funktioner, processer och åtgärder inte har förändrats efter granskningsrapportens färdigställande, och (iii) granskningsrapporten har färdigställs högst 12 månader före det att den Personuppgiftsansvarige har framställt sin begäran av granskning eller Revision.
  5. ERSÄTTNING
    1. Såvida inget annat överenskommes skriftligen mellan Parterna erhåller Personuppgiftsbiträdet ingen ersättning för fullgörande av sina skyldigheter enligt Biträdesavtalet, inklusive efterlevnad av den Personuppgiftsansvariges instruktioner avseende behandling av Ansvarigs Personuppgifter, utöver den ersättning som utgår enligt Avtalet.
    2. Utan hinder av bestämmelserna i punkt 5.1 ovan har Personuppgiftsbiträdet rätt till ersättning för faktiska och styrkta merkostnader som uppstår hos Personuppgiftsbiträdet till följd av:
      1. Personuppgiftsbiträdets assistans vid konsekvensbedömning enligt artikel 35 GDPR som initierats av den Personuppgiftsansvarige,
      2. Personuppgiftsbiträdets assistans vid granskning eller Revision av Personuppgiftsbiträdet och/eller dess Underbiträden som initierats av den Personuppgiftsansvarige, dock ej i de delar assistans avser Revision som genomförs i enlighet med punkt 4.2, och
      3. att den Personuppgiftsansvarige, efter att Biträdesavtalet har trätt ikraft, meddelar nya eller förändrade instruktioner avseende Personuppgiftsbiträdets Behandling av Personuppgifter.
  6. SEKRETESS
    1. Parterna förbinder sig att under avtalstiden och därefter, utan begränsning i tiden, inte till utomstående lämna information avseende Biträdesavtalets innehåll och annan information som Parterna fått ta del av med anledning av Biträdesavtalet, oavsett om informationen lämnats skriftligen eller muntligen och oberoende av format (”Konfidentiell Information”).
    2. Parterna är överens om att Konfidentiell Information endast får användas för att fullgöra skyldigheter enligt Biträdesavtalet och inte för något annat syfte. Den mottagande parten går även med på att iaktta och få sina styrelseledamöter, anställda, underleverantörer eller andra mellanhänder att iaktta samma grad av försiktighet (men inte mindre än rimlig försiktighet) för att undvika röjande eller användning av Konfidentiell Information.
    3. Sekretessåtagandet enligt denna punkt 6 gäller inte Konfidentiell Information som är allmänt känd (på annat sätt än genom brott mot Biträdesavtalet eller någon annan sekretessförbindelse).
  7. ANSVAR OCH ANSVARSBEGRÄNSNINGAR
    1. Vid ersättning för skada i samband med behandling av Ansvarigs Personuppgifter som, genom lagakraftvunnen dom eller stadfäst förlikning, ska utgå till den registrerade på grund av överträdelse av bestämmelse i Biträdesavtalet, den Personuppgiftsansvariges instruktioner och/eller tillämplig bestämmelse i GDPR ska artikel i 82 i GDPR tillämpas.
    2. Sanktionsavgift enligt artikel 83 i GDPR ska bäras av den Part som påförts en sådan avgift.
    3. Parts ansvar under detta Biträdesavtal innefattar inte i något avseende ansvar för indirekt skada eller följdförlust såsom t.ex. förlorade intäkter, utebliven vinst eller goodwillförlust såvida inte skadan uppstått på grund av grov vårdslöshet eller uppsåt.
    4. Parts ansvar enligt Biträdesavtalet är under alla omständigheter begränsat till ett belopp som motsvarar 100 procent av den ersättning som de Personuppgiftsansvarige erlagt till Personuppgiftsbiträdet under Avtalet de senaste 12 månaderna före den aktuella skadehändelsen.
    5. Vid eventuella motstridigheter mellan bestämmelserna i Biträdesavtalet och bestämmelser i Avtalet ska bestämmelserna i Biträdesavtalet äga företräde.
    6. Parts ansvar i övrigt regleras av bestämmelserna i Avtalet.
  8. BITRÄDESAVTALETS GILTIGHETSTID
    1. Detta Biträdesavtal är en integrerad del av Avtalet och träder således i kraft när Avtalet träder i kraft.
    2. Detta Biträdesavtal upphör vid den senare tidpunkten av (i) Avtalets upphörande, och (ii) den tidpunkt då Personuppgiftsbiträdets behandling av Ansvarigs Personuppgifter har avslutats.
    3. Part har utan hinder av bestämmelserna i punkt 8.2 rätt att säga upp Biträdesavtalet med omedelbar verkan om den andra Parten begår ett väsentligt avtalsbrott och ej vidtar rättelse inom 30 dagar efter skriftlig anmodan därom.
  9. ÄNDRINGAR OCH TILLÄGG
    1. Alla ändringar av och/eller tillägg till detta Biträdesavtal ska vara skriftliga och undertecknade av båda Parter för att vara giltiga.
  10. TILLÄMPLIG LAG
    1. Detta Biträdesavtal ska regleras och tolkas enligt svensk lag.

Ladda ned biträdesavtal