Personuppgiftsbiträdesavtal

DETTA PERSONUPPGIFTSBITRÄDESAVTAL (detta ”Biträdesavtal”) ingås och har ingåtts mellan:

Parterna har träffat ett avtal avseende Personuppgiftsbiträdets tillhandahållande av tjänster inom elektronisk signering till Personuppgiftsansvarig (”Huvudavtalet”). Tjänsterna som tillhandahålls enligt Huvudavtalet kommer att innebära att Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.

Detta Biträdesavtal reglerar den Personuppgiftsansvariges rättigheter och skyldigheter i egenskap av personuppgiftsansvarig och Personuppgiftsbiträdets rättigheter och skyldigheter i egenskap av personuppgiftsbiträde när Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.

Detta Biträdesavtal ska anses utgöra en del av Huvudavtalet. Om bestämmelserna i Huvudavtalet och detta Biträdesavtal är oförenliga, ska bestämmelserna i detta Biträdesavtal tillämpas och ges företräde.

Om annat inte framgår av Biträdesavtalet, ska begrepp som används i detta Biträdesavtal tolkas i enlighet med tillämplig dataskyddslagstiftning.

Definitioner som används i detta Biträdesavtal men som inte är definierade i detta Biträdesavtal ska tolkas i enlighet med Huvudavtalet.

Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifter enligt dokumenterade instruktioner från den Personuppgiftsansvarige, såvida inte annat följer av tillämplig dataskyddslagstiftning. Den Personuppgiftsansvariges instruktioner till Personuppgiftsbiträdet om behandlingens föremål och varaktighet, behandlingens karaktär och ändamål, typ av personuppgifter och kategorier av registrerade anges uttömmande i detta Biträdesavtal och i Underbilaga 1 – Specifikation över behandlingen av personuppgifter

Den Personuppgiftsansvarige bekräftar att Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal, inklusive Underbilaga 1, utgör de fullständiga instruktioner som ska följas av Personuppgiftsbiträdet.

Ändringar i den Personuppgiftsansvariges instruktioner ska förhandlas separat, inklusive eventuella därav föranledda ändringar i Personuppgiftsbiträdets ersättning, och ska dokumenteras skriftligt och undertecknas av Parterna för att vara gällande. Den Personuppgiftsansvarige är skyldig att inte, utan sådan skriftlig överenskommelse, instruera Personuppgiftsbiträdet att behandla andra kategorier av personuppgifter, eller behandla personuppgifter om andra kategorier av registrerade, än de som anges i Underbilaga 1.

Personuppgiftsbiträdet ska utan onödigt dröjsmål informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige avseende behandlingen av personuppgifter strider mot tillämplig dataskyddslagstiftning.

Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt tillämplig dataskyddslagstiftning och enligt den Personuppgiftsansvariges skriftliga instruktioner i varje enskilt fall, bistå den Personuppgiftsansvarige vid fullgörandet av dennes skyldigheter enligt tillämplig dataskyddslagstiftning.

Part ska säkerställa att den andra Parten har rätt att behandla kontaktuppgifter och andra eventuella personuppgifter om den första Partens anställda enligt tillämplig dataskyddslagstiftning i den utsträckning sådan behandling behövs för utförandet av tjänsterna som ska tillhandahållas enligt Huvudavtalet.

Personuppgiftsbiträdet äger rätt att anonymisera och använda personuppgifter och annan information som tillhandahålls av Personuppgiftsansvarig eller som annars genereras av eller iakttas i samband med Tjänsterna för att analysera, utvärdera, ändra, förbättra och/eller annars utveckla Tjänsterna eller nya produkter och tjänster.

Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet får anlita underbiträden inom och utanför EU/EES. Personuppgiftsbiträdet ska säkerställa att underbiträden är bundna av skriftliga avtal som ålägger dem materiellt likvärdiga skyldigheter i fråga om dataskydd som de som gäller enligt detta Biträdesavtal.

Om Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt underbiträde för att behandla personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet i förväg informera den Personuppgiftsansvarige om detta och bereda denne möjlighet att framföra invändningar. Sådana invändningar ska ske skriftligen utan onödigt dröjsmål från det att den Personuppgiftsansvarige fått informationen från Personuppgiftsbiträdet. Personuppgiftsbiträdet ska förse den Personuppgiftsansvarige med den information som den Personuppgiftsansvarige skäligen kan begära för att bedöma om efterlevnad av skyldigheterna enligt detta Biträdesavtal och tillämplig dataskyddslagstiftning kan säkerställas om det föreslagna underbiträdet anlitas. Om efterlevnaden av dessa skyldigheter, enligt den Personuppgiftsansvariges befogade bedömning, inte möjliggörs genom det föreslagna underbiträdet och Personuppgiftsbiträdet trots den Personuppgiftsansvariges befogade invändning anlitar det föreslagna underbiträdet, har den Personuppgiftsansvarige rätt att säga upp Biträdesavtalet utan extra kostnad. Om invändningen inte är befogad har den Personuppgiftsansvarige inte rätt att säga upp Biträdesavtalet.

Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet överför personuppgifter utanför EU/EES. Om personuppgifter överförs till, eller om åtkomst möjliggörs från, plats utanför EU/EES, ska Personuppgiftsbiträdet säkerställa att det finns en laglig grund för överföringen enligt tillämplig dataskyddslagstiftning och att överföringen omfattas av lämpliga skyddsåtgärder, såsom EU-kommissionens standardavtalsklausuler. Den Personuppgiftsansvarige ger Personuppgiftsbiträdet fullmakt att för den Personuppgiftsansvariges räkning ingå EU-kommissionens standardavtalsklausuler med underbiträden.

Personuppgiftsbiträdet ska implementera de tekniska och organisatoriska åtgärder som anges i Underbilaga 2 - Tekniska och organisatoriska åtgärder för att säkerställa skyddet av personuppgifterna.

Personuppgiftsbiträdet är skyldigt att fullgöra sina rättsliga förpliktelser avseende informationssäkerhet enligt tillämplig dataskyddslagstiftning och ska i samtliga fall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.

Personuppgiftsbiträdet är skyldigt att säkerställa att endast sådan personal som behöver ha tillgång till personuppgifterna för att kunna fullgöra Personuppgiftsbiträdets skyldigheter enligt Huvudavtalet och detta Biträdesavtal får tillgång till sådana uppgifter. Personuppgiftsbiträdet ska säkerställa att sådan personal omfattas av en lämplig sekretessförbindelse.

Personuppgiftsbiträdet förbinder sig att inte utan föregående skriftligt medgivande från den Personuppgiftsansvarige, lämna ut personuppgifter, eller på annat sätt göra personuppgifter som behandlas enligt detta Biträdesavtal tillgängliga för tredje part, om inte annat följer av svensk eller europeisk lag, myndighetsbeslut eller domstols dom eller beslut.

Om en registrerad begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet utan onödigt dröjsmål hänskjuta sådan begäran till den Personuppgiftsansvarige.

Om behörig myndighet begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet utan onödigt dröjsmål informera den Personuppgiftsansvarige om detta, om inte annat följer av svensk eller europeisk lag, myndighetsbeslut eller domstols dom eller beslut. Personuppgiftsbiträdet får inte handla för den Personuppgiftsansvariges räkning eller som ombud för denne, och får inte utan föregående medgivande från den Personuppgiftsansvarige överföra eller på annat sätt lämna ut personuppgifter som omfattas av detta Biträdesavtal eller andra uppgifter rörande behandlingen av sådana personuppgifter till tredje part, om annat inte följer av svensk eller europeisk lag, myndighetsbeslut eller domstols dom eller beslut.

Om Personuppgiftsbiträdet i enlighet med svensk eller europeisk lag mottar en begäran om att lämna ut personuppgifter som omfattas av detta Biträdesavtal, ska Personuppgiftsbiträdet utan onödigt dröjsmål meddela den Personuppgiftsansvarige om detta, om annat inte följer av tillämplig lag, myndighetsbeslut eller domstols dom eller beslut.

Personuppgiftsbiträdet ska utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident underrätta den Personuppgiftsansvarige.

Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med den information som rimligen kan krävas för att uppfylla den Personuppgiftsansvariges skyldighet att anmäla personuppgiftsincidenter.

I den utsträckning det inte är möjligt för Personuppgiftsbiträdet att tillhandahålla all nödvändig information enligt punkten 8.2 samtidigt, får informationen tillhandahållas av Personuppgiftsbiträdet i omgångar utan onödigt ytterligare dröjsmål.

Den Personuppgiftsansvarige ska, i egenskap av personuppgiftsansvarig, ha rätt att vidta nödvändiga åtgärder för att säkerställa att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta Biträdesavtal och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa skyldigheter fullgörs.

Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige all information som krävs för att visa att de skyldigheter som följer av detta Biträdesavtal följs, samt att möjliggöra för och medverka till sådan granskning, inbegripet platsinspektioner, som genomförs av den Personuppgiftsansvarige eller av annan granskare som utsetts av den Personuppgiftsansvarige, under förutsättning att de personer som utför granskningen ingår lämpliga sekretessavtal.

Personuppgiftsbiträdet har rätt till ersättning enligt Personuppgiftsbiträdets vid var tid gällande prislista för arbete som utförts med anledning av Personuppgiftsbiträdets skyldigheter i punkterna 4.5, 7, 8.2, 9 och 13 i detta Biträdesavtal.

De ansvarsbegränsningar som anges i Zigneds Allmänna Villkor ska tillämpas för Personuppgiftsbiträdets ansvar enligt detta Biträdesavtal. För det fall Zigneds Allmänna Villkor saknar ansvarsbegränsningar, eller inte utgör en del av Huvudavtalet, ska Parternas ansvar enligt detta Biträdesavtal vara begränsat till direkta skador, samt nominellt begränsat till ett belopp motsvarande den ersättning som betalats ut under Huvudavtalet för de 12 månader som föregått skadan. Har avtalet inte varit ikraft i 12 månader när skadan inträffar så ska beloppsbegränsningen motsvara den genomsnittliga ersättningen som betalats ut per månad under Huvudavtalet, multiplicerat med 12.

Med beaktande av den ansvarsbegränsning som följer av punkten 11.1, ska Personuppgiftsbiträdet ersätta och hålla den Personuppgiftsansvarige skadelös från kostnader, förluster och skador som drabbat den Personuppgiftsansvarige till följd av att Personuppgiftsbiträdet handlat i strid med detta Biträdesavtal eller tillämplig dataskyddslagstiftning. För undvikande av tvivel ska Personuppgiftsbiträdet inte i något fall vara ansvarig för kostnader hänförliga till att den Personuppgiftsansvarige har handlat i strid med detta Biträdesavtal, Huvudavtalet eller tillämplig dataskyddslagstiftning.

Eftersom Personuppgiftsbiträdet endast ska behandla personuppgifter i enlighet med den Personuppgiftsansvariges instruktioner, ansvarar Personuppgiftsbiträdet inte i de fall Personuppgiftsbiträdet har agerat enligt den Personuppgiftsansvariges instruktioner. Den Personuppgiftsansvarige ska ersätta och hålla Personuppgiftsbiträdet skadelös från kostnader, förluster och skador som drabbat Personuppgiftsbiträdet till följd av att Personuppgiftsbiträdet agerat enligt den Personuppgiftsansvariges instruktioner. Parterna är vidare ense om att vardera Part ska bara eventuella administrativa sanktionsavgifter ålagda Parten i fråga. Parterna är ense om att sådana administrativa sanktionsavgifter inte utgör ersättningsgilla skador enligt Avtalet.

Bestämmelserna i detta Biträdesavtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter för vilka den Personuppgiftsansvarige är personuppgiftsansvarig.

När detta Biträdesavtal upphör ska Personuppgiftsbiträdet utan onödigt dröjsmål, enligt den Personuppgiftsansvariges skriftliga instruktioner, radera eller återlämna alla personuppgifter som behandlats enligt Biträdesavtalet, dock senast inom trettio (30) dagar efter mottagandet av den Personuppgiftsansvariges instruktioner, om inte lagring av personuppgifterna krävs enligt svensk eller europeisk lagstiftning.

På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet utan onödigt dröjsmål bekräfta vilka åtgärder som har vidtagits avseende personuppgifterna, även om Huvudavtalet eller detta Biträdesavtal har upphört.

Ändringar av, och tillägg till, detta Biträdesavtal ska för att vara bindande upprättas skriftligen och vara undertecknade av Parterna.

Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk lag.

Tvister som uppstår i anledning av detta Biträdesavtal ska slutligt avgöras i enlighet med bestämmelserna om tvistlösning i Huvudavtalet.