GDPR

GDPR och personuppgiftsbiträdesavtal

Dataskyddsförordningen, eller allmänna dataskyddsförordningen, mest känd som GDPR, är en europeisk förordning som reglerar behandlingen av personuppgifter och det fria flödet av sådana uppgifter inom Europeiska unionen.

Personuppgiftsbiträdesavtal

Detta personuppgiftsbiträdesavtal (detta ”Avtal”) mellan:


(1) EHL, Simon Blomqvist, org.nr. 800512-0418 (”Biträdet”) och

(2) Kund som tecknat våra tjänster (”Ansvarig”)


(härefter enskilt benämnd ”part” och tillsammans ”parterna”).


Bakgrund och syfte

Ansvarig och Biträdet har träffat ett avropsavtal avseende Biträdets tillhandahållande av tjänster till Ansvarig (”Avropsavtalet”). Ramavtalets villkor ingår, i tillämpliga delar, som en bilaga till Avropsavtalet och gäller således också mellan Ansvarig och Biträdet.

Avropsavtalet innebär bl.a. att Biträdet i egenskap av Personuppgiftsbiträde behandlar Personuppgifter för vilka Ansvarig är Personuppgiftsansvarig enligt Dataskyddsförordningen (2016/679) (”GDPR”). GDPR uppställer krav på att skriftligt avtal träffas mellan den som är Personuppgiftsansvarig och den som är Personuppgiftsbiträde (personuppgiftsbiträdesavtal). Detta Avtal reglerar Biträdets Behandling av Personuppgifter för Ansvarigs räkning samt den integritetsnivå som ska uppnås vid Behandlingen.

Vad som anges i detta Avtal ska äga företräde framför Avropsavtalet och dess bilagor om inget annat uttryckligen framgår nedan.

Lagval och definitioner

Vid Biträdets Behandling av Personuppgifter ska svensk lag tillämpas.

Såvida inte annat framgår av detta Avtal ska begrepp med stor begynnelsebokstav ha den innebörd som de ges i GDPR. Med ”Personuppgift” avses i detta Avtal all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och för vilka Ansvarig är Personuppgiftsansvarig.

Behandling av personuppgifter

Biträdet ska endast behandla Personuppgifter i enlighet med detta Avtal, Avropsavtalet och dess bilagor, GDPR, dess förordning, Datainspektionens föreskrifter, och Ansvarigs vid var tid gällande instruktioner.

Biträdet får inte behandla Personuppgifter för egna eller några andra ändamål än dem som Biträdet anlitats för av Ansvarig.

Biträdet får inte överföra Personuppgifter till, eller tillgängliggöra Personuppgifter från Tredje land såvida det inte är tillåtet enligt vad som framgår av avsnitt 5 nedan.

Biträdet ska rätta, blockera, utplåna, ändra eller gallra Personuppgifter enligt Ansvarigs instruktioner. Om Ansvarig har markerat att Personuppgift ska raderas ska sådan radering ske senast 180 dagar därefter.

Biträdet ska skyndsamt bistå Ansvarig med, på Ansvarigs begäran, att fullgöra Ansvarigs skyldigheter i förhållande till Den registrerade avseende information.

Underbiträden

Biträdet får anlita eller byta ut en tredje part eller flera tredje parter för Behandling av Personuppgifter enligt Avtalet (”Underbiträde”) om följande förutsättningar är uppfyllda:

Biträdet har rätt att anlita Underleverantör (såsom detta begrepp definieras i Avropsavtalet) enligt Avropsavtalet,

Ansvarig har godkänt anlitandet av den specifika Underleverantören, och

Biträdet har ingått ett skriftligt avtal med godkänt Underbiträde avseende Behandling av Personuppgifter i vilket Underbiträdet åläggs samma skyldigheter som åvilar Biträdet enligt detta Avtal.

För Underleverantörer som redan har godkänts vid tidpunkten för detta Avtals ingående behövs inget ytterligare godkännande. Det åligger dock fortfarande Biträdet att, i enlighet med 4.1(iii) ovan, teckna ett skriftligt avtal med sådant Underbiträde.

Biträdet ska säkerställa att Ansvarig har kännedom om vilka Underbiträden som behandlar Personuppgifter genom att utan dröjsmål, på begäran av Ansvarig tillhandahålla Ansvarig fullständig, korrekt och uppdaterad information om samtliga Underbiträden, där följande information specificeras för varje enskilt Underbiträde:

definition av Underbiträdet, inklusive dess kontaktinformation, bolagsform och geografisk placering;

vilken typ av tjänst som Underbiträdet utför;

vilka egenskaper Underbiträdet har,

garantier som uppställs för att GDPR:s krav kommer att följas, samt

var Underbiträdet behandlar Personuppgifter som omfattas av detta Avtal.

Biträdet får inte anlita Underbiträde om det innebär att Personuppgifter kommer att överföras till Tredje land om inte bestämmelserna i avsnitt 5 är uppfyllda.

Biträdet ansvarar fullt ut mot Ansvarig för Underbiträdes Behandling.

Begränsningar i rätten att överföra personuppgifter till tredje land

Biträdet äger inte rätt att överföra Personuppgifter till Tredje land, såvida inte Ansvarig skriftligen har godkänt sådan överföring och någon av följande förutsättningar är uppfyllda:

Det finns en adekvat skyddsnivå i mottagarlandet,

Den registrerade har gett sitt Samtycke till överföringen,

Någon av de i Kapitel V, artikel 47, 48 och 49 GDPR uppräknade situationerna föreligger,

Biträdet har upprättat bindande företagsinterna regler (så kallade Binding Corporate Rules) och mottagaren av Personuppgifterna i Tredje land omfattas av dessa, eller

Biträdet har genomfört själv-certifiering och anslutit sig till EU-U.S Privacy Shield-principerna genom registring på U.S Department of Commerce Privacy Shield-lista.

I det fall överföring av Personuppgifter till Tredje land blir aktuellt ska Biträdet, innan överföring påbörjas, uppvisa dokumentation som styrker att bestämmelsen i avsnitt 5.1 är uppfyllda.

Oaktat 5.1-5.2 ovan ska eventuella begränsningar avseende överföring av Personuppgifter utanför Sverige i Avropsavtalet och dess bilagor äga företräde framför detta Avtal.

Säkerhetsåtgärder

Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som behandlas enligt vad som stadgas i Artikel 28 § 1 st GDPR. Ansvarig kan i sina instruktioner komma att komplettera villkoren i detta avsnitt 6 utifrån vad som framkommer i Ansvariges laglighetsprövning enligt Artikel 5 GDPR och den risk- och sårbarhetsanalys som Ansvarig utför innan avrop enligt avtalet.

Biträdet ska vidta åtgärder för att samtliga personer som arbetar under dennes ledning följer vad som framgår av detta Avtal och vid var tid gällande instruktioner från Ansvarig, samt att de hålls informerade om innehållet i GDPR. Biträdet ska begränsa åtkomsten till Personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver Personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av ingångna avtal mellan Biträdet och Ansvarig. Biträdet ska se till att de personer som har åtkomst till Personuppgifterna omfattas av sekretess enligt vad som framgår av avsnitt Artikel 14 § 5(d) samt att de är informerade om hur de får behandla Personuppgifterna. Biträdet ska ha ett behörighetskontrollsystem som förhindrar obehörig Behandling av Personuppgifter eller obehörig åtkomst till Personuppgifter. Biträdet ska använda ett loggsystem som möjliggör att Behandling av Personuppgifter kan spåras.

Biträdet ska tillhandahålla och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till Personuppgifterna. Vid obehörig Behandling, obehörig åtkomst, förstörelse eller ändring av Personuppgifter, samt försök till dessa, ska Biträdet omedelbart skriftligen underrätta Ansvarig om händelsen.

Ansvarig får lämna ytterligare instruktioner om säkerhetsåtgärder. I sådant fall ska Biträdet följa instruktionerna.

Om Biträdet saknar instruktioner från Ansvarig som Biträdet bedömer är nödvändiga för att utföra Behandling av Personuppgifter, eller anser att Ansvarigs instruktioner helt eller delvis står i konflikt med de författningar, föreskrifter och rekommendationer som Biträdet ska följa enligt Avtalet, ska Biträdet utan dröjsmål meddela Ansvarig om sin inställning och invänta de instruktioner som Ansvarig bedömer erforderliga.

Biträdet har rätt till ersättning för skäliga, styrkta och direkta merkostnader som Biträdet orsakas till följd av förändrade eller ytterligare instruktioner enligt punkterna 6.1 och 6.6 ovan. Sådan rätt till ersättning ska dock inte föreligga för förändrade säkerhetskrav som Biträdet ska uppfylla utan rätt till ersättning enligt Ramavtalet.

Granskning och tillsyn

Ansvarig äger rätt att, själv eller genom eller annan av Ansvarig utsedd tredje part (som inte ska vara en konkurrent till Biträdet) följa upp att Biträdet lever upp till den Ansvariges krav på Behandlingen. Biträdet ska vid sådan uppföljning bistå Ansvarig eller den som utför granskningen med dokumentation för att kunna följa upp Biträdets efterlevnad av detta Avtal. Biträdet ska även tillförsäkra Ansvarig motsvarande rättigheter i förhållande till anlitade Underbiträden. Biträdet äger rätt att erbjuda alternativa tillvägagångssätt för uppföljning, exempelvis granskning genomförd av oberoende tredje part. Ansvarig ska i sådant fall äga rätt, men inte vara skyldig att, tillämpa detta alternativa tillvägagångssätt för uppföljning.

Biträdet ska bereda möjlighet för Datainspektionen, eller annan myndighet som rör eller kan vara av betydelse för Behandling av Personuppgifter, att göra tillsyn på plats.

Om Datainspektionen eller annan myndighet inleder granskning av Ansvarigs Behandling av Personuppgifter eller om enskild väcker talan mot Ansvarig med anledning av sådan Behandling och frågan rör Behandling som kan antas ha utförts av Biträdet, ska Biträdet i skälig omfattning och mot ersättning för självkostnader bistå Ansvarig med dokumentation och annan information avseende Behandlingen i syfte att möjliggöra för Ansvarig att tillmötesgå myndigheter i deras granskning och bemöta framställda krav.

Utlämnande av information

Om Den registrerade, Datainspektionen, annan tillsynsmyndighet eller annan tredje man begär information från Biträdet som rör Behandling av Personuppgifter, ska Biträdet hänvisa till Ansvarig. Biträdet får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan skriftligt föregående medgivande från Ansvarig. Biträdet ska bistå Ansvarig för det fall Den registrerade begär att få ta del av information som finns registrerad om denne i form av Personuppgifter eller begär rättelse av sådan information.

Biträdet ska utan dröjsmål skriftligen underrätta Ansvarig om eventuella kontakter från Datainspektionen eller annan tillsynsmyndighet som rör eller kan vara av betydelse för Behandling av Personuppgifter. Biträdet har inte rätt att företräda Ansvarig eller agera för Ansvarigs räkning gentemot Datainspektionen eller andra tillsynsmyndigheter som rör eller kan vara av betydelse för Behandling av Personuppgifter. För det fall Biträdet genom lag eller myndighetsföreläggande är nödgad att lämna ut Personuppgifter, gäller vad som stadgas i punkt 9.3.

Sekretess

Biträdet och de personer som arbetar under dennes ledning ska vid Behandling av Personuppgifter iaktta sekretess. Det innebär att Personuppgifter inte obehörigen får röjas för tredje man. Biträdet åtar sig att se till att den eller de personer som arbetar under Biträdets ledning och som kommer att behandla Personuppgifter iakttar och följer Biträdets sekretesskyldighet enligt denna punkt 9.1.

Personuppgifter, information, instruktioner, systemlösningar, beskrivningar eller andra handlingar som Biträdet erhåller genom informationsutbyte enligt detta Avtal eller annat avtal parterna emellan får inte utnyttjas eller röjas för annat ändamål än som framgår av detta Avtal eller annat avtal parterna emellan, vare sig direkt eller indirekt, om inte Ansvarig på förhand skriftligen medgivit detta. Sekretesskyldigheten gäller inte information som part kan visa var allmänt känd eller som kommit till parts kännedom från tredje man utan brott mot detta Avtal.

Biträdet får lämna ut Personuppgifter utan att det innebär ett handlande i strid med detta Avtal om Biträdet genom lag eller myndighetsföreläggande är nödgad att lämna ut Personuppgifter. I sådant fall åligger det Biträdet att omgående skriftligen meddela Ansvarig om detta och begära att de efterfrågade Personuppgifterna omfattas av sekretess vid utlämnandet.

Sekretessplikten gäller även om detta Avtal i övrigt upphör.

Ersättning

Om det inte följer av någon annan punkt i detta Avtal har Biträdet inte rätt till särskild ersättning för Behandling av Personuppgifter under detta Avtal.

Skadestånd och ansvar gentemot tredje man

Biträdet åtar sig att hålla Ansvarig skadeslöst i det fall Ansvarig är skyldig att utge skadestånd till Den registrerade enligt 146 § GDPR om den Behandling av Personuppgifter som ligger till grund för skadeståndsersättningen har utförts av Biträdet i strid med detta Avtal.

Biträdet åtar sig att även i övrigt hålla Ansvarig skadeslöst för det fall Ansvarig drabbas av skada till följd av Biträdets behandling av Personuppgifter i strid med detta Avtal.

Part ska inte vara skyldig att utge ersättning för indirekta skador såsom exempelvis utebliven vinst enligt detta Avtal. Till undvikande av missförstånd ska sådan skada som avses i punkt 11.1 anses utgöra direkt skada hos Ansvarig.

Det maximala skadeståndsbeloppet enligt Avtalet ska inte överstiga vad som framgår av Huvudavtalet.

Avtalstid, förhållande till övriga avtal och ändringar

Detta Avtal gäller mellan parterna så länge Biträdet behandlar Personuppgifter för vilka Ansvarig är Personuppgiftsansvarig. Vid Avtalets upphörande ska Biträdet tillse att samtliga Personuppgifter överlämnas till Ansvarig i sådant format som Ansvarig definierar.

Biträdet åtar sig att radera samtliga Personuppgifter som behandlats enligt detta Avtal inom 180 dagar från Avtalets upphörande. Radering ska emellertid inte ske förrän Biträdet skriftligen har informerat Ansvarig om att radering kommer att ske och har överlämnat Personuppgifter enligt punkt 12.1.

Om bakomliggande avtal som innebär att Biträdet behandlar Personuppgifter upphör och nytt sådant avtal träffas utan att ett nytt personuppgiftsbiträdesavtal träffas, gäller detta Avtal även för det nya avtalet.

Ändringar och tillägg till detta Avtal ska, för att vara giltiga, göras skriftligen och undertecknas av båda parter. Sådana ändringar och tillägg till Avtalet träder i kraft 30 dagar efter båda parters undertecknande om inget annat är överenskommet. Denna punkt 12.4 förhindrar inte att Ansvarig kan ändra eller utfärda ytterligare instruktioner i enlighet med vad som framgår av detta Avtal.

Lagval och tvistlösning

För detta avtal gäller svensk rätt.

Tvist i anledning av detta Avtal ska slutligt avgöras vid allmän domstol.

Skiljedomsförfarandet skall äga rum i Helsingborg.

Leverantören äger rätt att, istället för skiljedomsförfarande, låta tvister i anledning av Avtalet provas av allmän domstol, varvid Helsingborg tingsrätt skall vara första instans.