Start > Personuppgiftsbiträdesavtal

Detta personuppgiftsbiträdesavtal gäller mellan Netono AB, 556709-5640, Askims Kyrkväg 27 C, 436 51 Hovås (”Personuppgiftsbiträde”), och Netonos kund (”Personuppgiftsansvarig”), som identifieras i undertecknat avtal eller offert..

1. Definitioner

I detta personuppgiftsbiträdesavtal ska följande uttryck ha den betydelse som anges nedan:

”tillämplig dataskyddslagstiftning”

betyder alla tvingande nationella och internationella lagar och regelverk om dataskydd som gäller vid var tid under detta personuppgiftsbiträdesavtals avtalstid för den Personuppgiftsansvarig respektive Personuppgiftsbiträdet.

”Personuppgiftsansvarig”

betyder den juridiska person som enligt detta personuppgiftsbiträdesavtal bestämmer ändamålen och medlen för behandlingen av personuppgifter. I detta Personuppgiftsbiträdesavtal är [Kund] Personuppgiftsansvarig.

”Personuppgiftsbiträde”

betyder den juridiska person som behandlar personuppgifter för den Personuppgiftsansvariges räkning enligt detta personuppgiftbiträdesavtal. I detta Personuppgiftsbiträdesavtal är Netono AB Personuppgiftsbiträde.

”personuppgifter”

betyder varje upplysning som avser en identifierad eller identifierbar fysisk person.

”behandling”

betyder en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

2. Behandling av personuppgifter

2.1 Vid behandling av personuppgifter enligt detta personuppgiftsbiträdesavtal ska den Personuppgiftsansvarige vara personuppgiftsansvarig och Personuppgifts-biträdet vara personuppgiftsbiträde.

2.2 Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifter i enlighet med dokumenterade instruktioner från den Personuppgiftsansvarige. Den Personuppgiftsansvariges ursprungliga instruktioner till Personuppgifts-biträdet om behandlingens föremål och varaktighet, behandlingens karaktär och ändamål, typ av personuppgifter och kategorier av registrerade anges i detta personuppgiftsbiträdesavtal och i Bilaga 1.

2.3 Den Personuppgiftsansvarige bekräftar att Personuppgiftsbiträdets skyldigheter enligt detta personuppgiftsbiträdesavtal, inklusive Bilaga 1, med undantag för eventuella skriftliga instruktioner som lämnats i enskilda fall enligt punkten, utgör de fullständiga och kompletta instruktioner som ska utföras av Personuppgiftsbiträdet som personuppgiftsbiträde. Alla ändringar i den Personuppgiftsansvariges instruktioner ska förhandlas separat och ska, för att bli gällande, dokumenteras i skriftlig handling som undertecknas av båda parterna.

2.4 Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt tillämplig dataskyddslagstiftning och enligt den Personuppgiftsansvariges skriftliga instruktioner i varje enskilt fall, biträda den Personuppgiftsansvarige vid fullgörandet av dennes skyldigheter enligt denna lagstiftning, innefattande men inte begränsat till den Personuppgiftsansvariges skyldighet att hantera begäran om utövande av de registrerades rättigheter till information om behandlingen av deras personuppgifter.

2.5 Personuppgiftsbiträdet ska omgående meddela den Personuppgiftsansvarige om en instruktion som utfärdats enligt detta personuppgiftsbiträdesavtal enligt dennes mening strider mot tillämplig dataskyddslagstiftning.

2.6 Om registrerad person, behörig myndighet eller annan tredje part begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter ska Personuppgiftsbiträdet hänskjuta sådan begäran till den Personuppgifts-ansvarige. Personuppgiftsbiträdet får inte i något avseende handla för den Personuppgiftsansvariges räkning eller som ombud för denne, och får inte utan föregående medgivande från den Personuppgiftsansvarige överföra eller på annat sätt lämna ut personuppgifter eller andra uppgifter rörande behandlingen av personuppgifter till tredje part. Om det enligt tillämpliga lagar och regelverk begärs att Personuppgiftsbiträdet ska utlämna personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning, är Personuppgiftsbiträdet skyldig att omgående meddela den Personuppgifts-ansvarige om detta och att i samband med utlämnandet begära att uppgifterna behandlas med sekretess.

3. Underbiträde

3.1 Personuppgiftsbiträdet får anlita underbiträden inom och utanför Europeiska Unionen och får överföra personuppgifter utanför EU utan föregående skriftligt medgivande från den Personuppgiftsansvarige. Personuppgiftsbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt detta personuppgiftsbiträdesavtal. Om personuppgifter överförs till plats utanför Europeiska Unionen ska Personuppgiftsbiträdet säkerställa att det finns en laglig grund för överföringen enligt tillämplig dataskyddslagstiftning, till exempel EU:s modellklausuler.

3.2 Om Personuppgiftsbiträdet avser att anlita ett nytt underbiträde för att behandla personuppgifter som omfattas av detta personuppgiftsbiträdesavtal ska Personuppgiftsbiträdet dessförinnan omedelbart meddela den Personuppgifts-ansvarige och bereda denne möjlighet att framföra invändningar. Personuppgiftsbiträdet ska förse den Personuppgiftsansvarige med all information som denne skäligen kan begära för att bedöma om anlitandet av det föreslagna underbiträdet kommer att säkerställa efterlevnaden av den Personuppgiftsansvariges skyldigheter enligt detta personuppgiftsbiträdesavtal och tillämplig dataskyddslagstiftning. Om efterlevnaden av dessa skyldigheter, enligt den Personuppgiftsansvariges skäliga uppfattning, inte möjliggörs genom det föreslagna nya underbiträdet, har Personuppgiftsbiträdet inte rätt att anlita underbiträdet för ändamålet med detta personuppgiftsbiträdesavtal.

4. Datasäkerhet och sekretess

4.1 För att biträda den Personuppgiftsansvarige med att fullgöra sina rättsliga förpliktelser innefattande men inte begränsat till säkerhetsåtgärder och riskbedömningar, är Personuppgiftsbiträdet skyldig att vidta de tekniska och organisatoriska åtgärder som krävs för att skydda de personuppgifter som behandlas. Åtgärderna ska resultera i en säkerhetsnivå som är adekvat med beaktande av:

  1. existerande tekniska möjligheter;
  2. kostnaderna för att utföra åtgärderna;
  3. de särskilda risker som är förknippade med behandlingen av personuppgifterna; samt
  4. känsligheten hos de behandlade personuppgifterna.

4.2 Personuppgiftsbiträdet ska kontinuerligt bibehålla en adekvat säkerhet för personuppgifterna. Personuppgiftsbiträdet ska skydda personuppgifterna mot förstörelse, ändring, olaglig spridning och obehörig åtkomst. Personuppgifterna ska även skyddas mot alla övriga former av olaglig behandling. Med hänsyn till aktuell teknisk nivå och kostnaderna för implementeringen och med beaktande av karaktären, omfattningen, sammanhanget och ändamålen för behandlingen, liksom den varierande sannolikheten och graden av risk för enskilda personers rättigheter och friheter, ska de tekniska och organisatoriska åtgärder som vidtas av Personuppgiftsbiträdet i förekommande fall inkludera:

  1. pseudonymisering och kryptering av personuppgifter;
  2. förmågan att säkerställa kontinuerlig sekretess, integritet, tillgänglighet och robusthet i de system och tjänster som behandlar personuppgifter;
  3. förmågan att snabbt återställa tillgänglighet och åtkomst till personuppgifterna i händelse av fysiska eller tekniska incidenter; samt
  4. en process för att regelbundet testa, bedöma och utvärdera effektiviteten i de tekniska och organisatoriska åtgärderna för att säkerställa behandlingens säkerhet.

4.3 Personuppgiftsbiträdet ska omgående underrätta den Personuppgiftsansvarige och vidta alla nödvändiga åtgärder vid oavsiktlig eller obehörig åtkomst av personuppgifter eller annan säkerhetsincident (personuppgiftsincident) när Personuppgiftsbiträdet får vetskap om sådan incident. Sådan underrättelse ska minst:

a. beskriva personuppgiftsbrottets karaktär, om möjligt med angivande av kategorier och antal berörda registrerade och kategorier och antal berörda personuppgifter;
b. innehålla namn och kontaktuppgifter till dataskyddsombud eller annan kontaktpunkt där ytterligare information kan erhållas;
c. beskriva de sannolika konsekvenserna av persondataincident;
d. beskriva vilka åtgärder som vidtagits eller som den Personuppgiftsansvarige föreslås vidta för att avhjälpa personuppgiftsincident, i förekommande fall inkluderande åtgärder för att minska eventuella negativa effekter.

4.4 Personuppgiftsbiträdet förbinder sig att inte utan föregående skriftligt medgivande från den Personuppgiftsansvarige utlämna eller på annat sätt göra personuppgifter som behandlats enligt detta personuppgiftsbiträdesavtal tillgängliga för tredje part, med undantag för underbiträden som anlitats enligt detta personuppgiftsbiträdesavtal.

4.5 Personuppgiftsbiträdet är skyldig att säkerställa att endast sådan personal som direkt måste ha tillgång till personuppgifter för att kunna fullgöra Personuppgiftbiträdets skyldigheter enligt detta personuppgiftsbiträdesavtal får tillgång till sådana uppgifter. Personuppgiftsbiträdet ska säkerställa att sådan personal omfattas av en sekretessförbindelse avseende dessa uppgifter som motsvarar vad som gäller för Personuppgiftsbiträdet enligt detta personuppgiftsbiträdesavtal.

4.6 Den sekretessförbindelse som anges i detta avsnitt 4 ska fortsätta att gälla även efter att detta personuppgiftsbiträdesavtal upphört.

5. Rätt till granskning

5.1 Den Personuppgiftsansvarige ska, i sin egenskap som personuppgiftsansvarig, ha rätt att vidta erforderliga åtgärder för att verifiera att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta personuppgiftsbiträdesavtal och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa fullgörs. Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige alla uppgifter och allt biträde som krävs för att verifiera efterlevnaden av de skyldigheter som anges i detta personuppgiftsbiträdesavtal, samt att möjliggöra för och medverka vid sådan granskning, inklusive kontroll på plats, som genomförs av Personuppgiftsansvarig eller annan granskare som utsetts av denne.

6. Avtalstid

Bestämmelserna i detta personuppgiftsbiträdesavtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter för vilka den Personuppgifts-ansvarige är personuppgiftsansvarig.

7. Åtgärder när behandlingen av personuppgifter avslutats

7.1 När detta personuppgiftsbiträdesavtal upphör ska Personuppgiftsbiträdet, om inte annat skriftligen meddelas av den Personuppgiftsansvarige, radera alla personuppgifter som behandlats enligt avtalet inom 90 dagar efter avtalets upphörande.

7.2 På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna efter behandlingens avslutande.  

Ersättning

Personuppgiftsbiträdet har rätt till ersättning baserad på tid och material, enligt Personuppgiftsbiträdets vid var tid gällande timkostnad, för behandlingen av personuppgifter enligt paragraferna 2.4, 2.6, 4.3, 5 och 7 i detta personuppgiftsbiträdesavtal.

 

Bilaga 1

Instruktioner för databehandlingen

Ändamål

Behandling av personuppgifter skall möjliggöra Personuppgiftsansvariges dagliga verksamhet liksom kommunikation, fakturering och uppföljning.

Kategorier av uppgifter

För Personuppgiftsansvariges kunder och anställda avses alla personuppgifter som registreras i alla av Personuppgiftsbiträdet driftade system, exempelvis följande funktioner:

Kategorier av registrerade

Behandlingsaktiviteter

Personuppgiftsbiträdet behandlar uppgifter för båda kategorierna av registrerade. Aktiviteterna är följande:

Som hostingbolag ingår tillhandahållande av servrar och system där Personuppgiftsansvarig lagrar dokument och material. Dessa dokument och material innehåller känsliga personuppgifter av flera olika slag och från olika områden. Behandling av personuppgifterna sker av Personuppgiftsansvariges personal i Personuppgiftsansvariges regi men Personuppgiftsbiträdet ska möjliggöra genom adekvat och säker tillhandehållande av system för Personuppgiftsansvarigs verksamhet.

Personuppgiftsbiträdet ska se alltid till att alla personuppgifterna skyddas av lämpliga säkerhetsåtgärder och att tillgång till personuppgifterna enbart ges till en begränsad krets inom Personuppgiftsansvariges verksamhet som verkligen behöver ha tillgång till dem i sitt arbete.

Plats för behandling av personuppgifterna

All data ligger i och behandlas i serverhall i Göteborg.