Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Senast uppdaterad: 2018-05-23

1. PARTER

1.1 Personuppgiftsansvarig

Kunden till Sitoo och användare av Plattformen är Personuppgiftsansvarig (“Personuppgiftsansvarig”) för behandling av personuppgifter som behandlas genom eller i samband med användningen av Plattformen.  

 

1.2 Personuppgiftsbiträde

Sitoo AB, 556629-6322, är Personuppgiftsbiträde (“Personuppgiftsbiträde”) för behandling av personuppgifter som behandlas genom eller i samband med användningen av Plattformen.

2. DEFINITIONER

2.1 Dataskyddsförordningen
Dataskyddsförordningen avser Europaparlamentets och rådets förordning EU 2016/679.

2.2 Personuppgifter
All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas enligt personuppgiftslagen som personuppgifter. Även bilder (foton) och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer.

2.3 Personuppgiftsansvarig och Personuppgiftsbiträde
Personuppgiftsansvarig och Personuppgiftsbiträde ska ha den betydelse som anges i Dataskyddsförordningen.

2.4 Den Registrerade
Den registrerade är den fysiska person vars personuppgifter behandlas genom eller i samband med användningen av Plattformen.

2.5 Behandling
En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej. Att insamla, registrera, lagra, organisera, strukturera eller bearbeta personuppgifter är exempel på behandling av personuppgifter.

2.6 Plattformen
Plattformen avser plattformen tillhandahållen av Sitoo AB.

3. SYFTE  

Syftet med detta personuppgiftsbiträdesavtal är att tillse att Personuppgiftsbiträdes behandling av personuppgifter på Personuppgiftsansvariges vägnar sker i enlighet med Dataskyddsförordningens krav, Personuppgiftsansvariges instruktioner samt vad som överenskommits i detta personuppgiftsbiträdesavtal.

4. PERSONUPPGIFTSANSVARIG

Personuppgiftsansvarig samtycker till att agera i enlighet med Dataskyddsförordningen avseende behandling av personuppgifter.

5. PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN

5.1 Personuppgiftsbiträdet samtycker till att behandla Personuppgifterna i enlighet med Dataskyddsförordningen samt enligt instruktionerna i detta personuppgiftsbiträdesavtal.

5.2 Personuppgiftsbiträdet levererar Plattformen för behandling av personuppgifter och det är Personuppgiftsansvariges ansvar att se till att behandling av personuppgifter i Plattformen sker i enlighet med Dataskyddsförordningen.

5.3 Personuppgiftsbiträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är anpassad till risken med behandlingen av personuppgifter, så att kraven i Dataskyddsförordningen uppfylls.

5.4 Personuppgiftsbiträdet vidtar lämpliga tekniska och organisatoriska åtgärder så att Personuppgiftsansvarig kan svara på den registrerades begäran om att få utöva sina rättigheter, såsom rätten till information och registerutdrag, rättelse, radering.

5.5 Personuppgifter får ej av Personuppgiftsbiträdet lämnas ut till tredje man utan instruktion från Personuppgiftsansvarig, med undantag när sådant utlämnande kan krävas enligt lag.

 

5.6 Vid upphörande av avtalet ska Personuppgiftsbiträdet tillgängliggöra personuppgifter till Personuppgiftsansvarig genom Plattformen. Personuppgiftsbiträdet ska på Personuppgiftsansvariges skriftliga begäran radera, återlämna alternativt anonymisera personuppgifterna.


5.7 Personuppgiftsbiträdet verkar löpande för att skapa medvetenhet rörande Dataskyddsförordningen samt innehållet i detta personuppgiftsbiträdesavtal bland alla sina medarbetare. Samtliga medarbetare har fått utbildning i hantering, skydd och skötsel av personuppgifter samt informerats om dess konfidentiella karaktär.

 

5.8 Tillgången till personuppgifter begränsas till endast de medarbetare hos Personuppgiftsbiträdet som behöver ha tillgång till dessa personuppgifter för att kunna fullfölja åtaganden enligt kundavtal.

 

5.9 All personal hos Personuppgiftsbiträdet har ingått ett sekretessavtal med Personuppgiftsbiträdet där de omfattas av tystnadsplikt. Denna sekretessförbindelse gäller även efter att anställningens upphörande.

 

5.10 Personuppgiftsbiträdet ska ge Personuppgiftsansvarig tillgång till all information som krävs för att visa att de skyldigheter som fastställs i Dataskyddsförordningen har fullgjorts.

6. PERSONUPPGIFTSINCIDENT

6.1 Vid en personuppgiftsincident ska Personuppgiftsansvarig utan onödigt dröjsmål anmäla detta till tillsynsmyndighet inom 72 timmar. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.

 

6.2 Personuppgiftsansvarig ska informera de registrerade samt underrätta Personuppgiftsbiträdet om personuppgiftsincidenter som hänt i Plattformen.

 

6.3 Personuppgiftsbiträdet underrättar, utan onödigt dröjsmål, Personuppgiftsansvarig efter att vi får information om en personuppgiftsincident.

6.4 Rapport av personuppgiftsincident ska utföras i enlighet med de riktlinjer som anges i Dataskyddsförordningen.

7. UNDERBITRÄDE

7.1 Samtliga underbiträden som Personuppgiftsbiträdet anlitar för att tillhandahålla Plattformen skall följa de riktlinjer och rutiner som beskrivs i Sitoo Integritetspolicy, Dataskyddsförordningen samt detta personuppgiftsbiträdesavtal. Underbiträden får endast behandla personuppgif­ter enligt Personuppgiftsbiträdes uttryck­liga instruktioner och får inte använda personuppgifter för egna ändamål. De är även skyldiga enligt lag och avtal att vidta lämpliga tekniska och or­ganisatoriska säker­hetsåt­gärder för att skydda personuppgifter.

 

7.2 Om behandling av personuppgifter kommer att utföras av underbiträde i tredje land, utanför EU/EES, ger Personuppgiftsansvarig Personuppgiftsbiträdet mandat att ingå personuppgiftsbiträdesavtal med underbiträdet. All eventuell överföring av personuppgifter till underbiträde i tredje land regleras i enlighet med Kommissionens beslut (2010/87/EU) om standardavtalsklausuler för överföring av personuppgifter till tredje land. Personuppgiftsbiträdet ska om så sker redovisa för Personuppgiftsansvarig i vilket land behandlingen utförs. Personuppgiftsbiträdet åtar sig att säkerställer att lämpliga skyddsåtgärder finns på plats vid all eventuell överföring av personuppgifter till underbiträden utanför EU/EES.

7.3 Väljer Kunden att aktivera en integration till Plattformen kommer Personuppgiftsbiträdet att dela de personuppgifter som Integratören kräver, vilket då sker på Kundens begäran.

 

7.4 Genom detta personuppgiftsbiträdesavtal ger Personuppgiftsansvarig Personuppgiftsbiträdet mandat att i förekommande fall anlita och/eller ersätta underbiträden till Personuppgiftsbiträdet för att fullgöra kundavtalet i syfte att tillhandahålla Plattformen.

8. AVTALSTID

Detta personuppgiftsbiträdesavtal är giltigt så länge Personuppgiftsansvarig är kund hos Personuppgiftsbiträdet. Vardera part har rätt att skriftligen säga upp detta personuppgiftsbiträdesavtal.

 

Tillägg eller ändringar till detta personuppgiftsbiträdesavtal kan komma att ske, varpå Personuppgiftsbiträdet i förekommande fall informerar om detta i lämpliga informationskanaler.

9. TILLÄMPLIG LAG & TVISTER

Svensk rätt ska vara tillämplig på detta personuppgiftsbiträdesavtal. Alla tvister i anledning av detta personuppgiftsbiträdesavtal skall avgöras av svenska domstolar med Stockholms tingsrätt som första instans, eller om Sitoo så begär, genom skiljeförfarande enligt vid var tid gällande lag om skiljeförfarande.