Personuppgiftsbiträdesavtal

DPA/PUBA

Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) har ingåtts mellan

  1. Tigerton AB, org.nr. 556645-3915 (”Tigerton”); och
  2. Part som via överenskommelse om samarbete har accepterat allmänna villkor, (”Part”).

 Tigerton och Part är nedan var för sig benämnda ”Part” samt gemensamt ”Parterna”.

 

1 Allmänt

1.1 Detta Personuppgiftsbiträdesavtal utgör en integrerad del av avtalet som ingåtts mellan Tigerton och Kunden (”Tjänsteavtalet”) 

1.2  Tigerton kommer vid fullföljandet av Tjänsteavtalet att behandla Personuppgifter (definieras nedan) för Kundens räkning såsom personuppgiftsbiträde för Kunden. Kunden är personuppgiftsansvarig för Behandling av personuppgifterna. 

1.3  Om någon annan tillsammans med Kunden är personuppgiftsansvarig för de aktuella Personuppgifterna ska Kunden informera Tigerton om detta. 

1.4  Syftet med detta Biträdesavtal är att Parterna ska uppfylla vid var tid gällande krav enligt gällande Dataskyddsreglering samt att säkerställa ett adekvat skydd för personlig integritet och grundläggande rättigheter för enskilda i samband med överföring av Personuppgifter från Kunden till Tigerton inom ramen för de tjänster Tigerton utför åt Kunden under Tjänsteavtalet.

 

2 Definitioner

”Behandling” 

Avser åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, inhämtande eller användning.

”Dataskyddsreglering” 

avser vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter vilket innefattar, men inte är begränsat till, Europaparlamentets och Rådets Förordning (EU) 2016 /679 (”Dataskyddsförordningen”/”GDPR”) samt Tillsynsmyndighets bindande beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd.

”Personuppgifter” 

avser de personuppgifter som Tigerton behandlar under Biträdesavtalet. Begreppet ska ha den innebörd som framgår av vid var tid gällande legal definition under GDPR.

”Tillsynsmyndighet” 

avser den eller de tillsynsmyndigheter som har behörighet att bedriva tillsyn över hanteringen av Personuppgifter eller anses vara berörd tillsynsmyndighet enligt Dataskyddsregleringen, i Sverige t. ex. Integritetsskyddsmyndigheten.

”Underbiträde” 

avser det underbiträde som anlitats eller ska anlitas av Tigerton och som därför kommer behandla Personuppgifter för Tigertons räkning.

Eventuella övriga definitioner med stor begynnelsebokstav som används i detta Biträdesavtal ska, om inget annat uttryckligen anges, ha den innebörd och betydelse som framgår av GDPR och i andra hand enligt vad som framgår av Tjänsteavtalet, om inte omständigheterna uppenbarligen talar för annan tolkningsordning.

 

3 Ansvar

3.1 Kunden är personuppgiftsansvarig för samtliga Personuppgifter som Tigerton behandlar för Kundens räkning under Tjänsteavtalet. Kunden ansvarar därmed för att gällande Dataskyddsreglering följs. Kunden har skyldighet att informera Tigerton om eventuell förändring i Kunds verksamhet som gör att Tigerton behöver vidta någon form av åtgärd eller förändrad rutin. Utöver de krav som gäller direkt för Tigerton enligt detta Biträdesavtal ska Tigerton vara skyldig att följa vid var tid gällande krav enligt gällande Dataskyddsreglering. Kunden ska även löpande informera Tigerton om tredje parts, däribland Tillsynsmyndighets och Registrerads, åtgärder med anledning av Behandlingen. 

3.2 Tigerton och den eller de personer som arbetar under Tigertons ledning ska endast behandla Personuppgifter i enlighet med de dokumenterade instruktioner som Kunden ger Tigerton och inte för några andra ändamål än de ändamål som Tigerton anlitats för och som anges i detta Biträdesavtal. De instruktioner som gäller vid Biträdesavtalets ingående framgår av Bilaga 1. Utöver de särskilda instruktioner som framgår av Allmänna villkor ska detta Biträdesavtal och Tjänsteavtalet i övrigt anses utgöra Kundens samtliga instruktioner till Tigerton avseende Behandling av Personuppgifter. Kunden ska omedelbart informera Tigerton om förändringar vilka påverkar Tigertons skyldigheter enligt detta Biträdesavtal. 

3.3 Om en instruktion avseende Behandling av personuppgifter som lämnats av Kunden enligt Tigertons uppfattning strider mot Dataskyddsregleringen ska Tigerton omedelbart informera Kunden.

3.4  Behandling får även ske om sådan Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Tigerton. I sådana fall ska Tigerton informera Kunden om det rättsliga kravet innan Behandlingen, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt sådan rätt. 

3.5  Tigerton har rätt att under Biträdesavtalet giltighetstid och därefter lagra och behandla data som Behandlas under detta Biträdesavtal i någon form av aggregerat eller anonymiserat format, d.v.s. data som inte innehåller Personuppgifter.

 

4 Säkerhet

4.1 Tigerton ska vidta de tekniska och organisatoriska åtgärder som krävs enligt gällande Dataskyddsreglering för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med Behandlingen och för att skydda de Personuppgifter som Behandlas mot oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som Behandlas. Detta inbegripet, när det är lämpligt följande: 

  1. pseudonymisering och kryptering av personuppgifter,
  2. förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och -tjänsterna, 
  3. förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, 
  4. ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet

4.2  Tigerton ska bistå Kunden med att se till att skyldigheterna enligt artiklarna 32-36 i GDPR fullgörs, med beaktande av typen av Behandling och den information som Tigerton har att tillgå.

 

5 Utlämnande av information och Personuppgifter

5.1 Om det till Tigerton kommer in en begäran från Registrerad, Tillsynsmyndighet eller annan tredje man om att få ta del av uppgifter som Tigerton Behandlar under detta Biträdesavtal ska Tigerton vidarebefordra begäran till Kunden. Tigerton, eller den som arbetar under Tigertons ledning, får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan instruktion om detta från Kunden. 

5.2 Tigerton ska hjälpa Kunden i den mån det är möjligt så att Kunden kan fullgöra sin skyldighet att svara på begäran från den Registrerade vid den Registrerades utövande av sina rättigheter enligt gällande Dataskyddsreglering.

 

6 Kontakter med Tillsynsmyndighet

6.1 Tigerton ska informera Kunden om eventuella kontakter från Tillsynsmyndigheten som rör Behandling av Personuppgifter.

 

7 Underbiträden

7.1 Tigerton ges ett allmänt förhandstillstånd att anlita Underbiträden under förutsättning att Tigerton ingår ett skriftligt avtal där Underbiträdet åläggs motsvarande skyldigheter som Tigerton åläggs enligt detta Biträdesavtal. 

7.2 Tigerton ska på begäran från Kunden informera Kunden om vilka Underbiträden som anlitats av Tigerton för att Behandla Personuppgifter. 

7.3 Tigerton åtar sig att informera Kunden om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden. Kunden har rätt att invända mot sådana förändringar på objektiva grunder. Om Kunden gör en sådan befogad invändning har Tigerton rätt till extra ersättning av Kunden för de kostnader som Tigerton drabbas av p.g.a. aktuellt Underbiträde inte kan användas. Tigerton har även rätt att säga upp Tjänsteavtalet och/eller detta Biträdesavtal helt eller delvis, t.ex. vad avser viss tilläggstjänst med trettio (30) dagars uppsägningstid, utan att Kunden har rätt till ersättning eller skadestånd.

 

8 Rätt till insyn och kontroll

Tigerton ska ge Kunden tillräckligt med sådan information som krävs för att visa att Tigerton uppfyller de krav som framgår av detta Biträdesavtal och av gällande Dataskyddsreglering. Vid behov ska Tigerton också bidra till att Kunden kan genomföra granskningar och inspektioner av Behandlingen av personuppgifter som utförs av Tigerton. Sådana granskningar ska ske på överenskomna tider och på Kundens bekostnad.

 

9 Överföring till tredje land

9.1 Överföring av Personuppgifter av Tigerton eller av Underbiträde till en plats utanför EES- området får vidtas förutsatt att vid var tid gällande krav för en sådan överföring enligt Dataskyddsreglering uppfylls.

 

10 Sekretess

10.1 Tigerton åtar sig att säkerställa att personer med behörighet att Behandla Personuppgifterna som överförts av Kunden har åtagit sig att iaktta sekretess för sådan Behandling eller omfattas av en lämplig lagstadgad tystnadsplikt som på annat sätt skyddar personuppgifterna från att röjas.  

10.2 Åtagandet i punkt 10.1 ovan gäller inte information som Tigerton föreläggs utge till myndighet eller som annars följer av annan lagstadgad skyldighet. 

10.3 Sekretessåtagandet gäller under Tjänsteavtalets giltighetstid och därefter.

 

11 Dataportabilitet

11.1 Tigerton ska från och med Tillämpningsdagen tillse att Kunden och/eller Kundens slutkunder (när dessa är personuppgiftsansvariga) kan uppfylla eventuell skyldighet att möjliggöra dataportabilitet avseende Personuppgifter som Tigerton Behandlar under detta Biträdesavtal.

 

12 Ersättning

12.1 Tigerton ska ha rätt till full ersättning från Kunden för samtligt arbete och samtliga kostnader som uppstår till följd av fullgörande av punkterna 8, 11 och 15.1 som beror på instruktioner för Behandlingen som Kunden ger Tigerton och som går utöver vad som framgår av bilaga 1 eller de funktioner och den säkerhetsnivå som följer av de tjänster som Tigerton normalt erbjuder sina kunder, t.ex. vad gäller Tigertons webbhotell och servrar och sådant som kräver att Tigerton behöver göra specialanpassningar på beställning av Kunden. 

12.2 Tigerton ska även ha rätt till ersättning för sitt arbete med anledning av sina åtaganden enligt punkten 5. Samtligt arbete som Tigerton har rätt till ersättning för enligt denna punkt ska ersättas i enlighet med Tigertons vid var tid gällande timpriser. Utlägg som Tigerton kan behöva göra vid fullgörande av detsamma ska ersättas enligt Tigertons faktiska kostnader för utläggen.

 

13 Ansvar

13.1 Om Tigerton, den som arbetar under Tigertons ledning eller av Tigerton anlitat Underleverantör Behandlar Personuppgifter i strid med detta Biträdesavtal eller de lagenliga anvisningar som Kunden har lämnat, ska Tigerton med beaktande av de ansvarsbegränsningar som följer av Tjänsteavtalet, ersätta Kunden för den direkta skada som Kunden har orsakats på grund av den felaktiga Behandlingen. 

13.2 Kunden ska hålla Tigerton skadelös för samtliga direkta eller indirekta skador som Tigerton orsakas genom överträdelse av Dataskyddsreglering som beror på otydliga, bristfälliga eller otillåtna instruktioner som Kunden har gett Tigerton, bristfällig information från Kunden om vilka kategorier av uppgifter som Behandlas (t.ex. om känsliga Personuppgifter Behandlas utan att Kunden informerat Tigerton om detta) eller annars beroende på omständighet på Kundens sida. 

13.3 Tigertons ersättningsskyldigheter avseende krav och skador enligt denna punkt 13 gäller under förutsättning att i) Kunden utan onödigt dröjsmål skriftligen underrättar Tigerton om krav som framställts mot Kunden; och ii) Kunden låter Tigerton kontrollera försvaret av kravet och ensamt fatta beslut om eventuell förlikning.

 

14 Avtalstid och åtgärder vid upphörande

14.1 Biträdesavtalet gäller från dess undertecknande och så länge som Tigerton Behandlar Personuppgifter för Kundens eller dennes kunders räkning. 

14.2 Tigerton ska efter Tjänsteavtalets eller Biträdesavtalets upphörande återlämna eller radera de Personuppgifter som Kunden överlämnat eller som på annat sätt kommit Tigerton tillhanda. Tigerton ska radera eventuella befintliga kopior såvida inte lagring av Personuppgifterna krävs enligt unionsrätten eller medlemsstats nationella rätt.

 

15 Ändringar i Biträdesavtalet

15.1 Om Dataskyddsreglering ändras under tiden för Biträdesavtalet, eller om Tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsreglering som föranleder att detta Biträdesavtal inte uppfyller de krav som ställs på ett Biträdesavtal och/eller underbiträdesavtal ska detta Biträdesavtal ändras för att tillgodose sådana nya eller tillkommande krav. Sådan ändring träder ikraft senast trettio (30) dagar efter att Kunden översänt ändringsmeddelande till Tigerton, eller annars senast inom sådan tidsperiod som anges i Dataskyddsreglering, Tillsynsmyndighets riktlinjer, beslut eller föreskrifter. 

15.2 Övriga ändringar av och tillägg till detta Biträdesavtal ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av Parterna.

 

16 Övrigt

16.1 I övrigt ska vad som sägs i Tjänsteavtalet äga tillämpning även för Tigertons Behandling av Personuppgifter och åtagandena under detta Biträdesavtal. Vid oenighet mellan bestämmelserna i Tjänsteavtalet och detta Biträdesavtal ska dock bestämmelserna i Biträdesavtalet äga företräde i förhållande till all Behandling av Personuppgifter. Ingenting i Tjänsteavtalet ska anses begränsa eller ändra åtaganden i detta Biträdesavtal i den mån att detta skulle medföra att någon Part inte uppfyller kraven enligt Dataskyddsreglering. 

16.2 Tigertons ansvar är alltid begränsat till det belopp som motsvarar Kundens erlagda avgift från att avtalsbrottet skriftligen meddelats Tigerton tills dess att bristen åtgärdats eller innevarande avtalsperiod avslutats. Krav som överstiger detta belopp har Kund inte rätt att göra gällande mot Tigerton. Denna begränsning gäller även om utförda avhjälpanden inte har uppfyllt sitt syfte. 

16.3  Svensk materiell rätt ska gälla för detta Biträdesavtal. 

16.4  Tvister som uppstår i anledning av detta Biträdesavtal ska lösas i enlighet med tvistlösningsbestämmelsen i Tjänsteavtalet.

 

Kontakta oss