GDPR

Personuppgiftsbiträdesavtal

Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) har denna dag träffats mellan:

• A. Kunden i Avtalet (personuppgiftsansvarig), (”Kunden”); och
• B. Next One Technology AB (personuppgiftsbiträde), org.nr. 556944-2501 (”Leverantören”)

Allmänt

• Detta Personuppgiftsbiträdesavtal utgör en integrerad del av Avtalet (enligt definition nedan) mellan Leverantören och Kunden. Leverantören kommer vid fullföljandet av Avtalet att Behandla (enligt definition nedan) Personuppgifter (enligt definition nedan) för Kundens räkning så som Kundens personuppgiftsbiträde. Kunden är personuppgiftsansvarig för Behandlingen av Personuppgifterna.
• Om någon annan tillsammans med Kunden är personuppgiftsansvarig för de aktuella Personuppgifterna ska Kunden informera Leverantören om detta.
• Syftet med detta Personuppgiftsbiträdesavtal är att Kunden och Leverantören ska uppfylla vid var tid gällande krav på Personuppgiftsbiträdesavtal och förpliktelser enligt Dataskyddsregler (enligt definition nedan) samt att säkerställa ett adekvat skydd för personlig integritet och grundläggande rättigheter för enskilda i samband med överföring av Personuppgifter från Kunden till Leverantören inom ramen för de tjänster Leverantören utför åt Kunden under Avtalet.

Definitioner

• Följande begrepp ska ha nedanstående innebörd när de anges med versal begynnelsebokstav.
• ”Avtalet” Avser det/de avtal som ingåtts mellan Kunden och Leverantören avseende Leverantörens produkter och tjänster, samt inom ramen för vilket Leverantören behandlar personuppgifter på uppdrag av Kunden.
• ”Behandling” avser vid var tid gällande legaldefinition av ”Behandling” enligt Dataskyddsregler. Vid tidpunkten för Avtalets undertecknande innefattar Behandling varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning efter annat tillhandahållande av uppgifter, sammanställning eller samkörning blockering, utplåning eller förstöring.
• ”Dataskyddsregler” avser vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter vilket innefattar men inte är begränsat till Europaparlamentets och Rådets Förordning (EU) 2016/679 (”Dataskyddsförordningen”) vilken ersätter Personuppgiftslagen (1998:204); samt Tillsynsmyndighets bindande beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd.
• ”Kunden” avser den part som anges i ingressen ovan. I den mån Kunden ingår detta Personuppgiftsbiträdesavtal för andra tjänstemottagares räkning i enlighet med Avtalet ska dock definitionen ”Kund” i tillämpliga delar även avse sådana tjänstemottagare om inte annat framgår av detta Personuppgiftsbiträdesavtal eller Avtalet.
• ”Leverantören” avser den part som anges i ingressen ovan.
• ”Personuppgifter” avser de personuppgifter, som Leverantören Behandlar för Kundens räkning under detta Personuppgiftsbiträdesavtal. Vid tidpunkten för Avtalets undertecknande definieras ”personuppgifter” som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet men begreppet ska anses ha den innebörd som framgår av vid var tid gällande legaldefinition under Dataskyddsregler.
• ”Registrerad” avser den fysiska person som en Personuppgift avser.
• ”Tillsynsmyndighet” avser den eller de tillsynsmyndigheter som har behörighet att bedriva tillsyn över hantering av Personuppgifter eller anses vara berörd tillsynsmyndighet enligt Dataskyddsregler, t.ex. Datainspektionen.
• ”Underbiträde” avser den som Behandlar Personuppgifter som underleverantör åt Leverantören.
• Eventuella övriga definitioner med stor begynnelsebokstav som används i detta Personuppgiftsbiträdesavtal ska, om inget annat uttryckligen anges, ha den innebörd och betydelse som framgår i första hand av Dataskyddsregler och annars av Avtalet om inte omständigheterna uppenbarligen talar för annan tolkningsordning.

Ansvar och instruktion

• De Personuppgifter som Behandlas av Leverantören på uppdrag av Kunden och Kundens instruktioner rörande Behandlingen framgår av Bilaga A (Instruktion om hantering av Personuppgifter).
• Kunden är personuppgiftsansvarig för samtliga Personuppgifter som Leverantören Behandlar för Kundens räkning under Avtalet. Leverantören ska följa vid var tid gällande krav i Dataskyddsregler och även sådana gällande rekommendationer från Tillsynsmyndighet som Kunden instruerat Leverantören att följa. Kunden ska även löpande informera Leverantören om tredje parts, däribland Tillsynsmyndighets och Registrerads, åtgärder med anledning av Behandlingen.
• Leverantören och den eller de personer som arbetar under Leverantörens ledning ska endast Behandla Personuppgifter i enlighet med Kundens instruktioner och inte för andra ändamål än de som Leverantören anlitats för. Utöver instruktionerna i Bilaga A utgör detta Personuppgiftsbiträdesavtal och Avtalet i övrigt Kundens instruktioner till Leverantören avseende Behandlingen. Kunden ska omedelbart informera Leverantören om förändringar vilka påverkar Leverantörens skyldigheter enligt Personuppgiftsbiträdesavtalet. Leverantören ska informera Kunden om Leverantören anser att en instruktion strider mot Dataskyddsregler.
• Behandling får även ske om sådan Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Leverantören eller Underbiträde omfattas av. Om Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Leverantören eller Underbiträde omfattas av ska Leverantören eller Underbiträdet informera Kunden om det rättsliga kravet innan Behandlingen, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.
• Leverantören har rätt att under Personuppgiftsbiträdesavtalets giltighetstid och därefter lagra och behandla data som härrör från Kunden i aggregerat eller anonymiserat format, d.v.s. data som inte innehåller Personuppgifter.

Säkerhet m.m.

• Leverantören ska vidta de tekniska och organisatoriska åtgärder som krävs enligt Dataskyddsregler för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken och för att skydda de Personuppgifter som Behandlas mot oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som Behandlas.
• Leverantören ska vidta de åtgärder som krävs för att uppfylla Artikel 32 i Dataskyddsförordningen.
• Leverantören ska bistå Kunden med att se till att skyldigheterna enligt Artiklarna 32-36 i Dataskyddsförordningen fullgörs, med beaktande av typen av Behandling och den information som Leverantören har att tillgå.

Utlämnande av Personuppgifter och information

• Om det till Leverantören kommer in en begäran från Registrerad, Tillsynsmyndighet eller annan tredje man om att få ta del av uppgifter som Leverantören Behandlar för Kundens räkning ska Leverantören utan dröjsmål vidarebefordra begäran till Kunden. Leverantören får inte lämna ut Personuppgifter eller information om Behandlingen av Personuppgifter utan uttrycklig instruktion om detta från Kunden om inte sådan skyldighet föreligger enligt gällande Dataskyddsregler.

Begäran från Registrerade

• Leverantören ska genom tekniska och organisatoriska åtgärder, som med hänsyn till Behandlingens art är lämpliga, hjälpa Kunden i den mån det är möjligt så att Kunden kan fullgöra sin skyldighet att svara på begäran från den Registrerade vid den Registrerades utövande av sina rättigheter enligt Dataskyddsregler, vilket kan innefatta rätt att erhålla information (registerutdrag) och att på Registrerads begäran rätta, blockera eller radera Personuppgifter.
• Leverantören ska från och med Tillträdesdagen tillse att Kunden kan uppfylla eventuell skyldighet att möjliggöra dataportabilitet avseende Personuppgifter som Leverantören behandlar för Kundens räkning.

Kontakt med Tillsynsmyndigheten

• Leverantören ska informera Kunden om eventuella kontakter från Tillsynsmyndigheten som rör Behandling av Personuppgifter. Leverantören har inte rätt att företräda Kunden eller agera för Kundens räkning gentemot Tillsynsmyndighet.

Underbiträden

• Personuppgifter får Behandlas av ett Underbiträde under förutsättning att Leverantören på Kundens vägnar ingår ett skriftligt avtal eller annan rättsakt enligt unionsrätten där Underbiträdet åläggs motsvarande skyldigheter i fråga om dataskydd som Leverantören åläggs enligt detta Personuppgiftsbiträdesavtal. Kunden har rätt att på objektiva grunder hänförliga till säkerheten av Behandlingen invända mot sådana förändringar. Om Kunden, med sakliga skäl, invänder mot förändringen har Leverantören rätt till extra ersättning av Kunden för de kostnader som Leverantören drabbas av p.g.a. aktuellt Underbiträde inte kan användas.
• Leverantören är särskilt ansvarig för att tillse att Artikel 28.2 och 28.4 i Dataskyddsförordningen beaktas vid anlitande av Underbiträden och att tillse att sådant Underbiträde ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i Dataskyddsförordningen.
• Leverantören ska löpande tillhandahålla Kunden korrekt och uppdaterad lista utvisande vilka Underbiträden som anlitats för Behandlingen av Personuppgifter, kontaktuppgifter till dessa samt den geografiska placeringen för sådan Behandling. Leverantören tillhandahåller listan via sin hemsida. Kunden har skyldighet att hålla sig informerad om denna lista. Integritetspolicy
• Om ett Underbiträde inte fullgör sina skyldigheter i fråga om dataskydd ska Leverantören vara ansvarig för utförandet av Underbiträdets skyldigheter i relation till Kunden.

Rätt till insyn

• Leverantören ska, inom skälig tid från Kundens begäran, ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som följer av Artikel 28 i Dataskyddsförordningen har fullgjorts, samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en annan oberoende revisor som har bemyndigats av Kunden och som Leverantören skäligen kan acceptera.

Överföring av Personuppgifter utanför EU/EES

• Överföring av Personuppgifter av Leverantören eller av Underbiträde till en plats utanför EES-området får vidtas förutsatt att vid var tid gällande krav för sådan överföring enligt Dataskyddsregler uppfylls.

Sekretess

• Leverantören åtar sig att säkerställa att personer med behörighet att Behandla Personuppgifterna har åtagit sig att iaktta sekretess för sådan Behandling eller omfattas av en lämplig lagstadgad tystnadsplikt. Åtagandet gäller inte information som Leverantören föreläggs utge till myndighet eller enligt Dataskyddsregler eller annan lagstadgad skyldighet (innefattande beslut från myndighet eller domstol). Sekretessåtagandet gäller under Avtalets giltighetstid och en period om tre (3) år därefter, såvida inte längre efterkommande period överenskommits mellan Parterna.

Dataportabilitet

• Leverantören ska tillse att Kunden kan uppfylla eventuell skyldighet att möjliggöra dataportabilitet avseende Personuppgifter som Leverantören Behandlar för Kundens räkning.

Ersättning

• Leverantören ska ha rätt till skälig ersättning för allt arbete och samtliga kostnader som beror på instruktioner för Behandlingen från Kunden som går utöver de funktioner och den säkerhetsnivå som följer av de tjänster som Leverantören normalt erbjuder sina kunder eller som kräver att Leverantören behöver göra specialanpassningar för Kundens räkning.

Ansvar

• Om Leverantören, den som arbetar under Leverantörens ledning eller av Leverantören anlitat Underbiträde Behandlar Personuppgifter i strid med detta Personuppgiftsbiträdesavtal eller de lagenliga anvisningar som Kunden har lämnat, ska Leverantören med tillämplighet av de ansvarsbegränsningar som följer av Avtalet, ersätta Kunden för den direkta skada som Kunden har orsakats på grund av den felaktiga Behandlingen. Oaktat ansvarsbegränsning enligt Avtalet ska Leverantörens ansvar enligt denna punkt 14.1 alltid vara begränsat till ett belopp motsvarande de avgifter som Kunden erlagt till Leverantören under Avtalet under en period om tolv (12) månader innan skadan uppstod.
• Kunden ska hålla Leverantören skadeslös för samtliga direkta eller indirekta skador, vilket även innefattar krav från den registrerade, som Leverantören orsakas genom överträdelse av Dataskyddsregler som beror på otydliga, bristfälliga eller otillåtna instruktioner från Kunden, bristfällig information från Kunden om vilka kategorier av uppgifter som Behandlas (t.ex. om känsliga Personuppgifter behandlas utan att Kunden informerat Leverantören om detta) eller annars beroende på omständighet på Kundens sida.
• Leverantörens ersättningsskyldigheter avseende krav och skador enligt denna punkt 14 gäller under förutsättning att i) Kunden utan onödigt dröjsmål skriftligen underrättar Leverantören om krav som framställts mot Kunden och ii) Kunden låter Leverantören kontrollera försvaret av kravet och ensam fatta beslut om eventuell förlikning.

Avtalstid och åtgärder vid upphörande

• Personuppgiftsbiträdesavtalet gäller från Avtalets undertecknande och så länge som Leverantören Behandlar Personuppgifter för Kundens räkning enligt Avtalet eller av annat skäl.
• Leverantören har dock rätt att genom skriftligt meddelande till Kunden säga upp detta Personuppgiftsbiträdesavtal eller Avtalet (innefattande detta Personuppgiftsbiträdesavtal) till omedelbart upphörande om (i) Kundens instruktion om hantering av Personuppgifter är bristfällig eller felaktig och rättelse inte sker inom sju (7) dagar efter meddelande därom från Leverantören, eller (ii) Kunden förser Leverantören med andra kategorier av Personuppgifter än vad som omfattas av gällande instruktion om hantering av Personuppgifter eller i övrigt förser Leverantören med Personuppgifter i strid med gällande instruktion och Kunden inte vidtar rättelse inom sju (7) dagar efter meddelande därom från Leverantören eller (iii) Kunden inte erlägger betalning enligt Avtalet (innefattande detta Personuppgiftsbiträdesavtal) och rättelse inte sker inom sju (7) dagar efter meddelande därom från Leverantören eller (iv) Kunden i övrigt väsentligen bryter mot sina åtaganden enligt Avtalet (innefattande detta Personuppgiftsbiträdesavtal) och rättelse inte sker inom sju (7) dagar efter meddelande därom från Leverantören.
• Vid Avtalets eller Personuppgiftsbiträdesavtalets upphörande (beroende på vilket som inträffar först) ska Leverantören, beroende på Kundens val såsom det meddelas till Leverantören, radera samtliga Personuppgifter och säkerställa att varje Underbiträde gör detsamma, men innan dess ska Leverantören ge Kunden möjlighet att hämta ut alla Personuppgifter. Om Kunden inte lämnar meddelande om hur Personuppgifter ska återlämnas ska Leverantören radera uppgifterna senast tre (3) månader efter Avtalets eller Personuppgiftsbiträdesavtalets upphörande (beroende på vilket som inträffar först). Leverantören ska radera eventuella befintliga kopior såvida inte lagring av Personuppgifterna krävs enligt unionsrätten eller medlemsstats nationella rätt.

Ändringar i Personuppgiftsbiträdesavtalet

• Om Personuppgiftsbiträdesavtalet, på grund av ändrade Dataskyddsregler eller av Tillsynsmyndighet utfärdade riktlinjer, beslut eller föreskrifter, inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal ska parterna i god anda diskutera nödvändiga förändringar av detta Personuppgiftsbiträdesavtal för att tillgodose sådana nya eller tillkommande krav. Sådan ändring träder ikraft enligt Parternas skriftliga överenskommelse därom, eller annars senast inom sådan tidsperiod som anges i Dataskyddsregler, Tillsynsmyndighets riktlinjer, beslut eller föreskrifter. Leverantören har rätt till skälig ersättning för eventuellt arbete, kostnader och utgifter som sådana ändringar föranleder.
• Övriga ändringar av och tillägg till detta Personuppgiftsbiträdesavtal ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av parterna.

Övrigt

• I övrigt ska vad som sägs i Avtalet äga tillämpning även för Leverantörens Behandling av Personuppgifter och åtagandena under detta Personuppgiftsbiträdesavtal. Vid oenighet mellan bestämmelserna i Avtalet och detta Personuppgiftsbiträdesavtal ska dock bestämmelserna i Personuppgiftsbiträdesavtalet äga företräde i förhållande till all Behandling av Personuppgifter och inget i Avtalet ska anses begränsa eller ändra åtaganden i detta Personuppgiftsbiträdesavtal i den mån att detta skulle medföra att någon part inte uppfyller kraven enligt Dataskyddsregler.
• Svensk lag ska under alla omständigheter tillämpas på Leverantörens Behandling av Personuppgifter enligt detta Personuppgiftsbiträdesavtal.
• Tvister som uppstår i anledning av detta Personuppgiftsbiträdesavtal ska lösas i enlighet med tvistlösningsbestämmelsen i Avtalet.

Bilaga A) Instruktion om hantering av Personuppgifter

Följande instruktioner gäller för hantering av de Personuppgifter som Kunden är personuppgiftsansvarig för. Utöver vad som redan framgår av detta Personuppgiftsbiträdesavtal ska Leverantören följa nedanstående instruktioner:

Personuppgiftsbehandling

Ändamål Specificera samtliga ändamål för vilka Personuppgifter som kommer Behandlas av Leverantören är.	Lagring och hantering av personuppgifter för ändamålet att nyttja verktyget för verksamhetens projekthantering. – Planering – Återrapportering av tid och utfört arbete – Attestering – Dokumentation av händelser i hela projektlivcykeln
Kategorier av Personuppgifter Specificera kategorier av Personuppgifter som kommer behandlas av Leverantören.	Namn, smeknamn, initialer, fotografier, adress, telefonnummer, mailadress, födelsedatum, personnummer, anställningsnummer, inloggningsuppgifter, närmast anhörig samt dennes kontaktuppgifter.
Kategorier av Registrerade Specificera samtliga kategorier av Registrerade vars uppgifter kommer behandlas av Leverantören	Yrkesarbetare, tjänstemän, underentreprenörer, kunder, presumtiva kunder och övriga samarbetspartners.
Gallringstid Specificera gallringstid avseende när Personuppgifterna som Behandlas av Leverantören ska gallras.	I enlighet med av kund lämnad instruktion alternativt vid begäran.
Praktisk hantering Specificera hur Behandling ska gå till.	Inläsning, lagring, back-up-hantering. I samband med utbildnings- och supportinsatser, utföra registreringar i systemet i syfte att exemplifiera och/eller felsöka.
Överföring mellan system	Överföring av nödvändiga data mellan Systemet och kringliggande system som lön-, ekonomi-, inköp-, leverantörsfakturaskanningsystem etc.
IT säkerhetsåtgärder	Fysisk åtkomst till data och system: – Next One Technology AB anlitar underleverantör för servermiljö och drift. Leverantör garanterar att denne vidtar nödvändiga åtgärder för att säkerställa att obehöriga personer ej har åtkomst till lokaler och system där där personuppgifter behandlas. Systemsäkerhet: – Next One Technology AB utför kontinuerligt, och vid behov, alla nödvändiga uppdateringar av underliggande system och använda applikationer som hanterar personuppgifter i enlighet med rekommendationer av leverantörer samt följande allmänt vedertagen praxis för denna typ av system. Applikationssäkerhet: – Användare till systemet har åtkomst till personuppgifter endast via individuella inloggningar med krypterad kommunikation. Datatillgänglighet: – Åtkomst till personuppgifter ges till behörig personal i den utsträckning åtgärder är nödvändiga för att upprätthålla köpt tjänst samt utföra åtgärder beställda av Personuppgiftsansvarige. – Behörig personal ansluter till system med metoder som säkerställer tillräcklig nivå av datasäkerhet och spårbarhet. – Kontinuerlig översyn sker över vilken personal som har behörighet. Användande av underleverantör: – Underleverantörer används endast efter kontroll av lämplighet med hänsyn tagen till säkerhetsmedvetande. – Underleverantörer anlitas endast med avtal som säkerställer tillräcklig nivå av dataskydd.