Personuppgiftsbiträdesavtal

1. Detta Personuppgiftsbiträdesavtal (”nedan Avtalet”) reglerar de villkor som gäller för behandling av personuppgifter som Eden & Co Redovisning AB utför som personuppgiftsbiträde åt kunden i samband med de tjänster som regleras av huvudavtalet, till vilket detta Personuppgiftsbiträdesavtal utgör Bilaga – Personuppgiftsbiträdesavtal

    

2. DEFINITIONER OCH TOLKNINGAR

Definitionerna i detta avtal motsvarar de definitioner som återfinns i tillämplig dataskyddslagstiftning avseende personuppgiftsskydd, enligt nedan:

1. 1. DEFINITIONER

“Avtal” betyder detta personuppgiftsbiträdesavtal inklusive Bilagorna, vars innehåll kan komma att ändras i syfte att återspegla aktuella faktiska förhållanden och överenskommelser;  

“Arbetsdag” betyder en dag (som inte är en lördag eller söndag eller allmän helgdag) på vilken kommersiella banker har öppet för allmän bankverksamhet i den jurisdiktion där Leverantören är registrerad, med undantag för enbart internetbanktjänster;   

“EU Personuppgiftslagstiftning” (i) GDPR och (ii) och sådan nationell dataskyddslagstiftning som kompletterar GDPR 

“Force Majeure” har den innebörd som anges i punkten 11; 

“GDPR” betyder Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, och samtliga därtill gjorda tillägg;

“Part”/”Parter” betyder Kunden och Leverantören var för sig, eller i förekommande fall tillsammans; 

”Tjänst” har den innebörd som anges i Underbilaga 1 och som nyttjas av Kunden (inklusive samtliga relaterade tjänster som från tid till annan kan komma att tillhandahållas av Leverantören); 

“Ändamål” har den innebörd som anges i Underbilaga 1; 

“Lagstadgade krav” betyder tillämplig integritets- och personuppgiftslagstiftning, inklusive EU-rättslig Personuppgiftslagstiftning, och sådan lagstiftning som från tid till annan kan komma att ersätta förutnämnda lagstiftning (vid avvikelser eller motsägelser mellan olika lagstiftningar eller regelverk, ska den som föreskriver högst grad av integritet och/eller informationssäkerhet tillämpas); 

“Tillsynsmyndighet” betyder samtliga domstolar, myndigheter och organ som, enligt tillämpliga lagar och/eller regleringar (inklusive Lagstadgade krav), utövar kontroll vid integritetsfrågor och/eller personuppgiftsbehandling; och; 

1. 1. TOLKNINGAR
      
      1. 2.2.1.Termer och uttryck utan stor begynnelsebokstav som används i detta Avtal, t.ex. “den registrerade”, “personuppgiftsansvarig”, “personuppgifter”, “behandling”, “personuppgiftsbiträde”, “tredjeland” etc., ska tolkas i enlighet med vad som anges i EU Personuppgiftslagstiftning. 
      2. 2.2.2.Om inte annat sägs häri, eller tydligt framgår av sammanhanget i vilket den förekommer, ska termen ”inklusive” betyda ”inklusive, utan begränsning”.
2. UNDERBILAGOR TILL DETTA BITRÄDESAVTAL
   Specifikation över behandlingar av personuppgifter Underbilaga 1
   Specifikation över underbiträden Underbilaga 2  
3. PARTERNAS SÄRSKILDA ÅTAGANDEN
   
   1. Roller, ägande av personuppgifter, behandling och ändamål
      
      1. 4.1.1.Kunden ska betraktas som Personuppgiftsansvarig för alla personuppgifter som Leverantören behandlar på Kundens vägnar, enligt dennes instruktioner. Instruktionerna utgörs i detta sammanhang av de överenskomna åtaganden som krävs för att uppnå Ändamålet och i samband med vilka det utförs behandling av personuppgifter.
      2. 4.1.2.Leverantören får endast behandla Kundens personuppgifter för Ändamålet och i den utsträckning det är nödvändigt för fullgörandet av Leverantörens skyldigheter enligt detta Avtal eller Försäljningsvillkoren.
      3. 4.1.3.Utan att det påverkar behandlingen av personuppgifter som sker i överrensstämmelse med detta Avtal ska, i situationer då Leverantören överträder de Lagstadgade kraven genom att fastställa ändamål och medel för själva behandlingen (t.ex. genom att behandla personuppgifter i strid med Ändamålet), personuppgiftsbiträdet betraktas som personuppgiftsansvarig med avseende på den behandlingen.  
   2. Kundens särskilda åtaganden
      
      1. 4.2.1.Kunden ska tillse att behandlingen sker i enlighet med Tillämplig dataskyddslagstiftning och praxis samt av tillsynsmyndighetens från tid till annan lämnade rekommendationer. Detta innebär bland annat – men inte begränsat till – att Kunden ansvarar för dokumentation av vilka kategorier av personuppgifter och kategorier av personer som behandlas, samt i tillämpliga fall inhämtande och dokumentering av samtycke från personer vars uppgifter behandlas.
      2. 4.2.2.Kunden ska utan dröjsmål informera Leverantören om förändringar i behandlingen vilka påverkar Leverantörens skyldigheter enligt detta avtal. Om dessa ändrade instruktioner medför merkostnader för Leverantören ska de ersättas med skäliga kostnader enligt punkt 10 nedan. Kunden ska även informera Leverantören om tredje parts, däribland tillsynsmyndighetens och den registrerades, åtgärder med anledning av behandlingen. 
      3. 4.2.3.Kundens kontrollansvar enligt Tillämplig dataskyddslagstiftning avseende personuppgiftsskydd, såvitt avser Leverantörens uppfyllelse av detta avtal, sker på Kundens bekostnad. Kontroll kan ske genom anlitande av tredje man.
      4. 4.2.4.Agera som kontaktpunkt för den registrerade.
   3. Leverantörens särskilda åtaganden
      
      1. 4.3.1.Leverantören ska följa Tillämplig dataskyddslagstiftning avseende behandling och skydd av personuppgifter, samt dokumenterade instruktioner från Kunden. Leverantören ska därvid säkerställa att alla personer som utför arbete för dess räkning, endast behandlar personuppgifter i enlighet med Kundens dokumenterade instruktioner, såvida inte Leverantören har en skyldighet att behandla uppgifterna enligt svensk eller europeisk lagstiftning. I sådana fall ska Leverantören informera Kunden innan behandlingen påbörjas, i den mån det är tillåtet enligt aktuell reglering. Om Leverantören saknar instruktioner som Leverantören bedömer är nödvändiga för att genomföra det uppdrag Leverantören erhållit från Kunden ska Leverantören, utan dröjsmål, informera Kunden om detta och invänta de instruktioner som Kunden bedömer behövs.
      2. 4.3.2.Om Leverantören anser att Kundens instruktioner står i konflikt med Tillämplig dataskyddslagstiftning, ska Leverantören omedelbart underrätta Kunden och därefter invänta Kundens vidare instruktioner.
      3. 4.3.3.Leverantören ansvarar för att den eller de personer som arbetar under dennes ledning besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt detta avtal och Tillämplig dataskyddslagstiftning. 
      4. 4.3.4.För det fall att registrerad eller annan tredje man begär ut information från Leverantören som rör behandling av personuppgifter ska Leverantören hänvisa till Kunden. Om myndighet begär information från Leverantören ska Leverantören omedelbart informera Kunden. Om Leverantören är skyldig att lämna ut information ska Leverantören omgående först meddela Kunden, såvida det inte strider mot lag, domstols- eller myndighetsbeslut. I samband med utlämnandet ska Leverantören begära att uppgifterna behandlas med sekretess.
      5. 4.3.5.Leverantören ska utan dröjsmål informera Kunden om eventuella kontakter med tillsynsmyndigheten eller annan tredje part som rör eller kan vara av betydelse för behandling av personuppgifter. Leverantören har inte rätt att företräda Kunden eller agera för Kundens räkning gentemot tillsynsmyndigheten eller annan tredje man.
      6. 4.3.6.Leverantören är skyldig att lämna Kunden den assistans som behövs för att Kunden ska kunna uppfylla sitt kontrollansvar enligt Tillämplig dataskyddslagstiftning avseende personuppgiftsskydd, såvitt avser Leverantörens uppfyllelse av detta avtal.
      7. 4.3.7.Leverantören skall bistå Kunden vid fullgörandet av dennes skyldigheter enligt Tillämplig dataskyddslagstiftning. Kunden ska därvid bistå med att: 
         
         1. 4.3.7.1.tillmötesgå registrerades krav på utövande av sina rättigheter enligt Tillämplig dataskyddslagstiftning, 
         2. 4.3.7.2.vidta lämpliga säkerhetsåtgärder till skydd för personuppgifter, 
         3. 4.3.7.3.lämna den information, assistans och resurser som krävs för att Kunden ska kunna uppfylla sina förpliktelser avseende förekomsten av, eller risken för Personuppgiftsincidenter
         4. 4.3.7.4.assistera Kunden med att ta fram information som begärts av tillsynsmyndigheten eller registrerad,
         5. 4.3.7.5.fullgöra Kundens skyldighet att utföra konsekvensbedömningar.
      8. 4.3.8.Leverantören ska skriftligen och inom skälig tid innan en planerad ändring av behandlingsförfarandet, däribland tekniska och organisatoriska ändringar som kan påverka skyddet av personuppgifterna och Leverantörens efterlevnad av Tillämplig dataskyddslagstiftning, informera Kunden.
      9. 4.3.9.Leverantören ska dokumentera och vid behov uppdatera de åtgärder som Leverantören vidtagit för att uppfylla sina skyldigheter enligt detta avtal och Tillämplig dataskyddslagstiftning. På Kundens begäran ska Leverantören utan oskäligt dröjsmål tillhandahålla all information som krävs för att visa att dessa skyldigheter efterlevs.
      10. 4.3.10.Leverantören ska möjliggöra och medverka till granskning, inklusive kontroll på plats, som genomförs av Kunden eller annan granskare som utsetts av denne. Om granskningen visar att leverantören har brustit i sina åtaganden ska Leverantören utan oskäligt dröjsmål åtgärda bristen och ersätta Kunden för kostnaden för granskningen.

           

1. UNDERLEVERANTÖRER
   
   1. Leverantören har rätt att anlita underleverantörer som agerar underbiträden under förutsättning att sådana underbiträden är bundna av ett skriftligt avtal som stadgar att de iakttar samma skyldigheter avseende dataskydd, integritet och revision som gäller för Leverantören enligt detta Avtal 

1. 1. Vill Leverantören anlita en underleverantör, ska Kunden meddelas om detta i förtid. Kunden har alltid rätt att, skyndsamt från mottagandet av meddelandet, med angivande av sakliga skäl, invända mot att Leverantören anlitar den specifika underleverantören. Om Kunden inte har invänt på föreskrivet sätt, ska den föreslagna underleverantören anses ha godkänts. Resulterar en sådan invändning i tillkommande kostnader eller utlägg för Leverantören, t.ex. på grund av åtgärder som rimligen eliminerar grunden för Kundens invändning eller om anlitandet av en annan underleverantör, än den av Leverantören ursprungligen anlitade, skulle medföra tillkommande kostnader eller utlägg för Leverantören, ska Kunden ersätta Leverantören för sådana tillkommande och/eller ökade kostnader och utlägg.  
   2. Leverantören är ansvarig gentemot Kunden för Underleverantörens genomförande, eller brister däri, av uppdraget.
   3. Leverantören förbinder sig att tillse att godkända Underleverantörer dokumenterar och uppdaterar de åtgärder Underleverantören vidtagit för att uppfylla skyldigheterna enligt detta avtal och Tillämplig dataskyddslagstiftning.
2. ÖVERFÖRING AV PERSONUPPGITER TILL TREDJE LAND
   
   1. Avseende personuppgifter härrörande från, eller som behandlas åt, Kunden inom EU/EES och överförda till Leverantörens underleverantör inom EU/EES, gäller vad som sägs i punkten 3 angående underleverantörer. 
   2. Avseende personuppgifter härrörande från, eller behandlade åt, Kunden inom EU/EES, men tillgängliga för eller på annat sätt behandlade av Leverantören i jurisdiktioner utanför EU/EES, har Parterna ingått EU:s Standardavtalsklausuler.
   3. Personuppgifter härrörande från, eller behandlade åt, Kunden inom EU/EES, till vilka underleverantörer i jurisdiktioner utanför EU/EES har åtkomst eller annars behandlar, har Kunden rätt att ingå EU:s Standardavtalsklausuler.
   4. Oaktat punkten 6.2 och punkten 6.3, ska EU:s Standardavtalsklausuler inte tillämpas om jurisdiktionen där Leverantören eller underleverantören är etablerad, har ansetts av Europeiska unionen att vara en jurisdiktion med adekvat personuppgiftsskydd. Parterna är överens om att samtliga tvister som uppkommer till följd av EU:s Standardavtalsklausuler, ska behandlas som om de hade uppkommit till följd av detta Avtal. 
   5. Avseende personuppgifter härrörande från, eller behandlade åt, Kunden utanför EU/EES, där behandlingen av personuppgifter reglars av annan tillämplig lagstiftning (än EU Personuppgiftslagstiftningen) som förbjuder eller begränsar (i) överföringen av personuppgifter till en annan jurisdiktion, eller (ii) behandlingen av personuppgifter i samtliga jurisdiktioner (inklusive fjärråtkomst till dessa personuppgifter från alla länder eller territorium och genom användning av molnbaserade IT-lösningar), ska Leverantören inte överföra eller behandla personuppgifter i strid mot sådana förbud eller begränsningar. I sådana situationer ska Parterna samarbeta i god tro för att nå en rimlig lösning.

1. SÄKERHET OCH SEKRETESS 
   
   1. Leverantören ska vidta de åtgärder som definieras i Tillämplig dataskyddslagstiftning avseende personuppgiftsskydd, vilket innebär att Leverantören ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, som behandlas å Kundens vägnar, mot obehörig åtkomst, förstörelse och ändring. Dessa åtgärder ska specificeras på angiven plats i Underbilaga 1. Om Kunden begär det, ska Leverantören utan oskäligt dröjsmål vidta ytterligare skäliga säkerhetsåtgärder. 
   2. Leverantören ska behandla personuppgifter med fullständig sekretess och ska skriftligen säkerställa att personer med behörighet att behandla personuppgifterna hos Leverantören har ingått särskild sekretessförbindelse eller upplysts om att särskild tystnadsplikt föreligger enligt avtal eller Tillämplig dataskyddslagstiftning. Leverantören får inte avslöja eller göra personuppgifter tillgängliga för tredje part, om inte annat godkänts i förväg av Kunden eller det annars krävs enligt Tillämplig dataskyddslagstiftning. Sekretess enligt detta avtal gäller även efter Huvudavtalets upphörande, och fortsätter att gälla till dess alla personuppgifter har återlämnats till Kunden eller raderats. 
   3. Leverantören ska vidta alla åtgärder som krävs för att upptäcka, begränsa, avhjälpa, rapportera och analysera förekomsten av eller risken för en Personuppgiftsincident. Leverantören ska aktivt försöka återställa integriteten, konfidentialiteten och tillgängligheten av berörda personuppgifter.
   4. Leverantören ska utan oskäligt dröjsmål, från att Leverantören upptäckt förekomst av eller risken för en Personuppgiftsincident, underrätta Kunden om detta. Underrättelsen ska innehålla all nödvändig och tillgänglig information som Kunden behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan av Personuppgiftsincidenter till tillsynsmyndigheten.
   5. Leverantörens underrättelse till Kunden i anledning av förekomsten av eller risken för en Personuppgiftsincident ska, med beaktande av typen av behandling och den information som Leverantören har att tillgå, åtminstone:
      
      1. 7.5.1.beskriva Personuppgiftsincidentens art och, om möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs, 
      2. 7.5.2.beskriva de sannolika konsekvenserna av Personuppgiftsincidenten, och 
      3. 7.5.3.beskriva de åtgärder som har vidtagits eller bör vidtas för att åtgärda Personuppgiftsincidenten eller mildra dess potentiella negativa effekter.

          

8. SÄRSKILD ERSÄTTNING

1. Leverantören äger rätt till skälig ersättning vid assistans till Kunden enligt beskrivning i punkten 4.3 samt 10 eller om ändrade instruktioner medför ökade kostnader för Leverantören. Ersättning ska dock endast utgå om Kunden skriftligen godkänt detta i förväg.
   
   

• AVTALSTID OCH UPPSÄGNING

1. Detta Avtal träder ikraft på Ikraftträdandedatumet. Om uppsägning inte sker i förtid (i) till följd av väsentliga åsidosättanden av villkoren i detta Avtal, i vilket fall detta Avtal ska sägas upp med omedelbar verkan om den andra Parten inte förmår avhjälpa åsidosättandet på ett tillfredsställande sätt inom femton (15) dagar från den andra Partens skriftliga krav därom, ska detta Avtal vara fortsatt giltigt tills Leverantören upphör med att behandla personuppgifter för Kundens räkning, då det ska upphöra per automatik med omedelbar verkan.

    

Vid uppsägning av detta Avtal av någon anledning, ska Leverantören upphöra med behandlingen av personuppgifter på Kundens vägnar och ska vidare, enligt Kundens instruktioner, på Kundens bekostnad, ombesörja återlämnandet till Kunden (eller dess utsedda tredje part) alla sådana personuppgifter tillsammans med alla kopior som denne besitter eller kontrollerar, såvida inte lagring av personuppgifterna krävs enligt Lagstadgade krav.

1. 1. Om Kunden inte lämnar ovannämnda instruktioner inom en period om tre (3) månader från då Avtalet sades upp, har Leverantören rätt att radera alla sådana personuppgifter, inklusive kopior därav, såvida inte lagring av personuppgifterna krävs enligt Lagstadgade krav. För det fall personuppgifter ska återlämnas i enlighet med vad som sägs ovan, ska de återlämnas i det format som gäller enligt Ramavtalet, eller då något sådant format inte har avtalats, i ett allmänt använt läsbart format som Parterna överenskommer om.
2. ANSVAR OCH SKADESTÅND
   
   1. Med förbehåll för punkten 10.2, ska vardera Part ersätta den andra Parten för alla direkta förluster till följd av anspråk riktade av tredje part som uppstått genom eller härrör från något åsidosättande sida av detta Avtal från Parternas sida. 
   2. Oaktat vad som sägs ovan och Försäljningsvillkoren, ska Leverantören inte hållas ansvarig för indirekta förluster, inklusive skador och/eller följdskador så som vinstbortfall eller minskad omsättning, eller andra ekonomiska förluster som uppkommit till följd av detta Avtal, om detta inte beror på Leverantörens avsiktliga eller grovt vårdslösa agerande.
3. FORCE MAJEURE

Leverantören ska inte ansvara för brister eller förseningar vid utförandet av sina skyldigheter enligt detta Avtal om och i den utsträckning bristen eller förseningen orsakas av omständigheter utanför Leverantörens kontroll och som Leverantören inte rimligen hade kunnat förutse eller förhindra genom rimlig försiktighet (“Force Majeure”). Åsidosättanden av en underleverantör anses vara en Force Majeure-händelse ifall den bakomliggande anledningen till underleverantörens icke-agerande är en händelse som, ifall den hade varit direkt relaterad till Leverantören, skulle ha kvalificerats som en Force Majeure-händelse enligt detta Avtal. Force Majeure inkluderar, men är inte begränsat till, krig, uppror, civil olydnad, mobilisering, generella strömavbrott, konfiskering, monetära restriktioner, lockout, strejker och andra industriella tvister relaterade till Leverantören eller någon underleverantör, och jämförbara omständigheter.

1. ÖVRIGT 
   
   1. Ingen Part får överlåta eller upplåta sina rättigheter eller skyldigheter enligt detta Avtal utan föregående skriftligt medgivande från den andra Parten. 
   2. Detta Avtal anger och utgör hela överenskommelsen mellan Parterna avseende dess materiella innehåll och alla tidigare avtal, överenskommelser, eller löften därom upphävs härmed. För att undvika tveksamheter, i de fall då motsägelser förekommer mellan bestämmelserna i detta Avtal och något annat avtal mellan Parterna, ska detta Avtalets villkor ha företräde gällande Parternas skyldigheter avseende dataskydd, inklusive bestämmelserna om ansvar och skadestånd i punkten 10 i detta Avtal. 
   3. Inga tillägg i, ändringar i, avsägelser eller avståenden från detta Avtal ska vara bindande för Parterna såvida det inte sker skriftligen och vederbörligen utfört av behöriga representanter från båda Parter.  

1. LAGVAL OCH TVIST 
   
   1. Detta Avtal ska tolkas enligt svensk rätt i den utsträckning tillämplig dataskyddslagstiftning inte föreskriver något annat.

Underbilaga 1 – Specifikation över behandlingar av personuppgifter

De tjänster där vi behandlar personuppgifter beskrivs nedan. Den enskilde Kundens tjänster specificeras i huvudavtalet som tecknats med Kunden.

Leverantören får endast behandla personuppgifter, för Kundens räkning enligt nedanstående specifikation.

Underbilaga 2 – Specifikation över underbiträden