Personuppgiftsbiträdesavtal (Data Processing Agreement DPA )

Uppdaterat 2018-05-25

Personbiträdesavtalet, “Kontraktet” mellan Kunden (enligt definitionen i fakturan) personuppgiftsansvarig – nedan kallad kunden – och

Dokiv AB, Skaraborgsvägen 35c, 504 39 Borås, Sverige – personuppgiftsbiträde – nedan kallad Leverantören

ingås härmed personuppgiftsbiträdessavtal enligt nedan.

1 INLEDNING

1.1 Kontraktets föremål för behandling av data är utförandet av följande tjänster eller uppgifter av Leverantören som data processor (definition av tjänster eller uppgifter) enligt följande:

Kunden är personuppgiftsansvarig och använder leverantörens online-mjukvarulösning “Dokiv” som en så kallad Software as a Service (SaaS). Villkoren för användning av Dokiv regleras under “Användaravtalet”. Detta kontrakt utgör en integrerad del av tjänsteavtalet.

1.2 Dokiv erbjuder bland annat en kommunikationsplattform för insamling av data, dela och hantera filer samt beslut och processer.

1.3 Kunder skapat innehåll kan relatera till personuppgifter, t.ex. genom att definiera ansvarsområden, namnge dem i protokoll, orderhistorik eller identifiera dem som innehållsskapare etc. Dokiv kan komma att behandla personuppgifter samt annan information för Kundens räkning.

1.4  Med anledning av detta ingår Parterna detta Avtal för att reglera förutsättningarna för Dokiv´s behandling av – och tillgång till – personuppgifter som tillhör Kunden. Avtalet gäller så länge Dokiv behandlar personuppgifter för Kundens räkning.

1.5  Avtalet syftar bland annat till att säkerställa att Dokiv genomför en behandling av personuppgifter för Kundens räkning i enlighet med kraven i Förordning (EU) 2016/679 (”GDPR”).

2. SYFTE

2.1 Bakgrund och syfte med den avsedda behandlingen av data

Åtgärden för den avtalade behandlingen av personuppgifter ska genomföras i enlighet med tjänsteavtalet i en av Europeiska unionens medlemsstater (EU) eller inom en medlemsstat i Europeiska ekonomiska samarbetsområdet (EES) eller utanför EU / EES, förutsatt att Leverantören ska se till att EU: s databeskyddsbestämmelser följs genom lämpliga åtgärder (t.ex. Privacy Shield).

2.2 Typ av data

Dokiv behandlar följande personuppgifter och omfattar följande datatyper / kategorier

·      Personliga grunddata (Personuppgifter)

·      Kontaktinformation

·      Auditlogg

·      Kontraktsfakturering och betalningsdata

·      Offentliggjord information (från tredje part, t.ex. kreditreferensbyråer eller från offentliga kataloger)

2.3 Kategorier av data ämnen

Kategorierna av data ämnen innefattar:

·      kunder

·      Kontaktpersoner

3. DEFINITIONER

Detta biträdesavtal ska tolkas i enlighet med – och ha de definitioner som framgår av – 3 § personuppgiftslagen eller, vid dess ikraftträdande, artikel 4 Dataskyddsförordningen.

4. PERSONUPPGIFTSANSVARIG

Personuppgiftsansvarig är skyldig att efterleva personuppgiftslagen samt, vid dess ikraftträdande, Dataskyddsförordningen, avseende personuppgiftsbehandling och anlitande av biträde. Personuppgiftsansvarig har rätt att styra Personuppgiftsbiträdets personuppgiftsbehandling och ska härvid meddela de dokumenterade instruktioner som behövs för Personuppgiftsbiträdets behandling.

5. PERSONUPPGIFTSBITRÄDETS ANSVAR

Personuppgiftsbiträdet åtar sig att endast vidta personuppgiftsbehandling avseende avtalade personuppgifter i enlighet med dokumenterade instruktioner från Personuppgiftsansvarig samt i överensstämmelse med detta biträdesavtal och med Huvudavtalet.

5.1 
Personuppgiftsbiträdet åtar sig att vid behandling av personuppgifter efterleva vid var tid gällande lag, i synnerhet personuppgiftslagen och, vid dess ikraftträdande, Dataskyddsförordningen. Därutöver åtar sig Personuppgiftsbiträdet att efterleva föreskrifter, ställningstaganden och rekommendationer avseende tillåten personuppgiftshantering, meddelade av Datainspektionen eller relevant EU-organ.

5.2
 Genom undertecknande av detta biträdesavtal intygar Personuppgiftbiträdet att erforderliga tekniska och organisatoriska skyddsåtgärder vidtas avseende personuppgifterna, så att behandlingen uppfyller kraven i Dataskyddsförordningen och skyddar de registrerades rättigheter.

5.3
Personuppgiftsbiträdet ska enligt den Personuppgiftsansvariges instruktioner rätta, radera eller överlämna felaktiga, ofullständiga eller inaktuella personuppgifter utan oskäligt dröjsmål.

6. SÄKERHETSÅTGÄRDER

Personuppgiftsbiträdet ska vidta och upprätthålla lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna, utan att ha rätt till särskild ersättning för detta.

6.1
 Personuppgiftsbiträdets säkerhetsåtgärder ska åstadkomma den skyddsnivå som följer av tillämplig lag samt, vid dess ikraftträdande, Dataskyddsförordningen och som i övrigt är lämplig med beaktande av tekniska möjligheter, kostnad för genomförande, särskilda risker med behandlingen och i vilken utsträckning de behandlade personuppgifterna är, eller sannolikt kan uppfattas som, känsliga.

6.2
 Personuppgiftsbiträdet ansvarar för att den egna verksamheten bedrivs på ett sätt som i övrigt säkerställer adekvat informationssäkerhet.

6.3
 Personuppgiftsbiträdet ska tillse att anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar eller har åtkomst till personuppgifterna är bundna av ett ändamålsenligt sekretessåtagande samt är informerade om hur personuppgiftsbehandling får ske i enlighet med instruktioner från Personuppgiftsansvarig.

6.4
 Personuppgiftsbiträdets tekniska och organisatoriska säkerhetsåtgärder ska vidtas med beaktande av den senaste utvecklingen, genomförandekostnader, personuppgiftsbehandlingens art, omfattning, sammanhang och ändamål, inkluderat risker för fysiska personer rättigheter och friheter av varierande allvar och sannolikhetsgrad, för att säkerställa en lämplig säkerhetsnivå i förhållande till risk.

6.5
 Personuppgiftsbiträdets genomförande av säkerhetsåtgärder ska när så är lämpligt inbegripa pseudonymisering och kryptering av personuppgifter, förmåga att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos systemen och tjänster för behandling samt förmågan att återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid fysisk eller teknisk incident och förfarande för regelbunden testning, undersökning och utvärdering av effektiviteten hos säkerhetsåtgärderna.

6.6
 Vid bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till risk för oavsiktlig eller olaglig förstöring, förlust, ändring eller till obehörigt röjande eller åtkomst till personuppgifterna.

7. INCIDENTER

Personuppgiftsbiträdet ska vid konstaterad eller misstänkt säkerhetsincident, såsom obehörig åtkomst, förstörelse, ändring eller annan otillåten påverkan avseende personuppgifterna omedelbart undersöka incidenten, vidta lämpliga åtgärder för att åtgärda densamma och för att förhindra upprepning samt informera den Personuppgiftsansvarige genom att tillhandahålla Incidentrapport.

7.1
En Incidentrapport ska åtminstone innehålla beskrivning av incidentens art, kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs, beskrivning av sannolika konsekvenser till följd av incidenten och en åtgärdsplan, om lämpligt inbegripet åtgärder för att mildra potentiella negativa effekter. Därtill ska incidentrapport innehålla kontaktuppgift för dataskyddsombud eller andra kontaktpunkter för erhållande av ytterligare information om incidenten.

8. ÖVERFÖRING TILL TREDJE PART

Personuppgiftsbiträdet får inte överföra personuppgifter till tredje man och får heller inte lämna ut information om personuppgiftsbehandlingen till tredje man, utan att i förväg inhämta skriftligt godkännande av den Personuppgiftsansvarige.

9. UNDERLEVERANTÖRER (UNDERBITRÄDEN)

9.1 Underentreprenad i enlighet med detta avtal ska tolkas som tjänster som direkt hänför sig till tillhandahållandet av huvudtjänsten. Detta inkluderar inte stödtjänster, såsom telekommunikationstjänster, post- / transporter, underhåll och användarstöd tjänster eller avyttring av databärare, samt andra åtgärder för att säkerställa sekretessen, tillgänglighet, integritet och motståndskraft hårdvara och mjukvara databehandlingsutrustning.

9.2 Leverantören får beställa underleverantörer (tilläggsleverantörer) enligt detta kontrakt eller efter skriftligt eller skriftligt samtycke från Kunden. Kunden godkänner följande underentreprenörers uppdrag under förutsättning av ett avtal i enlighet med artikel 28 punkterna 9.2-9.4 GDPR:

Företagets underleverantör              Adress / land                         Service

Google INC                                         Irland                                       Server

Digital ocean                                      Neatherlands                         Server

 

Leverantören har dessutom rätt att ändra den befintliga underleverantören med en ny underleverantör som tillhandahåller likvärdiga tjänster när:

a)        Leverantören informerar kunden om sådan outsourcing med lämpligt förhandsmeddelande. och

b)        Underentreprenaden är baserad på ett kontraktsavtal i enlighet med artikel 28 punkterna 9.2-9.4 GDPR.

9.3 Överföringen av personuppgifter från kunden till underentreprenören och underleverantörernas påbörjande av databehandling ska endast genomföras efter att alla krav har uppfyllts.

9.4 Om underentreprenören tillhandahåller den överenskomna tjänsten utanför EU / EES, ska leverantören säkerställa att EU: s bestämmelser om skydd av personuppgifter följs genom lämpliga åtgärder.

9.5 Ytterligare outsourcing av underleverantören kräver Kundens samtycke (i det lägsta i textform).

Samtliga avtalsbestämmelser i kontraktskedjan ska meddelas och avtalas med varje ytterligare underentreprenör.

10. INSYN

I syfte att säkerställa upprätthållandet av lämplig säkerhetsnivå och efterlevnad av detta biträdesavtal, har Personuppgiftsansvarig rätt till erforderlig insyn i de delar av Personuppgiftsbiträdets organisation och system som relaterar till personuppgiftsbehandlingen.

11. SÄRSKILD ERSÄTTNING

Personuppgiftsbiträdet har inte rätt till särskild ersättning för fullgörandet av ansvar och skyldigheter enligt detta biträdesavtal eller för att följa de instruktioner avseende personuppgiftsbehandling som meddelas av den Personuppgiftsansvarige, annat än då det framgår av skriftlig överenskommelse.

12. ANSVAR FÖR SKADA

Om Personuppgiftsbiträdets behandling av personuppgifter eller underlåtenhet därvid, i strid med detta biträdesavtal eller med instruktion från Personuppgiftsansvarig, åsamkar Personuppgiftsansvarig skada, ska sådan skada ersättas av Personuppgiftsbiträdet.

13. ÖVERLÅTELSE AV AVTALET

Överlåtelse av detta biträdesavtal får endast ske i samband med överlåtelse av Huvudavtalet och då i enlighet med detsamma.

14. AVTALSTID

Detta avtal gäller från datum för godkännande och så länge Personuppgiftsbiträdet lagrar eller på annat sätt vidtar personuppgiftsbehandling för den Personuppgiftsansvariges räkning.

14.1
Vid biträdesavtalets upphörande ska Personuppgiftsbiträdet enligt den Personuppgiftsansvariges instruktion radera all data eller kan mot en avgift återlämna data innehållandes personuppgifter, på samtliga media varpå personuppgifter fixerats, samt därefter radera eventuella kopior.

15. TVISTER OCH TILLÄMPLIG LAG

Svensk rätt tillämpas på avtalet. Efter Tvist i anledning av detta biträdesavtal ska avgöras i Svensk skiljedomstol Göteborg.

16. ÄNDRINGAR

Ändringar och tillägg i detta biträdesavtal ska för giltighet upprättas ett samtycke via email