Personuppgiftsansvarig:
Kunden finns inom EU
Personuppgiftsbiträde:
Företag: Webbförvaltning.se
Org.nr.: 771104–1678
Stad: Stockholm
Registreringsland: Sverige
Parterna har ingått detta Personuppgiftsbiträdesavtal – DPA (”Avtalet”) avseende Personuppgiftsbiträdets behandling av personuppgifter på uppdrag av Personuppgiftsansvarig.
§ 1. Behandling av personuppgifter
Detta Avtal har ingåtts i samband med Personuppgiftsansvarigs användning av Personuppgiftsbiträdets tjänster som en del av abonnemanget och tilläggstjänsterna som beskrivs i Webbförvaltning.se:s Avtalsvillkor (”Huvudavtalet”).
Personuppgiftsbiträdet behandlar registrerade personuppgifter på uppdrag av Personuppgiftsansvarig och enligt Bilaga 1.
Avtalet och Huvudavtalet är beroende av varandra och kan inte sägas upp separat.
§ 2. Syfte
Personuppgiftsbiträdet får endast behandla personuppgifter för att kunna uppfylla dess förpliktelser gentemot kund och för att tillhandahålla tjänsterna som anges i Huvudavtalet.
§ 3. Personuppgiftsansvarigs förpliktelser
Personuppgiftsansvarig garanterar att personuppgifterna endast behandlas för berättigade syften och att Personuppgiftsbiträdet endast behandlar personuppgifter för att uppfylla detta.
Personuppgiftsansvarig försäkrar att det finns en rättslig grund för behandling av personuppgifter vid överföring till Personuppgiftsbiträdet. Denne måste kunna redovisa motiveringen för behandlingen och dess rättsliga grund på Personuppgiftsbiträdets begäran.
Om Personuppgiftsansvarig instruerar ett annat Underbiträde måste Personuppgiftsbiträdet genast informeras om detta. Personuppgiftsbiträdet är inte ansvarig för någon behandling som utförts av annat Underbiträde i enlighet med sådana instruktioner.
§ 4. Personuppgiftsbiträdets förpliktelser
Personuppgiftsbiträdets behandling av personuppgifter som tillhandahålls av Personuppgiftsansvarig ska vara i enlighet med dess instruktioner och följa dataskyddsbestämmelser. Personuppgiftsbiträdet måste kunna motivera sin behandling av personuppgifterna. Denne måste omedelbart informera Personuppgiftsansvarig om något strider mot EU:s dataskyddsförordning (GDPR).
Personuppgiftsbiträdet måste vidta nödvändiga tekniska och organisatoriska säkerhetsåtgärder för att personuppgifterna inte oavsiktligt eller olagligt skadas, förloras, förstörs eller delas med obehörig tredje part, behandlas eller missbrukas på sätt som strider mot EU:s dataskyddsförordning. Detta beskrivs närmare i Bilaga 1.
Personuppgiftsbiträdet ansvarar för att anställda som behandlar personuppgifter omfattas av juridiska sekretesskrav.
Vid begäran av Personuppgiftsansvarig, måste Personuppgiftsbiträdet ange och/eller dokumentera att denne uppfyller kraven i gällande dataskyddslagstiftning, inklusive information avseende Personuppgiftsbiträdets dataflöden och behandling av personuppgifter.
Så långt det är möjligt, ska Personuppgiftsbiträdet, hjälpa Personuppgiftsansvarig med tekniska och organisatoriska åtgärder för att kunna bemöta registrerade personers begäran att utöva sina rättigheter enligt kapitel 3 i GDPR.
Personuppgiftsbiträdet eller Underbiträde måste skicka förfrågningar och invändningar från registrerade personer till Personuppgiftsansvarig för vidare behandling, om Personuppgiftsbiträdet inte själv kan hantera förfrågningarna. Vid Personuppgiftsansvarigs begäran, måste Personuppgiftsbiträdet hjälpa till att bemöta dessa.
Om Personuppgiftsbiträdet behandlar personuppgifter i ett annat EU-land måste tillämplig lag för säkerhetsåtgärder följas.
Personuppgiftsbiträdet måste informera Personuppgiftsansvarig om det finns misstankar om att dataskyddsbestämmelser har brutits eller att andra oegentligheter har skett i behandlingen av personuppgifter. Personuppgiftsbiträdets ska meddela Personuppgiftsansvarig om en säkerhetsöverträdelse inom 24 timmar från det att denne fått kännedom om säkerhetsöverträdelsen. Vid Personuppgiftsansvarig begäran, måste Personuppgiftsbiträdet hjälpa till att klargöra utsträckningen av säkerhetsöverträdelsen, t.ex. genom att förbereda en anmälan till Datainspektionen eller till den registrerade.
Personuppgiftsbiträdet måste ge Personuppgiftsansvarig nödvändig information för att visa att paragraf 28 i dataskyddsförordningen (GDPR) och villkoren i Avtalet är uppfyllda.
Utöver ovanstående måste Personuppgiftsbiträdet hjälpa Personuppgiftsansvarig att säkerställa att dennes förpliktelser enligt paragraf 32–36 i den allmänna dataskyddsförordningen (GDPR) är uppfyllda. Vad för sorts hjälp som ska erbjudas beror på typen av personuppgift, behandlingen och vad Personuppgiftsbiträdet har tillgång till.
§ 5. Överföring av information till Underbiträden eller tredje part
Personuppgiftsansvarig ger härmed Personuppgiftsbiträdet ett generellt godkännande för att ingå avtal med Underbiträden. Personuppgiftsbiträdet måste meddela Personuppgiftsansvarig om denne byter ut eller utser fler Underbiträden. Personuppgiftsansvarig har rätt att invända mot sådana förändringar. Om Personuppgiftsbiträdet vill fortsätta att använda ett Underbiträde trots Personuppgiftsansvarigs invändningar, har Parterna rätt att säga upp Avtalet och, om tillämpligt, Huvudavtalet med kortare varsel. Under denna period får Personuppgiftsbiträdet använda det aktuella Underbiträdet.
Personuppgiftsbiträdet måste se till att Underbiträdet har samma förpliktelser som anges i Avtalet. Det måste finnas tillräckliga garantier från Underbiträdet för att genomföra lämpliga åtgärder så att behandlingen uppfyller kraven i Dataskyddsförordningen.
Om Underbiträdet inte uppfyller sina dataskyddsförpliktelser, är Personuppgiftsbiträdet fortfarande ansvarigt inför Personuppgiftsansvarig för utförandet av Underbiträdets förpliktelser.
Personuppgiftsbiträdet måste, för Personuppgiftsansvarigs räkning, ingå Personuppgiftsbiträdesavtal med Underbiträden inom EU/EES. För Personuppgiftsbiträden utanför EU/EES måste standardavtal ingås i enlighet med standardavtalsklausuler för överföring av personuppgifter till personuppgiftsbiträden i tredje land (”Standardavtal”) eller i enlighet med EU/US Privacy Shield.
Personuppgiftsansvarig ger härmed Personuppgiftsbiträdet en allmän fullmakt att ingå standardkontrakt med Underbiträden utanför EU/EES på uppdrag av Personuppgiftsansvarig.
§ 6. Ansvar
Parternas ansvar regleras av Huvudavtalet. Parternas ansvar för skador enligt detta Avtal regleras av Huvudavtalet.
§ 7. Avtalstid och upphörande
Detta Avtal träder i kraft samtidigt som Huvudavtalet.
Vid uppsägning av Huvudavtalet upphör också detta Avtal. Personuppgiftsbiträdet har dock fortfarande de förpliktelser som anges i detta Avtal så länge som denne behandlar personuppgifter på uppdrag av Personuppgiftsansvarig. Vid en situation som beskrivs i paragraf 5.2, har parterna rätt att säga upp Huvudavtalet och Avtalet med 1 (en) månads varsel där Avtalet upphör i slutet av månaden.
När databehandlingen upphör, är Personuppgiftsbiträdet skyldig att, om Personuppgiftsansvarig begär det, radera eller återlämna alla personuppgifter till denne, samt radera befintliga kopior, såvida inte lagring av personuppgifter föreskrivs av EU eller nationell lagstiftning.
§ 8. Tillämplig lag
Svensk rätt ska vara tillämplig på avtalet. Tvister i anledning av avtalet ska slutligt avgöras av svensk allmän domstol.
Bilaga 1
Kategorier av registrerade personer, personuppgiftstyper och instruktioner
1. Kategorier av registrerade personer:
- Personuppgiftsbiträdet behandlar kontaktinformation för Personuppgiftsansvarigs befintliga, potentiella eller före detta kunder och/eller medlemmar, anställda, leverantörer, affärspartners, samarbetspartners och koncernbolag.
- Personuppgiftsbiträdet tillhandahåller sitt system för Personuppgiftsansvarig som en värdtjänst och kan inte fastställa samtliga kategorier av registrerade personer. Om Personuppgiftsansvarig hanterar fler kategorier av registrerade personer tillsammans med Personuppgiftsbiträdet, är denne skyldig att registrera denna information.
2. Personuppgiftstyper:
- Kontakt och identitetsinformation, inklusive e-post
- IP-adresser
- Domännamn
- Användarnamn
- Medlemsinformation
- Analyser och användardata
- Orderhistorik och information
- Avtal
- Kommunikation
- Foton
- Support
- Ytterligare personuppgiftstyper kan förekomma
3. Instruktioner
Service
Personuppgiftsbiträdet kan behandla personuppgifter om de registrerade personerna i syftet att leverera, utveckla, behandla, administrera och hantera tjänsterna i Huvudavtalet, till exempel för att säkerställa stabilitet för våra servrar och följa gällande lagstiftning.
Säkerhet
Personuppgiftsbiträdet ska säkerställa sekretess, integritet och tillgänglighet av personuppgifterna. Personuppgiftsbiträdet ska genomföra organisatoriska och tekniska åtgärder för att säkerställa en lämplig säkerhetsnivå, med hänsyn till situationen, vilken typ av personuppgifter det rör sig om och kostnaderna för genomförandet i förhållande till personuppgifternas art och risken med behandlingen. Personuppgiftsbiträdet ska tillhandahålla säkra tjänster och produkter som skapas genom tekniska, organisatoriska och fysiska åtgärder, så som:
– Faciliteter skyddade av åtkomstkontroll för endast behörig personal.
– Rollbaserad åtkomst och inloggning där personal och system endast har tillgång till personuppgifter nödvändiga för att tillhandahålla tjänster.
– Säkerhetskopiering av system som behandlar personuppgifter.
– Säkert antivirusskydd.
– Förändringslogg.
– Krypterad kommunikation över internet mellan system som hanterar personuppgifter.
– Klassificering av personuppgifter för att implementera lämpliga säkerhetsåtgärder med hänsyn till risk.
– Användning av system och processer som förbättrar säkerheten vid hantering av personuppgifter.
Personuppgiftsbiträdet kan fatta beslut om fler tekniska och organisatoriska säkerhetsåtgärder som måste utföras för att säkra en lämplig säkerhetsnivå för personuppgifterna.
Lagringsperiod
Personuppgifter som finns i våra system raderas eller anonymiseras inom en rimlig tid efter att Personuppgiftsansvarig sagt upp Huvudavtalet. Undantag gäller vid rättsliga krav för att spara personuppgifter längre, ex. vid en rättslig tvist. Informationen raderas normalt sett inom 8 veckor eller tidigare. Information som lagras i loggar etc. raderas normalt inom 8 veckor.
Lokalisering av information
Personuppgiftbiträdets system som lagrar personuppgifter finns i Stockholm. Personuppgiftsansvarig tillåter härmed Personuppgiftsbiträdet att flytta information till andra datacentraler inom EU om Personuppgiftsbiträdet anser att det är relevant och samma säkerhetsnivå och upptid kan säkerställas.
Inspektion av Personuppgiftsbiträdet
Personuppgiftsbiträdet måste årligen, på egen bekostnad, ta fram en revisions-/ inspektionsrapport från tredje parter för att visa att denne uppfyller Avtals- och Bilagans villkor.