Personuppgiftsbiträdesavtal

Denna avtalstext är ett Personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) och skall anses ha ingåtts mellan Prosales och Kunden samma datum som avtalet mellan parterna eller senast det datum  Kunden genom användning av tjänsten enligt avtalet omfattning länk) ingått avtal med Prosales:

(1) Kunden (”PuA”); och
(2)
Prosales (”PuB”).

1. Allmänt

1.1 – Detta Personuppgiftsbiträdesavtal utgör en integrerad del av avtalet avseende Win-Loss (”Avtalet”) mellan PuB och PuA (”Parterna”). PuA är personuppgiftsansvarig för Behandlingen av Personuppgifterna. PuB är personuppgiftsbiträde åt PuA.

1.2 – Om någon annan tillsammans med PuA är personuppgiftsansvarig för de aktuella Personuppgifterna ska detta framgå av Avtalet eller detta personuppgiftsbiträdesavtal liksom vilka skyldigheter som åligger respektive personuppgiftsansvarig samt vilken Behandling av Personuppgifter respektive personuppgiftsansvarig bestämmer ändamålen för.

1.3 – Syftet med detta Personuppgiftsbiträdesavtal är att Parterna ska uppfylla vid var tid gällande krav på Personuppgiftsbiträdesavtal och förpliktelser enligt Dataskyddsreglering.

2. Definitioner

2.1 – ”Behandling” avser vid var tid gällande legaldefinition av ”Behandling” enligt Dataskyddsreglering. Vid tidpunkten för Avtalets undertecknande innefattar Behandling varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning efter annat tillhandahållande av uppgifter, sammanställning eller samkörning blockering, utplåning eller förstöring.

2.2 – ”Dataskyddsreglering” avser vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter vilket innefattar men inte är begränsat till Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på Behandling av Personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (”Dataskyddsförordningen”); samt Tillsynsmyndighets beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd.

2.3 – ”Personuppgifter” avser de Personuppgifter, som PuB Behandlar för PuA:s räkning under detta Personuppgiftsbiträdesavtal. Vid tidpunkten för Avtalets undertecknande definieras ”Personuppgifter” som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och som Behandlas för PuA:s räkning men begreppet ska anses ha den innebörd som framgår av vid var tid gällande legaldefinition under Dataskyddsreglering.

2.4 – ”Registrerad” avser den fysiska person som en Personuppgift avser.

2.5 – ”Tillsynsmyndighet” avser den eller de tillsynsmyndigheter som har behörighet att bedriva tillsyn över hantering av Personuppgifter eller anses vara berörd tillsynsmyndighet enligt Dataskyddsreglering. Vid detta Personuppgiftsbiträdesavtals ingående är en sådan myndighet svenska Datainspektionen.

2.6 – ”Underbiträde” avser den som Behandlar Personuppgifter som underleverantör åt PuB.

2.7 – Övriga begrepp som används i detta Avtal ska ha den innebörd och betydelse som framgår av Avtalet i första hand och annars av Dataskyddsreglering.

3. Ansvar och instruktion

3.1 – PuB accepterar att följa vid var tid gällande Dataskyddsreglering, tillämpliga föreskrifter, rekommendationer och branschnormer samt att hålla sig informerad om desamma.

3.2 – PuB och den eller de personer som arbetar under PuB:s ledning får bara Behandla Personuppgifter i enlighet med PuA:s från tid till annan dokumenterade instruktioner. De inledande instruktioner som gäller vid Avtalets träffande framgår av Bilaga C Instruktion om hantering av Personuppgifter. Utöver de särskilda instruktioner som lämnats ska detta Personuppgiftsbiträdesavtal och Avtalet i övrigt anses utgöra PuA:s instruktioner till PuB avseende Behandling av Personuppgifter. För det fall att PuB saknar instruktioner som PuB bedömer är nödvändiga för att genomföra uppdrag PuB erhållit från PuA under Avtalet ska PuB, utan dröjsmål, informera PuA om sin inställning och invänta de instruktioner som PuA bedömer erfordras.

3.3 – Behandling får även ske om sådan Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som PuB eller Underbiträde omfattas av. I så fall ska PuB eller Underbiträdet (om tillämpligt) informera PuA om det rättsliga kravet innan uppgifterna Behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt aktuell rätt. PuB åtar sig även att omedelbart informera PuA om PuB anser att en instruktion strider mot Dataskyddsförordningen eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser.

3.4 – PuB har inte rätt att Behandla Personuppgifter för andra ändamål än de för vilka PuB har anlitats av PuA. PuB har dock rätt att under Personuppgiftsbiträdesavtalets giltighetstid och därefter Behandla Personuppgifter i aggregerad form utan att det går att särskilja särskild information för ändamålen statistik, analys och produktutveckling.

4. Säkerhet

4.1 – PuB ska vidta de tekniska och organisatoriska åtgärder som erfordras enligt Dataskyddsreglering – inklusive de åtaganden som krävs enligt artikel 32 i Dataskyddsförordningen – för att skydda de Personuppgifter som Behandlas mot obehörig åtkomst, förstörelse och ändring. All PuB:s Behandling av Personuppgifter ska vara spårbar och behörighetsstyrd, så att PuA har möjlighet att följa upp den Behandling som skett (inklusive men inte begränsat till vilka personer hos PuB som haft tillgång till Personuppgifterna). PuB ska dokumentera de tekniska och organisatoriska säkerhetsåtgärder som används för att uppfylla säkerhetskraven enligt Dataskyddsreglering. Dokumentationen ska på begäran tillhandahållas PuA.

5. Utlämnande av personuppgifter och information

5.1 – Om det till PuB kommer in en begäran om att få ta del av uppgifter som PuB Behandlar för PuA:s räkning ska PuB vidarebefordra begäran till PuA. PuB, eller den som arbetar under PuB:s ledning, får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan uttrycklig instruktion om detta från PuA.

5.2 – Om PuB ändå har lämnat ut uppgifter till någon enskild eller en myndighet, oavsett vilket land det gäller, ska PuB underrätta PuA om detta förhållande. Detta gäller oavsett om utlämnandet skett med eller utan PuB:s medverkan.

5.3 – PuB ska bistå PuA genom att implementera tekniska och organisatoriska åtgärder som underlättar för PuA att uppfylla sin skyldighet att lämna information till Registrerade på en Registrerads begäran. PuB har rätt till skälig ersättning för arbete och kostnader som detta medför.

6. Uppföljning av behandling

6.1 – PuB åtar sig:

6.1.1 – att föra skriftligt register över Behandling av Personuppgifter under detta Personuppgiftsbiträdesavtal med det innehåll som anges i Artikel 30.2 Dataskyddsförordningen vilket bland annat inbegriper information om föremålet för Behandlingen, Behandlingens varaktighet, art och ändamål, typen av Personuppgifter och kategorier av Registrerade; med beaktande av PuB specifika arbets- och ansvarsuppgifter inom ramen för den Behandling som ska utföras och risken med avseende på de Registrerades rättigheter och friheter;

6.1.2 – att samarbeta med Tillsynsmyndigheten och på dennas begäran göra sådant register som anges i punkten 6.1.1 ovan tillgängligt, så att det kan tjäna som grund för Tillsynsmyndighetens övervakning av Behandlingen av Personuppgifterna;

6.1.3 – att bistå PuA med att se till att skyldigheterna enligt artiklarna 32–36 i Dataskyddsförordningen fullgörs, med beaktande av typen av Behandling och den information som PuB har att tillgå.

6.2 – PuB ska informera PuA om eventuella kontakter från Tillsynsmyndighet som rör Behandling av Personuppgifter. PuB har inte rätt att företräda PuA eller agera för PuA:s räkning gentemot Tillsynsmyndighet.

6.3 – PuB åtar sig att på PuA:s begäran redogöra för vilka åtgärder, överväganden och bedömningar som PuB gjort för att uppfylla sina åtaganden enligt detta Personuppgiftsbiträdesavtal. PuB åtar sig att på PuA:s begäran bistå PuA med fullgörande av PuA:s skyldighet att utföra/utförandet av konsekvensbedömningar avseende dataskydd för Behandlade Personuppgifter och eventuellt deltagande i förhandssamråd med Tillsynsmyndigheten.

7. Underbiträden

7.1 – Personuppgifter får Behandlas av ett Underbiträde under förutsättning att PuB för PuA:s räkning ingår ett skriftligt avtal där Underbiträdet åläggs motsvarande skyldigheter som PuB åläggs enligt detta Personuppgiftsbiträdesavtal. Om ett Underbiträde inte fullgör sina skyldigheter i fråga om dataskydd ska PuB vara ansvarig för utförandet av Underbiträdets skyldigheter.

7.2 – PuB är från och med ikraftträdandet av Dataskyddsförordningen särskilt ansvarig för att tillse att Artikel 29.2 och 29.4 i Dataskyddsförordningen beaktas vid anlitande av Underbiträden och att tillse att sådant Underbiträde ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i Dataskyddsförordningen.

7.3 – PuB ska på begäran från PuA omedelbart skriftligen informera PuA om vilka Underbiträden som anlitats av PuB för att Behandla Personuppgifter enligt detta Personuppgiftsbiträdesavtal och lämna den ytterligare specificerade information om sådan Behandling som PuA skäligen kan begära enligt Dataskyddsreglering, vilket innefattar information avseende plats för Behandlingen.

7.4 – PuB åtar sig att informera PuA om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden.

8. Revision

8.1 – PuA har rätt att med 30 dagars varsel själv eller med hjälp av tredje part, på distans eller på plats i PuB:s lokaler under PuB:s normala kontorstider, genomföra revision när så erfordras enligt Dataskyddsreglering i syfte att inspektera och kontrollera detta Personuppgiftsbiträdesavtals och Dataskyddsreglerings efterlevande. Tillsynsmyndighet ska alltid ha möjlighet att göra revision hos PuB i den utsträckning som krävs enligt Dataskyddsreglering. Om revisionen utförs av eller på uppdrag av Tillsynsmyndighet krävs inget föregående varsel och revisionens omfattning bestäms av Tillsynsmyndigheten.

8.2 – PuA alternativt av PuA utsedd tredje part ska ges tillgång till och får ta kopior av all information som krävs för att uppnå syftet med revisionen enligt avsnitt 8.1 ovan, inklusive men inte begränsat till; register, interna policies och rutiner samt övrig information som förvaras i PuB:s lokaler och som är av betydelse för sådan revision. Revisionen kan också omfatta andra för ändamålet passande kontroller så som genomgång av teknisk dokumentation med stöd av PuB:s personal, stickprovskontroller eller mer ingripande kontroller på plats i PuB:s lokaler. PuB ska lämna allt nödvändigt biträde för att genomföra revisioner.

8.3 – PuB har rätt till skälig ersättning för arbete och kostnader som revision innebär.

9. Överföring av Personuppgifter utanför EU/EES

9.1 – Vid överföring av Personuppgifter av PuB eller PuB:s underleverantör till en plats utanför EES-området ska PuB och den part som Behandlar Personuppgifter utanför EES alltid uppfylla vid var tid gällande krav för sådan överföring enligt Dataskyddsreglering. Vid detta Personuppgiftsbiträdesavtals ingående kan sådant krav i förhållande till vissa länder t.ex. uppfyllas genom att PuB tillser att ett direktavtal enligt EU:s standardavtalsklausuler (2010/87/EU) ingås. PuB är skyldig att löpande hålla PuA informerad om sådan grund för överföring och i den mån adekvat skyddsnivå inte anses garanterad för en överföring till tredje land eller överföring inte enligt PuB:s eller PuA:s välgrundade uppfattning kan anses tillåten enligt Dataskyddsreglering omedelbart upphöra med sådan överföring.

10. Sekretess

10.1 – PuB förbinder sig att inte till tredje man lämna ut eller eljest röja information om Behandling av Personuppgifter eller annan information som PuB erhållit till följd av detta Personuppgiftsbiträdesavtal. PuB åtar sig att säkerställa att personer med behörighet att Behandla Personuppgifterna har åtagit sig att iaktta sekretess för sådan Behandling eller omfattas av en lämplig lagstadgad tystnadsplikt.

10.2 – Åtagandet i stycke 10.1 ovan gäller inte information som PuB föreläggs utge till myndighet eller enligt Dataskyddsreglering. PuB åtar sig att meddela PuA om föreläggande om sådant utlämnande har utfärdats.

10.3 – Sekretessåtagandet gäller även efter att detta Personuppgiftsbiträdesavtal i övrigt upphört att gälla.

12. Ersättning

12.1 – PuB har inte rätt till särskild ersättning för Behandling av Personuppgifter under detta Personuppgiftsbiträdesavtal utöver vad som uttryckligen anges.

13. Ansvar

13.1 – Om PuB, den som arbetar under PuB:s ledning eller av PuB anlitat Underbiträde Behandlar Personuppgifter i strid med Dataskyddsreglering detta Personuppgiftsbiträdesavtal eller de instruktioner som PuA har lämnat, ska PuB – med beaktande av ansvarsbegränsningen enligt avsnitt 5 i PuB:s allmänna villkor – ersätta PuA för skada som PuA har orsakats på grund av den felaktiga Behandlingen.

13.2 – Om tredje man riktar krav mot PuA på grund av PuB:s behandling av personuppgifter ska PuB – med beaktande av ansvarsbegränsningen enligt avsnitt 5 i PuB:s allmänna villkor – ersätta PuA för sådana krav som är hänförliga till PuB:s Behandling av Personuppgifter i strid med Dataskyddsreglering, detta Personuppgiftsbiträdesavtal eller instruktioner från PuA.

13.3 – För det fall det är aktuellt med fler personuppgiftsansvariga och om tredje man riktar krav mot någon av dessa ska den personuppgiftsansvarige som Behandlat Personuppgifter i strid med Dataskyddsreglering, eller avtal, hålla övriga personuppgiftsansvariga skadelösa.

13.4 – PuA ska ersätta PuB för direkta och indirekta förluster som PuB orsakas genom överträdelse av Dataskyddsreglering som beror på otydliga eller otillåtna instruktioner från PuA.

13.5 – PuB:s ersättningsskyldigheter avseende krav och skador enligt detta avsnitt 13 gäller under förutsättning att i) PuA utan onödigt dröjsmål skriftligen underrättar PuB om krav som framställts mot PuA; och ii) PuA låter PuB kontrollera försvaret av kravet och ensam fatta beslut om eventuell förlikning.

14. Avtalstid och åtgärder vid upphörande

14.1 – Personuppgiftsbiträdesavtalet gäller från avtalets undertecknande och så länge som PuB Behandlar Personuppgifter för PuA:s räkning. PuA har dock rätt att när som helst säga upp Personuppgiftsbiträdesavtalet med en månads uppsägningstid.

14.2 – PuB ska efter Avtalets eller Personuppgiftsbiträdesavtalets upphörande (beroende på vilket som inträffar först) återlämna de Personuppgifter som PuA överlämnat eller som på annat sätt kommit PuB tillhanda, inklusive sådana uppgifter som genererats vid PuB:s Behandling av PuA:s uppgifter, i ett av PuA skäligen begärt format och lagringsmedium. Efter överlämnandet ska PuB snarast, dock senast inom 6 månader, destruera de Personuppgifter som finns hos PuB, vilket innebär att aktuell data inte finns kvar och inte går att återskapa hos PuB. PuB ska skriftligen bekräfta att destruering skett.

15. Ändringar i Personuppgiftsbiträdesavtalet

15.1 – PuA har rätt att, i den mån så erfordras för att tvingande krav som följer av Dataskyddsreglering ska kunna tillgodoses, ändra innehållet i detta Personuppgiftsbiträdesavtal. Sådan ändring träder ikraft senast trettio (30) dagar efter att PuA översänt ändringsmeddelande till PuB. PuB har rätt till skälig ersättning för eventuellt arbete, kostnader och utgifter som sådana ändringar föranleder.

15.2 – Övriga ändringar av och tillägg till detta Personuppgiftsbiträdesavtal ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av PuB och PuA.

16. Övrigt

16.1 – I övrigt ska vad som sägs i Avtalet äga tillämpning även för PuB:s Behandling av Personuppgifter och åtagandena under detta Personuppgiftsbiträdesavtal.

16.2 – Till undvikande av missförstånd klargörs att svensk lag under alla omständigheter ska tillämpas på PuB:s Behandling av Personuppgifter enligt detta Personuppgiftsbiträdesavtal.

16.3 – Tvister som uppstår i anledning av detta Personuppgiftsbiträdesavtal ska lösas i enlighet med PuB:s allmänna villkor i punkten 16.