PERSONUPPGIFTSBITRÄDESAVTAL
Mellan WebOne (personuppgiftsbiträde) och Kunden (personuppgiftsansvarig) har nedan följande personuppgiftsbiträdesavtal ingåtts.
1. Inledning
1.1 Detta avtal reglerar WebOnes behandling, i egenskap av personuppgiftsbiträde, av personuppgifter, för vilka Kunden är personuppgiftsansvarig för, i anledning av det avtal om webbtjänster m.m. med tillhörande allmänna villkor (Tjänsteavtalet) som föreligger mellan parterna. Detta avtal utgör en del av parternas Tjänsteavtal och kompletterar det som framgår av punkt 15 i allmänna villkoren om personuppgifter.
1.2 Detta avtal har upprättats i anledning av införandet av Europaparlamentets och rådets förordning 2016 /679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR) och syftet med avtalet är att säkerställa att WebOnes hantering av personuppgifter för Kundens räkning sker i enlighet med gällande personuppgiftslagstiftning.
1.3 Vid oenighet mellan detta avtal och Tjänsteavtalet ska vad som anges i detta avtal har företräde framför vad som anges i Tjänsteavtalet i delar rörande hantering av personuppgifter.
1.4 Orden ”behandling”, ”registrerad”, ”personuppgifter”, ”personuppgiftsbiträde”, ”personuppgiftsansvarig”, ”personuppgiftsbiträdesavtal” följer definitionerna som framgår av GDPR i den mån det inte framgår att ordet är avsett att ha en annan betydelse. Med ”personuppgiftslagstiftning” menas i detta avtal såväl GDPR som övrig eventuell lagstiftning på personuppgiftsområdet.
2. Ansvar och instruktioner m.m.
2.1 WebOne ska behandla personuppgifter för Kundens räkning i enlighet med detta avtal och dokumenterade instruktioner från Kunden och inte för något annat syfte än vad som krävs för att fullgöra Tjänsteavtalet. Annan behandling än vad som följer av föregående mening får ske endast om sådan behandling krävs enligt gällande personuppgiftslagstiftning.
2.2 Kunden är personuppgiftsansvarig för samtliga personuppgifter som WebOne behandlar i anledning av Kundens nyttjande av WebOnes tjänster. Kunden ansvarar för att personuppgifterna har en laglig grund samt att WebOnes behandling i övrigt inte strider mot personuppgiftslagstiftning, vilket exempelvis, men inte uteslutande, innebär att Kunden lämnat erforderlig information till den registrerade personen, kontrollerat riktigheten i personuppgiften, upprätthåller erforderligt register över kategorier och typer av personuppgifter samt att Kunden har ansökt och erhållit eventuella tillstånd som krävs för behandling av personuppgiften. För tydlighetens skull anges att då Kunden har möjlighet att själv behandla personuppgifter, exempelvis genom att ändra, publicera, registrera och logga data, vid nyttjandet av WebOnes tjänster så är det inte möjligt för WebOne att generellt redovisa kategorier av registrerade och personuppgifter som omfattas av WebOnes behandling. Det är Kunden som ansvarar för att sådan information registreras och att sådant register upprätthålls.
2.3 Om parterna inte enas om annat ska Kundens instruktioner som utgångspunkt anse utgöras av detta avtal samt WebOnes instruktion för behandling av personuppgifter, bilaga 1. Kunden är medveten om att WebOne har begränsad möjlighet att göra särskilda anpassningar för enskilda kunders önskemål. I den mån parterna enas om särskilda instruktioner ska dessa dokumenteras skriftligen. Kunden är skyldig att underrätta WebOne om förändringar i Kundens verksamhet som påverkar WebOnes skyldigheter enligt detta avtal.
3. Säkerhet och sekretess
3.1 Med beaktande av den senaste tidens utveckling, genomförandekostnaderna och behandlingens omfattning och sammanhang och ändamål ska WebOne ska vidta de tekniska och organisatoriska åtgärder som krävs enligt art. 32 GDPR i syfte att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken som behandlingen av personuppgifterna medför, bl.a. avseende oavsiktligt eller olaglig förstörning, förlust eller ändring eller till obehörig röjande av personuppgifter som WebOne behandlar. För en närmare beskrivning av WebOnes integritet- och säkerhetspolicy se WebOnes hemsida.
3.2 WebOne ska i lämplig mån utifrån den aktuella behandlingen samt med hänsyn till den information som WebOne erhåller från Kunden bistå Kunden så att skyldigheterna enligt art. 32 – 36 i GDPR fullgörs.
3.3 WebOne ska säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller på annat sätt omfattas av en lämplig lagstadgad tystnadsplikt. Detta sekretessåtagande ska gälla även efter det att detta avtal har upphört att gälla.
4. Begäran om information
4.1 För det fall att det till WebOne inkommer en begäran från en registrerad person om att få ta del av personuppgifter som WebOne behandlar för Kundens räkning ska WebOne, i den mån det är praktisk möjligt, vidarebefordra begäran till Kunden. WebOne lämnar inte ut personuppgifter utan instruktion från Kunden, i den mån sådan skyldighet inte följer av domstolsbeslut eller tvingande lagstiftning. Det nämnda gäller även för förfrågningar från tillsynsmyndighet, polis eller andra myndigheter.
4.2 WebOne ska med hänsyn till behandlingens art hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i GDPR.
5. Rätt till insyn
5.1 Kunden har rätt att inom skälig tid få tillgång till information som krävs för att visa att de skyldigheter som fastställs i art. 28 GDPR har fullgjorts. WebOne ska göra det möjligt för Kunden att utföra granskning av WebOnes hantering av personuppgifterna, exempelvis genom att Kunden själv eller genom oberoende revisor ges sådan tillgång som krävs. På vilket sätt granskningen kan ske bestäms av WebOne, bl.a. utifrån integritet- och säkerhetsöverväganden i det enskilda fallet.
6. Underbiträde
6.1 Vid fullgörandet av sina avtalsförpliktelser enligt detta avtal äger WebOne rätt att i sin tur anlita ett personuppgiftsbiträde (”underbiträde”) som får behandla personuppgifter för vilka Kunden är personuppgiftsansvariga för. I och med ingåendet av detta avtal ger Kunden WebOne ett allmänt förhandstillstånd att anlita underbiträden. Vid anlitandet av ett sådant underbiträde ska WebOne tillse att underbiträdet i förhållande till WebOne åtar sig motsvarande skyldigheter som WebOne har enligt detta avtal.
6.2 Vilka huvudsakliga underbiträden som WebOne anlitar framgår av lista som finns tillgänglig på WebOnes hemsida, Kunden kan även kontakta WebOne för en fullständig lista. För det fall att WebOne anlitar nya underbiträden ska Kunden underrättas om detta. Om Kunden kan styrka att det föreligger ett objektivt, relevant och sakligt skäl för Kunden att motsätta sig att nya underbiträdet behandlar personuppgifterna för WebOnes räkning ska WebOne ha rätt att inom skälig tid tillse att underbiträdet åtgärdar eventuella brister alternativt anlita ett annat underbiträde. Relevanta skäl för Kunden att motsätta sig ett nytt underbiträde ska som utgångspunkt grundas på omständigheter avseende personuppgiftssäkerhet. Om parterna, i fall där Kunden visat att det föreligger relevanta skäl, inte kan enas om nytt underbiträde har vardera parten rätt att säga upp avtalet eller del av avtalet med beaktande av en uppsägningstid om 30 dagar. För det fall att det är nödvändigt med hänsyn till säkerhets- och/eller driftshänseende har WebOne rätt att nyttja sådant underbiträde som Kunden gjort invändning emot under den ovan nämnda skäliga tiden respektive uppsägningstiden utan att detta ska anses utgöra ett avtalsbrott.
7. Överföring av personuppgifter till tredje land
7.1 Överföring av personuppgifter till plats utanför EES-området får endast ske under förutsättning att sådan överföring sker i enlighet med gällande personuppgiftslagstiftning.
8. Dataportabilitet
8.1 WebOne ska i den mån det är möjligt tillse att Kunden kan uppfylla kraven på dataportabilitet enligt art. 20 i GDPR.
9. Ersättning i anledning av detta avtal
9.1 WebOne har rätt till ersättning från Kunden avseende arbete och kostnader som följer av WebOnes fullgörande av punkterna 2, 3, 4, 5 och 8 i den mån Kundens behov och/eller instruktioner får anses avvika från vad som framgår av WebOnes instruktion för behandling av personuppgifter, bilaga 1, eller medför arbete och kostnader som överstiger den normala servicenivån som tillämpas generellt till andra kunder. Ersättning för arbete utgår enligt timprislista som WebOne tillämpar vid varje tillfälle och ersättning för kostnader ska motsvara WebOnes faktiska kostnad. I den mån det är möjligt ska WebOne samråda med Kunden innan WebOne vidtar sådant arbete eller kostnader som Kunden ska svara för.
10. Personuppgiftsincident
10.1 Vid en personuppgiftsincident som omfattar personuppgift som WebOne behandlar för Kundens räkning ska WebOne skyndsamt underrätta kunden om det inträffade och samråda med denna om vidare åtgärder.
11. Ansvar
11.1 För det fall att WebOne behandlar personuppgifter i strid med detta avtal tillämpas ansvarsklausulen som framgår av Tjänsteavtalet. Kunden ska skyndsamt underrätta WebOne om eventuell skada och/eller annat krav som framställts mot Kunden samt ge WebOne sådan information som möjliggör för WebOne att bedöma, begränsa och på annat sätt hantera skadan. Underlåter Kunden att göra vad som åligger dem enligt det föregående kan överträdelsen inte göras gällande mot WebOne.
11.2 Kunden åtar sig att hålla WebOne skadelös avseende såväl direkta som indirekta skador andra förluster som WebOne lider på grund av att Kunden ej fullgör sina skyldigheter enligt detta avtal och/eller gällande personuppgiftslagstiftning eller på grund av annan omständighet som kan hänföras till Kunden.
12. Ändring av detta avtal
12.1 För det fall att personuppgiftslagstiftningen ändras eller om tillsynsmyndighet utfärdar ändrade riktlinjer eller detta avtal på annat sätt skulle bedömas strida mot gällande personuppgiftslagstiftning äger WebOne rätt att ensidigt ändra detta avtal för att tillse att avtalet uppfyller aktuella lagkrav. Eventuella ändringar enligt vad som anges i det föregående ska meddelas Kunden per e-post och ändringarna träder i kraft senast trettio dagar från att sådant meddelande avsänts. För andra ändringar av detta avtal tillämpas reglerna i Tjänsteavtalet.
13. Tider och upphörande
13.1 Detta avtal är giltigt så länge som parternas Tjänsteavtal är gällande och/eller så länge som WebOne behandlar Kundens personuppgifter.
13.2 När avtalet har upphört att gälla ska WebOne radera eller återlämna Kundens personuppgifter i enlighet med vad som gäller enligt Tjänsteavtal för övrig data.
14. Tvist
14.1 I enlighet med parternas Tjänsteavtal ska svensk lag tillämpas på detta avtal och Eskilstuna tingsrätt utgöra första instans.