Denna översättning tillhandahålls endast för bekvämlighet. Vid eventuella avvikelser ska den engelska versionen av detta dokument gälla och är den enda juridiskt bindande texten.
Databehandlingsavtal
Personuppgiftsbiträdesavtal
Detta personuppgiftsbiträdesavtal ("PUB-avtal") ingås mellan:
- Sonetel AB (publ), org.nr. 556486-5847 ("Leverantören"); och
- Det företag eller den organisation du representerar, ("Kunden")
nedan gemensamt benämnda "Parterna" eller enskilt en "Part".
1. Bakgrund
1.1 Detta PUB-avtal utgör en integrerad del av Huvudavtalet för tjänster ("Avtalet") mellan Leverantören och Kunden. 1.2 Vid ingående av Avtalet kommer Leverantören att behandla personuppgifter på uppdrag av Kunden, som ett Personuppgiftsbiträde. Kunden är Personuppgiftsansvarig för behandlingen av personuppgifterna. 1.3 Om Kunden är gemensamt Personuppgiftsansvarig med en annan part för de relevanta personuppgifterna, ska Kunden informera Leverantören om detta. 1.4 Syftet med detta Avtal är att säkerställa att Behandlingen utförs i enlighet med tillämpliga krav för databehandling och skyldigheter enligt Dataskyddsregler och att säkerställa adekvat skydd av personlig integritet och grundläggande rättigheter för individer vid överföring av personuppgifter från Kunden till Leverantören inom ramen för de tjänster som Leverantören utför enligt Avtalet.
2. Definitioner
| "Behandling" | avser varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter eller uppsättningar av personuppgifter, vare sig de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring; |
|---|---|
| "Personuppgifter" | avser varje upplysning som avser en identifierad eller identifierbar fysisk person ('registrerad'); en identifierbar fysisk person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till en identifierare såsom ett namn, ett identifikationsnummer, lokaliseringsuppgifter, en onlineidentifierare eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet; |
| "Dataskyddsregler" | avser de från tid till annan tillämpliga lagar och förordningar avseende Behandling av personuppgifter, inklusive men inte begränsat till, Europaparlamentets och rådets förordning (EU) 2016/679 ("GDPR"), Tillsynsmyndighetens bindande beslut, förordningar och rekommendationer samt kompletterande lokala anpassningar och förordningar avseende dataskydd. |
| "Personuppgiftsansvarig" | avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; när ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt; |
| "Personuppgiftsbiträde" | avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning; |
| "Underbiträde" | avser den fysiska eller juridiska person som behandlar personuppgifter som ett underbiträde på uppdrag av Leverantören; |
| "Registrerad" | avser den fysiska person som personuppgifterna avser. |
| "Tillsynsmyndighet" | avser en oberoende offentlig myndighet som inrättats av en medlemsstat i enlighet med artikel 51. Tillsynsmyndigheten i Sverige är Integritetsskyddsmyndigheten. |
2.1 Om inte annat anges, ska varje annan term eller begrepp som används med versaler i detta PUB-avtal (förutom i vissa fall som en del av en rubrik) ha den betydelse och uppfattning som fastställs i Dataskyddsreglerna och i övrigt i Avtalet, om inte omständigheterna uppenbart kräver en annan tolkning.
3. Ansvar och instruktioner
3.1 Kunden är Personuppgiftsansvarig för alla personuppgifter som Leverantören Behandlar på uppdrag av Kunden enligt Avtalet. Kunden är därför ansvarig för att följa Dataskyddsreglerna. Kunden åtar sig att informera Leverantören om de Dataskyddsregler som är relevanta för att utföra Behandlingen enligt detta Avtal. Utöver de krav som gäller direkt för ett Personuppgiftsbiträde i enlighet med Dataskyddsreglerna, ska Leverantören vara skyldig att följa andra tillämpliga krav enligt Dataskyddsreglerna och rekommendationer från Tillsynsmyndigheten som Leverantören har informerats om av Kunden. Kunden ska också löpande informera Leverantören om tredje parters, inklusive Tillsynsmyndighetens och den Registrerades, åtgärder till följd av Behandlingen. 3.2 Leverantören och varje person som agerar under Leverantörens auktoritet, som har tillgång till personuppgifter, ska inte Behandla dessa uppgifter för några andra ändamål än i enlighet med Kundens skriftliga instruktioner eller enligt Dataskyddsreglerna. De instruktioner som gäller för detta PUB-avtal anges i Bilaga 1. Utöver de instruktioner som anges i Bilaga 1, utgör detta PUB-avtal och Avtalet Kundens instruktioner till Leverantören avseende Behandlingen av personuppgifter. Kunden ska omedelbart informera Leverantören om eventuella ändringar som påverkar Leverantörens skyldigheter enligt detta PUB-avtal. 3.3 Personuppgifter enligt detta PUB-avtal kan också Behandlas om sådan Behandling krävs enligt unionsrätten eller enligt nationell rätt i en medlemsstat som Leverantören eller Underbiträdet omfattas av. Om sådan Behandling krävs, ska Leverantören eller Underbiträdet informera Kunden om det rättsliga kravet före Behandlingen, såvida inte sådan information är förbjuden enligt ett allmänt intresse enligt denna lag. 3.4 Leverantören har rätt att lagra och Behandla data som härrör från Kunden i aggregerat eller anonymiserat format, som inte innehåller några personuppgifter, enligt detta PUB-avtal.
4. Säkerhet
4.1 Leverantören ska vidta tekniska och organisatoriska åtgärder, som krävs enligt Dataskyddsreglerna, för att säkerställa en säkerhetsnivå som är lämplig med hänsyn till risken och för att skydda personuppgifter som Behandlas från oavsiktlig eller olaglig förstöring, förlust eller ändring, eller obehörigt röjande av, eller tillgång till, de personuppgifter som Behandlas. 4.2 Leverantören ska bistå Kunden med att säkerställa att skyldigheterna enligt artiklarna 32-36 i GDPR uppfylls, med beaktande av typen av Behandling och den information som är tillgänglig för Leverantören. 4.3 Leverantören ska underrätta Kunden utan onödigt dröjsmål efter att ha blivit medveten om en personuppgiftsincident.
5. Utlämnande av personuppgifter och information
5.1 I händelse av att Leverantören mottar en begäran från den Registrerade, Tillsynsmyndigheten eller annan tredje part om att få information om personuppgifter som Leverantören Behandlar på uppdrag av Kunden, ska Leverantören utan dröjsmål vidarebefordra begäran till Kunden. Leverantören och varje person som agerar under Leverantörens auktoritet, får inte lämna ut personuppgifter eller annan information om Behandlingen av personuppgifter utan uttryckliga instruktioner från Kunden såvida inte sådant utlämnande krävs enligt tillämpliga Dataskyddsregler. 5.2 Leverantören ska bistå Kunden med att uppfylla sin skyldighet att svara på begäranden avseende en Registrads rätt till tillgång, rättelse och radering, genom att vidta tekniska och organisatoriska åtgärder, som är lämpliga med beaktande av Behandlingens art och bistå med att lämna ut personuppgifter när det krävs enligt tillämplig nationell lag.
6. Kontakt med Tillsynsmyndighet
6.1 Leverantören ska informera Kunden om eventuella kontakter från Tillsynsmyndigheten avseende Behandlingen av personuppgifter enligt detta PUB-avtal. Leverantören har inte rätt att representera Kunden eller agera på uppdrag av Kunden i förhållande till Tillsynsmyndigheten om det inte krävs enligt Dataskyddsreglerna.
7. Underbiträden
7.1 Personuppgifter får Behandlas av ett Underbiträde förutsatt att Leverantören ingår ett skriftligt avtal med Underbiträdet som ålägger dem motsvarande skyldigheter vid Behandling av personuppgifter enligt detta PUB-avtal. 7.2 Leverantören åtar sig att informera Kunden om eventuella planer på att anlita nya Underbiträden eller att ersätta Underbiträden. Kunden har rätt att invända mot sådana förändringar. Sådan invändning får endast avse objektiva grunder kopplade till uppfyllandet av tekniska och organisatoriska säkerhetskrav vid Behandling av personuppgifter enligt PUB-avtalet. 7.3 Leverantören ansvarar för att säkerställa att kraven för användning av Underbiträden enligt Dataskyddsreglerna beaktas och för att säkerställa att sådana Underbiträden tillhandahåller tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i Dataskyddsreglerna. 7.4 Leverantören ska förse Kunden med en korrekt och uppdaterad lista över de Underbiträden som anlitas för Behandlingen av personuppgifter enligt detta PUB-avtal, tillsammans med kontaktinformation och geografisk plats för Behandlingen. Denna lista är tillgänglig för Kunden på https://sonetel.com/en/help/help-topics/terms-conditions/sub-processors/. Leverantören åtar sig att meddela Kunden vid varje uppdatering av listan över Underbiträden och säkerställa att den alltid är korrekt. 7.5 Om ett Underbiträde inte uppfyller skyldigheterna enligt Avtalet, detta PUB-avtal och/eller enligt Dataskyddsreglerna, ska Leverantören vara ansvarig för att utföra Underbiträdets skyldigheter i förhållande till Kunden.
8. Revisioner
8.1 Leverantören ska förse Kunden med all information som krävs för att uppfylla skyldigheterna enligt detta PUB-avtal och Dataskyddsreglerna inom skälig tid efter att sådan begäran har gjorts av Kunden till Leverantören. 8.2 Leverantören ska möjliggöra och bidra till revisioner, inklusive inspektioner som utförs av Kunden eller av en annan oberoende revisor (på Kundens bekostnad) vald av Kunden, och som Leverantören rimligen kan acceptera. Revisorn måste underteckna tillräckliga sekretessavtal som tillhandahålls av Leverantören innan revisioner. Kunden har rätt att utföra en revision per år utan kostnad. Om Kunden vill genomföra ytterligare revisioner måste Kunden kompensera Leverantören för alla kostnader förknippade med revisionen/revisionerna. 8.3 Leverantören ska avseende de skyldigheter som anges i avsnitt 8 i detta PUB-avtal, omedelbart informera Kunden om Leverantören anser att en instruktion strider mot Dataskyddsreglerna.
9. Överföringar av personuppgifter utanför EU/EES
9.1 I händelse av att Leverantören och/eller Underbiträdet överför personuppgifter till en plats utanför EU/EES, ska Leverantören och/eller Underbiträden säkerställa att sådan överföring följer tillämpliga Dataskyddsregler.
10. Sekretess
10.1 Leverantören ska, i förekommande fall, följa nationell lagstiftning som är tillämplig på klassificerad eller konfidentiell information. Leverantören åtar sig att säkerställa att personal som är auktoriserad att behandla personuppgifter enligt detta PUB-avtal har åtagit sig att iaktta sekretess för Behandlingen eller omfattas av tillämplig lagstadgad tystnadsplikt. 10.2 Avsnitt 10.1 ovan gäller inte för information som begärs av Tillsynsmyndigheten i enlighet med Dataskyddsreglerna eller annan lagstadgad skyldighet. 10.3 Sekretessskyldigheten gäller även efter att Avtalet och/eller PUB-avtalet har upphört att gälla.
11. Dataportabilitet
11.1 Leverantören ska säkerställa att Kunden kan uppfylla eventuella skyldigheter avseende dataportabilitet som rör personuppgifter som Leverantören Behandlar på uppdrag av Kunden.
12. Ersättning
12.1 I händelse av att de skyldigheter som åläggs Leverantören i enlighet med avsnitten 5, 8, 9 och 11 resulterar i omfattande arbete för Leverantören, ska Leverantören ha rätt till skälig ersättning från Kunden. 12.2 I händelse av att Kunden lämnar en berättigad invändning mot ett nytt Underbiträde enligt avsnitt 7 och Leverantören inte samtycker till att ersätta Underbiträdet, ska Leverantören ha rätt till ytterligare ersättning från Kunden för de kostnader som Leverantören ådragit sig på grund av att Underbiträdet inte kan användas. 12.3 Leverantören ska ha rätt till skälig ersättning för allt arbete och alla kostnader som uppstår på grund av Kundens instruktioner för Behandling om dessa överstiger funktionerna och säkerhetsnivån baserat på de tjänster som Leverantören normalt tillhandahåller sina kunder, t.ex. i det fall att Leverantörens system/tjänster eller annat som kräver att Leverantören gör särskilda anpassningar på uppdrag av Kunden.
13. Ansvar
13.1 Om Leverantören, någon person som agerar under Leverantörens auktoritet eller ett Underbiträde, Behandlar personuppgifter i strid med detta PUB-avtal eller instruktionerna för databehandling som tillhandahålls av Kunden, ska Leverantören, med beaktande av ansvarsbegränsningen som följer av Avtalet, kompensera Kunden för den direkta skada som Kunden lidit på grund av den felaktiga Behandlingen. Oavsett ansvarsbegränsningen i detta Avtal, ska Leverantörens ansvar enligt punkt 13.1 alltid vara begränsat till ett belopp motsvarande de avgifter som Kunden betalat till Leverantören enligt Avtalet för en period om tolv (12) månader innan skadan inträffade. I händelse av att Avtalet inte har varit giltigt under ett helt avtalsår, ska sådant belopp beräknas på de kostnader som Kunden förväntas betala under ett avtalsår enligt Avtalet. 13.2 Under giltighetstiden för detta PUB-avtal och därefter, ska Kunden gottgöra och hålla Leverantören skadeslös från eventuell direkt skada, inklusive anspråk från Registrerade och tredje parter, som Leverantören har lidit på grund av otydliga, otillräckliga eller olagliga instruktioner från Kunden, eller i övrigt, beroende på omständigheter som härrör från Kunden. 13.3 Leverantörens skyldighet att betala skadestånd, som fastställs i avsnitt 13.1 ovan, gäller endast, förutsatt att i) Kunden utan onödigt dröjsmål informerar Leverantören skriftligen om eventuella anspråk mot Kunden; och ii) Kunden tillåter Leverantören att kontrollera försvaret av anspråket och fatta självständiga beslut om förlikning.
14. Giltighetstid och uppsägning
14.1 Detta PUB-avtal träder i kraft när det vederbörligen undertecknats av båda Parterna antingen separat som en ändring av Avtalet eller som en del av Avtalet och förblir i kraft så länge Leverantören Behandlar personuppgifter på uppdrag av Kunden. 14.2 Vid uppsägning av Avtalet eller detta PUB-avtal (beroende på vilket som inträffar först), ska Leverantören i enlighet med Kundens instruktioner radera eller returnera alla personuppgifter till Kunden och se till att alla Underbiträden gör detsamma. 14.3 Om Kunden inte har begärt att personuppgifterna ska returneras, ska Leverantören radera uppgifterna inom 90 dagar efter uppsägningen av PUB-avtalet eller Avtalet (beroende på vilket som inträffar först). Leverantören ska radera eventuella befintliga kopior såvida inte lagring av personuppgifter krävs enligt unionsrätten eller medlemsstatens nationella rätt.
15. Ändringar och tillägg
15.1 Om Dataskyddsreglerna ändras under giltighetstiden för detta PUB-avtal, eller om Tillsynsmyndigheten utfärdar riktlinjer, beslut eller förordningar avseende tillämpningen av Dataskyddsreglerna som resulterar i att detta PUB-avtal inte längre uppfyller kraven för ett PUB-avtal, ska Parterna göra nödvändiga ändringar i detta PUB-avtal, för att uppfylla sådana nya eller ytterligare krav. Sådana ändringar ska träda i kraft senast trettio (30) dagar efter att en Part skickat ett meddelande om ändring till den andra Parten eller senast enligt vad som föreskrivs av Dataskyddsreglerna, riktlinjerna, besluten eller förordningarna från Tillsynsmyndigheten. 15.2 Andra ändringar och tillägg till detta PUB-avtal, för att vara bindande, måste göras skriftligen och vederbörligen undertecknas av båda Parterna.
16. Övrigt
16.1 Detta PUB-avtal ersätter och upphäver alla tidigare PUB-avtal mellan Parterna och ersätter eventuella avvikande bestämmelser i Avtalet avseende föremålet för detta PUB-avtal, oavsett om annat anges i Avtalet. 16.2 Detta PUB-avtal ska regleras av samma lag och vara föremål för samma forum som Avtalet. 16.3 Dessutom ska villkoren i Avtalet också gälla för Leverantörens Behandling av personuppgifter och skyldigheterna enligt detta PUB-avtal. I händelse av motsättningar mellan bestämmelserna i Avtalet och detta PUB-avtal, ska dock bestämmelserna i PUB-avtalet ha företräde avseende all Behandling av personuppgifter. Bestämmelserna i Avtalet får inte begränsa eller modifiera någon av skyldigheterna i detta PUB-avtal. 16.4 Detta PUB-avtal ska regleras av samma lag och vara föremål för samma forum som anges i Avtalet.
Bilaga 1 – Instruktioner för databehandling
I dessa instruktioner för databehandling ska alla ord med versaler ha samma betydelse som definieras i PUB-avtalet, om inte annat uttryckligen anges.
| Ändamål Vänligen specificera alla ändamål för vilka personuppgifterna kommer att Behandlas av Leverantören som Kundens personuppgiftsbiträde | Leverantören behandlar personuppgifter i syfte att fullgöra tjänsten enligt Avtalet. Personuppgifter kan också behandlas för IT-support och relaterade tjänster. Vidare behandlar Leverantören uppgifter för bedrägeridetektering och andra förebyggande åtgärder. |
|---|---|
| Kategorier av uppgifter Vänligen specificera de personuppgifter som kommer att Behandlas av Leverantören som personuppgiftsbiträde | Leverantören behandlar följande kategorier av personuppgifter: |
- Information och data som överförs av Kunden till Leverantören vid användning av Leverantörens tjänster,
- användardata och information relaterad till användningen av leverantörens tjänster,
- slutanvändargenererat innehåll, och
- annan information som är relevant för IT-support och relaterade tjänster.
Leverantören Behandlar inte känsliga personuppgifter, Kunden ansvarar för att säkerställa att känsliga personuppgifter inte överförs till Leverantörens tjänster såvida inte Leverantören har försett Kunden med skriftligt samtycke i förväg till sådan Behandling. Kategorier av registrerade Vänligen specificera kategorierna av registrerade vars personuppgifter kommer att Behandlas av Leverantören som personuppgiftsbiträde | Leverantören behandlar följande kategorier av Registrerade:
- Information om registrerade användare, och
- Information om Registrerade som förekommer i sådant material som Kunden överför till Leverantören genom användning av någon av Leverantörens tjänster, och
- Slutanvändarinformation.
Lagringskrav Vänligen specificera lagringstiden för personuppgifter som lagras av Leverantören | Personuppgifterna måste raderas på Kundens begäran och enligt Kundens instruktioner. Leverantören har en lagringsperiod på 90 dagar efter uppsägningen av Avtalet eller PUB-avtalet.