PERSONUPPGIFTSBITRÄDESBILAGA (DPA)
Detta dokument (nedan ”Biträdesavtalet”) utgör ett personuppgiftsbiträdesavtal mellan å ena sidan IoT Partner Sweden AB (org nr. 559409-7809), (”Personuppgiftsbiträdet”) och en part (”Personuppgiftsansvarig”) med vilken Personuppgiftsbiträdet träffat ett separat avtal (”Tjänsteavtalet”) om en eller flera tjänster (”Tjänsten”) som direkt, eller via Personuppgiftsbiträdets Allmänna villkor för Tjänsten hänvisar till detta dokument avseende villkoren för personuppgiftsbehandling.
Personuppgiftsbiträdet och Personuppgiftsansvarig benämns i det följande gemensamt för ”Parterna” och var för sig ”Part”. Genom att signera Tjänsteavtalet har Parterna även bekräftat att de tagit del av, och accepterar, dessa villkor inklusive alla bilagor.
1. BAKGRUND
1.1. Personuppgiftsbiträdet levererar Tjänsten i samarbete med ett antal samarbetspartners, vilka tillhandahåller den för Tjänsten nödvändiga
funktionaliteten och infrastrukturen. Dessa samarbetspartners utgör underbiträden till Personuppgiftsbiträdet med stöd av detta avtal.
1.2. Detta Biträdesavtal reglerar Personuppgiftsbiträdets och dess underbiträdens behandling av personuppgifter för vilka den Personuppgiftsansvarige är ansvarig enligt tillämplig dataskydds-lagstiftning.
2. DEFINITIONER, BEGREPP OCH BILAGOR
2.1. Begrepp i detta Biträdesavtal ska, om de inte särskilt definierats i detta Biträdesavtal eller Tjänsteavtalet tolkas i enlighet med tillämplig dataskyddslagstiftning.
2.2. Till detta Biträdesavtal hör följande bilagor (”Underbilagor”)
(a) Underbilaga 1: Särskild instruktion för behandlingen av personuppgifter utfärdad av Personuppgiftsansvarig (i förekommande fall).
(b) Underbilaga 2: Personuppgiftsbiträdets förteckning över godkända underbiträden.
3. BEHANDLING AV PERSONUPPGIFTER
3.1. Personuppgiftsbiträdet förbinder sig att behandla personuppgifter enligt dokumenterade instruktioner från Personuppgiftsansvarig, såvida inte annat följer av tillämplig dataskyddslagstiftning. Den Personuppgiftsansvariges ursprungliga instruktioner till Personuppgiftsbiträdet om behandlingens föremål och varaktighet, behandlingens karaktär och ändamål, typ av person¬uppgifter och kategorier av registrerade anges i detta Biträdesavtal och i Underbilaga 1. Alla ändringar i den Personuppgiftsansvariges instruktioner ska förhandlas separat och ska, för att bli gällande, dokumenteras skriftligt och undertecknas av båda Parter.
3.2. Om den Personuppgiftsansvarige inte har utfärdat några skriftliga instruktioner ska Personuppgiftsbiträdet istället utgå ifrån den Personuppgiftsansvariges berättigade förväntningar utifrån uppdragets art och tjänsternas beskaffenhet vid avgränsningen av sin behandling.
3.3. Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt tillämplig dataskyddslagstiftning och enligt den Personuppgiftsansvariges skriftliga instruktioner i varje enskilt fall, bistå den Person¬uppgifts¬ansvarige vid fullgörandet av dennes skyldigheter enligt tillämplig dataskydds¬lagstiftning.
3.4. Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Person-uppgifts¬biträdet anser att en instruktion från den Personuppgiftsansvarige strider mot tillämplig dataskyddslagstiftning.
4. UTLÄMNANDE OCH MOTTAGANDE PERSONUPPGIFTER
4.1. Om den Personuppgiftsansvarige till följd av ett avtal med en tredje part om att sådan tredje part ska tillhandahålla tjänster till den Personuppgiftsansvarige som ska integreras med Tjänsterna, aktiverar och godkänner sådan integration, bekräftar härmed Parterna att Person-uppgifts¬biträdet är skyldigt, samt berättigad, att till sådan tredje part lämna ut och motta de person¬uppgifter som är nödvändiga för Personuppgiftsbiträdet att lämna ut, respektive motta, för att sådan tredje part och Personuppgiftsbiträdet, ska kunna fullgöra sina respektive förpliktelser mot den Personuppgiftsansvarige.
4.2. Med undantag för sådan behandling som anges ovan förbinder sig Personuppgiftsbiträdet att inte utan föregående skriftligt medgivande från den Personuppgifts¬ansvarige utlämna eller på annat sätt göra personuppgifter som behandlats enligt detta Biträde¬savtal tillgängliga för tredje part, om annat inte följer av svensk eller europeisk lag, domstols- eller myndighetsbeslut.
4.3. Om en registrerad begär information från Personuppgiftsbiträdet om behandlingen av dennes personuppgifter ska Personuppgiftsbiträdet utan onödigt dröjsmål hänskjuta sådan begäran till den Personuppgiftsansvarige.
4.4. Om det enligt tillämplig svensk eller europeisk lag begärs att Personuppgiftsbiträdet ska utlämna personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning, är Personuppgiftsbiträdet skyldigt att omgående meddela den Personuppgiftsansvarige om detta, om annat inte följer av aktuell lag, domstols- eller myndighetsbeslut, och att i samband med utlämnandet begära att uppgifterna behandlas med sekretess.
5. UNDERBITRÄDEN OCH TREDJELANDSÖVERFÖRINGAR
5.1. Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet får anlita underbiträden inom och utanför EU/EES och får överföra personuppgifter utanför EU/EES. Personuppgiftsbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt detta Biträdesavtal. Underbilaga 2 innehåller en lista på i förhand godkända underbiträden från och med dagen för ikraftträdandet av detta Biträdesavtal. Personuppgiftsbiträdet har rätt att när som helst ändra eller komplettera Underbilaga 2.
5.2. Om personuppgifter överförs till, eller åtkomst möjliggörs från, plats utanför EU/EES ska Person¬uppgifts¬biträdet säkerställa att det finns en laglig grund för överföringen enligt tillämplig data¬skyddslagstiftning. Personuppgiftsansvarig ger Personuppgiftsbiträdet fullmakt att själv eller genom underbiträde för Personuppgiftsansvariges räkning ingå EU-kommis¬sionens modellklausuler med underbiträden om så fordras för att möjliggöra tredjelandsöverföring.
5.3. Om Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt underbiträde för att behandla personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om detta. Eventuella invändningar ska ske skriftligen utan oskäligt dröjsmål från det att den Personuppgiftsansvarige fått informationen. Personuppgiftsbiträdet ska vid förfrågan förse den Person¬uppgiftsansvarige med all information som denne skäligen kan begära för att bedöma om anlitandet av det föreslagna underbiträdet kommer att säkerställa efterlevnaden av den Personuppgifts¬ansvariges skyldigheter enligt detta Biträdesavtal och tillämplig dataskydds¬lagstiftning. Om efterlevnaden av dessa skyldigheter, enligt Personuppgiftsansvariges befogade uppfattning, inte möjliggörs genom det föreslagna underbiträdet och Personuppgiftsbiträdet trots Personuppgiftsansvariges invändning vill anlita det föreslagna underbiträdet, har Personuppgifts¬ansvarige rätt att säga upp Biträdesavtalet utan extra kostnad. Om invändningen inte är befogad har den Personuppgiftsansvarige inte rätt att säga upp Tjänsteavtalet. Om Personuppgiftsbiträdet bedömer att Tjänsten inte kan levereras i enlighet med Tjänsteavtalet utan anlitande av ett underbiträde mot vilket den Personuppgiftsansvarige har invänt emot, äger Personuppgiftsbiträdet säga upp Tjänsteavtalet med omedelbar verkan vid sådan invändning.
6. DATASÄKERHET OCH SEKRETESS
6.1. Personuppgiftsbiträdet är skyldigt att fullgöra sina rättsliga förpliktelser avseende informations¬säkerhet under tillämplig dataskyddslagstiftning och ska i samtliga fall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.
6.2. Personuppgiftsbiträdet ska följa de säkerhetsåtgärder som framgår av Underbilaga 1 och sina egna säkerhetsföreskrifter. Personuppgiftsbiträdet får ändra sina egna säkerhetsföreskrifter utan föregående skriftligt medgivande från den Personuppgiftsansvarige förutsatt att ändringen inte står i strid med tillämplig dataskyddslagstiftning.
6.3. Personuppgiftsbiträdet är skyldigt att säkerställa att endast sådan personal som direkt måste ha tillgång till personuppgifter för att kunna fullgöra Personuppgiftbiträdets skyldigheter enligt detta Biträdesavtal får tillgång till sådana uppgifter. Personuppgiftsbiträdet ska säkerställa att sådan personal omfattas av en sekretessförbindelse.
6.4. För det fall Personuppgiftsbiträdet, till följd av den verksamhet som den Personuppgiftsansvarige bedriver, kommer att behandla känsliga personuppgifter förbinder sig den Personuppgifts¬ansvarige att innan sådan behandling påbörjas ta del av de säkerhetsåtgärder som kan komma att krävas vid sådan behandling av personuppgifter. Den Personuppgiftsansvarige är skyldigt att inte, utan att ha vidtagit de säkerhetsåtgärder som krävs enligt tillämplig dataskyddslagstiftning, låta Personuppgiftsbiträdet behandla känsliga personuppgifter.
7. PERSONUPPGIFTSINCIDENTER
7.1. Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige efter att ha fått vetskap om en personuppgiftsincident.
7.2. Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med den information som rimligen kan krävas för att uppfylla dennes skyldighet att anmäla personuppgiftsincidenter.
8. RÄTT TILL GRANSKNING
8.1. Den Personuppgiftsansvarige ska, i sin egenskap av personuppgiftsansvarig, ha rätt att vidta erforderliga åtgärder för att verifiera att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta Biträdesavtal och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa fullgörs.
8.2. Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige all information som krävs för att visa att de skyldigheter som anges i detta Biträdesavtal efterlevs, samt att möjliggöra för och medverka till sådan granskning, inklusive kontroll på plats, som genomförs av den Personuppgiftsansvarige eller annan granskare som utsetts av denne, under förutsättning att de personer som utför granskningen ingår lämpliga sekretessavtal.
9. AVTALSTID
9.1. Bestämmelserna i detta Biträdesavtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter för vilka den Personuppgiftsansvarige är personuppgiftsansvarig.
10. ÅTGÄRDER NÄR BEHANDLINGEN AV PERSONUPPGIFTER HAR AVSLUTATS
10.1. När detta Biträdesavtal upphör har den Personuppgiftsansvarige trettio (30) dagar på sig att hämta ut alla personuppgifter som behandlats enligt detta Biträdesavtal, varefter Personuppgiftsbiträdet kommer att radera personuppgifterna om inte lagring av personuppgifterna krävs enligt svensk eller europeisk lagstiftning.
10.2. På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna efter behandlingens avslutande enligt punkt 10.1 ovan.
11. ERSÄTTNING
11.1. Personuppgiftsbiträdet har rätt till ersättning enligt Personuppgiftsbiträdets vid var tid gällande prislista för det arbete som utförts på grund av skyldigheterna i punkterna 3.3, 4, 7.2, 8 och 10 i detta Biträdesavtal.
12. ANSVARSBEGRÄNSNING
12.1. De ansvarsbegränsningar som finns i Tjänsteavtalet ska tillämpas för Personuppgifts¬biträdets ansvar enligt detta Biträdesavtal.
_________________________________________________________________
Version 1.0 antaget den 28 mars 2023
