(2024:1)
1. ALLMÄNT
1.1 Kunden är personuppgiftsansvarig för all personuppgiftsbehandling som sker med hjälp av Mjukvaran om inte annat anges i detta personuppgiftsbiträdesavtal. Leverantören kommer inom ramen för Tjänsterna behandla personuppgifter på uppdrag av Kunden i egenskap av personuppgiftsbiträde. Föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade som berörs av behandlingen beskrivs närmare i Bilaga - Beskrivning av behandlingen av person-uppgifter i Mjukvaran. Kunden ansvarar för att all sådan personuppgiftsbehandling äger rum i enlighet med från tid till annan tillämplig personuppgiftslagstiftning, inbegripet dataskyddsförordningen (EU 2016/679) ("Til-lämplig Lagstiftning").
2. LEVERANTÖRENS ALLMÄNNA SKYLDIGHETER
2.1 TelliQ AB (”Leverantören”) ska i egenskap av personuppgiftsbiträde bara behandla person-uppgifter i enlighet med Kundens skriftliga instruktioner enligt detta personuppgiftsbiträdes-avtal, samt de ytter-ligare dokumenterade instruk-tioner som Kunden från tid till annan ger. Ytterligare instruktioner kan lämnas till Leveran-tören via e-post eller på särskild blankett. Instruktionen bör innehålla motsvarande information som fram-går av bilagan till detta personuppgiftsbiträdesavtal.
2.2 Om Leverantören saknar instruktioner som Leverantören bedömer vara nödvändiga för att genomföra sitt uppdrag ska Leverantören utan dröjsmål informera Kunden och invänta yt-terligare instruktioner. För det fall Leverantören finner att en instruktion strider mot Tillämplig Lagstiftning ska Leverantören informera Kunden om detta utan oskäligt dröjsmål. Om Kunden i sådant fall underlåter att lämna ytter-ligare instruktioner till Leverantören ska Leverantören bortse från instruktionen och meddela detta till Kunden. För det fall Kunden vidhåller den lagstridiga instruktionen har Leverantören rätt att säga upp Avtalet i förtid enligt vad som framgår av de Allmänna Villkoren.
2.3 Oaktat vad som anges i punkt 2.1 ovan har Leverantören rätt att behandla personuppgifter i den utsträckning som det krävs för att Leverantören ska kunna uppfylla skyldigheter som åvilar Leverantören enligt från tid till annan Tillämplig lagstiftning, såsom exempelvis att
efterkomma förelägganden från myndigheter. Det ankommer dock på Leverantören att innan sådan behandling genomförs informera Kunden om den rättsliga skyldigheten, såvida inte tvingande lagstiftning förhindrar Leverantören från att lämna sådan information.
2.4 Om någon begär information från Leverantören som rör Kundens behandling av personuppgifter ska Leverantören hänvisa till Kunden genom att underrätta Kundens Avtalsansvarig via e-post. Leverantören får inte lämna ut personuppgifter eller annan information om behandlingen av person-uppgifter utan skriftlig instruktion från Kunden. Leverantören har inte rätt att företräda Kunden eller agera för Kundens räkning gentemot någon tredje part, inklusive tillsynsmyndigheten.
3. TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER
3.1 Leverantören ska vidta de tekniska och organisatoriska åtgärder som krävs enligt Tillämplig Lagstiftning för att skydda de personuppgifter som behandlas i Mjukvaran och åtminstone de tekniska och organisatoriska åtgärder som framgår av säkerhetsbilagan till detta person-uppgiftsbiträdesavtal. Kundens på förhand lämnande godkännande krävs för det fall Leverantören vill genomföra förändringar såvitt avser de tekniska och organisatoriska åtgärder som vidtas och som skulle innebära att säkerhetsnivån försämras. Parterna är överens att de tekniska och organisatoriska åtgärder som vidtas ska vara föremål för regelbunden uppföljning för att säkerställa att åtgärderna är lämpliga med hänsyn till riskerna med behandlingen av personuppgifter.
3.2 Leverantören ska på Kundens begäran bistå Kunden med nödvändig information som Leverantören har att tillgå för att Kunden, i förekommande fall, ska kunna uppfylla sina skyldigheter att genomföra konsekvensbedömning och förhandssamråd med berörda tillsynsmyndigheter avseende den behandling som Leverantören utför för Kundens räkning inom ramen för Mjukvaran. Leverantören har upprättat en konsekvens-bedömning avseende behandlingen av per-sonuppgifter som Leverantören utför på Kundens uppdrag som Kunden kan få del av på begäran.
3.3 Leverantören ska, i den mån det är möjligt, bistå Kunden genom att vidta lämpliga tekniska och organisatoriska åtgärder för att Kunden ska kunna fullgöra sin skyldighet att svara på en begäran om utövande av en registrerads rättighet som tillkommer den registrerade enligt Tillämplig Lagstiftning. Mjukvaran innehåller viss funktionalitet för att underlätta för Kunden att tillmötesgå en begäran från registrerade om utövande av sina rättigheter enligt Tillämplig Lagstiftning.
3.4 Leverantören ska säkerställa att tillgången till personuppgifter är begränsad till endast personal hos Leverantören som behöver tillgång för att Leverantören ska kunna uppfylla sina åtaganden gentemot Kunden. Vidare ska Leverantören tillse att sådan behörig personal iakttar sekretess motsvarande den sekretess som följer av punkt 8 nedan genom enskilda sekretessavtal.
4. PERSONUPPGIFTSINCIDENTER
4.1 För det fall en personuppgiftsincident (såsom definierat i Tillämplig Lagstiftning) inträffar ska Leverantören skriftligen meddela Kunden genom Kundens Avtalsansvarig utan oskäligt dröjsmål från att Leverantören fått kännedom om incidenten och senast inom tjugofyra (24) timmar i enlighet med Leverantörens från tid till annan gällande rutiner. Meddelandet ska innehålla information om incidentens art, kategorier av och antal registrerade och personuppgiftsposter som berörs, de sannolika konsekvenserna av incidenten, samt en be-skrivning av vilka åtgärder Leverantören (i förekommande fall) vidtagit för att begränsa in-cidentens eventuella negativa effekter för att göra det möjligt för Kunden att uppfylla sin eventuella skyldighet att anmäla personuppgiftsincidenten till berörd till-synsmyndighet. Om det inte är möjligt behöver inte all information lämnas vid ett och samma tillfälle, utan Leverantören ska då lämna informationen till Kunden så snart den blir tillgänglig för Leverantören.
4.2 Om det är sannolikt att en personuppgiftsincident medför risk för de registrerades personliga integritet ska Leverantören, i den mån det är möjligt, omedelbart efter att personuppgifts-incidenten kommit till Leverantörens kännedom vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa personuppgiftsincidentens eventuella negativa effekter.
5. TILLGÅNG TILL INFORMATION M.M.
5.1 Leverantören dokumenterar löpande vilka åtgärder Leverantören vidtagit för att uppfylla sina skyldigheter enligt detta personuppgifts-biträdesavtal. Kunden har på begäran rätt att få del av den senaste versionen av sådan doku-mentation. För information om behandlingen av personuppgifter som sker inom ramen för Mjukvaran, se bilagan till detta personuppgiftsbiträdesavtal.
5.2 Vidare ska Leverantören möjliggöra och bidra till att Kunden, eller av Kunden utsedd tredje part, genomför en granskning, inbegripet inspektion, av de tekniska och organisatoriska åtgärder som Leverantören vidtar för att upp-fylla sina skyldigheter enligt detta personuppgiftsbiträdesavtal. Leverantören ska skriftligen meddelas om en sådan granskning minst trettio (30) dagar i förväg. Samtliga kostnader för granskningen ska bäras av Kunden, inklusive Leverantörens eventuella kostnader för medverkan i granskningen. Kunden ska säkerställa att eventuell tredje part som genomför granskningen för Kundens räkning ska iaktta sekretess som inte är mindre restriktiv än vad som följer av punkt 8 nedan. Motsvarande bestämmelser gäller vid Kunds begäran om granskning av ett Underbiträde som Leverantören anlitat i samband med Mjukvaran, se punkten 6 nedan.
6. ANLITANDE AV UNDERBITRÄDEN
6.1 Kunden godkänner härmed att de av Leverantören anlitade underleverantörerna som framgår på av Leverantören från tid till annan angiven webbsida får behandla personuppgif-ter för Kundens räkning i samband med Mjukvaran ("Underbiträden"). De underbiträden som Leverantören anlitar vid tidpunkten för detta personuppgiftsbiträdesavtals ingående framgår även av bilagan till detta personuppgifts-biträdesavtal. Kunden lämnar vidare ett allmänt förhandsgodkännande till Leverantören för anlitande av nya Underbiträden under förutsättning att Leverantören säkerställer att Underbiträdet lämnar tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen uppfyller kraven i Tillämplig Lagstiftning.
6.2 Leverantören ska ingå ett personuppgiftsbiträ-desavtal med Underbiträdet. Ett sådant personuppgiftsbiträdesavtal ska innehålla bestämmelser som motsvarar vad som följer av detta personuppgiftsbiträdesavtal och Tillämp-lig Lagstiftning.
6.3 För det fall Leverantören avser att anlita ett nytt Underbiträde ska Leverantören informera Kunden om detta genom e-post till Kundens Avtalsansvarig. Leverantören ska därvid lämna information om Underbiträdets identitet (inbegripet fullständig firma, organisationsnummer och adress), på vilken plats (geografiskt) Underbiträdet kommer att behandla personuppgifter, vilken typ av tjänst som Underbiträdet utför, samt vilka skyddsåt-gärder som kommer att vidtas av Underbiträdet för att skydda de personuppgifter som behandlas. Kunden har rätt att inom en (1) vecka räknat från meddelandet invända mot att Leverantören anlitar Underbiträdet för att be-handla personuppgifter på uppdrag av Kunden, varvid Leverantören och Kunden gemensamt ska söka en samförståndslösning och i annat fall kan Avtalet sägas upp i förtid enligt vad som framgår av de Allmänna Villkoren.
7. ÖVERFÖRING TILL OCH BEHANDLING AV PERSONUPPGIFTER UTANFÖR EU/EES-OMRÅDET
7.1 Kunden lämnar härmed sitt godkännande till att Leverantören i förekommande fall för över Kundens personuppgifter utanför EU/EES-området. Sådan överföring får dock endast ske om (i) landet har adekvat skyddsnivå för person-uppgifter enligt beslut meddelat av EU-kommissionen som omfattar behandlingen av personuppgifter, (ii) om Leverantören säkerställer att det finns lämpliga skyddsåtgär-der på plats, såsom standardiserade dataskyddsbestämmelser, som antagits av EU-kommissionen, i ljuset av mottagarlandets lagstiftning eller (iii) om något annat undantag i Tillgänglig Lagstiftning möjliggör överföringen.
7.2 För det fall Leverantören överför personuppgifter utanför EU/EES med stöd av standardiserade dataskyddsbestämmelser ger Kunden härmed fullmakt till Leverantören att ingå sådana standardavtalsklausuler för den personuppgiftsansvariges räkning.
8. SEKRETESS
8.1 Utan att det påverkar sekretessåtagandet i punkten Fel! Hittar inte referenskälla. i Avtalet ska även följande gälla.
8.2 Leverantören ska hålla personuppgifter som behandlas för Kundens räkning strikt konfidentiella. Leverantören ska således inte, direkt eller indirekt, utlämna några personupp-gifter till tredje part om inte Kunden skriftligen godkänt detta, såvida inte Leverantören är skyldigt enligt lag att lämna ut personuppgifter eller om det är nödvändigt för fullgörandet av Avtalet. Leverantören accepterar att detta sekretessåtagande ska fortsätta att gälla även efter att Avtalet har upphört.
8.3 Kunden förbinder sig att hålla all information som Kunden erhåller avseende Leverantörens säkerhetsåtgärder, rutiner, IT-system eller som annars är av konfidentiell karaktär, strikt konfidentiell och förbinder sig vidare att inte till någon utomstående röja konfidentiell informat-ion som härrör från Leverantören eller dess Underbiträden. Kunden har dock rätt att röja sådan information som Kunden är skyldig att röja enligt lag eller enligt Avtalet. Kunden accepterar att detta sekretessåtagande ska fortsätta att gälla även efter att Avtalet har upphört.
9. ANSVAR
9.1 Kunden ska i händelse av att Leverantören åsamkas skada eller erhåller krav som en följd av Leverantörens behandling av per-sonuppgifter i enlighet med Kundens instruktioner hålla Leverantören skadeslöst för den skada som uppkommer som en följd därav. Leverantören ansvarar dock för utförandet av Underbiträdens skyldigheter gentemot Kunden om Underbiträdet inte uppfyller sina skyldigheter. Någon ansvarsbegränsning enligt detta personuppgiftsbiträdesavtal ska inte tillämpas i förhållande till Kundens ansvar enligt detta personuppgiftsbiträdesavtal.
9.2 Om Kundens ytterligare dokumenterade instruktioner avseende behandlingen av personuppgifter inte stöds av Mjukvaran eller följer av Leverantörens åtaganden enligt Avtalet i övrigt och som Leverantören inte skäligen har bort räkna med och dessa krav medför att Leverantören åsamkas extra kostnader, har Leverantören rätt att välja mellan att säga upp avtalet till omedelbart upphörande alternativt få ersättning från Kunden för dessa kostnader.
10. AVTALETS UPPHÖRANDE
10.1 Efter det att Avtalet upphört ska Leverantören enligt Kundens val antingen återlämna eller på ett säkert sätt radera samtliga personuppgifter som Leverantören har behandlat för Kundens räkning. Om Kunden inte inkommer med någon sådan begäran inom fjorton (14) dagar räknat från uppsägning ska Leverantören på ett säkert sätt radera personuppgifterna de personuppgifter som Leverantören behandlar för Kundens räkning.