1. INLEDNING

1.1 Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) utgör en bilaga till det uppdragsavtal (”Uppdragsavtalet”) som har ingåtts mellan SIFFROR Sverige AB med organisationsnummer 556999–2356 (nedan kallad ”SIFFROR”) och den i Uppdragsavtalet angivna kunden (nedan kallad ”Kunden”). Kunden och SIFFROR är nedan gemensamt refererade till som ”Parterna” och var för sig som ”Part”.

1.2 Parterna ingår detta Biträdesavtal för att uppfylla kraven i artikel 28 GDPR.

1.3 För att uppfylla avtalade åtaganden och förpliktelser enligt villkoren i Uppdragsavtalet, behöver SIFFROR behandla personuppgifter för Kundens räkning.

1.4 Biträdesavtalet reglerar Kundens rättigheter och skyldigheter som personuppgiftsansvarig för de personuppgifter som lämnas till SIFFROR inom ramen för uppdraget och som SIFFROR behandlar för Kundens räkning, och SIFFRORs rättigheter och skyldigheter som personuppgiftsbiträde vid behandling av dessa personuppgifter.

1.5 Båda Parterna ska var för sig agera i enlighet med, och uppfylla sina respektive skyldigheter enligt, alla tillämpliga nationella regler, lagkrav och lagar relaterade till behandling av personuppgifter. Med avseende på EU-personuppgifter ska Parterna uppfylla vardera sina skyldigheter enligt GDPR och all underordnad lagstiftning och förordning som implementerar GDPR och/eller SCC som kan vara tillämplig. Hädanefter gemensamt kallat för ”tillämplig dataskyddslagstiftning”.

1.6 Vid händelse av motstridigheter avseende behandling av personuppgifter mellan bestämmelser i detta Biträdesavtal och annat avtal mellan Parterna, ska detta Biträdesavtal äga företräde.

2. BILAGOR

2.1 Följande bilagor har bifogats till detta Biträdesavtal och utgör en integrerad del av Biträdesavtalet:
– Bilaga: Instruktioner för personuppgiftsbehandlingen.
– Bilaga: Underbiträden.
– Bilaga: Säkerhetsåtgärder.

3. DEFINITIONER

3.1 I detta Biträdesavtal användes definitioner som överensstämmer med de som finns i EU:s allmänna dataskyddsförordning 2016/679 (”GDPR”), såsom ”personuppgifter”, ”behandling”, ”registrerad”, ”tillsynsmyndighet”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde” med flera. Var och en av dessa definitioner har samma innebörd som anges i artikel 4 i GDPR. För en fullständig lista och exakta definitioner, vänligen se denna artikel.

4. DEN PERSONUPPGIFTS-ANSVARIGES INTYGANDE OCH ÅTAGANDE

4.1 Kunden intygar och bekräftar härmed att denne:
    a) följer bestämmelserna i GDPR avseende sin behandling av personuppgifterna som omfattas av detta Biträdesavtal;
    b) är ensamt ansvarig för riktigheten, integriteten, innehållet, tillförlitligheten och lagenligheten av personuppgifterna som omfattas av detta Biträdesavtal;
    c) utan dröjsmål ska meddela SIFFROR om eventuella ändringar i instruktionerna rörande behandlingen av personuppgifterna som omfattas av detta Biträdesavtal och tillhandahålla korrekt information till SIFFROR om tidigare tillhandahållna instruktioner är ofullständiga, felaktiga eller behöver ändras av andra skäl;
    d) utan dröjsmål ska informera SIFFROR om eventuella relevanta förfrågningar från den registrerade, tillsynsmyndigheten eller någon annan tredje part med avseende på behandlingen av personuppgifterna som omfattas av detta Biträdesavtal; och
    e) anser att de organisatoriska och tekniska säkerhetsåtgärderna som SIFFROR åtar sig att implementera och som definieras i Bilaga: Säkerhetsåtgärder är lämpliga för att skydda de registrerades rättigheter och personuppgifterna, och att SIFFROR lämnat tillräckliga garantier med avseende på detta.

5. PERSONUPPGIFT-BITRÄDENDETS ÅTAGANDEN

5.1 SIFFROR:
    a) får endast behandla personuppgifterna som omfattas av detta biträdesavtal på dokumenterade instruktioner från Kunden, inbegripet när det gäller överföringar av personuppgifterna till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som SIFFROR omfattas av, och i så fall ska SIFFROR informera Kunden om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt. Detta Biträdesavtal och Bilaga: Instruktioner för personuppgiftsbehandlingen anger Kundens instruktioner till SIFFROR om behandlingens föremål och varaktighet, behandlingens art och syfte, kategorier av personuppgifter och registrerade;
    b) ska omedelbart informera Kunden om SIFFROR anser att en instruktion strider mot GDPR eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser. Under tiden Kunden utreder invändningen, har SIFFROR rätt att göra uppehåll avseende den ifrågasatta behandlingen;
    c) säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet genom skriftligt avtal eller omfattas av en lämplig lagstadgad tystnadsplikt;
    d) ska, med tanke på behandlingens art, hjälpa Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Kunden kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel 3 GDPR;
    e) ska bistå Kunden med att se till att skyldigheterna fullgörs avseende säkerhet i samband med behandlingen (artikel 32 GDPR), anmälan av en personuppgiftsincident till tillsynsmyndigheten (artikel 33 GDPR), information till den registrerade om en personuppgiftsincident (artikel 34 GDPR), konsekvensbedömning avseende dataskydd (artikel 35 GDPR) och förhandssamråd med tillsynsmyndigheten (artikel 36 GDPR), med beaktande av typen av behandling och den information som SIFFROR har att tillgå;
    f) ska, beroende på vad Kunden väljer, radera eller återlämna alla personuppgifter till Kunden efter det att tillhandahållandet av behandlingstjänster har avslutats, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt; och
    g) ska, i den utsträckning det är praktiskt möjligt och lagligt, utan onödigt dröjsmål meddela Kunden om förfrågningar om utlämnande av personuppgifter eller information som handlar om behandlingen, som erhållits från en registrerad, myndighet eller annan tredje part och ska vid sådana fall hänvisa till Kunden. SIFFROR har inte rätt att företräda Kunden eller agera för dennes räkning gentemot tillsynsmyndighet eller annan tredje part, såvida inte Kunden skriftligen godkänner det.

5.2 SIFFROR har inte rätt till någon särskild extra ersättning för fullgörandet av sina åtaganden i egenskap av personuppgiftsbiträde eller tillhandahållande av assistans enligt detta Biträdesavtal, utöver överenskommet arvode för uppdrag som omfattas av Uppdragsavtalet.

6. UNDERBITRÄDEN OCH ÖVERFÖRING AV PERSONUPPGIFTER

6.1 Kunden ger härmed SIFFROR ett allmänt skriftligt förhandstillstånd att anlita andra personuppgiftsbiträden (nedan kallade ”Underbiträden”) för fullgörandet av uppdrag som omfattas av Uppdragsavtalet samt skyldigheterna enligt detta Biträdesavtal. SIFFROR ska respektera bestämmelserna i artiklarna 28.2 och 28.4 i GDPR vid anlitandet av Underbiträden. Vid var tid aktuella Underbiträden förtecknas i Bilaga: Underbiträden.

6.2 Om SIFFROR anlitar ett Underbiträde för att utföra en specifik behandling på Kundens vägnar ska samma dataskyddsskyldigheter som fastställs i detta Biträdesavtal åläggas Underbiträdet genom ett avtal eller en annan rättsakt enligt unionsrätten eller medlemsstaternas lagstiftning. Underbiträdet ska även särskilt tillhandahålla tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i GDPR.

6.3 Om Underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd, ska SIFFROR förbli fullt ansvarig gentemot Kunden för fullgörandet av Underbiträdets skyldigheter.

6.4 Om SIFFROR avser att ändra, lägga till eller ersätta ett Underbiträde ska Kunden informeras om sådana ändringar minst tio (10) kalenderdagar innan ändringen träder i kraft. Kunden ges därmed möjlighet att invända mot ändringarna inom denna period. Om Kunden godkänner ändringarna behöver Kunden inte vidta någon särskild åtgärd. Genom att fortsätta nyttja SIFFRORs tjänster efter att ändringarna har trätt i kraft, omfattas Kunden automatiskt av ändringarna. Om Kunden däremot inte godkänner ändringarna, ska Kunden säga upp Uppdragsavtalet och Uppdraget till upphörande innan ändringarna träder i kraft.

7. SÄKERHET

7.1 SIFFROR åtar sig att vidta alla åtgärder som krävs enligt artikel 32 GDPR, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som behandlingen innebär och typen av personuppgifter som ska skyddas. Detta innefattar bland annat att SIFFROR ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för fysiska personers rättigheter och friheter. Vid bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till risk för oavsiktlig eller olaglig förstöring, förlust, ändring eller till obehörigt röjande eller åtkomst till personuppgifterna.

7.2 SIFFROR avgör hur åtgärderna ska implementeras inom sin verksamhet för att uppnå den skyddsnivå som krävs. SIFFROR har rätt att ändra de genomförda åtgärderna, under förutsättning att den säkerställda säkerhetsnivån inte är lägre, än den som säkerställs av de åtgärder som gäller vid Biträdesavtalets ingående.

7.3 SIFFROR intygar att dennes verksamhet bedrivs på sätt som säkerställer att bestämmelser och krav enligt GDPR avseende adekvat skydd för behandlingar efterlevs och uppnås.

8. GRANSKNING

8.1 SIFFROR ska ge Kunden tillgång till all information samt tillhandahålla upplysningar och handlingar som krävs för att visa att de skyldigheter som åligger SIFFROR enligt detta Biträdesavtal och artikel 28 GDPR har fullgjorts.

8.2 SIFFROR ska även möjliggöra och bidra till granskningar samt inspektioner avseende behandling av personuppgifterna som omfattas av detta Biträdesavtal, som genomförs av Kunden eller annan revisor som denne bemyndigar. Sådan granskning och/eller inspektion ska omfattas av följande villkor:
    a) granskningen får enbart omfatta personuppgifter som SIFFROR behandlar för Kundens räkning enligt detta Biträdesavtal;
    b) granskningen ska genomföras på Kundens bekostnad;
    c) granskningen ska genomföras enbart på SIFFRORs registrerade enheter och kontor samt enbart omfatta personalen som är involverade vid behandlingen av personuppgifterna som omfattas av detta Biträdesavtal;
    d) granskningen får enbart genomföras under högst två (2) arbetsdagar (helgfria vardagar) mellan kl. 09:00-16:00, och ska utföras så smidigt och effektivt som möjligt för att minimera störningar i SIFFRORs verksamhet;
    e) granskningen får inte avslöja eventuella företagshemligheter som skyddas av lag;
    f) granskningen ska inte utföras mer än en (1) gång per år, såvida det inte föreligger skälig misstanke om brott mot Biträdesavtalet, konstaterat brott mot instruktionerna, eller om det krävs enligt tillämplig lag, myndighetsbeslut eller liknande;
    g) information om avsikten att genomföra en granskning ska meddelas till SIFFROR via e-post minst trettio (30) kalenderdagar före det önskade datumet för genomförandet av granskningen. SIFFROR har rätt att föreslå ett nytt datum för granskningen, som ska infalla inom sju (7) arbetsdagar efter det av Kunden föreslagna datumet.

8.3 Kunden ansvarar för att tillse att SIFFROR får tillgång till en skriftlig rapport utan onödigt dröjsmål efter genomförd granskning, som innehåller sammanfattningar av resultaten av granskningen. Rapporten ska utgöra konfidentiell information som inte får delges till tredje part, utan SIFFRORs föregående skriftliga tillstånd, under förutsättning att delgivande inte krävs enligt tillämplig lag.

8.4 SIFFROR ska även tillåta statlig myndighet att genomföra de granskningar som krävs enligt lag avseende behandling av personuppgifter.

9. PERSONUPPGIFTSINCIDENT

9.1 SIFFROR ska skriftligen informera Kunden utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident beträffande personuppgifter som omfattas av detta Biträdesavtal.

10. ANSVAR

10.1 Vid skadestånd på grund av felaktig behandling av personuppgifter, som genom ett fastställt domslut eller förlikning, ska betalas till den registrerade på grund av överträdelse av bestämmelserna i detta Biträdesavtal och/eller tillämplig dataskyddslagstiftning, ska artikel 82 GDPR tillämpas.

10.2 Eventuella administrativa böter/sanktionsavgifter enligt artikel 83 GDPR eller kapitel 6 i lagen (SFS 2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska bäras av den Part som sanktionsavgiften påförs. Om dock en sanktionsavgift påförs en Part på grund av den andra Partens överträdelse av bestämmelserna i detta Biträdesavtal och/eller tillämplig dataskyddslagstiftning, ska den överträdande Parten ersätta och hålla den icke-överträdande Parten skadeslös för de skador som den icke-överträdande Parten ådragit sig till följd av den administrativa sanktionsavgiften.

10.3 Skyldigheten för någon av Parterna att hålla den andra Parten skadeslös i enlighet med klausul 10.1 och 10.2 ovan ska utgöra den enda och exklusiva åtgärden avseende någon överträdelse av de relevanta dataskyddsreglerna av den berörda Parten.

11. AVTALSTID OCH AVTALETS UPPHÖRANDE

11.1 Detta Biträdesavtal gäller så länge som SIFFROR behandlar personuppgifter för Kundens räkning.

12. TILLÄMLIG LAG OCH TVISTELÖSNING

12.1 Biträdesavtalet ska tolkas och tillämpas i enlighet med svensk lag och rätt.

12.2 Tvister som uppstår i anledning av detta Biträdesavtal ska slutligt avgöras genom det tvistelösningsförfarande som avtalats i Uppdragsavtalet.

BILAGA: Instruktioner för personuppgiftsbehandlingen

Utöver vad som anges i Biträdesavtalet ska SIFFROR även följa nedanstående instruktioner vid behandling av personuppgifter för Kundens räkning: