Personuppgiftsbiträdesavtal WebshopOnline

1 Inledning 1.1 Genom detta personuppgiftsbiträdesavtal (härefter Personuppgiftsbiträdesavtalet) uppfyller Parterna det krav som uppställs i Gällande dataskyddslagstiftning om att det ska finnas ett Skriftligt avtal när den Personuppgiftsansvarige överlåter till ett Personuppgiftsbiträde att behandla personuppgifter för den Personuppgiftsansvariges räkning. Syftet med Personuppgiftsbiträdesavtalet är att säkerställa att den registrerades personuppgifter erhåller en adekvat skyddsnivå.

1.2 Personuppgiftsbiträdesavtalet utgör en bilaga till Användaravtalet till Tjänsten WebshopOnline och omfattar samma tidsperiod som Användaravtalet. Genom Personuppgiftsbiträdesavtalet och Användaravtalet ger den Personuppgiftsansvarige instruktioner till Personuppgiftsbiträdet om hur Personuppgiftsbiträdet ska utföra uppdraget. Ytterligare instruktioner om behandling av personuppgifter ska följa de formkrav som uppställs i detta Personuppgiftsbiträdesavtal.

2 Definitioner Dessa begrepp, med inledande versal, används konsekvent i avtalet och definieras enligt följande:
Med Användaravtal avses vid varje tidpunkt gällande användaravtal, tillgängligt https://www.webshop-online.se/Användaravtal
Med Behörig tillsynsmyndighet avses för Sveriges vidkommande Datainspektionen.
Med Personuppgiftsbiträdesavtal avses detta Skriftliga personuppgiftsbiträdesavtal mellan Parterna.
Med Gällande dataskyddslagstiftning avses Personuppgiftslagen (1998:204), Personuppgiftsförordningen (1998:1191), EU:s allmänna dataskyddsförordning (EU) 2016/679 (General Data Protection Regulation, ”GDPR”) och annan tillämplig dataskyddslagstiftning. Vid konflikt mellan lagarna har den allmänna dataskyddsförordningen företräde fr.o.m. den 25 maj 2018.
Med Part avses Personuppgiftsansvarig eller Personuppgiftsbiträde.
Med Parter avses Personuppgiftsansvarig och Personuppgiftsbiträde.
Med Personuppgiftsansvarig avses användare av WebshopOnline.
Med Personuppgiftsbiträde avses Dartur Online, org.nr: 840520-1958.
Med Underbiträde avses underleverantör som anlitats av Personuppgiftsbiträdet.
Med Tjänsten avses WebshopOnline butikssystem.
Med Skriftligen avses skriftligen inbegripet i elektronisk form.
Samtliga begrepp i avtalet ska tolkas i enligt med de definitioner som anges i Förordning (EU) 2016/679 (”allmän dataskyddsförordning”) och i enlighet med praxis.

3 Personuppgiftsansvariges ansvar och instruktioner Lagstöd för all behandling av personuppgifter 3.1 Den Personuppgiftsansvarige ska säkerställa att all behandling av personuppgifter är tillåten enligt Gällande dataskyddslagstiftning.

Endast personuppgifter som är nödvändiga för ändamålet 3.2 Den Personuppgiftsansvarige får endast tillhandahålla Personuppgiftsbiträdet sådana personuppgifter som är nödvändiga för att uppnå ändamålet för behandlingen.

4 Behandling av personuppgifter av Personuppgiftsbiträdet Personuppgiftsbiträdets skyldigheter 4.1 Enligt punkt 1.2 ovan, ska den Personuppgiftsansvarige genom detta Personuppgiftsbiträdesavtal och Användaravtal ge instruktioner till Personuppgiftsbiträdet om hur Personuppgiftsbiträdet ska behandla personuppgifter och fullgöra sina skyldigheter enligt Personuppgiftsbiträdesavtalet och Gällande dataskyddslagstiftning för den Personuppgiftsansvariges räkning. För vidare behandling utöver Personuppgiftsbiträdesavtal och Användaravtalen, ska den Personuppgiftsansvarige tillhandahålla kompletterande instruktioner till Personuppgiftsbiträdet. Instruktionerna ska vara Skriftliga och den Personuppgiftsansvarige ansvarar för att de kompletterande Skriftliga instruktionerna är tillåtna enligt punkt 3.1 och 3.2, ovan. Skulle instruktionerna strida mot punkt 3.1 eller 3.2 ovan, förbehåller sig Personuppgiftsbiträdet att vägra tillmötesgå den kompletterande behandlingen.

4.2 Personuppgiftsbiträdet får endast behandla personuppgifter enligt Personuppgiftsansvariges instruktion och enligt Gällande dataskyddslagstiftning. Uppmärksammar Personuppgiftsbiträdet att den Personuppgiftsansvarige har lämnat felaktiga, ofullständiga eller bristfälliga instruktioner, ska denna utan oskäligt dröjsmål Skriftligen meddela den Personuppgiftsansvarige om detta.

Personuppgiftsbiträdets uppgifter 4.3 Personuppgiftsbiträdet behandlar personuppgifter åt den Personuppgiftsansvarige genom att tillåta lagring på Personuppgiftsbiträdets servrar. Lagring innefattar även backup enligt Användaravtalet. Personuppgiftsbiträdet behandlar även uppgifter till Personuppgiftsansvariges användare av tjänsten för att kunna uppfylla sina förpliktelser i enlighet med Användaravtalet. Med beaktande av genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska Personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt anonymisering av personuppgifter, förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna, förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

Kontakt med tillsynsmyndighet 4.4 Personuppgiftsbiträdet får inte företräda den Personuppgiftsansvarige inför Behörig tillsynsmyndighet. Personuppgiftsbiträdet ska Skriftligen informera den Personuppgiftsansvarige om kontakter som denna haft med Behörig tillsynsmyndighet avseende behandling av personuppgifter.

Förfrågan från en registrerad 4.5 Förfrågan från en registrerad ställd till Personuppgiftsbiträdet om hur dennes eller dennas personuppgifter behandlas utöver det som innefattas i Tjänsten, ska utan oskäligt dröjsmål vidarebefordras till den Personuppgiftsansvarige.

5 Personuppgiftsbiträdets ansvar 5.1 Inom ramen för Personuppgiftsbiträdets rättsliga skyldigheter ska Personuppgiftsbiträdet bistå den Personuppgiftsansvarige med att fullgöra sina skyldigheter enligt Gällande dataskyddslagstiftning. Det innefattar att bistå vid enskilds hävdande av rättigheter så som rätten till registerutdrag, rättelse av uppgifter, dataportabilitet samt rätten att bli glömd/raderad. Avser den Personuppgiftsansvariges begäran samverkan avseende konsekvensbedömningar för dataskydd, samverkan avseende förhandssamråd med Integritetsmyndigheten eller annan behörig tillsynsmyndighet eller samverkan avseende utformningen av tekniska och organisatoriska åtgärder för dataskydd hos den Personuppgiftsansvarige, är Personuppgiftsbiträdet berättigat till ersättning enligt vid var tid gällande timtaxa. Personuppgiftsbiträdet ska Skriftligen informera den Personuppgiftsansvarige om att det begärda arbetet ska debiteras i enlighet med vid var tid gällande timtaxa innan ett sådant arbete kan påbörjas.

Utlämnande av Personuppgifter 5.2 Personuppgiftsbiträdet får inte, utan Personuppgiftsansvariges samtycke, föreläggande från relevant tillsynsmyndighet eller tvingande lagstiftning samla in eller lämna ut personuppgifter från eller till någon tredje part om inte annat Skriftligen överenskommits, ändra metod för behandling, kopiera eller återskapa personuppgifter eller på något annat sätt behandla personuppgifter för andra ändamål än dem som anges i de dokumenterade instruktionerna.

Överföring av personuppgifter 5.3 Personuppgiftsbiträdet får inte överföra några personuppgifter till en stat utanför EU-området eller till en stat som inte omfattas av undantagen till förbud mot överföring till tredje land.
Undantag till förbud mot överföring till tredje land:
EU-kommissionen har analyserat dataskyddsreglerna i några länder och fattat beslut om att skyddsnivån i dessa länder är adekvat. Besluten gäller:

Andorra
Argentina
Bailiwick of Guernsey
Färöarna
Isle of Man
Israel
Jersey
Nya Zeeland
Schweiz
Uruguay

Dessutom har EU-kommissionen tidigare bedömt att skyddsnivån är adekvat på vissa områden eller under särskilda villkor i följande länder:
Kanada (om deras lagstiftning för skydd av personuppgifter i privat sektor är tillämplig på mottagarens personuppgiftsbehandling)
USA (om mottagaren har anslutit sig till Privacy Shield)
EU-kommissionens beslut finns uppräknade i en bilaga till personuppgiftsförordningen. I förordningen anges också uttryckligen att överföring är tillåten i dessa fall.

6 Säkerhet och sekretess Sekretess mellan Parterna 6.1 Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder samt rutiner begränsa tillgången till personuppgifter till endast behörig personal. Endast personer med sekretessförbindelse får behandla personuppgifterna i Personuppgiftsbiträdets samt Underbiträdens organisationer.

Visa efterlevnad av Personuppgiftsbiträdesavtalet och Gällande dataskyddslagstiftning 6.2 Personuppgiftsansvarige äger rätt att kontrollera att Personuppgiftsbiträdets behandling av personuppgifter följer Personuppgiftsbiträdesavtalet och Gällande dataskyddslagstiftning. Vid sådan kontroll ska Personuppgiftsbiträdet ge Personuppgiftsansvarige den assistans som behövs för genomförande av kontroll.

Vid personuppgiftsincident 6.3 Personuppgiftsbiträdet ska utan oskäligt dröjsmål från att det kommit till Personuppgiftsbiträdets kännedom, underrätta den Personuppgiftsansvarige om förekomsten av, eller risken för en personuppgiftsincident. Underrättelse enligt första stycket ovan ska innehålla all nödvändig och tillgänglig information som den Personuppgiftsansvarige behöver för att utreda en inträffad eller befarad personuppgiftsincident.

7 Underbiträden 7.1 Personuppgiftsansvarige ger i och med detta avtal ett förhandstillstånd till Personuppgiftsbiträdet att anlita nya Underbiträden för att kunna uppfylla sina förpliktelser i enlighet med Användaravtalet. Om Personuppgiftsbiträdet planerar att byta ut eller anlita nytt Underbiträde ska Personuppgiftsbiträdet i förväg informera Personuppgiftsansvarige så att Personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.

7.2 Bilaga 1 innehåller en lista på i förhand godkända Underbiträden från och med dagen för ikraftträdandet av detta Personuppgiftsbiträdesavtal.

8 Ansvar för skada 8.1 Om tredje man riktar krav, inklusive eventuella administrativa sanktionsavgifter från tillsynsmyndighet, mot den Personuppgiftsansvarige på grund av Personuppgiftsbiträdets behandling av personuppgifter enligt detta Personuppgiftsbiträdesavtal ska Personuppgiftsbiträdet hålla den Personuppgiftsansvarige skadeslös för sådana krav och kostnader som är hänförliga till Personuppgiftsbiträdets behandling av personuppgifter i strid med tillämplig dataskyddslagstiftning eller detta Personuppgiftsbiträdesavtal. Om tredje man riktar krav, inklusive eventuella administrativa sanktionsavgifter från tillsynsmyndighet, mot Personuppgiftsbiträdet på grund av den Personuppgiftsansvariges bristande eller lagstridiga instruktioner eller brott mot detta Personuppgiftsbiträdesavtal eller tillämplig dataskyddslagstiftning ska den Personuppgiftsansvarige hålla Personuppgiftsbiträdet skadeslös för sådana krav och kostnader.

8.2 Under inga omständigheter ska Personuppgiftsbiträdet enligt punkt 8.1 ansvara för indirekt skada eller förlust, såvida inte skadan eller förlusten orsakats av Personuppgiftsbiträdets uppsåt eller grova oaktsamhet.

8.3 Personuppgiftsbiträdets totala ansvar för krav enligt 8.1 som är hänförligt till överträdelse av bestämmelse i artikel 83 punkt 4 och punkt 5 är begränsat till ett sammanlagt belopp motsvarande 100 procent av Användaravtalets värde för den aktuella avtalsperioden (12 månader). Personuppgiftsbiträdets totala ansvar för övriga krav enligt 8.1 är begränsat till ett sammanlagt belopp motsvarande av Användaravtalets värde för den aktuella avtalsperioden (12 månader), eller motsvarande estimerat värde om fakturering ännu inte har skett, för Tjänsten.

9 Personuppgiftsbiträdesavtalets varaktighet 9.1 Personuppgiftsbiträdesavtalet gäller från och med dagen för ikraftträdandet och under den tid Personuppgiftsbiträdet behandlar personuppgifter i enlighet med Personuppgiftsansvariges instruktioner.

Återlämnande eller radering av personuppgifter 9.2 Efter det att behandlingen på Personuppgiftsansvariges vägnar har avslutats, ska personuppgiftsbiträdet återlämna eller radera personuppgifterna, såvida inte lagring av personuppgifterna krävs enligt lag som Personuppgiftsbiträdet omfattas av. Om personuppgifterna ska återlämnas ska det ske utan onödigt dröjsmål och i ett allmänt och läsbart elektroniskt format.

10 Kommunikation mellan Parterna All kommunikation mellan parterna ska ske Skriftligt. Kommunikationen ska i första hand ske på svenska och i andra hand på engelska.

11 Tillämplig lag och tvist Tvist avseende tolkning eller tillämpning av detta Personuppgiftsbiträdesavtal ska avgöras enligt bestämmelserna om tillämplig lag och tvist i Användaravtalet. Användaravtalet har vid tvist om tolkning eller tillämpning tolkningsföreträde.

Bilaga 1 : Underbiträden WebshopOnline använder i dagsläget inga Underbiträden.