Personuppgiftsbiträdesavtal

Version 2024.01.01

1. Bakgrund och tolkning

1.1 Om Kunden köpt Tjänst(er) som innefattar att GleSYS vid tillhandahållande av sådan Tjänst(er) och fullgörande av Avtalet behandlar personuppgifter som Kunden är personuppgiftsansvarig för agerar GleSYS som Kundens personuppgiftsbiträde. För det fall att Kunden agerar som personuppgiftsbiträde på uppdrag av annan som är personuppgiftsansvarig, (t.ex. bolag inom Kundens koncern eller Kundens kunder) är GleSYS istället underbiträde.

1.2 Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) utgör en integrerad del av Avtalet mellan GleSYS och Kunden. Syftet med Biträdesavtalet är att garantera en säker, korrekt och laglig behandling av personuppgifter, uppfylla krav enligt lag samt att säkerställa adekvat skydd för de personuppgifter som behandlas inom ramarna för detta Biträdesavtal.

1.3 I vissa fall kan Kunden välja att via GleSYS köpa Tredjepartsprodukter som tillhandahålls av extern leverantör genom GleSYS. Vid behandling av personuppgifter inom ramen för sådana Tredjepartsprodukter gäller den externa leverantörens personuppgiftsbiträdesavtal istället för detta Biträdesavtal.

1.4 GDPR och tillsynsmyndighets bindande beslut, rekommendationer och riktlinjer, praxis på dataskyddsområdet, kompletterande lokal anpassning och lagstiftning samt sektorspecifik lagstiftning i förhållande till dataskydd är gemensamt benämnda “Dataskyddsreglerna”.

1.5 Begrepp i detta Biträdesavtal såsom behandling, personuppgift, registrerad, tillsynsmyndighet etc., ska i första hand ha den innebörd som framgår av GDPR och annars av Avtalet om inte annat uppenbarligen framgår av omständigheterna. Begreppen “behandling” och “personuppgifter” hänvisar uteslutande till sådan behandling och sådana personuppgifter som GleSYS behandlar på uppdrag av Kunden enligt detta Biträdesavtal.

2. Instruktioner och ansvar

2.1 Kategorier av personuppgifter och kategorier av registrerade som GleSYS behandlar enligt detta Biträdesavtal samt behandlingens ändamål, art och varaktighet beskrivs i Instruktion om hantering av personuppgifter, Bilaga A, i förhållande till respektive Tjänst.

2.2 Vid behandling av personuppgifter ska GleSYS:

  1. endast behandla personuppgifter enligt Kundens dokumenterade instruktioner. Undantag gäller om behandling krävs enligt GDPR, eller enligt lag som GleSYS eller den som behandlar personuppgifter som underleverantör åt GleSYS (”Underbiträde”) omfattas av. I sådana fall ska GleSYS eller Underbiträdet informera Kunden om det rättsliga kravet innan sådan behandling om detta är möjligt med beaktande av lag;

  2. säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt;

  3. upprätthålla en lämplig säkerhetsnivå för personuppgifterna genom att vidta alla tekniska- och organisatoriska säkerhetsåtgärder som anges i artikel 32 i GDPR på sätt som framgår av punkt 3 nedan;

  4. respektera de villkor som avses i punkterna 2 och 4 i artikel 28 i GDPR för anlitande av ett Underbiträde;

  5. med tanke på behandlingens art, hjälpa Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Kunden kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i GDPR;

  6. bistå Kunden med att se till att skyldigheterna enligt artiklarna 32–36 i GDPR fullgörs, med beaktande av typen av behandling och den information som GleSYS har att tillgå;

  7. beroende på vad Kunden väljer, radera eller återlämna alla personuppgifter till Kunden efter att Avtalet har upphört, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller EU-medlemsstaternas nationella rätt; och

  8. ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som fastställs i artikel 28 i GDPR och detta Biträdesavtal har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en annan revisor som parterna kommit överens om.

2.3 Om GleSYS anser att en instruktion strider mot Dataskyddsreglerna, ska GleSYS inom skälig tid informera Kunden om sin inställning och invänta Kundens justerade skriftliga instruktioner. Om Kunden inte lämnar nya instruktioner inom skälig tid ska GleSYS ha rätt att på Kundens bekostnad vidta skäliga och nödvändiga säkerhetsåtgärder för att uppfylla Dataskyddsreglerna. Vidare ska GleSYS omedelbart informera Kunden om ändringar som påverkar GleSYS skyldigheter enligt detta Biträdesavtal. GleSYS ska inte vidta någon åtgärd som får till följd att Kunden kan anses agera i strid med GDPR.

2.4 Kunden åtar sig att följa Dataskyddsreglerna. Kunden ska särskilt:

  1. vara kontaktyta gentemot registrerade och svara på deras frågor angående behandlingen av deras personuppgifter;

  2. säkerställa att behandlingen av personuppgifter sker i enlighet med lag, tillhandahålla information till registrerade enligt artiklarna 13 och 14 i GDPR och vidmakthålla ett register över behandlingar under dess ansvar;

  3. säkerställa att de dokumenterade instruktioner för GleSYS behandling av personuppgifter är korrekta;

  4. informera GleSYS utan dröjsmål om förändringar som påverkar GleSYS skyldigheter i detta Biträdesavtal;

  5. informera GleSYS utan dröjsmål om tredje man vidtar åtgärd eller framställer anspråk gentemot Kunden som ett resultat av GleSYS behandling enligt detta Biträdesavtal; och

  6. informera GleSYS utan dröjsmål om någon annan part är personuppgiftsansvarig eller gemensamt personuppgiftsansvarig med Kunden för behandling av personuppgifter enligt detta Biträdesavtal.

3. Säkerhet

3.1 GleSYS ska implementera tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna mot förstörelse, ändring, obehörigt röjande och obehörig åtkomst. Åtgärderna ska säkerställa en säkerhetsnivå som är lämplig med hänsyn till den senaste tekniken, kostnaderna för genomförandet, arten, omfattningen, sammanhanget och syftet med behandlingen samt riskerna för varierande sannolikhet och svårighetsgrad för rättigheterna och friheterna för fysiska personer.

3.2 Mer detaljerade beskrivningar kring tekniska och organisatoriska säkerhetsåtgärder beskrivs i GleSYS vid var tid tillämpliga Informationssäkerhetspolicy. GleSYS har rätt att ändra sina tekniska och organisatoriska åtgärder under förutsättning att sådana ändringar inte påverkar säkerheten för behandlingen av personuppgifter på ett negativt sätt.

3.3 GleSYS ska underrätta Kunden om oavsiktlig eller obehörig åtkomst till personuppgifter eller annat personuppgiftsintrång utan onödigt dröjsmål efter att ha blivit medveten om sådant dataintrång och i enlighet med artikel 33 i GDPR. Sådant meddelande ska inte på något sätt innebära att GleSYS har begått någon felaktig handling eller underlåtenhet, eller att GleSYS ska bli ansvarig för personuppgiftsintrånget.

3.4 Om Kunden efter Biträdesavtalet ingående kräver ytterligare säkerhetsåtgärder ska GleSYS i möjligaste mån möta dessa krav. GleSYS har rätt till ersättning för de kostnader som följer av GleSYS vidtagande av sådana ytterligare säkerhetsåtgärder på Kundens begäran (om inte Kunden kan visa att dessa krävs enligt Dataskyddsreglerna), GleSYS strävar dock efter att vidta sådana åtgärder utan att det drabbar Kunden ekonomiskt.

4. Utlämnande av personuppgifter och kontakt med tillsynsmyndigheten

4.1 Om det till GleSYS kommer in en begäran från en registrerad, tillsynsmyndigheten eller annan tredje man om att få ta del av personuppgifter som GleSYS behandlar för Kundens räkning ska GleSYS omgående vidarebefordra begäran till Kunden. GleSYS, eller den som arbetar under GleSYS ledning, får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan uttrycklig dokumenterad instruktion från Kunden om inte sådan skyldighet föreligger enligt lag. För det fall GleSYS, enligt lag är förpliktad att lämna ut personuppgifter, ska GleSYS vidta alla åtgärder för att begära sekretess i samband med att begärd information lämnas ut samt omedelbart informera Kunden därom i den mån GleSYS inte är förhindrad att lämna sådan information enligt lag.

4.2 GleSYS ska skyndsamt informera Kunden om eventuella kontakter från tillsynsmyndighet som rör behandling av personuppgifter samt förse Kunden, i den utsträckning lagen tillåter, med all information som i detta avseende är relevant för Kunden. GleSYS har inte rätt att företräda Kunden och får inte agera för Kundens räkning gentemot tillsynsmyndighet.

5. Underbiträden och överföring

5.1 Kunden ger härmed GleSYS ett allmänt förhandstillstånd att anlita Underbiträden. Underbiträden, vid Avtalets ingående, är listade i sammanställningen över underleverantörer i Bilaga B i förhållande till respektive Tjänst. GleSYS ska ingå ett personuppgiftsbiträdesavtal med varje Underbiträde där Underbiträdet åläggs motsvarande skyldigheter i fråga om dataskydd som GleSYS åläggs enligt detta Biträdesavtal. GleSYS är ansvarig gentemot Kunden för Underbiträdens utförande av dess skyldigheter i relation till Kunden.

5.2 GleSYS ska informera Kunden om avsedda ändringar angående tillägg eller utbyte av Underbiträden, för att ge Kunden möjligheten att invända mot sådana ändringar. Sådana invändningar ska göras skriftligen och inom trettio (30) dagar från det att GleSYS informerade Kunden om de avsedda ändringarna i Kontrollpanelen eller till angiven e-post. Om Kunden motsätter sig att GleSYS anlitar ett Underbiträde och parterna inte inom rimlig tid kommer överens, ska vardera part ha rätt att säga upp detta Biträdesavtal och/eller relevanta delar av Avtalet med den uppsägningstid som anges i Avtalet.

5.3 På begäran från Kunden ska GleSYS tillhandahålla Kunden med korrekt och uppdaterad lista utvisande vilka Underbiträden som anlitats för behandlingen av personuppgifter, kontaktuppgifter till Underbiträden, den geografiska platsen för sådan behandling, samt vilka behandlingar av personuppgifter som respektive Underbiträde utför.

5.4 GleSYS och/eller Underbiträden ska inte behandla eller överföra några personuppgifter utanför EU/EES.

6. Ansvar

6.1 Vid ersättning för skada i samband med Biträdesavtalet som genom fastställd dom eller förlikning ska utgå till den registrerad som följd av överträdelse av bestämmelse i Biträdesavtalet, Instruktioner och/eller tillämplig bestämmelse i GDPR ska vad som anges om parts ansvar i GDPR tillämpas. Motsvarande gäller i förhållande till parts ansvar avseende sanktionsavgifter.

6.2 Om GleSYS, den som arbetar under GleSYS ledning eller Underbiträden behandlar personuppgifter i strid med detta Biträdesavtal, Kundens instruktioner eller GDPR, ska GleSYS hålla Kunden skadeslös för skador som Kunden orsakats på grund av den felaktiga behandlingen.

6.3 Om tredje man riktar krav mot GleSYS på grund av Kundens felaktiga eller bristfälliga instruktioner ska Kunden ersätta GleSYS för sådana krav som är direkt hänförliga till Kunden, och förutsatt att GleSYS omedelbart, skriftligen meddelar GleSYS om sådana krav som framställts mot GleSYS samt låter Kunden kontrollera försvaret av kravet, om Kunden så önskar, och ensam fatta beslut om eventuell förlikning.

6.4 GleSYS ansvar i förhållande till annan skada än vad som följer av ovan punkt 6.1 i samband med detta Biträdesavtal är begränsat i enlighet med vad som sägs i Avtalet.

7. Ändringar

7.1 Om Dataskyddsreglerna ändras på ett sätt så att detta Biträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal enligt Dataskyddsreglerna ska parterna ha rätt att begära ändringar av detta Biträdesavtal för att tillgodose sådana nya, ändrade eller förtydligade krav.

7.2 Ändringar enligt ovan punkt 7.1 blir gällande trettio (30) dagar efter ändringsmeddelande från part som önskar att utföra sådan ändring, om inte den andra parten dessförinnan invänt mot föreslagen ändring av detta Biträdesavtal. Om part gör sådan invändning och parterna inte inom rimlig tid kommer överens kan uppsägning göras enligt vad som anges i Avtalet.

7.3 Ändringar av detta Biträdesavtal i övrigt får göras enligt vad som följer av Avtalet.

8. Avtalstid och åtgärder vid upphörande

8.1 Biträdesavtalet gäller från dess det ingåtts och så länge som GleSYS behandlar personuppgifter för Kundens räkning, inklusive genom att radera eller återlämna enligt punkt 8.2 nedan. Biträdesavtalet ska därefter upphöra att gälla.

8.2 Vid Biträdesavtalets upphörande ska GleSYS radera de personuppgifter som GleSYS behandlar under detta Biträdesavtal, inklusive eventuella befintliga kopior, så att aktuella data inte finns kvar och inte går att återskapa hos GleSYS senast trettio (30) dagar efter behandlingens upphörande. Undantag gäller vid fall att lagring av personuppgifterna krävs enligt gällande rätt. GleSYS kan, om Kunden framlägger önskan härom senast fjorton (14) dagar innan Biträdesavtalets upphörande, återlämna personuppgifterna istället för att radera dessa.

8.3 Avsnitt 6 ska gälla även efter Biträdesavtalets upphörande i övrigt.

9. Övrigt

9.1 GleSYS har inte rätt till särskild ersättning för behandling av personuppgifter i enlighet med Biträdesavtalet. Däremot har GleSYS rätt till ersättning enligt gällande prislista för eventuell assistans och arbete som utförs av GleSYS personal i enlighet med detta Biträdesavtal samt merkostnader som uppstår till följd av ändringar i Kundens instruktioner som kräver att GleSYS gör specialanpassningar för Kundens räkning, om Kunden inte kan visa att dessa ändringar är nödvändiga enligt Dataskyddsreglerna.

9.2 Detta Biträdesavtal ersätter eventuella tidigare personuppgiftsbiträdesavtal och/eller övriga skrivningar om personuppgiftbehandling mellan parterna.

9.3 Vid motstridighet mellan bestämmelserna i Avtalet och detta Biträdesavtal ska bestämmelserna i Biträdesavtalet äga företräde i förhållande till behandling av personuppgifter och inget i Avtalet ska anses begränsa eller ändra åtaganden i detta Biträdesavtal i den mån att detta medför att Kunden inte uppfyller kraven enligt GDPR.

9.4 Om Kunden överlåter Avtalet (enligt villkoren i Avtalet) ska detta Biträdesavtal också anses överlåtet till den som övertar Avtalet. Detta Biträdesavtal kan dock fortfarande äga giltighet mellan de ursprungliga parterna. GleSYS får inte överlåta detta Biträdesavtal separat från Avtalet.

9.5 Svensk lag, med undantag av lagvalsregler, ska under alla omständigheter tillämpas på detta Biträdesavtal. Tvister som uppstår i anledning av detta Biträdesavtal ska lösas i enlighet med tvistlösningsbestämmelsen i Avtalet.