Personuppgiftsbiträdesavtal till tjänsten MKassist

Detta personuppgiftsbiträdesavtal (detta ”Avtal”) gäller mellan:

  1. MKassist AB, org.nr. 556877‐2809 (”Biträdet”) och
  2. Användare av tjänsten MKassist och personuppgiftsansvarig (”Ansvarig”)

(härefter enskilt benämnd ”part” och tillsammans ”parterna”).

1Bakgrund och syfte

En prenumeration i MKassist innebär bl.a. att Biträdet i egenskap av Personuppgiftsbiträde behandlar Personuppgifter för vilka Ansvarig är Personuppgiftsansvarig enligt Dataskyddsförordningen (2016/679) (”GDPR”). GDPR uppställer krav på att skriftligt avtal träffas mellan den som är Personuppgiftsansvarig och den som är Personuppgiftsbiträde (personuppgiftsbiträdesavtal). Detta Avtal reglerar Biträdets Behandling av Personuppgifter för Ansvarigs räkning samt den integritetsnivå som ska uppnås vid Behandlingen.

2Lagval och definitioner

  1. Vid Biträdets Behandling av Personuppgifter ska svensk lag tillämpas.
  2. Såvida inte annat framgår av detta Avtal ska begrepp med stor begynnelsebokstav ha den innebörd som de ges i GDPR. Med ”Personuppgift” avses i detta Avtal all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och för vilka Ansvarig är Personuppgiftsansvarig.

3Behandling av personuppgifter

Personuppgiftsbiträdet behandlar personuppgifter åt den Personuppgiftsansvarige genom att tillåta lagring på Personuppgiftsbiträdets servrar. Lagring innefattar även back‐up‐hantering. Personuppgiftsbiträdet utför ingen annan behandling utöver denna lagring och back‐up.

  1. Biträdet ska endast behandla Personuppgifter i enlighet med detta Avtal, GDPR och dess förordning, Datainspektionens föreskrifter, och Ansvarigs vid var tid gällande instruktioner.
  2. Biträdet får inte behandla Personuppgifter för egna eller några andra ändamål än dem som Biträdet anlitats för av Ansvarig.

4Säkerhetsåtgärder

  1. Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som behandlas enligt vad som stadgas i Artikel 28 § 1 st GDPR.
  2. Personuppgiftsbiträdet intygar genom detta Biträdesavtal att denne besitter tillräcklig och nödvändig teknisk och organisatorisk kapacitet samt förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska- och personella resurser, rutiner och metoder för att kunna fullgöra sina skyldigheter enligt detta Biträdesavtal och Gällande dataskyddslagstiftning.
  3. Biträdet ska vidta åtgärder för att samtliga personer som arbetar under dennes ledning följer vad som framgår av detta Avtal och vid var tid gällande instruktioner från Ansvarig, samt att de hålls informerade om innehållet i GDPR.
  4. Biträdet ska se till att de personer som har åtkomst till Personuppgifterna omfattas av sekretess enligt vad som framgår av avsnitt Artikel 14 § 5(d) samt att de är informerade om hur de får behandla Personuppgifterna.
  5. Biträdet ska ha ett behörighetskontrollsystem som förhindrar obehörig Behandling av Personuppgifter eller obehörig åtkomst till Personuppgifter.
  6. Biträdet ska tillhandahålla och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till Personuppgifterna. Vid obehörig Behandling, obehörig åtkomst, förstörelse eller ändring av Personuppgifter, samt försök till dessa, ska Biträdet omedelbart skriftligen underrätta Ansvarig om händelsen.

5Granskning och tillsyn

Ansvarig äger rätt att, själv eller genom eller annan av Ansvarig utsedd tredje part (som inte ska vara en konkurrent till Biträdet) följa upp att Biträdet lever upp till den Ansvariges krav på Behandlingen.

Biträdet ska vid sådan uppföljning bistå Ansvarig eller den som utför granskningen med dokumentation för att kunna följa upp Biträdets efterlevnad av detta Avtal. Biträdet ska även tillförsäkra Ansvarig motsvarande rättigheter i förhållande till anlitade Underbiträden.

Om Datainspektionen eller annan myndighet inleder granskning av Ansvarigs Behandling av Personuppgifter eller om enskild väcker talan mot Ansvarig med anledning av sådan Behandling och frågan rör Behandling som kan antas ha utförts av Biträdet, ska Biträdet i skälig omfattning och mot ersättning för självkostnader bistå Ansvarig med dokumentation och annan information avseende Behandlingen i syfte att möjliggöra för Ansvarig att tillmötesgå myndigheter i deras granskning och bemöta framställda krav.

6Utlämnande av information

Om Den registrerade, Datainspektionen, annan tillsynsmyndighet eller annan tredje man begär information från Biträdet som rör Behandling av Personuppgifter, ska Biträdet hänvisa till Ansvarig. Biträdet får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan skriftligt föregående medgivande från Ansvarig.

Biträdet ska bistå Ansvarig för det fall Den registrerade begär att få ta del av information som finns registrerad om denne i form av Personuppgifter eller begär rättelse av sådan information.

Biträdet ska utan dröjsmål skriftligen underrätta Ansvarig om eventuella kontakter från Datainspektionen eller annan tillsynsmyndighet som rör eller kan vara av betydelse för Behandling av Personuppgifter. Biträdet har inte rätt att företräda Ansvarig eller agera för Ansvarigs räkning gentemot Datainspektionen eller andra tillsynsmyndigheter som rör eller kan vara av betydelse för Behandling av Personuppgifter.

7Sekretess

Biträdet och de personer som arbetar under dennes ledning ska vid Behandling av Personuppgifter iaktta sekretess. Det innebär att Personuppgifter inte obehörigen får röjas för tredje man. Biträdet åtar sig att se till att den eller de personer som arbetar under Biträdets ledning och som kommer att behandla Personuppgifter iakttar och följer Biträdets sekretesskyldighet.

Personuppgifter eller andra handlingar som Biträdet erhåller genom informationsutbyte enligt detta Avtal eller annat avtal parterna emellan får inte utnyttjas eller röjas för annat ändamål än som framgår av detta Avtal eller annat avtal parterna emellan, vare sig direkt eller indirekt, om inte Ansvarig på förhand skriftligen medgivit detta. Sekretesskyldigheten gäller inte information som part kan visa var allmänt känd eller som kommit till parts kännedom från tredje man utan brott mot detta Avtal.

Biträdet får lämna ut Personuppgifter utan att det innebär ett handlande i strid med detta Avtal om Biträdet genom lag eller myndighetsföreläggande är nödgad att lämna ut Personuppgifter. I sådant fall åligger det Biträdet att omgående skriftligen meddela Ansvarig om detta och begära att de efterfrågade Personuppgifterna omfattas av sekretess vid utlämnandet.

Sekretessplikten gäller även om detta Avtal i övrigt upphör.

8Avtalstid, förhållande till övriga avtal och ändringar

Detta Avtal gäller mellan parterna så länge Biträdet behandlar Personuppgifter för vilka Ansvarig är Personuppgiftsansvarig. Vid Avtalets upphörande ska Biträdet tillse att samtliga Personuppgifter överlämnas till Ansvarig.

Biträdet åtar sig att radera samtliga Personuppgifter som behandlats enligt detta Avtal inom 180 dagar från Avtalets upphörande.

Om bakomliggande avtal som innebär att Biträdet behandlar Personuppgifter upphör och nytt sådant avtal träffas utan att ett nytt personuppgiftsbiträdesavtal träffas, gäller detta Avtal även för det nya avtalet.

Ändringar och tillägg till detta Avtal ska, för att vara giltiga, göras skriftligen och undertecknas av båda parter. Sådana ändringar och tillägg till Avtalet träder i kraft 30 dagar efter båda parters undertecknande om inget annat är överenskommet.

9Lagval och tvistlösning

  1. 1Bakgrund och syfte
  2. 2Lagval och definitioner
  3. 3Behandling av personuppgifter
  4. 4Säkerhetsåtgärder
  5. 5Granskning och tillsyn
  6. 6Utlämnande av information
  7. 7Sekretess
  8. 8Avtalstid, förhållande till övriga avtal och ändringar
  9. 9Lagval och tvistlösning