Välj en sida

Mellan

Kunden (företag, förening eller organisation)
Företagsnamn
Adress
Postnummer och ort
Org-nr. XXXXXXXX – XXXX

(hädanefter ”Dataansvarige”, ”Huvudanvändare”)

eMailplatform AB
Vinsta Skolgränd 4
162 70 Vällingby
Org-nr. 559201-8799
(hädanefter ”Datahanteraren”)

(Den Dataansvarige och Datahanteraren kommer även att bli benämnda som ”Part” och tillsammans som ”Parter/Parterna”)
Har till dags dato ingått följande Datahanteringsavtal.

1. BAKGRUND OCH FORMALIA

1.1 Parterna har avtalat leverans av tjänster från Datahanteraren till den Dataansvarige, som närmare finns beskrivet i Datahanterarens Villkor, som är accepterat av Kunden, och som bifogas som bilaga 1 till detta avtal (hädanefter ”Huvudavtal”).

1.2 I denna förbindelse behandlar Datahanteraren personupplysningar på vägnar av den Dataansvarige, varför Parterna har ingått detta Datahanteringsavtal med tillhörande bilagor (hädanefter ”Datahanteringsavtalet”)

1.3 Datahanteringsavtalet har som syfte att säkra, att Datahanteraren följer den till var tid gällande persondatarättsliga regler:

  • Dataskyddsförordningen (GDPR , The General Data Protection Regulation (EU) 2016/L119, 4 maj 2016).
  • Persondataförordningen (Europaparlamentets förordning (EU) 2016/679, 27 april 2016).

Se www.datainspektionen.se/lagar–regler/dataskyddsforordningen/

2. OMFATTNING

2.1 Datahanteraren ges mandat att hantera behandling av personupplysningar på den Dataansvariges vägnar på de villkor som är definierade i Datahanteringsavtalet.

2.2 Datahanteraren får hantera och behandla personupplysningar efter dokumenterad instruktion från Dataansvariga (hädanefter ”Instruktion”). Datahanteringsavtalet inkl. bilagor utgör Instruktionen vid signeringstillfället.

2.3 Instruktionen kan till var tid ändras eller konkretiseras närmare av Dataansvarig.

2.4 Datahanteraren får, om inget annat framgår av Datahanteringsavtalet, använda alla relevanta hjälpmedel (IT-system).

3. GILTIGHETSTID

3.1 Datahanteringsavtalet är giltigt till:

a) Samarbetsavtalet för leverans av tjänster upphör – eller –

b) Datahanteringsavtalet skriftligen uppsäges eller upphävs.

4. DATAHANTERARENS FÖRPLIKTELSER

4.1 Tekniska och organisatoriska säkerhetsåtgärder

4.1.1 Datahanteraren har ansvar för att genomföra nödvändiga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa en tillräckligt hög säkerhetsnivå. Säkerhetsåtgärderna skall genomföras under hänsyn taget till den aktuella tekniska nivån, implementeringsomkostnader och den berörda behandlingens karaktär, omfattning, sammansättning och syfte samt efter riskbedömning hur fysisk persons rättigheter kan påverkas. Datahanteraren skall bl.a. ta kategorin personupplysningar beskrivet i bilaga 1.1 i betraktning vid fastställande av dessa åtgärder.

4.1.2 Datahanteraren genomför de nödvändiga tekniska och organisatoriska åtgärder på ett sätt, att Datahanterarens behandling av personupplysningar uppfyller kraven i den till var tid gällande persondataförordning.

4.2 Ansvar för anställda

4.2.1 Datahanteraren skall säkerställa att medarbetare, som behandlar personupplysningar, för Datahanteraren, har förpliktat sig till konfidentialitet eller är arbetar under tystnadsplikt.

4.2.2 Datahanteraren skall säkra, att tillgången till personupplysningarna begränsas till de medarbetare, som det är nödvändigt att behandla personupplysningar för att kunna uppfylla Datahanterarens förpliktelser gentemot den Dataansvarige.

4.2.3 Datahanteraren skall säkerställa, att medarbetare, som behandlar personupplysningar för Datahanteraren, behandlar dessa i enlighet med Instruktionen.

4.3 Dokumentation av överensstämmelse

4.3.1 Datahanteraren skall på skriftlig anmodan dokumentera gentemot den Dataansvarige, att Datahanteraren:

a) Uppfyller sina skyldigheter enligt Datahanteringsavtalet och instruktionerna, och

b) Överensstämmer med bestämmelserna i gällande personuppgiftsreglering när som helst med avseende på de personuppgifter som behandlas för Dataansvariges räkning.

4.3.2 Datahanterarens standarddokumentation framgår av de accepterade Villkor (bilaga 1). Önskar Kunden att motta ytterligare dokumentation efter pkt. 4.3.1 skall Kunden konkretisera och specificera vilken dokumentation som önskas.

4.4 Säkerhetsöverträdelse

4.4.1 Datahanteraren skall underrätta den Dataansvariga om brott mot persondatasäkerheten, som potentiellt kan leda till oavsiktlig eller olaglig förstörelse, förlust, ändring, oauktoriserad spridning av eller tillgång till personupplysningarna behandlat för den Dataansvarige (hädanefter ”Säkerhetsöverträdelse”).

4.4.2 Säkerhetsöverträdelse skall meddelas Dataansvarige skyndsamt.

4.4.3 Datahanteraren skall kunna tillhandahålla en översikt över alla säkerhetsöverträdelser. Översikten skall som minimum dokumentera följande:

a) De faktiska omständigheterna kring Säkerhetsöverträdelser,

b) Säkerhetsöverträdelsens omfattning, och

c) Vidtagna åtgärder.

4.4.4. Översikten skall efter skriftlig anmodan vara behjälplig för Dataansvarige och tillsynsmyndighet.

4.5 Bistånd

4.5.1 Datahanteraren skall i nödvändig och rimlig omfattning bistå Dataansvariges uppfyllelse av dennes förpliktelser vid behandling av personupplysningarna, som är omfattad av Datahanteringsavtalet, vid:

a) Svar på registrerade i utövandet av sina rättigheter,

b) Säkerhetsöverträdelse,

c) Konsekventsanalyser, och

d) Föregående samråd av tillsynsmyndigheterna.

4.5.2 Datahanteraren skall inklusive att erhålla den information som måste ingå i en anmälan till tillsynsmyndigheten i den mån dataprocessorn är närmast detta.

4.5.3 Datahanteraren har rätt till betalning av tid och material för bistånd enligt detta avsnitt punkt 4.5.

5. DATAANSVARIGES FÖRPLIKTELSER

5.1 Dataansvariga har de förpliktelser, som framgår av bilaga 2.

6. DATABEHANDLING AV UNDERLEVERANTÖRER

6.1 Datahanteraren har rätt att använda en tredjepart för behandling av personupplysningar för den Dataansvarige (”Underleverantör”) i den omfattning som framgår av:

a) Bilaga 3 till detta Datahanteringsavtal, eller

b) Instruktion från Dataansvarige.

6.2 Datahanteraren och Underleverantören skall ingå ett skriftligt avtal, som förpliktar Underleverantören samma dataskyddsförpliktelser, som åligger Datahanteraren (inkluderat i Datahanteringsavtalet).

6.3 Dataansvarige skall på skriftlig anmodan dela alla Underleverantörsavtal som omfattas av punkt 3 som är ingångna med eventuella underleverantörer.

6.4 Underleverantörens avtal skall vara ett eget avtal mellan Underleverantören och Dataansvarige. Kommunikation med Underleverantören kan
av Datahanteraren, om inget annat avtalats. Eventuella ändringar i avtalet eller i Instruktionen från Dataansvarige skall videreförmedlas av Datahanteraren till Underleverantören.

6.5 Datahanteraren är ansvarig för Underleverantörens behandling av personupplysningar på samma sätt som hantering av Datahanteraren själv.

7. TREDJELAND OCH INTERNATIONELLA ORGANISATIONER

7.1 Datahanteraren måste kunna överföra personupplysningar till tredjeland eller internationella organisationer i den omfattning detta framgår av Instruktionen från Dataansvarige.

7.2 Överföringar av personupplysningar skall vid varje tillfälle endast ske i den omfattning som är tillåtet enligt den till var tid gällande Persondataförordningen.

8. DATABEHANDLING UTANFÖR AVTALET

8.1 Datahanteraren kan behandla personupplysningar utanför avtalet i undantagsfall, när det krävs av EU-rätten eller nationell rätt, som Datahanteraren är underlagd.

8.2 Vid behandling av personupplysningar utanför avtalet skall Datahanteraren underrätta Dataansvarige om orsaken till detta. Underrättelsen skall ske, innan behandlingen genomförs och skall innehålla en hänvisning till de rättsliga krav som ligger till grund för behandlingen.

8.3 Underrättelse skall inte ske, om underrättelse är i strid med EU rätten eller nationell rätt.

9. AVTALSBROTT

9.1 Uppgörelsen av standard i kontraktet för tillhandahållandet av Huvudavtalet (bilaga 1) gäller även för detta Datahanteringsavtal, som om detta Datahanteringsavtal var en integrerad del av det.

Om avtalet för tillhandahållandet av Huvudtjänsterna inte fattar ett beslut, gäller det allmänna brottet mot tillämplig lag för denna Datahanteringsavtal.

10. ANSVAR OCH ANSVARSBEGRÄNSNING

10.1 Reglering av ansvar och ansvarsbegränsningar i de antagna villkoren i Huvudavtalet (bilaga 1) gäller även för denna Datahanteringsavtal, som om detta Datahanteringsavtal var en integrerad del av det.

11. FORCE MAJEURE

11.1 Förordningen om force majeure i de antagna villkoren i Huvudavtalet (bilaga 1) gäller även för detta Datahanteringsavtal, som om detta Datahanteringsavtal var en integrerad del av det.

12. UPPSÄGNING OCH UPPHÖRANDE

12.1 Datahanteringsavtalet kan kan endast uppsägas i enlighet med bestämmelserna om uppsägning och upphörande i de antagna villkoren (bilaga 1).

13. UPPHÖRANDE EFFEKT

13.1 Datahanterarens behörighet att behandla personuppgifter på Dataansvariges vägnar upphör att gälla vid uppsägning av Datahanteringsavtalet, oavsett anledning. Uppsägning regleras genom uppsägningstiden och utförandet, vilket regleras i Huvudavtalet (bilaga 1).

13.2 Datahanteraren måste återlämna, som i praktiken sker enligt reglerna i Huvudavtalet (bilaga 1), till alla personupplysningar (med undantag av information som berikats på Datahanteraren plattform och statistik och beteendeuppgifter) som Datahanteraren har behandlat enligt detta Datahanteringsavtal, till Dataansvarige vid uppsägning av Datahanteringsavtalet. I den mån Dataansvarige inte redan har personuppgifterna. Datahanteraren är då skyldig att inom de tidsgränser som anges i Huvudavtalet (bilaga 1), radera all personlig data från Datahanteraren. Dataansvarige kan begära nödvändig bevisning för att detta har hänt. I praktiken sker denna borttagning genom en radering av Dataansvariges åtkomst till Datahanterarens plattform.

Utöver detta utförs det aktuella backup-proceduren 90-120 dagar av Datahanteraren och Underleverantörer.

14. FÖRETRÄDE

14.1 Om det finns en konflikt mellan detta Datahanteringsavtal och Huvudavtalet (bilaga 1) angående tillhandahållandet av huvudtjänsterna, har Huvudavtalet (bilaga 1) företräde, om inte annat följes direkt av Datahanteringsavtalet.

Datahanteringsavtal, bilaga 1 – Huvudavtal

Se länk.

Datahanteringsavtal, bilaga 2 – Dataansvariges förpliktelser

1. Förpliktelser

1.1 Den Dataansvarige har följande förpliktelser:

a) Att säkerställa att hanteringen av personupplysningar följer alla lagliga direktiv i linje med Persondataförordningen, och att godkända Villkor (bilaga 1) till var tid efterlevs.

Datahanteringsavtal, bilaga 3 – Underleverantörer

1. Generellt

1.1 Dataansvarige ger härmed sitt godkännande till, att Datahanteraren använder följande
Underleverantörer:

a) Sentia Solutions A/S, Smedeland 32 2600 Glostrup, CVR.nr. 25464737 (leverar fysisk infrastruktur, hosting, samt serverkapacitet och säkerhet).

b) Google Cloud Platform, placerad inom EU med planerad överflytning till Norden så snart detta center öppnar (planerat 2019). CVR nr. 28866984

1.2 Den Dataansvarige meddelar med Databehandlingsavtalet sitt generella skriftliga godkännande till, att Datahanteraren har rätt att använda Underleverantörer. Datahanteraren skall skriftligt underrätta Dataansvarige om användande av en Underleverantör innan tjänsten verkställs. I tillägg skall Datahanteraren underrätta Dataansvarige om användandet av en Underleverantör upphör.

1.3 Dataansvarige har möjlighet att göra invändningar mot användning av Underleverantör i den omfattning detta är praktiskt möjligt.

2. Särskillda villkor

2.1 Dataansvarige accepterar, att Datahanteraren använder standardapplikationer, lösningar och hårdvara från t.ex. Apple, Google och Microsoft.