Personuppgiftsbiträdesavtal

I de fall vi hanterar personuppgifter på uppdrag av någon annan och vi är personuppgiftsbiträde gäller vårt personuppgiftsbiträdesavtal.

Parter

Caio Cesar AB, 559177-6363, (nedan kallad Personuppgiftsbiträde) och köpare av Caio Cesars tjänster, (nedan kallad Personuppgiftsansvarig) har denna dag ingått följande Personuppgiftsbiträdesavtal (nedan kallat Tjänsteavtal) som en del av Caio Cesars allmänna villkor.

Definitioner

Begrepp och definitioner i detta Avtal ska ha motsvarande betydelse som i Europaparlamentets och Rådets förordning (EU) 2016/679 (nedan kallad dataskyddsförordningen) samt tolkas och tillämpas i enlighet med Tillämplig dataskyddslagstiftning.

Detta innebär bland annat följande:

Behandling avser en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Tillämplig dataskyddslagstiftning avser Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG och de nationella lagar som stiftas till följd av denna förordning. ”Tillämplig dataskyddslagstiftning” inkluderar även bindande vägledningar, utlåtanden, rekommendationer och beslut från tillsynsmyndigheter, domstol eller annan myndighet.

Personuppgiftsansvarig den som på egen hand eller tillsammans med andra, fastställer ändamål och medel för behandlingen av personuppgifterna.

Personuppgiftsbiträde avser den som behandlar personuppgifter på uppdrag av de Personuppgiftsansvarige

Personuppgifter varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifikator som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Personuppgiftsincident avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Innehåll och syfte

Den Personuppgiftsansvarige och Personuppgiftsbiträdet har ingått ett avtal (nedan kallat Tjänsteavtal) angående de tjänster som Personuppgiftsbiträdet ska tillhandahålla den Personuppgiftsansvarige. Med anledning av detta Tjänsteavtal kommer Personuppgiftsbiträdet att behandla personuppgifter för Personuppgiftsansvariges räkning. Detta Avtal har upprättats för att bland annat uppfylla kravet i artikel 28 i dataskyddsförordningen om att det ska finnas ett skriftligt avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde för behandlingen av personuppgifter.

Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet får endast behandla den Personuppgiftsansvariges personuppgifter i syfte att tillhandahålla Caio Cesars tjänster.

Utöver detta får Personuppgiftsbiträdet endast behandla den Personuppgiftsansvariges personuppgifter i enlighet med den Personuppgiftsansvariges instruktioner.

På begäran från Personuppgiftsbiträdet ska sådana instruktioner vara skriftliga.

Personuppgiftsbiträdet åtar sig att tillämpa gällande svensk lagstiftning vid personuppgiftsbehandlingen.

Personuppgiftsbiträdet får inte överföra personuppgifterna till tredje land om adekvat skyddsnivå i mottagarlandet ej kan säkerställas eller om särskilda garantier saknas för att uppgifterna och de registrerades rättigheter skyddas.

Personuppgiftsbiträdet åtar sig att endast lämna ut personuppgifterna till de inom sin egen organisation som behöver tillgång till uppgifterna för att kunna utföra sina arbetsuppgifter och som är bundna av sekretessavtal.

Personuppgiftsbiträdet får inte lämna ut personuppgifterna eller annan information om personuppgiftsbehandlingen till tredje man annat än efter Personuppgiftsansvariges i förväg lämnade skriftliga samtycke, med undantag för när sådant utlämnande kan krävas enligt lag.

Personuppgiftsbiträdet åtar sig att bistå Personuppgiftsansvarig i dennes uppfyllande av sina förpliktelse i egenskap av personuppgiftsansvarig. Personuppgiftsbiträdet äger rätt till skälig ersättning för sådant bistånd.

Personuppgiftsbiträdet åtar sig att, inom skälig tid efter begäran, tillhanda dokumentation för att möjliggöra och bidra till granskningar, oavsett om dessa granskningar inletts av Personuppgiftsansvarig eller tredje part. Under inga omständigheter medför detta åtagande en rätt för Personuppgiftsansvarig att bereda sig tillgång till Personuppgiftsbiträdets lokaler, servrar eller på annat sätt få direkt tillgång till information som tillhör, eller annars behandlas av, Personuppgiftsbiträdet. Om Personuppgiftsbiträdets uppfyllande av sina åtaganden enligt detta stycke medför en icke obetydlig arbetsinsats äger Personuppgiftsbiträdet rätt till skälig ersättning för nedlagd arbetstid och andra kostnader.

För det fall myndighet eller annan tredje man begär ut information från Personuppgiftsbiträdet som rör personuppgiftsbehandlingen ska Personuppgiftsbiträdet utan dröjsmål vidarebefordra sådan framställan till Personuppgiftsansvarig. Personuppgiftsbiträdet ska vid behov assistera Personuppgiftsansvarig med att ta fram information som begärts av tredje man.

Personuppgiftsansvariga skyldigheter

Den Personuppgiftsansvarige garanterar att denne har rätt att behandla personuppgifter samt att behandlingen är i enlighet med Tillämplig dataskyddslagstiftning.

Personuppgiftsansvarig har vid användning av de tjänster som tillhandahålls av Caio Cesar under Tjänsteavtal inte överfört några känsliga personuppgifter, eller uppgifter som rör fällande domar i brottsmål och överträdelser till Caio Cesar. Sker sådan överföring kan inte Caio Cesar hållas ansvarig för felaktig behandling av dessa känsliga personuppgifter. Personuppgiftsansvarig instämmer i att Caio Cesar har lämnat garantier avseende implementeringen av tekniska och organisatoriska säkerhetsåtgärder som är tillräckliga för att skydda registrerades integritet och personuppgifter.

Säkerhet

Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska innebära en säkerhetsnivå som överensstämmer med tillämplig dataskyddslagstiftning och som är lämplig med beaktande av:

  • de tekniska möjligheter som finns,
  • vad det skulle kosta att genomföra åtgärderna,
  • de särskilda risker som finns med behandlingen av personuppgifterna och
  • hur pass känsliga de behandlade personuppgifterna är.

Avtalade åtgärder, vilka uppfyller denna punkt, ska åstadkomma en säkerhetsnivå som personuppgiftsansvarig bedömer lämplig.

Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter, ska personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

  • pseudonymisering och kryptering av personuppgifter,
  • förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos de system och tjänster som behandlar personuppgifter,
  • förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, och
  • ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

Underbiträden

För att personuppgiftsbiträdet ska kunna uppfylla skyldigheterna enligt Tjänsteavtalet och detta avtal har personuppgiftsbiträdet rätt att anlita underbiträde. Den personuppgiftsansvarige samtycker till att de underbiträden som listas i bilaga 1 till detta avtal kan komma att anlitas som underbiträde. Om personuppgiftsbiträdet avser att ändra, ta bort eller lägga till ett underbiträde kommer personuppgiftsbiträdet att informera om detta så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.

Om personuppgiftsbiträdet anlitar underbiträde ska personuppgiftsbiträdet ingå särskilt person­ uppgiftsbiträdesavtal med sådant underbiträde vad avser underbiträdets behandling av personuppgifter. I ett sådant avtal ska det framgå att underbiträdet har motsvarande skyldigheter som personuppgiftsbiträdet har enligt detta avtal. Personuppgiftsbiträdet ska på personuppgiftsansvariges begäran tillhandahålla kopia av de delar av personuppgiftsbiträdets avtal med underbiträde som krävs för att utvisa att personuppgiftsbiträdet uppfyllt sina åtaganden enligt detta avtal.

Assistans

Personuppgiftsbiträdet ska, med hänsyn taget till behandlingens art, hjälpa personuppgiftsansvarig genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att personuppgiftsansvarig kan fullgöra sin skyldighet att svara när den registrerade vill utöva sina rättigheter.

Personuppgiftsbiträdet ska bistå personuppgiftsansvarig med att se till att den personuppgiftsansvarige kan uppfylla sina rättsliga skyldigheter som personuppgiftsansvarig enligt tillämplig dataskyddslagstiftning.

Granskning

Den Personuppgiftsansvarige äger rätt att, själv eller genom tredje man, genomföra revision gentemot personuppgiftsbiträdet eller på annat sätt kontrollera att personuppgiftsbiträdets behandling av personuppgifter följer detta avtal. Vid sådan revision eller kontroll ska personuppgiftsbiträdet ge personuppgiftsansvarige den assistans som behövs för genomförandet.

Personuppgiftsincident

Vid en personuppgiftsincident som omfattar personuppgifter som behandlas på uppdrag av den Personuppgiftsansvarige ska Personuppgiftsbiträdet omedelbart undersöka incidenten och vidta lämpliga åtgärder för att mildra dess potentiella negativa effekt och förhindra upprepning. Personuppgiftsbiträdet ska även omedelbart tillhandahålla Personuppgiftsansvarig en beskrivning av incidenten.
Beskrivningen ska åtminstone

  • beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
  • förmedla namnet på den person som kan tillhandahålla mer information eller svara på frågor,
  • beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
  • beskriva de åtgärder som Personuppgiftsbiträdet har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

Avtalets Upphörande

Villkoren i detta Avtal ska gälla så länge Personuppgiftsbiträdet behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige.

Om detta Avtal upphör att gälla ska Personuppgiftsbiträdet upphöra med Behandlingen av Personuppgifter och, efter den Personuppgiftsansvariges önskemål, radera eller återsända alla Personuppgifter till den Personuppgiftsansvarige och radera befintliga kopior, såvida inte Tillämplig dataskyddslagstiftning eller nationell rätt kräver att Personuppgifterna lagras. Personuppgiftsbiträdet ska säkerställa att Underbiträde vidtar samma åtgärder.

Ändringar

Ändringar eller tillägg till Avtalet ska informeras skriftligen minst en månad i förväg via Caio Cesars hemsida eller via mail. Avtalet och de allmänna villkoren finns att tillgå i sin helhet via Caio Cesars hemsida.

Tvist

Tvist angående tolkning eller tillämpning av detta Avtal ska avgöras enligt svensk lag och Tjänsteavtalets bestämmelse om tvist. Om Tjänsteavtalet inte innehåller någon sådan bestämmelse gäller att tvist ska avgöras av svensk allmän domstol.

Bilaga 1

Underbiträden där vi är underbiträden

Företag – Syfte
Oderland – Hosting
Google – Google Analytics och Google Ads
Facebook – Facebook Ads

Underbiträden där vi är personuppgiftsansvariga

Företag – Syfte
Fort Nox – Fakturering och bokföring