Personuppgiftsbiträdesavtal

Detta avtal har ingåtts mellan: Kunden (”Persouppgiftsansvarig”), och Teamhub AB (”Teamhub”) med org nr. 556978-5420, adress Sveavägen 88, 113 59 Stockholm (”Personuppgiftsbiträde”)

​Tillsammans benämnda som “Parterna”.

1 BAKGRUND OCH SYFTE

1.1 Teamhub utgör tjänsteleverantör/systemleverantör till Kunden avseende de, av Kunden valda, tjänsterna, som beskrivs på Teamhubs webbsida, (“Tjänsterna”). I egenskap av tjänsteleverantör/systemleverantör behandlar Teamhub personuppgifter på uppdrag av Kunden. Teamhub är därför att anse som personmuppgiftsbiträde i förhållande till Kunden. För sådan behandling av personuppgifter som personuppgiftsbiträdet utför för den personuppgiftsansvariges räkning gäller detta biträdesavtal.

1.2 Detta avtal har till syfte fastställa villkoren för Behandling av Personuppgifter mellanPersonuppgiftsansvarig och Personuppgiftsbiträde för att säkerställa att behandlingen av personuppgifter uppfyller kraven på sådan behandling enligt tillämplig lagstiftning om personuppgiftsbehandling. Detta avtal ska börja gälla den 25 maj 2018 mellan parternaeller från och med det datum då Kunden börjar använda Teamhubs tjänster.

2 INNEHÅLL OCH OMFATTNING

2.1 Teamhubs Behandling av Personuppgifter sker på uppdrag Kunden. Kunden är personuppgiftsansvarig och har det yttersta ansvaret för all Behandling av Personuppgifter i enlighet med Tillämplig lag.

2.2 Teamhub behandlar Personuppgifter i den omfattning som krävs för att uppfylla åtagandenasom tjänsteleverantör/systemleverantör av Tjänsterna.

3 DEFINITIONER

Definitionerna i detta avtal motsvarar de som återfinns i Tillämplig lag.

Behandling​åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering;organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring;

Dataskyddsförordningen​Europaparlamentets och rådets förordning 2016/679 av den 27 april 2016;

Dataskyddsombud​den som, på uppdrag av den Personuppgiftsansvarige,självständigt ska övervaka efterlevnaden av Tillämplig lag;

Personuppgifter ​all information som direkt eller indirekt går att härleda till en levande fysisk person;

Personuppgiftsansvarig ​den (fysisk eller juridisk person, eller annat organ) som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter;

Personuppgiftsbiträde ​den (fysisk eller juridisk person eller annat organ) som behandlar personuppgifter för den personuppgiftsansvariges räkning;

Personuppgiftsincident ​en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats;

Registrerad​den person vilken omfattas av personuppgift som är föremål för behandling;

​Tillämplig lag​personuppgiftslagen (1998:204), och efter den 25 maj 2018, Dataskyddsförordningen samt tillkommande föreskrifter och lagstiftning;

Tredjeland​länder utanför EU och EES.

4 ANSVAR OCH INSTRUKTION

4.1 Teamhub får endast behandla Personuppgifter för att fullgöra sina åtaganden gentemot Kunden avseende Tjänsterna, i enlighet med detta avtal och Kundens skriftliga instruktioner. Teamhub får inte behandla personuppgifterna för egna ändamål. Detta med undantag för när Teamhub använder personuppgifter i form av namn, e-postadress, IP-adress och statistisk data, från användarna av Tjänsten, för att möjliggöra marknadsföringsåtgärder och produktutveckling av Teamhubs tjänst. För dessa behandlingar är Teamhub personuppgiftsansvarig.

4.2 Teamhub åtar sig att följa Tillämplig lag.

4.3 För att Teamhub ska kunna tillhandahålla kunden Tjänsterna får Kunden överföra Personuppgifterna till Tredjeland. Teamhub ska, vid sådan överföring, säkerställa att behandlingen och kraven på säkerhet sker i enlighet med avtalet och Tillämplig lag.Genom att Kundernas anställda accepterar Teamhubs användarvillkor vid användandet av Tjänsterna samtycker Kundernas anställda till sådan överföring.

4.4 Teamhub får endast lämna ut Personuppgifterna till de anställda inom den egna organisationen som behöver dessa för att fullgöra sina arbetsuppgifter. Teamhub är ansvarig för att de anställda följer vad som föreskrivs i detta avtal och Tillämplig lag.

4.5 Teamhub får inte utan Kundens skriftliga samtycke lämna ut Personuppgifter till tredje man, med undantag för vad som är föreskrivit om underbiträden i punkten 5 nedan, om det inte är särskilt föreskrivet i lag.

4.6 Om en myndighet eller annan tredje man begär information från Teamhub gällandepersonuppgiftsbehandlingen ska Teamhub utan dröjsmål vidarebefordra sådan framställan till Kunden. Teamhub ska vid behov assistera Personuppgiftsansvarig med att ta fram information som begärts av tredje man. Teamhub har inte rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarigs räkning gentemot tredje man.

5 UNDERBITRÄDEN

5.1 Kunden ger Teamhub en allmän rätt att anlita underbiträden för fullgörande av Tjänsterna. Teamhub är skyldig att på förfrågan från Kunden tillhandahålla Kunden en lista med de underbiträden som Teamhub använder vid avtalets ingående. Teamhub ska dock alltid informera Kunden för det fall Teamhub avser göra förändringar, exempelvis genom tillägg eller utbyte av Underbiträde, så att Kunden ges möjlighet att göra invändningar mot sådana förändringar.

5.2 Det är Teamhubs ansvar att med lämpliga åtgärder säkerställa att ett anlitat underbiträde uppfyller alla tillämpliga bestämmelser om skydd för Personuppgifter samt i väsentliga delar uppfyller de skyldigheter som regleras i detta Biträdesavtal.

6 SÄKERHET OCH SEKRETESS

6.1 Teamhub ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som behandlas. Åtgärderna ska säkerställa en säkerhetsnivå som överensstämmer med Tillämplig lag och är lämplig med beaktande av de tekniska möjligheter som finns, kostnaden för att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur känsliga de behandlade uppgifterna är. Med beaktande av detta ska, när det är lämpligt, följande iakttagas:

  1. a) pseudonymisering och kryptering skall ske av Personuppgifter;
  2. b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och tjänsterna;
  3. c) förmågan att återställa tillgängligheten och tillgången till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident;
  4. d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som Behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt behandlats.

6.2 Vid upptäckt eller vid misstanke om Personuppgiftsincident ska Teamhub omedelbartmeddela Kunden. Teamhub ska undersöka incidenten och vidta lämpliga åtgärder för att läka incidenten och förhindra upprepning samt tillhandahålla Kunden en beskrivning av incidenten. Beskrivningen ska åtminstone innehålla:

  1. a) beskrivning av Personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs;
  2. b) namnet på och kontaktuppgifterna till dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas;
  3. c) beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten; och
  4. d) beskrivning av de åtgärder som Teamhub har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

6.3 Om Teamhub får kännedom om att Personuppgifter behandlas i strid med Kundens instruktioner, detta avtal eller Tillämplig lag ska Teamhub utan dröjsmål informera Kunden.

6.4 Teamhub ska tillse att samtliga anställda, konsulter och övriga som Teamhub svarar för och som behandlar Personuppgifter är bundna av ett ändamålsenligt sekretessåtagande samt att de är informerade om hur de får behandla Personuppgifter i enligt med detta avtal och instruktioner från Personuppgiftsansvarig.

7 INFORMATIONSSKYLDIGHET

7.1 Teamhub ska bistå Kunden, genom lämpliga tekniska och organisatoriska åtgärder i den mån det är möjligt, att fullgöra sina skyldigheter att svara på begäran om utövande av den registrerades rättigheter i enlighet med Tillämplig lag samt att se till att skyldigheterna för säkerhet vid Behandling och vid konsekvensbedömning avseende Personuppgifterfullgörs i enlighet med Tillämplig lag.

7.2 Teamhub ska ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som framgår av detta avtal och i enlighet med Tillämplig lag har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden, Datainspektionen eller av ett Dataskyddsombud som bemyndigats av Kunden. Teamhub ska omedelbart informera Kunden om denne anser att en instruktion strider mot Tillämplig lag.

7.3 Kunden ska utan dröjsmål informera Teamhub om förändringar i Behandlingen, vilka påverkar Teamhubs skyldigheter. Kunden ska även informera Teamhub om tredje parts, däribland Datainspektionen och de registrerades, åtgärder med anledning av behandlingen.

8 ANSVAR

8.1 Parterna är ansvariga för att de uppfyller sina skyldigheter enligt vad som föreskrivs i detta avtal och Tillämplig lag samt följderna av underlåtenheten att följa dem.

9 RÄTTELSE OCH RADERING AV PERSONUPPGIFTER

9.1 Teamhub åtar sig att utan dröjsmål rätta felaktiga eller ofullständiga Personuppgifter efter instruktioner från Kunden.

9.2 Vid skriftlig begäran om radering av Personuppgifter av Kunden ska Teamhub radera personuppgifterna utan dröjsmål och personuppgifterna får endast behandlas som ett led i raderingsprocessen.

9.3 Vid avtalets upphörande ska Teamhub, på begäran av Kunden, radera eller återlämna all data som innehåller Personuppgifter. Behandling av Personuppgifterna får vid avtalets upphörande endast ske som ett led i raderingsprocessen eller återlämnandeprocessen.Några kopior får inte finnas kvar såvida inte lagring av Personuppgifterna krävs enligt krav fastställda i lag.

10 AVTALSTID OCH FÖRTIDA UPPHÖRANDE

10.1 Detta avtal gäller från och med den 25 maj 2018 eller från och med då Kunden börjar använda Teamhubs Tjänster och så länge som Teamhub behandlar Personuppgifter för Kundens räkning.

11 TVIST OCH TILLÄMPLIG LAG

11.1 Svensk rätt ska vara tillämplig på avtalet. Tvister i anledning av avtalet ska slutligt avgöras av svensk allmän domstol som första instans.