GDPR Personuppgiftsbiträdesavtal
      Back to home
      1. Legal
      2. GDPR Personuppgiftsbiträdesavtal

      Norce Personuppgiftsbiträdesavtal

      Bilaga: Personuppgiftsbiträdesavtal

      1.  Allmänt

      1.1        Detta Biträdesavtal utgör en del av avtalet mellan Norce och Kunden (”Avtalet”). Norce kommer vid fullföljandet av Avtalet att behandla Personuppgifter för Kundens räkning så som Kundens personuppgiftsbiträde. Kunden är personuppgiftsansvarig för Behandlingen av Personuppgifterna. Om någon annan tillsammans med Kunden är personuppgiftsansvarig för de aktuella Personuppgifterna ska Kunden informera Norce om detta.

      1.2        Syftet med detta Biträdesavtal är att uppfylla gällande Dataskyddsreglering och i övrigt säkerställa ett adekvat skydd för personlig integritet.

      2.  Definitioner

      ”Behandling”

      Varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte.

      ”Dataskyddsreglering”

      Vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter vilket innefattar men inte är begränsat till Personuppgiftslagen (1998:204) och från den 25 maj 2018 Europaparlamentets och Rådets Förordning (EU) 2016/679 (”Dataskyddsförordningen”) vilken ersätter Personuppgiftslagen (1998:204); samt Tillsynsmyndighets bindande beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd.

      ”Kunden”

      Med Kunden avses kontraktuell part enligt det Master Agreement som denna bilaga tillhör.

      ”Personuppgifter”

      Information som direkt eller indirekt kan hänföras till en fysisk person som är i livet som Norce Behandlar för Kundens räkning under Biträdesavtalet.

      ”Registrerad”

      Den fysiska person som en Personuppgift avser.

      ”Tillsynsmyndighet”

      Den eller de tillsynsmyndigheter anses vara berörd tillsynsmyndighet enligt Dataskyddsreglering, t.ex. Datainspektionen.

      ”Tillämpningsdagen”

      Den dag Dataskyddsförordningen börjar gälla, d.v.s. 25 maj 2018.

      ”Underbiträde”

      Den som Behandlar Personuppgifter som underleverantör åt Norce.

      3.   Ansvar och instruktion

      3.1        Kunden är personuppgiftsansvarig för de Personuppgifter som Norce Behandlar för Kundens räkning under Avtalet. Kunden ansvarar därmed för att gällande Dataskyddsreglering följs och ska skriftligen informera Norce om innehållet i Dataskyddsreglering i delar som är av relevans för Norce för utförande av Behandlingen. Norce accepterar att följa vid var tid gällande krav i Dataskyddsreglering som Kunden skriftligen informerat Norce om och instruerat Norce att följa.

      3.2        Norce och den eller de personer som arbetar under Norces ledning ska endast Behandla Personuppgifter i enlighet med Kundens dokumenterade instruktioner och inte för andra ändamål än dem som Norce anlitats för. De instruktioner som gäller vid Avtalets träffande framgår av Bilaga 1 (Instruktion om hantering av Personuppgifter). Utöver de särskilda instruktioner som framgår av Bilaga 1 ska detta Biträdesavtal och Avtalet i övrigt anses utgöra Kundens instruktioner till Norce avseende Behandling av Personuppgifter. Kunden ska omedelbart informera Norce om förändringar vilka påverkar Norces skyldigheter enligt Biträdesavtalet. Kunden ska även informera Norce om tredje parts, däribland Tillsynsmyndighets och Registrerads, åtgärder med anledning av Behandlingen.

      3.3        Från och med Tillämpningsdagen får Behandling även ske om sådan Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Norce eller Underbiträde omfattas av.

      3.4        Norce har rätt att under Biträdesavtalets giltighetstid och därefter Behandla data som härrör från Kunden i någon form i aggregerat eller anonymiserat format.

      4.   Säkerhet m.m.

      4.1        Norce ska vidta de tekniska och organisatoriska åtgärder som krävs enligt Dataskyddsreglering för att säkerställa en säkerhetsnivå som är lämplig för att skydda de Personuppgifter som Behandlas mot oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt röjande av eller obehörig åtkomst.

      4.2        Norce ska, från och med Tillämpningsdagen, bistå Kunden med att se till att skyldigheterna enligt Artiklarna 32-36 i Dataskyddsförordningen fullgörs, med beaktande av typen av Behandling och den information som Norce har att tillgå.

      5.   Utlämnande av Personuppgifter och information m.m.

      5.1        Om det till Norce kommer in en begäran om att få ta del av uppgifter som Norce Behandlar för Kundens räkning ska Norce vidarebefordra begäran till Kunden. Norce, eller den som arbetar under Norces ledning, får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan uttrycklig instruktion om detta från Kunden om inte sådan skyldighet föreligger enligt gällande Dataskyddsreglering.

      5.2        Från och med Tillämpningsdagen ska Norce genom lämpliga tekniska och organisatoriska åtgärder hjälpa Kunden i den mån det är möjligt så att Kunden kan fullgöra sin skyldighet att svara på begäran från den Registrerade vid den Registrerades utövande av sina rättigheter enligt Dataskyddsreglering.

      5.3        Norce ska informera Kunden om eventuella kontakter från Tillsynsmyndigheten som rör Behandling av Personuppgifter. Norce har inte rätt att företräda Kunden eller agera för Kundens räkning gentemot Tillsynsmyndighet.

      6.   Underbiträden

      6.1        Personuppgifter får Behandlas av ett Underbiträde om Norce för Kundens räkning ingår ett skriftligt avtal där Underbiträdet åläggs motsvarande skyldigheter som Norce åläggs enligt detta Biträdesavtal.

      6.2        Norce är från och med Tillämpningsdagen särskilt ansvarig för att tillse att Artikel Underbiträde ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i Dataskyddsförordningen.

      6.3        Norce ska på Kundens begäran informera Kunden om vilka Underbiträden som anlitats av Norce enligt detta Biträdesavtal och lämna den ytterligare specificerade information om sådant Underbiträdes Behandling som Kunden skäligen kan begära enligt Dataskyddsreglering.

      6.4        Norce åtar sig att informera Kunden om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden. Kunden har rätt att invända mot sådana förändringar. Sådan invändning får endast hänföra sig till objektiva grunder hänförliga till säkerheten av Behandlingen enligt Biträdesavtalet. Om Kunden gör en sådan befogad invändning och Norce inte accepterar att byta ut aktuellt Underbiträde har Norce rätt till extra ersättning av Kunden för de kostnader som Norce drabbas av p.g.a. aktuellt Underbiträde inte kan användas. Norce har även rätt att säga upp Avtalet och/eller detta Biträdesavtal helt eller delvis, t.ex. vad avser viss tilläggstjänst, med trettio (30) dagars uppsägningstid.

      7.   Rätt till insyn

      Med verkan från Tillämpningsdagen skall Norce ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som följer av Artikel 28 i Dataskyddsförordningen har fullgjorts inom skälig tid efter sådan begäran framställts av Kunden till Norce.

      8.   Överföring av Personuppgifter utanför EU/EES

      8.1        Norce får överföra Personuppgifter till tredje part som inte är Underbiträde åt Norce i den mån sådan överföring är nödvändig för Norces fullgörande av de uppdrag som Kunden anlitar Norce för. Sådan tredje part som behandlar personuppgifter för egen räkning är självständigt personuppgiftsansvarig och ansvarar för denna behandling av personuppgifter. Kunden kan lämna ytterligare instruktioner om sådan överföring i Bilaga 1.

      8.2        Överföring av Personuppgifter av Norce eller av Underbiträde till en plats utanför EES-området får vidtas förutsatt att vid var tid gällande krav för sådan överföring enligt Dataskyddsreglering uppfylls.

      8.3        Norce ska från och med Tillämpningsdagen tillse att Kunden kan uppfylla eventuell skyldighet att möjliggöra dataportabilitet avseende Personuppgifter som Norce Behandlar för Kundens räkning.

      9.   Sekretess

      9.1        Om Kunden omfattas av offentlighets- och sekretesslagstiftning ska Norce iaktta bestämmelserna i sådan lag för sekretesskyddade uppgifter. Norce ska säkerställa att personer med behörighet att Behandla Personuppgifter har åtagit sig att iaktta sekretess för sådan Behandling eller omfattas av lämplig lagstadgad tystnadsplikt. Detta åtagande gäller inte information som Norce föreläggs utge till myndighet eller enligt Dataskyddsreglering eller annan lagstadgad skyldighet.

      9.2       Sekretessåtagandet gäller under Avtalets giltighetstid och därefter.

      10.   Ersättning och ansvar

      10.1       Norce ska ha rätt till skälig ersättning för samtligt arbete och samtliga kostnader som beror på instruktioner för Behandlingen från Kunden som går utöver de funktioner och den säkerhetsnivå som följer av de standardiserade tjänster, produkter, lösningar och system som Norce normalt erbjuder sina kunder, t.ex. vad gäller Norces e-handelsplattform och sådant som kräver att Norce behöver göra specialanpassningar för Kundens räkning.

      10.2       Om Norce, den som arbetar under Norces ledning eller av Norce anlitat Underbiträde Behandlar Personuppgifter i strid med detta Biträdesavtal eller de lagenliga anvisningar som Kunden har lämnat, ska Norce med beaktande av de ansvarsbegränsningar som följer av Avtalet, ersätta Kunden för den direkta skada som Kunden har orsakats på grund av den felaktiga Behandlingen.

      10.3       Kunden ska hålla Norce skadelös för samtliga direkta eller indirekta skador, vilket även innefattar krav från Registrerade, som Norce orsakas genom överträdelse av Dataskyddsreglering som beror på otydliga, bristfälliga eller otillåtna instruktioner från Kunden, bristfällig information från Kunden om vilka kategorier av uppgifter som Behandlas eller annars beroende på omständighet på Kundens sida.

      10.4       Norces ersättningsskyldigheter avseende krav och skador enligt denna punkt 10 gäller under förutsättning att i) Kunden utan onödigt dröjsmål skriftligen underrättar Norce om krav som framställts mot Kunden; och ii) Kunden låter Norce kontrollera försvaret av kravet och ensam fatta beslut om eventuell förlikning.

      11.   Avtalstid och åtgärder vid upphörande

      11.1       Biträdesavtalet gäller så länge som Norce Behandlar Personuppgifter för Kundens räkning.

      11.2       Norce ska efter Avtalets eller Biträdesavtalets upphörande (beroende på vilket som inträffar först) radera de Personuppgifter som kommit Norce tillhanda. Om Kunden skriftligen begär det vid upphörandet, ska Norce istället återlämna Personuppgifterna. Norce ska radera eventuella kopior såvida inte lagring av Personuppgifterna krävs gällande rätt.

      12.   Ändringar i Biträdesavtalet

      12.1       Om Dataskyddsreglering ändras under tiden för Biträdesavtalet, eller om Tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsreglering som föranleder att detta Biträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal ska detta Avtal ändras för att tillgodose sådana nya eller tillkommande krav. Sådan ändring träder ikraft senast trettio (30) dagar efter att Kunden översänt ändringsmeddelande till Norce, eller annars senast inom sådan tidsperiod som anges i Dataskyddsreglering, Tillsynsmyndighets riktlinjer, beslut eller föreskrifter. Norce har rätt till skälig ersättning för eventuellt arbete, kostnader och utgifter som sådana ändringar föranleder.

      12.2       Övriga ändringar av och tillägg till detta Biträdesavtal ska för att vara bindande upprättas skriftligen.

      13.   Övrigt

      13.1       Detta Biträdesavtal ersätter eventuella tidigare personuppgiftsbiträdesavtal mellan Parterna och har företräde framför Avtalet vad gäller föremålet för detta Biträdesavtal, oavsett vad som anges i Avtalet.

      13.2       Svensk lag ska tillämpas på Norces Behandling av Personuppgifter enligt detta Biträdesavtal. Tvist ska lösas i enlighet med tvistlösningsbestämmelsen i Norce Master Agreement.

      BILAGA 1: Instruktion om hantering av Personuppgifter

      Utformas av Kunden

      Ladda ner Norce Personuppgiftsbiträdesavtal som pdf här