PERSONUPPGIFTSBITRÄDESAVTAL
Detta avtal ("avtalet”) har denna dag träffats mellan
(a) Undertecknad ("Kunden")
(b) MyFlow Learning AB AB, org.nr 559310-5306 ("Leverantören”) och
nedan även gemensamt benämnda “Parterna” och individuellt “Part”.
Avtalet är mellan de olika bolagen, även om det är du som person som kommer agera inne på plattformen.
01. BAKGRUND
1.1 Parterna har ingått ett avtal som innebär att Leverantören kommer tillhandahålla sina tjänster till Kunden (“Tjänsterna”). Tjänsterna medför att Leverantören, som personuppgiftsbiträde, kommer att behandla personuppgifter som Kunden är personuppgiftsansvarig för.
1.2 Biträdesavtalet är på samma sätt tillämpligt om Kunden för egen del är personuppgiftsbiträde för andra parters räkning, varvid Leverantören blir underbiträde till Kunden för dennes behandling av personuppgifter.
1.3 Biträdesavtalet har ingåtts för att reglera Parternas rättigheter och skyldigheter som följer med Leverantörens behandling av personuppgifter, för att på så sätt säkerställa att personuppgifterna behandlas i enlighet med tillämplig dataskyddslagstiftning.
Avtalet handlar om hur vi kommer att hantera dina kunders personuppgifter.
02. DEFINITIONER
Följande begrepp ska i Biträdesavtalet ha den betydelse som anges nedan:
“Personuppgifter” avser personuppgifter (enligt definitionen i Tillämplig lag) som överförs till, lagras hos, eller på något annat sätt behandlas av Leverantören på uppdrag av Kunden, för att utföra Tjänsterna. Begreppet innefattar inte personuppgift som avidentifierats i sådan utsträckning att den permanent är omöjlig att direkt eller indirekt hänföra till en fysisk person som är i livet.
“Tillämplig lag” avser (i) när Biträdesavtalet ingås, Dataskyddsdirektivet 95/46/EG såsom det införts i svensk rätt genom personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191), samt (ii) när den blir tillämplig, Dataskyddsförordningen (EU) 2016/679 med tillhörande genomförandeförfattningar samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på den personuppgiftsbehandling som sker under Biträdesavtalet, såsom denna kan komma att förändras över tid.
“Underbiträde” avser en tredje part som Leverantören anlitar som underleverantör och som behandlar Personuppgifter för Kundens räkning.
03. KUNDENS ANSVAR
Kunden ska säkerställa att behandlingen av Personuppgifter är laglig. Kunden ska tillhandhålla Leverantören dokumenterade instruktioner och övriga anvisningar i den utsträckning som krävs för att Leverantören ska kunna uppfylla sina skyldigheter enligt Biträdesavtalet och Tillämplig lag.
Vår teknik håller personuppgifterna, men du ser till att det finns rätt för dig att hantera dem.
Tänk på ...Vi kan inte alltid veta vad du lagrar för uppgifter, så det ligger på ditt ansvar att dubbelkolla med oss om det är något extra känsligt.
04. BEHANDLING AV PERSONUPPGIFTER
4.1 Leverantören får endast behandla Personuppgifter för att utföra Tjänsterna och i enlighet med Biträdesavtalet, Tillämplig lag och Kundens dokumenterade instruktioner enligt bilaga 1. Om behandlingen förändras under avtalstiden ska Parterna uppdatera Biträdesavtalet genom tilläggsavtal.
4.1 Om Leverantören enligt rättslig förpliktelse är skyldig att behandla Personuppgifter för annat ändamål eller på annat sätt än som framgår av Kundens instruktioner, ska Leverantören först informera Kunden om den rättsliga förpliktelsen, om inte Leverantören är förhindrad enligt författning eller myndighetsbeslut.
4.2 Om Leverantören saknar instruktioner, anser sig behöva nya eller kompletterande instruktioner för att utföra sina skyldigheter, eller anser att befintliga instruktioner kan strida mot Tillämplig lag, ska Leverantören utan dröjsmål informera Kunden om detta och därefter invänta ytterligare instruktioner från Kunden.
För att du ska kunna använda många a funktionerna inne på plattformen behöver vi hantera dina personuppgifter, men vi kommer inte hantera något utöver det.
05. ÄNDRINGAR I TJÄNSTEN SOM PÅVERKAR PERSONUPPGIFTER
Om Tjänsterna ändras, genom att nya funktioner tillkommer eller befintliga funktioner ändras, på ett sätt som gör att nya kategorier av Personuppgifter behandlas eller Personuppgifter behandlas för andra ändamål än som anges i Biträdesavtalet, ska Kunden genast informeras om detta. Kunden ska ha rätt att invända mot att en sådan ändring av Tjänsterna, om det finns godtagbara skäl för detta och Kunden meddelar Leverantören utan onödigt dröjsmål, dock senast inom trettio (30) dagar, från att Leverantören informerade Kunden.
Om vi gör uppdateringar i vårt erbjudande, så informerar vi dig 30 dagar innan så att du vet om du behöver göra några justeringar.
06. SÄKERHET & SEKRETESS
6.1 Leverantören ska genom lämpliga tekniska och organisatoriska åtgärder säkerställa en lämplig säkerhetsnivå för att skydda Personuppgifter mot oavsiktlig eller olaglig förstöring, förlust eller ändring samt mot obehörigt röjande eller obehörig åtkomst.
6.2 Om Kunden bedömer att Leverantörens åtgärder inte är tillräckliga, har Kunden rätt att begära att Leverantören vidtar och upprätthåller ytterligare åtgärder för att skydda Personuppgifter. Leverantören har rätt till ersättning för sina kostnader för att sådana åtgärder som Kunden begärt, om och i den mån dessa kan anses klart omotiverade med hänsyn till det reella behovet av skydd för Personuppgifter, enligt Tillämplig lag.
6.3 Leverantören ska se till att alla personer eller tredje parter som får tillgång till Personuppgifter förbinder sig att iaktta sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt, samt är informerade om hur Personuppgifter får behandlas.
6.4 Leverantören ska skriftligen meddela Kunden om Leverantören upptäcker en personuppgiftsincident som berör Personuppgifterna. Kunden ska meddelas snarast och, om möjligt, inte senare än tjugofyra (24) timmar från att personuppgiftsincidenten upptäcktes av Leverantören. Meddelandet ska innehålla all nödvändig och tillgänglig information som krävs för att Kunden ska kunna fullgöra sin rapporterings- och informationsskyldighet till behörig tillsynsmyndighet samt berörda registrerade.
Det ligger på vårt bord att hålla plattformen teknisk säker, så att alla uppgifter har det skydd som de förtjänar.
07. ANLITANDE & UNDERBITRÄDE
7.1 Leverantören får anlita ett eller flera Underbiträden för behandling av Personuppgifter, utan att inhämta särskilt tillstånd från Kunden i det enskilda fallet. Detta gäller dock bara under förutsättning att Leverantören ingår ett skriftligt underbiträdesavtal med Underbiträdet i fråga, som medför att Underbiträdet har samma skyldigheter som Leverantören har enligt Biträdesavtalet. Leverantören får ge Underbiträdet rätt att i sin tur anlita tredje part, under förutsättning att det sker på samma sätt och med samma skyldigheter som framgår av Biträdesavtalet.
7.2 Leverantören ska på Kundens begäran tillhandahålla Kunden (i) en korrekt och uppdaterad lista över Underbiträden som anlitats, samt deras geografiska placering, samt (ii) kopia av relevanta delar av underbiträdesavtal med Underbiträden, som behövs för att utvisa att Leverantören uppfyllt sina skyldigheter enligt Biträdesavtalet.
7.3 Leverantören är fullt ansvarig gentemot Kunden för Underbiträdens skyldigheter i fråga om behandling av Personuppgifter, enligt Biträdesavtalet.
Vi får ta in konsulter (underbiträden) som hjälper oss, och därmed också kan komma att behandla dina uppgifter.
08. ÖVERFÖRINGAR TILL TREDJELAND
8.1 Leverantören får varken självt eller via Underbiträde överföra Personuppgifter till land utanför EU/EES.
Alla uppgifter inne på plattformen kommer att hållas innanför EU.
09. KOMMUNIKATION
9.1 Om en registrerad, behörig tillsynsmyndighet eller annan tredje part begär information från Leverantören som rör behandlingen av Personuppgifter, ska Leverantören hänvisa sådan förfrågan till Kunden och invänta Kundens instruktioner.
9.2 Leverantören får inte utan instruktion från Kunden lämna ut Personuppgifter eller information om behandlingen av Personuppgifter, om det inte krävs till följd av rättslig förpliktelse. Leverantören ska i så fall först informera Kunden om den rättsliga förpliktelsen, om inte Leverantören är förhindrad enligt författning eller myndighetsbeslut.
9.3 Leverantören ska, med tanke på behandlingens art, genom lämpliga tekniska och organisatoriska åtgärder, om möjligt, hjälpa Kunden med att fullgöra sin skyldighet mot de registrerade enligt Tillämplig lag, bland annat deras rätt till tillgång och dataportabilitet.
Vi kommer inte lämna ut några av dina uppgifter så länge det inte finns rättsliga krav på att lämna ut dem.
Tänk på ...Skulle du behöva få ut dina uppgifter, så är vi behjälpliga med att se till att allt kommer till dig.
10. GRANSKNING & KONTROLL
10.1 Kunden har rätt att antingen på egen hand eller med hjälp av tredje part, få tillgång till lokaler, utrustning, information och register i syfte att kontrollera att Leverantören, samt eventuella Underbiträden, uppfyller sina skyldigheter enligt Biträdesavtalet. Samtliga personer som medverkar vid inspektionerna ska först ingå sekretessförbindelser med Leverantören. Leverantören ska kostnadsfritt ge tillgång till den information samt ge den assistans som Kunden skäligen behöver för att effektivt granska Leverantören.
10.2 Leverantören ska tillåta och bidra till inspektioner som behörig tillsynsmyndighet kan kräva för säkerställandet av en korrekt behandling av Personuppgifter, samt följa eventuella beslut av behörig tillsynsmyndighet om åtgärder för att uppfylla säkerhetskrav enligt Tillämplig lag.
10.3 Leverantören ska ersätta Kunden för Kundens kostnader i samband med granskningar och inspektioner, om dessa utvisar att Leverantören i betydande grad brutit mot sina skyldigheter enligt Biträdesavtalet.
Behöver du se över lagringen av dina uppgifter, tekniskt eller fysiskt, så har du rätt till det.
Tänk på ...Om du vill kontrollera lagringen, så kan det tillkomma kostnader i samband med detta.
11. AVTALSTID
11.1 Biträdesavtalet gäller från och med det datum Parterna undertecknat det och så länge som Leverantören behandlar Personuppgifter för Kundens räkning, eller tills Biträdesavtalet ersätts av ett annat personuppgiftsbiträdesavtal.
11.2 Leverantören ska inom trettio (30) dagar från att Biträdesavtalet upphört, beroende på Kundens instruktion, antingen (i) permanent radera alla Personuppgifter eller (ii) överföra alla Personuppgifter till Kunden i ett allmänt och läsbart format och därefter radera alla befintliga kopior av Personuppgifter. Detta gäller dock inte om och i den mån åtgärden skulle strida mot lag.
Så länge vi jobbar ihop, håller avtalet.
Tänk på ...När vi inte längre jobbar ihop kommer vi att hålla uppgifterna 30 dagar, därefter raderas dem om vi inte fått andra instruktioner från er.
12. ANSVAR FÖR SKADA
Om en registrerad, behörig tillsynsmyndighet eller annan tredje part riktar krav på ersättning eller beslutar om sanktion mot Kunden, ska Leverantören hålla Kunden skadeslös i den utsträckning som Leverantörens handlande eller underlåtenhet i strid med Biträdesavtalet har bidragit till skadan. Kunden ska på motsvarande sätt hålla Leverantören skadeslös för krav på ersättning eller beslut om sanktion som riktas mot Leverantören, om och i den utsträckning det beror på Kunden.
Vi pekar inte finger mot varandra, utan äger våra egna misstag.
13. ERSÄTTNING
Om inte Parterna kommit överens om annat, ska Leverantören inte ha rätt till särskild ersättning för fullgörandet av sina förpliktelser enligt Biträdesavtalet.
Vi tar inget extra betalt för att hantera dina uppgifter på ett schyst sätt.
14. TILLÄGG, ÄNDRINGAR MED MERA
Parterna är överens om att ändra och komplettera Biträdesavtalet i den utsträckning det krävs för att uppfylla kraven enligt Tillämplig lag, eller för det fall det är nödvändigt med hänsyn till kommande praxis eller riktlinjer från behörig tillsynsmyndighet.
Lagar förändras, och det gör att även detta avtalet kan komma att förändras.
15. TILLÄMPLIG LAG & TVIST
Biträdesavtalet ska tolkas och tillämpas i enlighet med svensk rätt. Bestämmelserna om tvistelösning i Parternas avtal om Tjänsterna gäller även för Biträdesavtalet.
Skulle det uppstå en tvist, så ska detta hanteras på samma sätt som i övriga avtal.
16. AVSLUTNING
Biträdesavtalet har signerats elektroniskt och Part har mottagit en digital kopia.
BILAGA 1 – BESKRIVNING AV BEHANDLINGEN
Leverantörens behandling av Personuppgifter ska ske enligt Kundens dokumenterade instruktioner. Denna bilaga utgör del av dessa instruktioner.
FÖREMÅLET FÖR BEHANDLINGEN
Behandlingen kommer att ske inom ramen för den tjänstebeskrivning som framgår av Parternas avtal om Tjänsterna.
BEHANDLINGENS ART OCH ÄNDAMÅL
Leverantören kommer att behandla Personuppgifter för ändamålet att tillhandahålla Tjänsterna samt i övrigt endast i enlighet med Kundens instruktioner.
TYPEN AV PERSONUPPGIFTER OCH KATEGORIER AV REGISTRERADE
Leverantören kommer att behandla Personuppgifter från: Kundens anställda, konsulter och Kundens kunder.
Personuppgifter som kommer att behandlas från dessa personer kan inkludera Personuppgifter tillhörande följande kategorier: namn, personnummer, e-postadress, telefonnummer, anteckningar, inspelningar av samtal, bilder samt aktivitet som sker på den av leverantören levererade plattformen.
BEHANDLINGENS VARAKTIGHET
Behandlingen kommer att pågå så länge som Leverantören tillhandahåller Tjänsterna till Kunden, samt för en begränsad tid därefter enligt Biträdesavtalet. Leverantören kommer att arbeta tillsammans med Kunden för att bestämma gallringstiderna för Personuppgifter i enskilda fall. Om inget särskilt har avtalats ska alla Personuppgifter som Leverantören lagrar raderas inom sex (6) månader från den senaste av Kunden instruerade behandlingen.