DPA / PUBA
Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) har ingåtts mellan
Tundran Digital Explorers AB, org.nr. 556645-3915 (”Tundran”); och
Part som via överenskommelse om samarbete har accepterat allmänna villkor, (”Part”).
Tundran och Part är nedan var för sig benämnda ”Part” samt gemensamt ”Parterna”.
1 Allmänt
1.1 Detta Personuppgiftsbiträdesavtal utgör en integrerad del av avtalet som ingåtts mellan Tundran och Kunden (”Tjänsteavtalet”)
1.2 Tundran kommer vid fullföljandet av Tjänsteavtalet att behandla Personuppgifter (definieras nedan) för Kundens räkning såsom personuppgiftsbiträde för Kunden. Kunden är personuppgiftsansvarig för Behandling av personuppgifterna.
1.3 Om någon annan tillsammans med Kunden är personuppgiftsansvarig för de aktuella Personuppgifterna ska Kunden informera Tundran om detta.
1.4 Syftet med detta Biträdesavtal är att Parterna ska uppfylla vid var tid gällande krav enligt gällande Dataskyddsreglering samt att säkerställa ett adekvat skydd för personlig integritet och grundläggande rättigheter för enskilda i samband med överföring av Personuppgifter från Kunden till Tundran inom ramen för de tjänster Tundran utför åt Kunden under Tjänsteavtalet.
2 Definitioner
”Behandling”
Avser åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, inhämtande eller användning.
”Dataskyddsreglering”
avser vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter vilket innefattar, men inte är begränsat till, Europaparlamentets och Rådets Förordning (EU) 2016 /679 (”Dataskyddsförordningen”/”GDPR”) samt Tillsynsmyndighets bindande beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd.
”Personuppgifter”
avser de personuppgifter som Tundran behandlar under Biträdesavtalet. Begreppet ska ha den innebörd som framgår av vid var tid gällande legal definition under GDPR.
”Tillsynsmyndighet”
avser den eller de tillsynsmyndigheter som har behörighet att bedriva tillsyn över hanteringen av Personuppgifter eller anses vara berörd tillsynsmyndighet enligt Dataskyddsregleringen, i Sverige t. ex. Integritetsskyddsmyndigheten.
”Underbiträde”
avser det underbiträde som anlitats eller ska anlitas av Tundran och som därför kommer behandla Personuppgifter för Tundrans räkning.
Eventuella övriga definitioner med stor begynnelsebokstav som används i detta Biträdesavtal ska, om inget annat uttryckligen anges, ha den innebörd och betydelse som framgår av GDPR och i andra hand enligt vad som framgår av Tjänsteavtalet, om inte omständigheterna uppenbarligen talar för annan tolkningsordning.
3 Ansvar
3.1 Kunden är personuppgiftsansvarig för samtliga Personuppgifter som Tundran behandlar för Kundens räkning under Tjänsteavtalet. Kunden ansvarar därmed för att gällande Dataskyddsreglering följs. Kunden har skyldighet att informera Tundran om eventuell förändring i Kunds verksamhet som gör att Tundran behöver vidta någon form av åtgärd eller förändrad rutin. Utöver de krav som gäller direkt för Tundran enligt detta Biträdesavtal ska Tundran vara skyldig att följa vid var tid gällande krav enligt gällande Dataskyddsreglering. Kunden ska även löpande informera Tundran om tredje parts, däribland Tillsynsmyndighets och Registrerads, åtgärder med anledning av Behandlingen.
3.2 Tundran och den eller de personer som arbetar under Tundran ledning ska endast behandla Personuppgifter i enlighet med de dokumenterade instruktioner som Kunden ger Tundran och inte för några andra ändamål än de ändamål som Tundran anlitats för och som anges i detta Biträdesavtal. De instruktioner som gäller vid Biträdesavtalets ingående framgår av Bilaga 1. Utöver de särskilda instruktioner som framgår av Allmänna villkor ska detta Biträdesavtal och Tjänsteavtalet i övrigt anses utgöra Kundens samtliga instruktioner till Tundran avseende Behandling av Personuppgifter. Kunden ska omedelbart informera Tundran om förändringar vilka påverkar Tundrans skyldigheter enligt detta Biträdesavtal.
3.3 Om en instruktion avseende Behandling av personuppgifter som lämnats av Kunden enligt Tundrans uppfattning strider mot Dataskyddsregleringen ska Tundran omedelbart informera Kunden.
3.4 Behandling får även ske om sådan Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Tundran. I sådana fall ska Tundran informera Kunden om det rättsliga kravet innan Behandlingen, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt sådan rätt.
3.5 Tundran har rätt att under Biträdesavtalet giltighetstid och därefter lagra och behandla data som Behandlas under detta Biträdesavtal i någon form av aggregerat eller anonymiserat format, d.v.s. data som inte innehåller Personuppgifter.
4 Säkerhet
4.1 Tundran ska vidta de tekniska och organisatoriska åtgärder som krävs enligt gällande Dataskyddsreglering för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med Behandlingen och för att skydda de Personuppgifter som Behandlas mot oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som Behandlas. Detta inbegripet, när det är lämpligt följande:
pseudonymisering och kryptering av personuppgifter,
förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och -tjänsterna,
förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet
4.2 Tundran ska bistå Kunden med att se till att skyldigheterna enligt artiklarna 32-36 i GDPR fullgörs, med beaktande av typen av Behandling och den information som Tundran har att tillgå.
5 Utlämnande av information och Personuppgifter
5.1 Om det till Tundran kommer in en begäran från Registrerad, Tillsynsmyndighet eller annan tredje man om att få ta del av uppgifter som Tundran Behandlar under detta Biträdesavtal ska Tundran vidarebefordra begäran till Kunden. Tundran, eller den som arbetar under Tundrans ledning, får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan instruktion om detta från Kunden.
5.2 Tundran ska hjälpa Kunden i den mån det är möjligt så att Kunden kan fullgöra sin skyldighet att svara på begäran från den Registrerade vid den Registrerades utövande av sina rättigheter enligt gällande Dataskyddsreglering.
6 Kontakter med Tillsynsmyndighet
6.1 Tundran ska informera Kunden om eventuella kontakter från Tillsynsmyndigheten som rör Behandling av Personuppgifter.
7 Underbiträden
7.1 Tundran ges ett allmänt förhandstillstånd att anlita Underbiträden under förutsättning att Tundran ingår ett skriftligt avtal där Underbiträdet åläggs motsvarande skyldigheter som Tundran åläggs enligt detta Biträdesavtal.
7.2 Tundran ska på begäran från Kunden informera Kunden om vilka Underbiträden som anlitats av Tundran för att Behandla Personuppgifter.
7.3 Tundran åtar sig att informera Kunden om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden. Kunden har rätt att invända mot sådana förändringar på objektiva grunder. Om Kunden gör en sådan befogad invändning har Tundran rätt till extra ersättning av Kunden för de kostnader som Tundran drabbas av p.g.a. aktuellt Underbiträde inte kan användas. Tundran har även rätt att säga upp Tjänsteavtalet och/eller detta Biträdesavtal helt eller delvis, t.ex. vad avser viss tilläggstjänst med trettio (30) dagars uppsägningstid, utan att Kunden har rätt till ersättning eller skadestånd.
8 Rätt till insyn och kontroll
Tundran ska ge Kunden tillräckligt med sådan information som krävs för att visa att Tundran uppfyller de krav som framgår av detta Biträdesavtal och av gällande Dataskyddsreglering. Vid behov ska Tundran också bidra till att Kunden kan genomföra granskningar och inspektioner av Behandlingen av personuppgifter som utförs av Tundran. Sådana granskningar ska ske på överenskomna tider och på Kundens bekostnad.
9 Överföring till tredje land
9.1 Överföring av Personuppgifter av Tundran eller av Underbiträde till en plats utanför EES- området får vidtas förutsatt att vid var tid gällande krav för en sådan överföring enligt Dataskyddsreglering uppfylls.
10 Sekretess
10.1 Tundran åtar sig att säkerställa att personer med behörighet att Behandla Personuppgifterna som överförts av Kunden har åtagit sig att iaktta sekretess för sådan Behandling eller omfattas av en lämplig lagstadgad tystnadsplikt som på annat sätt skyddar personuppgifterna från att röjas.
10.2 Åtagandet i punkt 10.1 ovan gäller inte information som Tundran föreläggs utge till myndighet eller som annars följer av annan lagstadgad skyldighet.
10.3 Sekretessåtagandet gäller under Tjänsteavtalets giltighetstid och därefter.
11 Dataportabilitet
11.1 Tundran ska från och med Tillämpningsdagen tillse att Kunden och/eller Kundens slutkunder (när dessa är personuppgiftsansvariga) kan uppfylla eventuell skyldighet att möjliggöra dataportabilitet avseende Personuppgifter som Tundran Behandlar under detta Biträdesavtal.
12 Ersättning
12.1 Tundran ska ha rätt till full ersättning från Kunden för samtligt arbete och samtliga kostnader som uppstår till följd av fullgörande av punkterna 8, 11 och 15.1 som beror på instruktioner för Behandlingen som Kunden ger Tundran och som går utöver vad som framgår av bilaga 1 eller de funktioner och den säkerhetsnivå som följer av de tjänster som Tundran normalt erbjuder sina kunder, t.ex. vad gäller Tundrans webbhotell och servrar och sådant som kräver att Tundran behöver göra specialanpassningar på beställning av Kunden.
12.2 Tundran ska även ha rätt till ersättning för sitt arbete med anledning av sina åtaganden enligt punkten 5. Samtligt arbete som Tundran har rätt till ersättning för enligt denna punkt ska ersättas i enlighet med Tundran vid var tid gällande timpriser. Utlägg som Tundran kan behöva göra vid fullgörande av detsamma ska ersättas enligt Tundrans faktiska kostnader för utläggen.
13 Ansvar
13.1 Om Tundran, den som arbetar under Tundrans ledning eller av Tundran anlitat Underleverantör Behandlar Personuppgifter i strid med detta Biträdesavtal eller de lagenliga anvisningar som Kunden har lämnat, ska Tundran med beaktande av de ansvarsbegränsningar som följer av Tjänsteavtalet, ersätta Kunden för den direkta skada som Kunden har orsakats på grund av den felaktiga Behandlingen, beloppet får maximalt motsvara kundens erlagda betalningar för aktuell tjänst för innevarande år.
13.2 Kunden ska hålla Tundran skadelös för samtliga direkta eller indirekta skador som Tundran orsakas genom överträdelse av Dataskyddsreglering som beror på otydliga, bristfälliga eller otillåtna instruktioner som Kunden har gett Tundran, bristfällig information från Kunden om vilka kategorier av uppgifter som Behandlas (t.ex. om känsliga Personuppgifter Behandlas utan att Kunden informerat Tundran om detta) eller annars beroende på omständighet på Kundens sida.
13.3 Tundrans ersättningsskyldigheter avseende krav och skador enligt denna punkt 13 gäller under förutsättning att i) Kunden utan onödigt dröjsmål skriftligen underrättar Tundran om krav som framställts mot Kunden; och ii) Kunden låter Tundran kontrollera försvaret av kravet och ensamt fatta beslut om eventuell förlikning.
14 Avtalstid och åtgärder vid upphörande
14.1 Biträdesavtalet gäller från dess undertecknande och så länge som Tundran Behandlar Personuppgifter för Kundens eller dennes kunders räkning.
14.2 Tundran ska efter Tjänsteavtalets eller Biträdesavtalets upphörande återlämna eller radera de Personuppgifter som Kunden överlämnat eller som på annat sätt kommit Tundran tillhanda. Tundran ska radera eventuella befintliga kopior såvida inte lagring av Personuppgifterna krävs enligt unionsrätten eller medlemsstats nationella rätt.
15 Ändringar i Biträdesavtalet
15.1 Om Dataskyddsreglering ändras under tiden för Biträdesavtalet, eller om Tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsreglering som föranleder att detta Biträdesavtal inte uppfyller de krav som ställs på ett Biträdesavtal och/eller underbiträdesavtal ska detta Biträdesavtal ändras för att tillgodose sådana nya eller tillkommande krav. Sådan ändring träder ikraft senast trettio (30) dagar efter att Kunden översänt ändringsmeddelande till Tundran, eller annars senast inom sådan tidsperiod som anges i Dataskyddsreglering, Tillsynsmyndighets riktlinjer, beslut eller föreskrifter.
15.2 Övriga ändringar av och tillägg till detta Biträdesavtal ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av Parterna.
16 Övrigt
16.1 I övrigt ska vad som sägs i Tjänsteavtalet äga tillämpning även för Tundrans Behandling av Personuppgifter och åtagandena under detta Biträdesavtal. Vid oenighet mellan bestämmelserna i Tjänsteavtalet och detta Biträdesavtal ska dock bestämmelserna i Biträdesavtalet äga företräde i förhållande till all Behandling av Personuppgifter. Ingenting i Tjänsteavtalet ska anses begränsa eller ändra åtaganden i detta Biträdesavtal i den mån att detta skulle medföra att någon Part inte uppfyller kraven enligt Dataskyddsreglering.
16.2 Tundrans ansvar är alltid begränsat till det belopp som motsvarar Kundens erlagda avgift från att avtalsbrottet skriftligen meddelats Tundran tills dess att bristen åtgärdats eller innevarande avtalsperiod avslutats. Krav som överstiger detta belopp har Kund inte rätt att göra gällande mot Tundran. Denna begränsning gäller även om utförda avhjälpanden inte har uppfyllt sitt syfte.
16.3 Svensk materiell rätt ska gälla för detta Biträdesavtal.
16.4 Tvister som uppstår i anledning av detta Biträdesavtal ska lösas i enlighet med tvistlösningsbestämmelsen i Tjänsteavtalet.
Tundran Digital Explorers is a part of Thinc Collective, a group of entrepreneur-driven companies within the marketing and commtech industry. By using the power of the collective and the skills of the specialists we challenge the limits of what is known as communication and what it can do for our clients, our employees and to contribute to a better world for all. Read more >>