Personuppgifts-
biträdesavtal

1 Parter, bakgrund och syfte

1.1
Hippoly AB, org.nr 559101-3320, (”Biträdet” eller ”Hippoly”) tillhandahåller en digital tjänst för styrelse och ledningsarbete (”Tjänsten”). Inom ramen för utförande av Tjänsten kan Hippoly, i egenskap av personuppgiftsbiträde, behöva behandla personuppgifter för vilka ni som kund är personuppgiftsansvarig (”Ansvarig” respektive ”Behandlingen”). Ansvarig och Biträdet benämns nedan gemensamt som ”Parterna” och var och en som ”Part”.

1.2
Parterna har ingått ett avtal om nyttjande av Tjänsten genom den Ansvariges godkännande av Hippolys Tjänste- och Användarvillkor (”Huvudavtalet”).

1.3
Syftet med detta personuppgiftsbiträdesavtal (”Avtalet”) är att tillse att Behandlingen sker i enlighet med Dataskyddslag­stiftningen, Ansvarigs instruktioner samt vad som i övrigt har överenskommits mellan Parterna. Avtalet blir bindande mellan Parterna när den Ansvarige godkänner ovan nämnda Tjänste- och Användarvillkor och Huvudavtalet ingås (”Avtalsdagen”).

1.4
Vid händelse av motstridigheteter mellan bestämmelser i detta Avtal och Huvudavtalet ska detta Avtal äga företräde.

1.5
Detta Avtal ersätter alla tidigare personuppgiftsbiträdesavtal som kan ha träffats mellan Parterna under Huvudavtalet.

2 Lagval och definitioner

2.1
Vid Behandlingen ska Dataskyddslagstiftningen tillämpas.

2.2
Med ”Dataskyddslagstiftningen” avses alla tillämpliga lagar, förordningar, föreskrifter och regler som gäller för behandling av personuppgifter, inklusive men inte begränsat till EU:s allmänna dataskyddsförordning 2016/679 och sådan reglering som implementerar EU:s direktiv om integritet och elektronisk kommunikation 2002/58/EG och eventuella ändringar av, tillägg till eller regleringar som ersätter sådana lagar, förordningar, föreskrifter och regler.

2.3
Såvida inte annat framgår av detta Avtal ska begrepp som används i detta Avtal ha den innebörd som de ges i Dataskyddslagstiftningen.

3 Ansvarigs åtaganden

3.1
I förhållande till de registrerade ansvarar Ansvarig för att de rättsliga kraven på Behandlingen uppfyller kraven i Dataskyddslagstiftningen.

3.2
Ansvarig intygar att Behandlingen överensstämmer med de ändamål för vilka de personuppgifter som omfattas av Behandlingen har samlats in.

3.3
Det är Ansvarigs ansvar att tillse att Biträdet vid var tid är informerat om Ansvarigs gällande instruktioner, såsom dem i Bilaga A samt andra skriftliga instruktioner från Ansvarig avseende Behandlingen. För det fall Ansvarig ger nya instruktioner avseende Behandlingen som avviker från dem som följer av tjänsterna under Huvudavtalet, och dessa instruktioner kräver mer av Biträdet och går längre än vad som föreskrivs av Dataskyddslagstiftningen eller Integritetsskyddsmyndighetens råd och uttalanden ska Biträdet överväga, men har ingen skyldighet att, acceptera sådana instruktioner. Om sådana tillkommande instruktioner innebär att omfattningen av de tjänster Biträdet utför under Huvudavtalet förändras i väsentlig grad ska frågan i första hand hanteras under Huvudavtalet.

3.4
Samtliga instruktioner från Ansvarig ska vara skriftliga eller på annat sätt dokumenterade.

4 Biträdets åtaganden

4.1
Behandlingen beskrivs närmare i Bilaga A. Biträdet åtar sig att enbart behandla personuppgifter på det sätt och för de ändamål som är nödvändiga för att uppfylla sina åtaganden enligt Huvudavtalet, detta Avtal eller i enlighet med de dokumenterade instruktioner som lämnats av Ansvarig i Bilaga A och vilka har godkänts av Biträdet. Biträdet kan även komma att behandla personuppgifter för att tillhandahålla eventuella tilläggstjänster som Ansvarig från tid till annan beställer.

4.2
Efter mottagande av skriftliga instruktioner beträffande Behandlingen från Ansvarig, såsom dem i Bilaga A, ska Biträdet inom skälig tid vidta lämpliga åtgärder för att tillse att Behandlingen anpassas enligt instruktionerna. För sådana åtgärder avseende Behandlingen som inte uttryckligen specificerats av Ansvarig vid tiden för ingående av Huvudavtalet och detta Avtal har Biträdet rätt att begära särskild ersättning.

4.3
Biträdet åtar sig att säkerställa att varje fysisk person som utför arbete under dess ledning och som får tillgång till personuppgifter är informerad om innehållet i detta Avtal och endast behandlar personuppgifterna i enlighet med Avtalet och Ansvarigs dokumenterade instruktioner.

4.4
Biträdet ska i skälig utsträckning bistå Ansvarig genom lämpliga tekniska och organisatoriska åtgärder i den mån det är nödvändigt för att Ansvarig ska kunna fullgöra sina skyldigheter att svara på begäran från de registrerade om registerutdrag eller rättelse, blockering eller utplåning av personuppgifter.

4.5
Biträdet ska utan oskäligt dröjsmål från det att Biträdet har fått vetskap om en personuppgiftsincident underrätta Ansvarig därom. Biträdet ska, i skälig utsträckning, bistå Ansvarig med den information som Ansvarig behöver för att uppfylla sina skyldigheter avseende anmälan av personuppgiftsincidenten till behörig tillsynsmyndighet samt i tillämpliga fall, information till de registrerade om personuppgiftsincidenten.

4.6
Biträdet åtar sig att, i skälig utsträckning, bistå Ansvarig vid utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd samt medverka till utredning av inträffade personuppgiftsincidenter med behöriga tillsynsmyndigheter.

4.7
Biträdet ska ha rätt till skälig ersättning för nedlagt arbete avseende åtagandena i punkterna 4.4 till 4.6.

5 Överföring av personuppgifter

5.1 Överföring till land utanför EU/EES

5.1.1
Biträdet kan komma att överföra personuppgifter utanför EU/EES. Vid sådan överföring kommer Biträdet säkerställa att överföringen sker till länder med adekvat skyddsnivå eller att andra lämpliga skyddsåtgärder har vidtagits.

5.1.2
Om överföring av personuppgifter till mottagare utanför EU/EES enligt lag är tillåten när särskilt avtal ingåtts (eller andra åtgärder vidtagits) i syfte att upprätthålla adekvat skyddsnivå och Biträdet kan visa att sådant avtal finns (eller sådana åtgärder har vidtagits), har Ansvarig inte rätt att neka sådan överföring.

5.2 Överföring till tredje man

5.2.1
Biträdet får inte lämna ut några personuppgifter till tredje man utan föregående skriftligt godkännande därom från Ansvarig, såvida inte utlämnande krävs enligt gällande lag eller myndighetsbeslut. Biträdet har dock alltid rätt att lämna ut personuppgifter till underleverantör i enlighet med punkt 6.1 nedan.

5.2.2
Om Biträdet åläggs av domstol eller myndighet att lämna ut personuppgifter eller vidta annan åtgärd till följd av Behandlingen, har Biträdet rätt till skälig ersättning för nedlagt arbete. Biträdet har även rätt till skälig ersättning för annat utlämnande av personuppgifter till annan än Ansvarig samt för åtgärder i anslutning till sådant utlämnande.

6 Anlitande av Underbiträde

6.1
Genom godkännande av detta Avtal godkänner Ansvarig att Biträdet anlitar underleverantörer för utförande av Behandlingen (”Underbiträde”). Överföring av personuppgifter till Underbiträde sker på Biträdets risk och medför inga förändringar i den ansvarsfördelning som gäller mellan Biträdet och Ansvarig.

6.2
Biträdet åtar sig att skriftligen informera Ansvarig innan Underbiträde anlitas. Ansvarig ska ha möjlighet att invända mot Biträdets val av Underbiträde inom fem (5) dagar från det att Ansvarig mottagit Biträdets meddelande härom. Biträdet får inte anlita det valda Underbiträdet om Ansvarig har presenterat skäliga invändningar. Parterna är överens om att Ansvarig genom godkännande av detta Avtal får anses vara informerad om att Biträdet avser anlita de Underbiträden som listas i Bilaga B.

6.3
När Biträdet anlitar Underbiträde för utförande av Behandlingen, åtar sig Biträdet att teckna ett avtal för hanteringen av personuppgifter med Underbiträdet, varigenom Underbiträdet åläggs samma skyldigheter som enligt detta Avtal åligger Biträdet.

7 Tekniska och organisatoriska säkerhetsåtgärder

7.1
Biträdet ska vidta de tekniska och organisatoriska åtgärder som erfordras enligt Dataskyddslagstiftningen för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, särskilt i förhållande till risker avseende obehörig åtkomst, förstörelse och ändring av de personuppgifter Behandlingen omfattar. Biträdet avgör hur sådana åtgärder ska implementeras för att uppnå erforderlig skyddsnivå.

7.2
Om Ansvarig gör sannolikt att ny skyddsåtgärd krävs eller att befintlig skyddsåtgärd måste anpassas för att uppfylla lagkrav om lämplig säkerhetsnivå eller för att efterkomma myndighetsbeslut ska Parterna diskutera implementationen av sådan åtgärd eller ändring av befintlig skyddsåtgärd. Utökad eller tillkommande skyddsåtgärd kräver skriftlig överenskommelse mellan Parterna. Biträdet ska i sådant fall ha rätt till särskild ersättning för vidtagna säkerhetsåtgärder.

8 Sekretess

8.1
Biträdet åtar sig att inte för utomstående yppa sådan information som Biträdet i egenskap av personuppgiftsbiträde mottagit från Ansvarig eller sådan information som Biträdet i övrigt behandlar i egenskap av personuppgiftsbiträde till Ansvarig. Biträdet åtar sig att säkerställa att de personer som arbetar under dess ledning har åtagit sig att iaktta sekretess i enlighet med denna punkt 1. Sekretessåtaganden ska dock inte gälla information som

1. är allmänt känd eller kommer till allmän kännedom på annat sätt än genom brott mot detta Avtal;
2. information som Biträdet kan visa att Biträdet hade i sin besittning innan Biträdet erhöll informationen från Ansvarig med anledning av detta Avtal;
3. information som Biträdet på rättmätigt sätt utan begränsningar i rätten att vidarebefordra densamma erhåller från tredje man utanför detta avtalsförhållande; eller
4. information som Part är rättsligt förpliktad att tillhandahålla på grund av tvingande lagstiftning, domstolsbeslut eller beslut av annan myndighet.

9 Revision och granskning

9.1
Ansvarig har rätt att med trettio (30) dagars varsel på egen bekostnad, själv eller genom denne bemyndigad tredje man (”Revisorn”) genomföra granskning (inbegripet inspektioner) för att kontrollera att Biträdet följer detta Avtal.

9.2
När Revisorn utses ska Ansvarig ta hänsyn till sådana konkurrensaspekter som hänför sig till affärsrelationer mellan Biträdet och den tilltänkte Revisorn. I detta avseende måste Revisorn godkännas av Biträdet. Sådant godkännande ska dock inte oskäligen vägras av Biträdet.

9.3
Biträdet åtar sig att ge Ansvarig eller Revisorn tillgång till den dokumentation som krävs för att visa att Biträdet har fullgjort sina skyldigheter under Avtalet och ska även i övrigt bistå Ansvarig eller Revisorn vid genomförande av granskning och inspektion. Granskning och inspektion får genomföras under kontorstid, på vardagar mellan kl. 9 och 17.

9.4
Biträdet får ge Revisorn begränsad tillgång till Biträdets lokaler där Behandlingen utförs. När sådan platsinspektion genomförs ska Revisorn följa Biträdes skäliga arbetsregler, säkerhetskrav och andra föreskrifter som gäller på arbetsplatsen och får inte störa Biträdets dagliga verksamhet. Revisorn ska inte ha tillgång till sådan konfidentiell information som rör Biträdets andra kunder eller andra personuppgifter som inte behandlas inom ramen för detta Avtal.

10 Skadestånd och ansvar gentemot tredje man

10.1
Part åtar sig att hålla den andre Parten skadeslös för det fall den andre Parten drabbas av skada till följd av den första Partens behandling av personuppgifter i strid med Dataskyddslagstiftningen eller detta Avtal. Sådan skada kan inkludera, men är inte begränsad till, skyldighet att utge skadestånd till en registrerad eller att betala administrativa sanktionsavgifter beslutade av behörig tillsynsmyndighet.

10.2
Part ska inte vara skyldig att utge ersättning för indirekta skador såsom exempelvis utebliven vinst enligt detta Avtal.

11 Avtalstid och åtgärder vid Avtalets upphörande

11.1
Avtalet gäller från Avtalsdagen och så länge som Biträdet behandlar personuppgifter för Ansvarigs räkning. Bestämmelser om uppsägning finns i Huvudavtalet.

11.2
Såvida Ansvarig inte uttryckligen instruerar Biträdet att personuppgifterna ska återlämnas, åtar sig Biträdet att vid detta Avtals upphörande radera alla personuppgifter som omfattas av Behandlingen från sådana system som använts vid Behandlingen, såvida sådant förfarande inte är oförenligt med gällande nationell rätt eller EU-rätt. Begäran om återlämning av personuppgifter ska vara skriftlig och lämnas till Biträdet senast i samband med att Huvudavtalet sägs upp eller upphör att gälla.

11.3
Om Huvudavtalet upphör och nytt sådant avtal, som även omfattar behandling av personuppgifter, träffas utan att ett nytt personuppgiftsbiträdesavtal träffas, gäller detta Avtal även för personuppgiftsbehandling som sker som en del av tjänster som tillhandahålls enligt det nya avtalet.

12 Lagval och tvistlösning

12.1
För detta Avtal gäller svensk rätt.

12.2
Tvist i anledning av detta Avtal ska slutligt avgöras vid allmän domstol med Göteborgs tingsrätt som första instans.

Bilaga A

Instruktioner för utförandet av Behandlingen

Utöver vad som anges i Avtalet ska nedan instruktioner gälla och iakttas av Biträdet vid utförandet av Behandlingen.

Bilaga B

Underbiträden som godkänts av Ansvarig

Ansvarig godkänner och är informerad om att Biträdet anlitar följande Underbiträden i enlighet med punkten 6.2 i Avtalet.