PERSONUPPGIFTSBITRÄDESAVTAL

Detta avtal fungerar som en bilaga till Sajnats Allmänna villkor. När du som användare av Sajnat accepterar de allmänna villkoren accepterar du även detta personuppgiftsbiträdesavtal.

När du använder Sajnat kommer vi som personuppgiftsbiträde att själva och/eller genom annat anlitat personuppgiftsbiträde behandla personuppgifter för den personuppgiftsansvariges räkning. Syftet med detta avtal är att tillse att personuppgifter behandlas i enlighet med den personuppgiftsansvariges instruktioner och tillämpliga lagar och förordningar.

Definitioner

”Avtalet” avser avtalsdokumentet Personuppgiftsbiträdesavtal samt övriga till Avtalet hörande bilagor.

Med ”behandling” avses varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättning av personuppgifter, oberoende av om de utförs automatiserat eller ej, så som insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Med ”personuppgifter” avses varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Med ”personuppgiftsincident” avses säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Med ”register” avses en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

Med ”registrerad” avses en identifierad eller identifierbar fysisk person.

Med ”känsliga personuppgifter” avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa samt uppgifter om en fysisk persons sexualliv eller sexuella läggning.

”Systemadministratör” avser den person hos den Personuppgiftsansvarige som genomför registrering av fysisk eller juridisk person hos Personuppgiftsbiträdet i samband med Tjänsteavtalets ingående och uppstart av tjänsterna.

Ovan definierade begrepp samt övriga begrepp och termer som används i detta Avtal skall ha den betydelse som motsvarande begrepp och termer har enligt Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 (”Dataskyddsförordningen”).

Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet skall för den personuppgiftsansvariges räkning behandla personuppgifter av den art, på de sätt, för de ändamål, med den varaktighet och typ av personuppgifter samt avseende de kategorier av registrerade som anges i detta Avtal.

Personuppgiftsbiträdet får endast behandla personuppgifter i enlighet med dokumenterade instruktioner från den personuppgiftsansvarige såvida inte skyldighet följer av tillämplig dataskyddslagstiftning. Föreligger sådan skyldighet för personuppgiftsbiträdet ska denne innan personuppgifterna behandlas informera den personuppgiftsansvarige om detta rättsliga krav, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt sådan dataskyddslagstiftning.

Den Personuppgiftsansvarige bekräftar att Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal utgör de fullständiga instruktioner som ska följas av Personuppgiftsbiträdet. Alla ändringar i den Personuppgiftsansvariges instruktioner ska dokumenteras skriftligt och undertecknas av båda Parter. Den Personuppgiftsansvarige är skyldigt att inte, utan sådan skriftlig överenskommelse, låta Personuppgiftsbiträdet behandla andra kategorier av personuppgifter, eller behandla personuppgifter om andra kategorier av registrerade, än vad som anges i punkt 14.

Om personuppgiftsbiträdet anser att en instruktion från den personuppgiftsansvarige strider mot Dataskyddsförordningen eller annan tillämplig dataskyddslagstiftning, ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige härom.

Om personuppgiftsbiträdet saknar instruktioner som denne bedömer är nödvändiga för att genomföra behandlingen av personuppgifter, ska personuppgiftsbiträdet utan dröjsmål informera den personuppgiftsansvarige om detta och invänta de instruktioner som den personuppgiftsansvarige bedömer erfordras och meddelar personuppgiftsbiträdet.

Den Personuppgiftsansvarige bekräftar att en Systemadministratör har rätt att, för den Personuppgiftsansvariges räkning, lämna sådana instruktioner till Personuppgiftsbiträdet avseende Personuppgiftsbiträdets personuppgiftbehandlingar som är nödvändiga för att Systemadministratören och Personuppgiftsbiträdet ska kunna fullgöra sina respektive förpliktelser mot den Personuppgiftsansvarige.

Om den Personuppgiftsansvarige, till följd av avtal med en tredje part om att en sådan part ska tillhandahålla tjänster till den Personuppgiftsansvarige som ska integreras med Tjänsterna, aktiverar och godkänner sådan integration bekräftar härmed parterna att Personuppgiftsbiträdet är skyldigt, samt berättigat, att till sådan tredje part lämna ut och motta de personuppgifter som är nödvändiga för Personuppgiftsbiträdet att lämna ut respektive motta, för att sådan tredje part och Personuppgiftsbiträdet, ska kunna fullgöra sina respektive förpliktelser mot den Personuppgiftsansvarige.

Datasäkerhet och sekretess

Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder så att behandling av personuppgifter uppfyller kraven i Dataskyddsförordningen och Avtalet, samt i övrigt säkerställa att registrerades rättigheter skyddas.

Personuppgiftsbiträdet ska säkerställa att personer med behörighet att behandla personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av lagstadgad tystnadsplikt samt endast behandlar dessa i enlighet med dokumenterade instruktioner från den personuppgiftsansvarige, såvida personerna ifråga inte är skyldiga att göra det enligt tillämplig dataskyddslagstiftning.

Anlitande av underbiträden

Den personuppgiftsansvarige lämnar härmed personuppgiftsbiträdet tillstånd att anlita annat personuppgiftsbiträde för behandling av personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträdet ska informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådan förändring. Sådan invändning ska ske skriftligen utan oskäligt dröjsmål från det att den personuppgiftsansvarige fått informationen.

Om personuppgiftsbiträdet anlitar annat personuppgiftsbiträde för behandling av personuppgifter för den personuppgiftsansvariges räkning ska personuppgiftsbiträdet genom avtal ålägga det andra personuppgiftsbiträdet samma skyldigheter ifråga om dataskydd som gäller för personuppgiftsbiträdet enligt detta Avtal samt ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen.

Information till den personuppgiftsansvarige

Personuppgiftsbiträdet ska, med hänsyn till behandlingens art, hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med Dataskyddsförordningen.

Personuppgiftsbiträdet ska med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå, bistå den personuppgiftsansvarige med nödvändig information för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter att genomföra konsekvensbedömning och förhandssamråd med tillsynsmyndigheten avseende behandling av personuppgifter under detta Avtal.

Personuppgiftsbiträdet skall ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som anges i detta Avtal har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av denne utsedd tredje part.

Personuppgiftsincident

Om en personuppgiftsincident inträffar skall personuppgiftsbiträdet utan dröjsmål underrätta den personuppgiftsansvarige härom efter det att incidenten kom till personuppgiftsbiträdets kännedom.

Personuppgiftsbiträdet skall omgående efter att en personuppgiftsincident har inträffat utreda incidentens omfattning, art och sannolika konsekvenser, vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa incidentens negativa effekter samt på begäran samråda med den personuppgiftsansvarige för att avgöra om denne är skyldig att anmäla incidenten till berörd tillsynsmyndighet. Snarast efter avslutad undersökning ska personuppgiftsbiträdet tillhandahålla följande information avseende personuppgiftsincidenten:

Beskrivning av personuppgiftsincidentens art, inklusive där så är möjligt kategorier av och det ungefärliga antalet registrerade som berörs, samt de kategorier av och det ungefärliga antalet personuppgiftposter som berörs,
De sannolika konsekvenserna av personuppgiftsincidenten, och
De åtgärder som personuppgiftsbiträdet vidtagit eller avser vidta för att åtgärda personuppgiftsincidenten och för att begränsa personuppgiftsincidentens eventuella negativa effekter.

Personuppgiftsbiträdet skall på begäran tillhandahålla den personuppgiftsansvarige samlad dokumentation av alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits.

Återlämnande av personuppgifter

Vid Avtalets upphörande ska i enlighet med den personuppgiftsansvariges instruktion personuppgiftsbiträdet återlämna alla personuppgifter till personuppgiftsansvarig alternativt radera personuppgifterna. Har sådan instruktion inte lämnats senast 30 dagar efter Avtalets upphörande äger personuppgiftsbiträdet rätt att radera samtliga personuppgifter, såvida inte lagring av personuppgifterna krävs enligt tillämplig dataskyddslagstiftning.

Register

Personuppgiftsbiträdet ska föra ett register i elektronisk form över all behandling av personuppgifter som utförts för den personuppgiftsansvariges räkning. Registret ska innehålla följande uppgifter:

Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar, och, i tillämpliga fall, för den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare samt dataskyddsombud,
Ändamålen med behandlingen,
Kategorierna av registrerade och av kategorierna av personuppgifter samt de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter,
I tillämpliga fall, överföringar till tredjeland eller en internationell organisation, med angivande av sådant tredjeland eller internationell organisationen och, vid sådana överföringar som avses i artikel 49 andra stycket Dataskyddsförordningen, dokumentation av lämpliga skyddsåtgärder.
En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1 Dataskyddsförordningen.

På begäran av behörig tillsynsmyndighet ska personuppgiftsbiträdet och av denne anlitat personuppgiftsbiträde göra registret tillgängligt för denna.

Om en registrerad begär ett registerutdrag avseende behandlingen av dennes personuppgifter, ska personuppgiftsbiträdet på begäran av den registrerade eller den personuppgiftsansvarige tillhandahålla registerutdrag avseende sådan behandling.

Vid begäran om information

För det fall att registrerad eller annan tredje part, tillsynsmyndighet, domstol eller annan myndighet begär information från personuppgiftsbiträdet som rör behandling av personuppgifter eller innehållet i sådana uppgifter, ska personuppgiftsbiträdet hänvisa till den personuppgiftsansvarige, om inte annat följer av personuppgiftsbiträdets skyldigheter enligt detta Avtal eller tillämplig dataskyddslagstiftning.

Personuppgiftsbiträdet ska utan dröjsmål informera den personuppgiftsansvarige om begäran av information eller andra kontakter enligt punkt 4.1 ovan, som rör eller kan vara av betydelse för behandlingen av personuppgifterna.

Granskning, inspektion och revision

För att den personuppgiftsansvarige ska kunna kontrollera att behandlingen av personuppgifter uppfyller kraven enligt detta Avtal och Dataskyddsförordningen, ska personuppgiftsbiträdet även möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av revisor eller annan personal som bemyndigats av den personuppgiftsansvarige.

Personuppgiftbiträdet ska medge den personuppgiftsansvarige att själv eller genom anlitande av annan genomföra revision avseende personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. Revision ska bland annat kunna ske avseende behörighetsadministration, säkerhetsrutin, loggar, logguppföljning och spårbarhet för behandlingen av personuppgifter som personuppgiftsbiträdet ska ha enligt detta Avtal och Dataskyddsförordningen. Personuppgiftsbiträdet ska lämna den personuppgiftsansvarige det tillträde och assistans som är nödvändigt för genomförandet av sådan revision.

Personuppgiftsbiträdet ska medge den personuppgiftsansvarige rätt att i förekommande fall på lämpligt sätt och i skälig omfattning utreda obehörig åtkomst till personuppgifterna.

Form av överföring av personuppgifter

Överföring av personuppgifter mellan parterna ska ske på mellan parterna överenskommet medium.

Om en registrerad lämnat begäran om åtgärder i elektronisk form, ska personuppgiftsombudet om möjligt tillhandahålla informationen i elektronisk form.

Rättigheter och behörigheter

Personuppgiftsbiträdet ansvarar fullt ut för att denne har samtliga rättigheter som krävs för dennes ingående och fullgörande av personuppgiftsbiträdesavtalet. Således ska personuppgiftsbiträdet bland annat tillse att denne innehar samtliga sådana rättigheter som krävs för dennes fullgörande av sina åtaganden och tillse att dennes fullgörande av åtagandena inte utgör intrång i tredje mans rätt.

Personuppgiftsbiträdet har inte rätt att företräda den personuppgiftsansvarige eller på annat sätt agera för dennes räkning utan att särskild överenskommelse härom har träffats med denne.

Personuppgiftsbiträdet erhåller inga rättigheter till de personuppgifter som behandlas enligt detta personuppgiftsbiträdesavtal eller till resultatet av sådan behandling.

Behandling av personuppgifter i annat land

Personuppgiftsbiträdet eller av denne anlitat personuppgiftsbiträde får endast överföra personuppgifter till ett tredje land om villkoren i Kapitel V Dataskyddsförordningen är uppfyllda. Personuppgiftsbiträdet skall på den personuppgiftsansvariges begäran tillhandahålla en skriftlig beskrivning av hur nämnda villkor uppfylls.

Den personuppgiftsansvariges skyldigheter

Den personuppgiftsansvarige ansvarar för att den behandling av personuppgifter som denne uppdrar åt personuppgiftsbiträdet att svara för är lagligt grundad och nödvändig för det eller de ändamål som ligger till grund för behandlingen och i övrigt är tillåten enligt Dataskyddsförordningen och annan tillämplig dataskyddslagstiftning.

Den personuppgiftsansvarige ansvarar fullt ut för att denne har samtliga rättigheter som krävs för dennes ingående och fullgörande av personuppgiftsbiträdesavtalet. Således ska den personuppgiftsansvarige bland annat tillse att denne innehar samtliga sådana tillstånd och samtycken samt uppfyller alla andra krav som gäller för dennes rättsenliga fullgörande av detta Avtal samt att fullgörandet härav inte utgör intrång i tredje mans rätt.

Den personuppgiftsansvarige ska tillhandahålla personuppgiftsbiträdet sådana instruktioner avseende personuppgifter som är erforderliga för att personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt detta Avtal samt Dataskyddsförordningen.

Den personuppgiftsansvarige ska informera personuppgiftsbiträdet om arten av de personuppgifter som denne ska behandla för den personuppgiftsansvariges räkning och särskilt om personuppgifterna kan anses utgöra känsliga personuppgifter. I sådant fall är den personuppgiftsansvarige skyldig att identifiera de säkerhetsåtgärder som kan komma att krävas vid behandling av sådana personuppgifter samt att inte låta personuppgiftsbiträdet behandla uppgifterna innan sådana säkerhetsåtgärder vidtagits.

Den personuppgiftsansvarige ska utan dröjsmål informera personuppgiftsbiträdet om sådana förhållanden som den personuppgiftsansvarige får kännedom om och som rimligen kan antas ha betydelse för personuppgiftsbiträdets uppfyllande av sina skyldigheter enligt detta Avtal.

Den personuppgiftsansvarige äger inte rätt att företräda personuppgiftsbiträdet eller på annat sätt agera för dennes räkning utan föregående särskild överenskommelse med denne.

Ansvar vid behandling av personuppgifter

Personuppgiftsbiträdet ska hålla den personuppgiftsansvarige skadelös för ersättningskrav, sanktionsavgift eller andra anspråk riktade mot den personuppgiftsansvarige på grund av brott mot detta Avtal eller mot Dataskyddsförordningen med den begränsning för ansvar som följer av Tjänsteavtalet.

Personuppgiftsbiträdet svarar dock aldrig för skada som den personuppgiftsansvarige drabbas av som är hänförlig till att personuppgiftsbiträdet agerat i enlighet med instruktioner meddelade av den personuppgiftsansvarige. Den personuppgiftsansvarige ska hålla personuppgiftsbiträdet skadelös för ersättningskrav, sanktionsavgift eller andra anspråk riktade mot personuppgiftsbiträdet på grund av agerande i enlighet med sådana meddelade instruktioner.

Innan part inleder förhandling, ingår förlikning eller träffar annat avtal med registrerad, myndighet eller annan tredje part med anledning av i denna punkt 10 ovan angivna anspråk ska parten informera den andre parten härom och ge denne möjlighet att biträda parten eller på annat lämpligt sätt tillvarata sina intressen.

Ersättning

Personuppgiftsbiträdet skall ha rätt till full ersättning för arbete, åtgärder samt utlägg och andra kostnader som följer av personuppgiftsbiträdets åligganden enligt Avtalet. Om ej annat avtalats skall ersättning utgå enligt personuppgiftsbiträdets vid var tid gällande prislista och, såvitt avser utlägg och andra kostnader, motsvarande den personuppgiftsbiträdets faktiska kostnader.

Avtalstid

Detta Avtal gäller träder i kraft när du vid användning av Sajnat accepterar våra Allmänna Villkor och detta tillhörande Personuppgiftsbiträdesavtal och upphör att gälla när avtalstiden gått ut.

Tillämplig lag och tvistelösning

Svensk lag ska tillämpas på dessa Villkor.
Tvister som uppstår i anledning av eller i samband med dessa Villkor ska slutligt avgöras av allmän domstol där Sajnat har sitt säte.

Befintliga och godkända underbiträden

Nedan följer en lista på befintliga och godkända underbiträden som alla krävs för att fullgöra skyldigheter enligt avtal.

Amazon Web Services
Typ av tjänst: Datalagring
Användning av tjänsten och uppgifter som behandlas: Dokumentet i sin helhet, i PDF-form. Delar av dokumentet i bildformat. Processesering och konvertering av PDF till bildformat. Krypteras på disk i Sverige (S3). Databas lagras på EC2, och backupas till S3, krypterat. Kunders logotyper som laddas upp i verktyget. Krypteras inte på disk, logotypen är publik.
Villkor: https://aws.amazon.com/blogs/security/aws-gdpr-data-processing-addendum/

Stripe
Typ av tjänst: Betalningslösning
Användning av tjänsten och uppgifter som behandlas: Lagrar kunduppgifter i bokföringssyfte. Kontaktperson, kontakt-email, organisationsnummer osv.
Villkor: https://support.stripe.com/questions/accept-and-download-your-data-processing-agreement-(dpa)-with-stripe

Mailgun
Typ av tjänst: E-postserver
Användning av tjänsten och uppgifter som behandlas: Skickar e-post via EU-servrar. Lagrar e-postinnehåll i 3 dagar, därefter raderas datan. Loggar sparas också i 3 dagar. Uppgifter som lagras är pdf-dokument, tumnaglar för avtal, e-postadresser, namn.
Villkor: https://www.mailgun.com/legal/dpa/

Pusher
Typ av tjänst: Tjänst för websocket
Användning av tjänsten och uppgifter som behandlas: Skickar meddelandeuppdateringar via servrar i EU. T.ex. att ett e-postmeddelande har mottagits.
Data som hanteras är dokumentrelaterad data, t.ex. att status för en signatur ändras.
Villkor: https://messagebird.com/legal/dpa