Logga in med Mobilt BankIDAnvänd BankID på denna enhet
Avbryt
Glömt lösenord?
Denna inloggning stängs om 90 sekunder. Starta om
Personuppgiftsbiträdesavtal
(Bilaga till Kundavtal för CTNotes)
Detta personuppgiftsbiträdesavtal utgör en bilaga till
Kundavtalet för CTNotes som Parterna har ingått ("Avtalet").
Personuppgiftsbiträdesavtalet är en integrerad del av Avtalet för CTNotes såsom angivits i
bestämmelserna om behandling av personuppgifter i Avtalet för CTNotes.
Följande personuppgiftsbiträdesavtal ("Avtalet") ingås härmed mellan organisationen kallad
Kunden i Avtalet om CTNotes ("Kunden") och Aktiebolaget Tjugofyra SE, organisationsnummer: 556823-8538.
1. Tillämpningsområde
Leverantören är Kundens personuppgiftsbiträde eftersom leverantören behandlar personuppgifter för kundens räkning enligt Bilaga 1.
De personuppgifter som behandlas av Leverantören, ändamålen med behandlingen specificeras i Bilaga 1.
Avtalet reglerar endast den behandling av personuppgifter som Leverantören utför för Kundens räkning.
"Personuppgifter" definieras som varje upplysning som avser en identifierad eller
identifierbar fysisk person, i enlighet med artikel 4(1) i Europaparlamentets och rådets
förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende
på behandling av personuppgifter. (Allmän dataskyddsförordning, GDPR)
2. Personuppgiftsbehandling
Leverantören åtar sig att endast hantera personuppgifter enligt uppdrag från Kunden.
Uppdrag: Leverantören ska endast hantera personuppgifter i syfte att utföra de
personuppgiftsbehandlingar som anges i Bilaga 1. Leverantören får inte hantera eller
bruka personuppgifter för annat än de som anges i uppdraget, inbegripet när
det gäller överföringar av personuppgifter till annat land eller en internationell
organisation, om inte denna hantering krävs av Leverantören enligt annan lagstiftning som
är bindande för Leverantören. I så fall ska Leverantören skriftligen informera Kunden
om det rättsliga kravet innan uppgifterna behandlas, såvida inte sådan information är
förbjuden med hänvisning till viktigt allmänintresse enligt denna rätt.
För det fall Leverantören anser att uppdraget från Kunden strider mot GDPR eller annan
dataskyddslagstiftning i en annan medlemsstat, ska Leverantören skriftligen informera Kunden om detta.
Kunden garanterar att denne innehar alla rättigheter, inklusive, men inte begränsat
till, inhämtande av nödvändiga samtycken från registrerade, som krävs för att få behandla
de personuppgifter som Avtalet avser och för att låta Leverantören behandla sådana
personuppgifter för Kundens räkning.
3. Leverantörens skyldigheter
Leverantören ska behandla personuppgifter i enlighet med
tillämplig svensk dataskyddslagstiftning, inklusive GDPR.
Leverantören ska säkerställa att personer med behörighet att behandla
personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig
lagstadgad tystnadsplikt.
Leverantören ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att
skydda personuppgifterna mot
förlust, förstöring eller skada genom olyckshändelse eller otillåtna handlingar
obehörigt röjande eller obehörig åtkomst, eller
behandling i strid med tillämplig lagstiftning, inbegripet GDPR.
Leverantören ska uppfylla alla rättsligt bindande normer för säkerhetsåtgärder,
inbegripet miniminormer för säkerhetsåtgärder i det land där Leverantören är etablerad
eller det land där personuppgiftsbehandlingen sker.
Lämpliga tekniska och organisatoriska säkerhetsåtgärder ska fastställas med beaktande
av:
nuvarande teknisk nivå
de kostnader genomförandet medför, och
karaktären, omfattningen, sammanhanget och syftet med behandlingen, samt risken för fysiska personers
rättigheter och friheter, av varierande sannolikhetsgrad och allvar.
På begäran av Kunden ska Leverantören förse Kunden med all information som behövs för
att säkerställa att Leverantören uppfyller de krav som Avtalet ställer upp, inbegripet att
Leverantören har implementerat nödvändiga tekniska och organisatoriska säkerhetsåtgärder.
Leverantören ska årligen, på egen bekostnad, få intygat av en oberoende expert att de
säkerhetsåtgärder som Leverantören genomfört uppfyller de krav som anges i Avtalet.
Intyget ska laddas upp på Leverantörens webbplats "www.ctnotes.com" en gång per år.
Leverantören får skapa en ny webbplats för uppladdningen av intyget och skriftligen
meddela Kunden om detta.
Kunden är därutöver berättigad att, på egen bekostnad, utse en oberoende expert som
ska beredas tillgång till de delar av Leverantörens fysiska anläggningar där
personuppgifter behandlas. Experten ska även få tillgång till den information som krävs
för att undersöka huruvida Leverantören har genomfört lämpliga tekniska och
organisatoriska säkerhetsåtgärder. Den oberoende expert som utsetts av Kunden ska inte få
tillgång till information om Leverantörens allmänna kostnadsstruktur eller information om
Leverantörens andra kunder. På begäran av Leverantören ska den oberoende experten skriva
på ett sekretessavtal. Oavsett om ett sekretessavtal har skrivits på eller inte, omfattas
all information experten samlat eller fått från Leverantören av sekretess, och denne får
inte under några omständigheter dela informationen med annan än Kunden. Kunden får inte
lämna ut information till tredje part eller använda informationen i något annat syfte än
att utvärdera huruvida Leverantören har vidtagit nödvändiga tekniska och organisatoriska
säkerhetsåtgärder.
Leverantören ska, utan onödigt dröjsmål efter att ha gjorts medveten om sådan
omständighet, skriftligen informera Kunden vid
begäran från en myndighet att lämna ut personuppgifter som omfattas av Avtalet, såvida
inte Leverantören är förhindrad att informera Kunden enligt unionslagstiftning eller
medlemsstaternas nationella rätt som är bindande för Leverantören
misstanke om eller iakttagelse av (a) säkerhetsöverträdelser som lett till eller kan leda till förlust,
förstöring eller skada genom olyckshändelse eller otillåtna handlingar, obehörigt röjande
eller obehörig åtkomst till personuppgifter som överförts, förvarats eller på annat sätt
behandlats av Leverantören enligt detta Avtal, eller (b) annan överträdelse av
Leverantörens skyldigheter enligt klausul 3.3 och 3.4, eller
begäran om tillgång till personuppgifter från en registrerad eller från en tredje part.
Leverantören ska bistå Kunden vid en eventuell begäran från en registrerad som
omfattas av kapitel III i GDPR, inbegripet begäranden om tillgång till, rättelse av,
begränsning av eller radering av personuppgifter.
Leverantören ska bistå Kunden med att se till att skyldigheterna enligt artikel 32
till 36 i GDPR fullgörs, samt skyldigheterna enligt medlemsstaternas nationella rätt som
kräver Leverantörens bistånd, i den mån det är nödvändigt för att Kunden ska kunna
uppfylla kraven. Detta inbegriper bestämmelsen om nödvändig information till Kunden om en
incident som omfattas av klausul 3.9 (ii) samt all information som är nödvändig för en
konsekvensbedömning enligt artikel 35-36 GDPR, i den mån Leverantören har tillgång till
sådan information.
Leverantören anger i Bilaga 1 de fysiska platserna för servrarna och servicecenter
etc. som används vid personuppgiftsbehandlingen. Leverantören är skyldig att skriftligen
informera Kunden innan eventuella ändringar av den fysiska platsen. Det är tillräckligt
att Leverantören meddelar Kunden skriftligen genom post eller e-post och förfarandet
kräver därmed inte en formell ändring av Bilaga 1.
Kunden ska betala Leverantören för all tid som lagts ner och allt material som
använts för de tjänster Kunden begärt från Leverantören enligt klausul 3.6, 3.8, 3.9 (i)
och (iii), 3.10, 3.11, 7.4 och 7.5 i Avtalet. Kostnaden för tjänsterna följer av
prislistan som återfinns på Leverantörens webbplats på www.ctnotes.com, eller annan
webbplats som Leverantören utsett.
4 Underbiträden
Leverantören är berättigad att använda sig av underbiträden. Vid
tidpunkten för Avtalets ikraftträdande använder sig Leverantören av de underbiträden som
anges i Bilaga 2. Leverantören måste skriftligen informera Kunden senast två månader innan
en planerad förändring, ett planerat tillägg eller ett planerat utbyte av underbiträden.
Under de två första veckorna efter att Leverantören meddelat om den planerade
förändringen, äger Kunden rätt att neka byte av underbiträde. I sådant fall äger
Leverantören, med iakttagande av en månads uppsägningstid, skriftligen säga upp alla avtal
med Kunden där Leverantören behandlar personuppgifter för Kundens räkning. Vid avslutat
anlitande av ett underbiträde ska Leverantören skriftligen informera Kunden.
Innan Leverantören anlitar ett underbiträde måste Leverantören ingå ett skriftligt avtal med
underbiträdet. Detta avtal måste ålägga underbiträdet minst samma skyldigheter i fråga om
dataskydd som de som fastställs i Avtalet mellan Leverantören och Kunden, inbegripet
skyldigheten att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa
att databehandlingen uppfyller kraven enligt GDPR.
Kunden är berättigad att få en kopia av alla överenskommelser mellan Leverantören och
underbiträdena som reglerar de obligatoriska dataskyddskraven enligt klausul 4.2. Om
underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd är Leverantören fullt
ansvarig gentemot Kunden för utförandet av underbiträdets skyldigheter. Den omständigheten
att Kunden har samtyckt till att Leverantören ingår ett avtal med ett underbiträde
påverkar inte Leverantörens skyldighet att uppfylla kraven i Avtalet.
5 Sekretess
Leverantören ska behandla personuppgifter konfidentiellt.
Leverantören får inte lämna ut personuppgifter till tredje part, såvida det inte är
nödvändigt för att Leverantören ska kunna fullgöra sina skyldigheter gentemot Kunden.
Detta förutsätter att den tredje part som mottager informationen är medveten om dess
konfidentiella innehåll och har åtagit sig att hålla informationen konfidentiell i
enlighet med Avtalet. Leverantören får därutöver lämna ut personuppgifter till tredje part
om det krävs enligt lag.
Leverantören ska begränsa åtkomsten till personuppgifter till att endast omfatta de
anställda som behöver informationen för att kunna fullgöra Leverantörens skyldigheter
gentemot Kunden.
Leverantörens skyldigheter enligt klausul 5 är inte tidsbegränsat, oavsett om
Parternas samarbete avslutas.
6 Ändringar och Överföringar
Avtalet kan komma att ändras i enlighet med förändringar
som genomförs i Avtalet om CTNotes.
Leverantören kan överföra rättigheter och skyldigheter under Avtalet, utan medgivande
från Kunden, förutsatt att parten till vilken rättigheterna och skyldigheterna överförs,
åtar sig att behandla personuppgifterna i enlighet med Avtalet.
7 Avtalstid och Uppsägning
Avtalets giltighetstid är densamma som giltighetstiden för
Avtalet om CTNotes. Vid uppsägning av Avtalet om CTNotes, kommer Avtalet att upphöra.
Båda parter har rätt att säga upp Avtalet på samma villkor som gäller för Avtalet om
CTNotes.
Oberoende av den formella avtalstiden, fortsätter Avtalet att gälla så länge
som Leverantören behandlar personuppgifter för Kundens räkning för vilka Kunden är
personuppgiftsansvarig, dock endast såvitt avser Leverantörens behandling av sådana
personuppgifter.
Vid uppsägning, eller om det krävs enligt Avtalet, ska Leverantören
på ett lojalt sätt medverka till att behandlingen av personuppgifter övergår till annan
leverantör eller återgår till Kunden.
På Kundens begäran och vid uppsägning av Avtalet, ska Leverantören överföra de
personuppgifter som behandlats av Leverantören för Kundens räkning till Kunden eller
förstöra sådana personuppgifter, såvida inte unionslagstiftning eller lagstiftning i den
medlemsstat som personuppgifter behandlas kräver att uppgifterna behålls.
8 Underrättelse
När ena parten är skyldig att tillhandahålla den andra parten ett
skriftligt meddelande under Avtalet, kan sådan skyldighet uppfyllas bland annat genom att
sända sådant meddelande via e-post till den andra partens senast angivna e-postadress.
Leverantören kan också tillhandahålla ett skriftligt meddelande till Kunden genom att
skicka meddelandet direkt via det system, till vilket Kunden har fått en användarlicens
enligt Avtalet om CTNotes.
9 Företräde
För det fall bestämmelserna i Avtalet står i konflikt med andra skriftliga
eller muntliga avtal som slutits mellan Parterna, ska bestämmelserna som följer av Avtalet
äga företräde.
Gäller från och med 1 Jan 2018
BILAGA 1
Denna bilaga utgör Kundens instruktion till Leverantören avseende den behandling
av personuppgifter som Leverantören genomför för Kundens räkning, och utgör en integrerad
del av Avtalet.
Instruktion och beskrivning av behandling av personuppgifter i CTNotes Behandlingens syfte
och art.
Syftet med att anförtro behandlingsaktiviteterna till Leverantören är att Kunden ska kunna
använda sig av CTNotes, ett IT-system som Kunden har tillgång till online och som
Leverantören driver och utvecklar. CTNotes
Personuppgifter som behandlas för registrerade användare,
är följande uppgifter: namn, adress och personnummer samt sådana personuppgifter som Kunder för in i register hos CTNotes om
de registrerade. För användning av CTNotes, behandlas de registrerades
mailadresser och mobiltelefonnummer.