Personuppgiftsbiträdesavtal

(Bilaga till Kundavtal för CTNotes)

Detta personuppgiftsbiträdesavtal utgör en bilaga till Kundavtalet för CTNotes som Parterna har ingått ("Avtalet"). Personuppgiftsbiträdesavtalet är en integrerad del av Avtalet för CTNotes såsom angivits i bestämmelserna om behandling av personuppgifter i Avtalet för CTNotes.

Följande personuppgiftsbiträdesavtal ("Avtalet") ingås härmed mellan organisationen kallad Kunden i Avtalet om CTNotes ("Kunden") och Aktiebolaget Tjugofyra SE, organisationsnummer: 556823-8538.

1. Tillämpningsområde

  1. Leverantören är Kundens personuppgiftsbiträde eftersom leverantören behandlar personuppgifter för kundens räkning enligt Bilaga 1.
  2. De personuppgifter som behandlas av Leverantören, ändamålen med behandlingen specificeras i Bilaga 1.
  3. Avtalet reglerar endast den behandling av personuppgifter som Leverantören utför för Kundens räkning.
  4. "Personuppgifter" definieras som varje upplysning som avser en identifierad eller identifierbar fysisk person, i enlighet med artikel 4(1) i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter. (Allmän dataskyddsförordning, GDPR)

2. Personuppgiftsbehandling

  1. Leverantören åtar sig att endast hantera personuppgifter enligt uppdrag från Kunden.
  2. Uppdrag: Leverantören ska endast hantera personuppgifter i syfte att utföra de personuppgiftsbehandlingar som anges i Bilaga 1. Leverantören får inte hantera eller bruka personuppgifter för annat än de som anges i uppdraget, inbegripet när det gäller överföringar av personuppgifter till annat land eller en internationell organisation, om inte denna hantering krävs av Leverantören enligt annan lagstiftning som är bindande för Leverantören. I så fall ska Leverantören skriftligen informera Kunden om det rättsliga kravet innan uppgifterna behandlas, såvida inte sådan information är förbjuden med hänvisning till viktigt allmänintresse enligt denna rätt.
  3. För det fall Leverantören anser att uppdraget från Kunden strider mot GDPR eller annan dataskyddslagstiftning i en annan medlemsstat, ska Leverantören skriftligen informera Kunden om detta.
  4. Kunden garanterar att denne innehar alla rättigheter, inklusive, men inte begränsat till, inhämtande av nödvändiga samtycken från registrerade, som krävs för att få behandla de personuppgifter som Avtalet avser och för att låta Leverantören behandla sådana personuppgifter för Kundens räkning.

3. Leverantörens skyldigheter

  1. Leverantören ska behandla personuppgifter i enlighet med tillämplig svensk dataskyddslagstiftning, inklusive GDPR.
  2. Leverantören ska säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.
  3. Leverantören ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna mot
    1. förlust, förstöring eller skada genom olyckshändelse eller otillåtna handlingar
    2. obehörigt röjande eller obehörig åtkomst, eller
    3. behandling i strid med tillämplig lagstiftning, inbegripet GDPR.
  4. Leverantören ska uppfylla alla rättsligt bindande normer för säkerhetsåtgärder, inbegripet miniminormer för säkerhetsåtgärder i det land där Leverantören är etablerad eller det land där personuppgiftsbehandlingen sker.
  5. Lämpliga tekniska och organisatoriska säkerhetsåtgärder ska fastställas med beaktande av:
    1. nuvarande teknisk nivå
    2. de kostnader genomförandet medför, och
    3. karaktären, omfattningen, sammanhanget och syftet med behandlingen, samt risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar.
  6. På begäran av Kunden ska Leverantören förse Kunden med all information som behövs för att säkerställa att Leverantören uppfyller de krav som Avtalet ställer upp, inbegripet att Leverantören har implementerat nödvändiga tekniska och organisatoriska säkerhetsåtgärder.
  7. Leverantören ska årligen, på egen bekostnad, få intygat av en oberoende expert att de säkerhetsåtgärder som Leverantören genomfört uppfyller de krav som anges i Avtalet. Intyget ska laddas upp på Leverantörens webbplats "www.ctnotes.com" en gång per år. Leverantören får skapa en ny webbplats för uppladdningen av intyget och skriftligen meddela Kunden om detta.
  8. Kunden är därutöver berättigad att, på egen bekostnad, utse en oberoende expert som ska beredas tillgång till de delar av Leverantörens fysiska anläggningar där personuppgifter behandlas. Experten ska även få tillgång till den information som krävs för att undersöka huruvida Leverantören har genomfört lämpliga tekniska och organisatoriska säkerhetsåtgärder. Den oberoende expert som utsetts av Kunden ska inte få tillgång till information om Leverantörens allmänna kostnadsstruktur eller information om Leverantörens andra kunder. På begäran av Leverantören ska den oberoende experten skriva på ett sekretessavtal. Oavsett om ett sekretessavtal har skrivits på eller inte, omfattas all information experten samlat eller fått från Leverantören av sekretess, och denne får inte under några omständigheter dela informationen med annan än Kunden. Kunden får inte lämna ut information till tredje part eller använda informationen i något annat syfte än att utvärdera huruvida Leverantören har vidtagit nödvändiga tekniska och organisatoriska säkerhetsåtgärder.
  9. Leverantören ska, utan onödigt dröjsmål efter att ha gjorts medveten om sådan omständighet, skriftligen informera Kunden vid
    1. begäran från en myndighet att lämna ut personuppgifter som omfattas av Avtalet, såvida inte Leverantören är förhindrad att informera Kunden enligt unionslagstiftning eller medlemsstaternas nationella rätt som är bindande för Leverantören
    2. misstanke om eller iakttagelse av (a) säkerhetsöverträdelser som lett till eller kan leda till förlust, förstöring eller skada genom olyckshändelse eller otillåtna handlingar, obehörigt röjande eller obehörig åtkomst till personuppgifter som överförts, förvarats eller på annat sätt behandlats av Leverantören enligt detta Avtal, eller (b) annan överträdelse av Leverantörens skyldigheter enligt klausul 3.3 och 3.4, eller
    3. begäran om tillgång till personuppgifter från en registrerad eller från en tredje part.
  10. Leverantören ska bistå Kunden vid en eventuell begäran från en registrerad som omfattas av kapitel III i GDPR, inbegripet begäranden om tillgång till, rättelse av, begränsning av eller radering av personuppgifter.
  11. Leverantören ska bistå Kunden med att se till att skyldigheterna enligt artikel 32 till 36 i GDPR fullgörs, samt skyldigheterna enligt medlemsstaternas nationella rätt som kräver Leverantörens bistånd, i den mån det är nödvändigt för att Kunden ska kunna uppfylla kraven. Detta inbegriper bestämmelsen om nödvändig information till Kunden om en incident som omfattas av klausul 3.9 (ii) samt all information som är nödvändig för en konsekvensbedömning enligt artikel 35-36 GDPR, i den mån Leverantören har tillgång till sådan information.
  12. Leverantören anger i Bilaga 1 de fysiska platserna för servrarna och servicecenter etc. som används vid personuppgiftsbehandlingen. Leverantören är skyldig att skriftligen informera Kunden innan eventuella ändringar av den fysiska platsen. Det är tillräckligt att Leverantören meddelar Kunden skriftligen genom post eller e-post och förfarandet kräver därmed inte en formell ändring av Bilaga 1.
  13. Kunden ska betala Leverantören för all tid som lagts ner och allt material som använts för de tjänster Kunden begärt från Leverantören enligt klausul 3.6, 3.8, 3.9 (i) och (iii), 3.10, 3.11, 7.4 och 7.5 i Avtalet. Kostnaden för tjänsterna följer av prislistan som återfinns på Leverantörens webbplats på www.ctnotes.com, eller annan webbplats som Leverantören utsett.

4 Underbiträden

  1. Leverantören är berättigad att använda sig av underbiträden. Vid tidpunkten för Avtalets ikraftträdande använder sig Leverantören av de underbiträden som anges i Bilaga 2. Leverantören måste skriftligen informera Kunden senast två månader innan en planerad förändring, ett planerat tillägg eller ett planerat utbyte av underbiträden. Under de två första veckorna efter att Leverantören meddelat om den planerade förändringen, äger Kunden rätt att neka byte av underbiträde. I sådant fall äger Leverantören, med iakttagande av en månads uppsägningstid, skriftligen säga upp alla avtal med Kunden där Leverantören behandlar personuppgifter för Kundens räkning. Vid avslutat anlitande av ett underbiträde ska Leverantören skriftligen informera Kunden.
  2. Innan Leverantören anlitar ett underbiträde måste Leverantören ingå ett skriftligt avtal med underbiträdet. Detta avtal måste ålägga underbiträdet minst samma skyldigheter i fråga om dataskydd som de som fastställs i Avtalet mellan Leverantören och Kunden, inbegripet skyldigheten att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att databehandlingen uppfyller kraven enligt GDPR.
  3. Kunden är berättigad att få en kopia av alla överenskommelser mellan Leverantören och underbiträdena som reglerar de obligatoriska dataskyddskraven enligt klausul 4.2. Om underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd är Leverantören fullt ansvarig gentemot Kunden för utförandet av underbiträdets skyldigheter. Den omständigheten att Kunden har samtyckt till att Leverantören ingår ett avtal med ett underbiträde påverkar inte Leverantörens skyldighet att uppfylla kraven i Avtalet.

5 Sekretess

  1. Leverantören ska behandla personuppgifter konfidentiellt.
  2. Leverantören får inte lämna ut personuppgifter till tredje part, såvida det inte är nödvändigt för att Leverantören ska kunna fullgöra sina skyldigheter gentemot Kunden. Detta förutsätter att den tredje part som mottager informationen är medveten om dess konfidentiella innehåll och har åtagit sig att hålla informationen konfidentiell i enlighet med Avtalet. Leverantören får därutöver lämna ut personuppgifter till tredje part om det krävs enligt lag.
  3. Leverantören ska begränsa åtkomsten till personuppgifter till att endast omfatta de anställda som behöver informationen för att kunna fullgöra Leverantörens skyldigheter gentemot Kunden.
  4. Leverantörens skyldigheter enligt klausul 5 är inte tidsbegränsat, oavsett om Parternas samarbete avslutas.

6 Ändringar och Överföringar

  1. Avtalet kan komma att ändras i enlighet med förändringar som genomförs i Avtalet om CTNotes.
  2. Leverantören kan överföra rättigheter och skyldigheter under Avtalet, utan medgivande från Kunden, förutsatt att parten till vilken rättigheterna och skyldigheterna överförs, åtar sig att behandla personuppgifterna i enlighet med Avtalet.

7 Avtalstid och Uppsägning

  1. Avtalets giltighetstid är densamma som giltighetstiden för Avtalet om CTNotes. Vid uppsägning av Avtalet om CTNotes, kommer Avtalet att upphöra.
  2. Båda parter har rätt att säga upp Avtalet på samma villkor som gäller för Avtalet om CTNotes.
  3. Oberoende av den formella avtalstiden, fortsätter Avtalet att gälla så länge som Leverantören behandlar personuppgifter för Kundens räkning för vilka Kunden är personuppgiftsansvarig, dock endast såvitt avser Leverantörens behandling av sådana personuppgifter.
  4. Vid uppsägning, eller om det krävs enligt Avtalet, ska Leverantören på ett lojalt sätt medverka till att behandlingen av personuppgifter övergår till annan leverantör eller återgår till Kunden.
  5. På Kundens begäran och vid uppsägning av Avtalet, ska Leverantören överföra de personuppgifter som behandlats av Leverantören för Kundens räkning till Kunden eller förstöra sådana personuppgifter, såvida inte unionslagstiftning eller lagstiftning i den medlemsstat som personuppgifter behandlas kräver att uppgifterna behålls.

8 Underrättelse

  1. När ena parten är skyldig att tillhandahålla den andra parten ett skriftligt meddelande under Avtalet, kan sådan skyldighet uppfyllas bland annat genom att sända sådant meddelande via e-post till den andra partens senast angivna e-postadress. Leverantören kan också tillhandahålla ett skriftligt meddelande till Kunden genom att skicka meddelandet direkt via det system, till vilket Kunden har fått en användarlicens enligt Avtalet om CTNotes.

9 Företräde

  1. För det fall bestämmelserna i Avtalet står i konflikt med andra skriftliga eller muntliga avtal som slutits mellan Parterna, ska bestämmelserna som följer av Avtalet äga företräde.


Gäller från och med 1 Jan 2018

BILAGA 1

Denna bilaga utgör Kundens instruktion till Leverantören avseende den behandling av personuppgifter som Leverantören genomför för Kundens räkning, och utgör en integrerad del av Avtalet.

Instruktion och beskrivning av behandling av personuppgifter i CTNotes Behandlingens syfte och art.

Syftet med att anförtro behandlingsaktiviteterna till Leverantören är att Kunden ska kunna använda sig av CTNotes, ett IT-system som Kunden har tillgång till online och som Leverantören driver och utvecklar. CTNotes

Personuppgifter som behandlas för registrerade användare, är följande uppgifter: namn, adress och personnummer samt sådana personuppgifter som Kunder för in i register hos CTNotes om de registrerade. För användning av CTNotes, behandlas de registrerades mailadresser och mobiltelefonnummer.