Personuppgiftsbiträdesavtal Lime Go

1 Bakgrund

1.1 Den Personuppgiftsansvarige och Personuppgiftsbiträdet har ingått ett avtal om licens eller abonnemang av Personuppgiftsbiträdets mjukvaruprodukter (”Huvudavtalet”) som innebär att Personuppgiftsbiträdet kommer att Behandla Personuppgifter för den Personuppgiftsansvariges räkning.

1.2 Avtalet reglerar Personuppgiftsbiträdes behandling av Personuppgifter för den Personuppgiftsansvariges räkning. Parterna har ingått detta Avtal för att uppfylla Tillämplig Dataskyddslagstiftnings krav.

1.3 Detta Avtal har företräde framför motstridiga eller oförenliga bestämmelser om Behandling av Personuppgifter i Huvudavtalet. Detta Avtal förutsätter, och är inte giltigt utan hänvisning till Huvudavtalet.

1.4 Parterna bekräftar att undertecknade har behörighet att ingå Avtalet.

2 Definitioner

2.1 Utöver de begrepp som definieras i löptext i Avtalet ska följande definitioner ha nedan innebörd.

2.2 Personuppgifter: All slags information som rör en identifierad eller identifierbar person (den registrerade).

2.3 Registrerad: En identifierad eller identifierbar fysisk person. En identifierbar person är någon som kan identifieras, direkt eller indirekt, i synnerhet genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för personens fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.

2.4 Behandling (av Personuppgifter): Varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, anpassning eller ändring, sökning, konsultering, användning, överföring, spridning eller annat tillhandahållande, sammanställning eller samkörning, blockering, radering eller förstöring.

2.5 Personuppgiftsansvarig: Fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra fastslår ändamålen och medlen för Behandling av Personuppgifter.

2.6 Personuppgiftsbiträde: Fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar Personuppgifter för den Personuppgiftsansvariges räkning.

2.7 Tillämplig Dataskyddslagstiftning: Europaparlamentet och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (”GDPR”) och nationella lagar som implementerar eller kompletterar GDPR som är tillämpliga på Behandling av Personuppgifter under detta Avtal.

2.8 Tredje Land: Ett land utanför EU/EES.

3 Behandling av Personuppgifter

3.1 Personuppgiftsbiträdet ska endast Behandla Personuppgifterna i enlighet med detta Avtal och i enlighet med dokumenterade instruktioner från den Personuppgiftsansvarige, såvida inte Personuppgiftsbiträdet har en skyldighet enligt EU-rätten (inklusive nationella lagar i dess medlemsstater) att Behandla Personuppgifterna.

3.2 Den Personuppgiftsansvarige ska ge skriftliga Instruktioner till Personuppgiftsbiträdet om hur det ska utföra Behandlingen.

3.3 Personuppgiftsbiträdet ska Behandla Personuppgifterna under hela den avtalstid som framgår av Huvudavtalet samt under en begränsad period därefter (se avsnitt 12). Bilaga A innehåller information om Behandlingen av Personuppgifter, inklusive i) kategorier av personuppgifter, ii) kategorier av registrerade, iii) Behandlingens art och syfte, iv) plats för Behandling och v) varaktighet av Behandlingen.

4 Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet bekräftar följande genom att underteckna avtalet.

4.1 Personuppgiftsbiträdet ska endast utföra Behandlingen i enlighet med Avtalet och instruktioner. För tydlighets skull får Personuppgiftsbiträdet behandla Personuppgifter om en sådan behandling krävs enligt tillämplig lag som gäller för Personuppgiftsbiträdet. Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om sådana krav om det inte är förbjudet att lämna sådan information med anledning av ett viktigt allmänintresse. Vid Behandling av Personuppgifter enligt Avtalet ska Personuppgiftsbiträdet följa Tillämplig Dataskyddslagstiftning.

4.2 Personuppgiftsbiträdet ska säkerställa att samtliga fysiska personer som arbetar under dess ledning och som får tillgång till Personuppgifter följer Avtalet och den Personuppgiftsansvariges instruktioner.

4.3 Personuppgiftsbiträdet och dennes personal ska vid Behandlingen iaktta tystnadsplikt och sekretess rörande de Personuppgifter som de får tillgång till enligt detta Avtal. Denna bestämmelse gäller även efter Avtalets upphörande.

4.4 Personuppgiftsbiträdet ska vidta de säkerhetsåtgärder som krävs enligt artikel 32 GDPR.

4.5 I den mån det är möjligt ska Personuppgiftsbiträdet, genom att vidta lämpliga tekniska och organisatoriska åtgärder, hjälpa den Personuppgiftsansvarige att fullgöra sina skyldigheter gentemot de Registrerade.

4.6 Personuppgiftsbiträdet ska på begäran från den Personuppgiftsansvarige bistå denne med att säkerställa att skyldigheterna enligt artikel 32–36 GDPR fullgörs med beaktande av typen av behandling och den information Personuppgiftsbiträdet har att tillgå.

4.7 Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att den Personuppgiftsansvariges instruktioner är otydliga eller på något sätt strider mot Tillämplig Dataskyddslagstiftning. Personuppgiftsbiträdet ska inte utföra en sådan instruktion förrän den Personuppgiftsansvarige har bekräftat att instruktionen är laglig.

5 Den Personuppgiftsansvariges skyldigheter

Den Personuppgiftsansvarige bekräftar följande genom att underteckna avtalet.

5.1 Avtalet uppfyller den Personuppgiftsansvariges skyldighet att upprätta avtal om Personuppgiftsbehandling enligt Tillämplig Dataskyddslagstiftning.

5.2 Den Personuppgiftsansvarige ska vid användningen av de tjänster som tillhandahålls av Personuppgiftsbiträdet enligt Huvudavtalet behandla Personuppgifterna i enlighet med Tillämplig Dataskyddslagstiftning. Den Personuppgiftsansvarige ansvarar för att det vid var tid finns laglig grund för Behandlingen och för att utforma korrekta instruktioner så att Personuppgiftsbiträdet (och dess underleverantörer) kan fullgöra sina åtaganden och skyldigheter enligt Avtalet och om tillämpligt Huvudavtalet.

5.3 Den Personuppgiftsansvarige har befogenhet att behandla och lämna ut de Personuppgifter som omfattas av Huvudavtalet till Personuppgiftsbiträdet (inklusive till dennes eventuella underleverantörer).

5.4 Den Personuppgiftsansvarige har ensamt ansvar för riktigheten, integriteten, innehållet, tillförlitligheten och lagligheten i de Personuppgifter som lämnas ut till Personuppgiftsbiträdet. Personuppgiftsbiträdet har inte något ansvar för eventuella följder av att erhållna Personuppgifter visat sig vara felaktiga.

5.5 Den Personuppgiftsansvarige har fullgjort sina skyldigheter att lämna obligatorisk information till de Registrerade om Behandling av Personuppgifter och om överlämnande av Personuppgifter till Personuppgiftsbiträdet och dennes Behandling av Personuppgifterna enligt Tillämplig Dataskyddslagstiftning.

5.6 Den Personuppgiftsansvarige får vid användningen av de tjänster som tillhandahålls av Personuppgiftsbiträdet enligt Huvudavtalet inte lämna över några känsliga Personuppgifter till Personuppgiftsbiträdet.

5.7 Den Personuppgiftsansvarige ska utan dröjsmål informera Personuppgiftsbiträdet om det sker en ändring av dennes kontaktperson eller dennes kontaktinformation.

6 Säkerhetsåtgärder

6.1 Personuppgiftsbiträdet ska uppfylla de allmänna krav på säkerhet som föreskrivs i artikel 32 GDPR. Personuppgiftsbiträdet ska således säkerställa en lämplig säkerhetsnivå för Behandlingen, inbegripet sekretess, integritet och tillgänglighet till Personuppgifterna genom systematiska, organisatoriska och tekniska åtgärder, med beaktande av den senaste tekniken och kostnaden för genomförandet i förhållande till den risk som är förknippad med Behandlingen.

6.2 Dokumentation om detta ska kunna uppvisas på Personuppgiftsansvariges begäran. Personuppgiftsbiträdet är därmed skyldig att ge den Personuppgiftsansvarige tillgång till information om säkerhetskontroller och andra åtgärder som Personuppgiftsbiträdet vidtagit för att skydda Personuppgifter samt efterleva Tillämplig Dataskyddslagstiftning. Om den Personuppgiftsansvarige begär information om säkerhetskontroller utöver de standarduppgifter som Personuppgiftsbiträdet tillhandahåller, kan Personuppgiftsbiträdet debitera den Personuppgiftsansvarige för sådan extra service och hjälp.

6.3 Personuppgiftsbiträdet har utvecklat interna dataskyddsbestämmelser som har till syfte att skydda konfidentialiteten, integriteten och tillgången till Personuppgifter. Följande åtgärder är särskilt viktiga i detta sammanhang:

1. Datakommunikation. Vid extern överföring ska Personuppgifter skyddas från otillbörlig åtkomst och påverkan genom teknisk funktion, exempelvis kryptering.
2. Behörighetskontroll. Tillgången till Personuppgifter ska begränsas genom att förbjuda personal att inhämta, bearbeta och/eller använda Personuppgifter utan tillstånd och för andra syften än att leverera tjänsten enligt Huvudavtalet och fullgöra skyldigheterna enligt detta Avtal.
3. Skydd mot sårbarheter. Personuppgiftsbiträdet ska aktivt arbeta för att upptäcka och förhindra tillbud orsakade av tekniska sårbarheter.
4. Åtkomstskydd. Datorutrustning och lagringsmedia ska skyddas mot obehörig användning, påverkan och stöld.
5. Säkerhetskopiering. Personuppgifter ska regelbundet säkerhetskopieras. Kopiorna ska försvaras avskilt och väl skyddade så att Personuppgifterna kan återskapas efter en störning.
6. Överföring. Komponenter/system som medverkar i behandling och överföring av Personuppgifter mellan parterna (Personuppgiftsansvarig och Personuppgiftsbiträde med underleverantörer) kartläggs och dokumenteras.

7 Granskning och tillsyn

7.1 Personuppgiftsbiträdet ska ge den Personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som följer av Avtalet har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den Personuppgiftsansvarige eller av den Personuppgiftsansvarige utsedd tredje part.

7.2 Den Personuppgiftsansvarige får granska Personuppgiftsbiträdes efterlevnad av Avtalet upp till en (1) gång per år. Om Tillämplig Dataskyddslagstiftning kräver det kan den Personuppgiftsansvarige kräva granskningar oftare.

7.3 För att begära en granskning ska den Personuppgiftsansvarige minst fyra veckor före den föreslagna granskningen lämna in en detaljerad granskningsplan till Personuppgiftsbiträdet där omfattning, varaktighet och föreslaget startdatum för granskningen redovisas. Om granskningen ska utföras av tredje part måste detta som huvudregel avtalas mellan den Personuppgiftsansvarige och Personuppgiftsbiträdet. Om behandling sker i en miljö med Personuppgifter härrörande från andra personuppgiftsansvariga eller liknande, kan Personuppgiftsbiträdet, efter eget gottfinnande, på grund av säkerhetsskäl besluta att revision ska utföras av ett allmänt väl ansett granskningsföretag som Personuppgiftsbiträdet väljer.

7.4 Om den begärda granskningen redan utförts och redovisats i en rapport enligt ISAE 3402, ISO eller liknande av en kvalificerad tredjepartsgranskare under de senaste tolv månaderna, och Personuppgiftsbiträdet bekräftar att de granskade kontrollerna inte väsentligt förändrats, ska den Personuppgiftsansvarige godta dessa resultat i stället för att begära en granskning av de kontroller som omfattas av rapporten.

7.5 Granskningen ska utföras under anläggningens normala kontorstider enligt Personuppgiftsbiträdets policyer och får inte på ett oskäligt sätt störa Personuppgiftsbiträdes verksamhet.

7.6 Den Personuppgiftsansvarige är ansvarig för alla kostnader som uppkommer i samband med av den Personuppgiftsansvariges begärda granskningen och Personuppgiftsbiträdets assistans i detta avseende.

7.7 Personuppgiftsbiträdet ska bereda tillsynsmyndighet, eller annan myndighet som har laglig rätt till det, möjlighet att göra tillsyn enligt myndighetens begäran i enlighet med vid var tid gällande lagstiftning. Personuppgiftsbiträdet och dess personal ska på begäran samarbeta med tillsynsmyndigheten vid utförandet av dennes uppgifter.

8 Stöd till den Personuppgiftsansvarige

8.1 Med beaktande av Behandlingens art och i den mån det är möjligt ska Personuppgiftsbiträdet bistå den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder så att den Personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter.

8.2 I den mån det är praktiskt möjligt och lagligt ska Personuppgiftsbiträdet meddela den Personuppgiftsansvarige om (i) begäran om utlämnande av Personuppgifter som erhållits från en Registrerad utom då den Personuppgiftsansvarige godkänt Personuppgiftsbiträdet att svara på en sådan förfrågan, och (ii) begäran om utlämnande av Personuppgifter av myndigheter utom då den Personuppgiftsansvarige godkänt Personuppgiftsbiträdet att svara på en sådan förfrågan.

8.3 Emellertid kan Personuppgiftsbiträdet vara förhindrad att meddela den Personuppgiftsansvarige p.g.a. förundersökningssekretess vid en brottsbekämpande utredning. Personuppgiftsbiträdet ska inte lämna ut information om detta Avtal till myndigheter vad avser Personuppgifter, förutom då det är tvingande enligt lag, eller med stöd av domstolsbeslut, order om husrannsakan eller liknande.

8.4 Med beaktande av Behandlingens art och den information som finns tillgänglig för Personuppgiftsbiträdet ska Personuppgiftsbiträdet bistå den Personuppgiftsansvarige med att tillse att skyldigheterna enligt Tillämplig Dataskyddslagstiftning fullgörs, inklusive (om tillämpligt) den Personuppgiftsansvariges skyldighet att i) vidta lämpliga tekniska och organisatoriska åtgärder, ii) anmäla personuppgiftsincidenter till tillsynsmyndigheten, iii) informera Registrerade om Personuppgiftsincidenter, iv) genomföra konsekvensbedömningar avseende dataskydd, och v) samråda med tillsynsmyndigheten före Behandling.

8.5 Personuppgiftsbiträdet ska utan onödigt dröjsmål och skriftligen meddela den Personuppgiftsansvarige om att Personuppgiftsbiträdet har fått vetskap om en personuppgiftsincident. Personuppgiftsbiträdet ska tillhandahålla Personuppgiftsansvarig en beskrivning av personuppgiftsincidenten. För det fall Personuppgiftsbiträdet inte förfogar över all relevant information om personuppgiftsincidenten vid Personuppgiftsbiträdets första meddelande om inträffad personuppgiftsincident får Personuppgiftsbiträdet tillhandahålla sådan information i omgångar.

8.6 Personuppgiftsbiträdet har rätt att debitera den Personuppgiftsansvarige för nedlagt arbete och rimliga kostnader som uppkommit i samband med Personuppgiftsbiträdets stöd enligt ovan och enligt Tillämplig Dataskyddslagstiftning. Detta innefattar t.ex. arbete och kostnader som uppkommit på grund av att Registrerade har begärt registerutdrag avseende Behandlingen av den Registrerades Personuppgifter, radering av Personuppgifter, överföring av Personuppgifter (portabilitet) eller lämnande av obligatorisk information till de Registrerade.

9 Användning av underleverantörer

9.1 Som en del av leveransen av de tjänster som tillhandahålls av Personuppgiftsbiträdet enligt Huvudavtalet till den Personuppgiftsansvarige får Personuppgiftsbiträdet härmed ett allmänt skriftligt förhandstillstånd att använda sig av underleverantörer för behandling av Personuppgifter för den Personuppgiftsansvariges räkning.
9.2 Personuppgiftsbiträdet ska tillse att samtliga underleverantörer är bundna av skriftliga avtal som säkerställer att underleverantören åläggs skyldigheter i fråga om Behandling av Personuppgifter som minst motsvarar de skyldigheter som fastställs i detta Avtal.
9.3 Om underleverantören inte fullgör sina skyldigheter i enlighet med Tillämplig Dataskyddslagstiftning ska Personuppgiftsbiträdet vara fullt ansvarig gentemot den Personuppgiftsansvarige för utförandet av underleverantörens skyldigheter.
9.4 Personuppgiftsbiträdet ska tillgängliggöra en uppdaterad och aktuell lista av underleverantörer som används för att utföra de tjänster som tillhandahålls av Personuppgiftsbiträdet enligt Huvudavtalet. Listan ska innehålla information om identiteten på underleverantörerna, kontaktperson hos underleverantören, var Personuppgifterna behandlas och en allmän beskrivning av vilken typ av tjänst respektive underleverantör tillhandahåller. Underleverantörslistan är tillgänglig på Limes hemsida. Genom att underteckna detta Avtal godkänner den Personuppgiftsansvarige Personuppgiftsbiträdets användning av de listade underleverantörerna.
9.5 Personuppgiftsbiträdet ska meddela den Personuppgiftsansvarige om planer på att anlita en ny eller ersätta en befintlig underleverantör. Personuppgiftsansvarige får invända mot sådana ändringar. Om ingen invändning görs inom tio (10) dagar från att meddelandet har mottagits antas Personuppgiftsansvarige inte ha gjort någon invändning.
9.6 Personuppgiftsbiträdet har rätt att vidta lämpliga korrigerande åtgärder vid en sådan invändning. Om Personuppgiftsansvarige finner att inga korrigerande åtgärder finns eller om invändningen inte har avhjälpts inom trettio (30) dagar har Personuppgiftsbiträdet rätt att säga upp Avtalet och, om Avtalet är nödvändigt för att Personuppgiftsbiträdet ska kunna utföra sina skyldigheter enligt Huvudavtalet, Huvudavtalet genom ett skriftligt meddelande.

10 Överföring av personuppgifter till Tredje Land

10.1 Personuppgiftsbiträdet och dess underleverantörer får överföra Personuppgifter till ett Tredje Land i den mån det är nödvändigt för att utföra de tjänster som tillhandahålls av Personuppgiftsbiträdet enligt Huvudavtalet och under förutsättning att överföringen sker i enlighet med kapitel V GDPR.

10.2 Vid användning av standardavtalsklausuler (Kommissionens genomförandebeslut (EU) 2021/91 av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredjeländer i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679, eller beslut och standardavtalsklausuler som ersätter dessa) har Personuppgiftsbiträdet eller underleverantören rätt att efter eget bestämmande avgöra vilken version och vilka moduler av standardavtalsklausulerna som är tillämpliga i det enskilda fallet.

10.3 I enlighet med de krav som ställs enligt Tillämplig Dataskyddslagstiftning på överföringar som baseras på att lämpliga skyddsåtgärder vidtas ska Personuppgiftsbiträdet i varje enskilt fall genomföra en riskbedömning för att säkerställa att lagstiftning i det aktuella Tredje Landet inte negativt påverkar effektiviteten av de lämpliga skyddsåtgärderna samt att det finns effektiva rättsmedel för Registrerade. Om nödvändigt ska Personuppgiftsbiträdet identifiera och implementera ytterligare skyddsåtgärder, t.ex. tekniska, organisatoriska eller avtalsrättsliga åtgärder, för att säkerställa att skyddsnivån i det aktuella Tredje Landet är väsentligen likvärdig med skyddsnivån inom EU/EES.

10.4 Avsnitt 10.3, och de riskbedömningar som Personuppgiftsbiträdet gör i enlighet med 10.3, begränsar inte den Personuppgiftsansvariges ansvar för Behandling av Personuppgifter enligt Tillämplig Dataskyddslagstiftning. Den Personuppgiftsansvarige bekräftar att denne måste göra egna riskbedömningar och inte får förlita sig på att de riskbedömningar som genomförts av Personuppgiftsbiträdet och eventuella ytterligare skyddsåtgärder som vidtagits av Personuppgiftsbiträdet uppfyller de krav som ställs på den Personuppgiftsansvariges Behandling av Personuppgifter enligt Tillämplig Dataskyddslagstiftning.

10.5 På den Personuppgiftsansvariges rimliga förfrågan ska Personuppgiftsbiträdet redogöra för den information som riskbedömningen baseras på. Den Personuppgiftsansvarige har rätt att skriftligen invända mot Personuppgiftsbiträdets riskbedömningar om de ändras efter Avtalets ikraftträdande och den Personuppgiftsansvarige bedömer att de nya riskbedömningarna inte uppfyller de krav som ställs på den Personuppgiftsansvariges Behandling av Personuppgifter enligt Tillämplig Dataskyddslagstiftning. Den Personuppgiftsansvarige har rätt att begära att Personuppgiftsbiträdet vidtar lämpliga korrigerande åtgärder. Om parterna inte kommer överens om riskbedömningen och/eller lämpliga korrigerande åtgärder inom trettio (30) dagar har Personuppgiftsbiträdet rätt att säga upp Avtalet och, om Avtalet är nödvändigt för att Personuppgiftsbiträdet ska kunna utföra sina skyldigheter enligt Huvudavtalet, Huvudavtalet genom ett skriftligt meddelande.

10.6 För det fall EU-domstolen, EU-kommissionen eller någon annan behörig EU-institution eller nationell domstol eller myndighet skulle finna överföringsmekanismen som används för överföringen till Tredje Land är ogiltig eller olaglig ska Personuppgiftsbiträdet säkerställa att all Behandling av Personuppgifter i ett Tredje Land baseras på en annan (giltig) överföringsmekanism.

11 Avtalstid

11.1 Detta avtal är giltigt så länge Personuppgiftsbiträde behandlar Personuppgifter för den Personuppgiftsansvariges räkning enligt Huvudavtalet.

11.2 Detta Avtal upphör att gälla per automatik då Huvudavtalet avslutas.

12 Åtgärder vid Avtalets upphörande

12.1 Vid upphörandet av detta avtal ska Personuppgiftsbiträdet, beroende på vad den Personuppgiftsansvarige skriftligen meddelar Personuppgiftsbiträdet, radera eller återlämna samtliga Personuppgifter som Behandlats för den Personuppgiftsansvariges räkning enligt Avtalet samt alla kopior av uppgifterna, såvida inte lagring av Personuppgifterna krävs enligt Tillämplig Dataskyddslagstiftning.

12.2 Om den Personuppgiftsansvarige inte lämnar någon instruktion eller inte svarar på Personuppgiftsbiträdets begäran om instruktion sextio (60) dagar efter Avtalets upphörande ska Personuppgiftsbiträdet återlämna samtliga Personuppgifter till den Personuppgiftsansvarige och därefter radera personuppgifterna.

13 Sekretess

Personuppgiftsbiträdet ska inte, under avtalstiden och därefter, lämna upplysningar om Behandling av Personuppgifter som sker enligt detta Avtal till tredje part eller på annat sätt avslöja information som mottagits till följd av Avtalet. Sekretesskyldigheten gäller inte information som Personuppgiftsbiträdet är skyldig att lämna till myndigheter. Utöver detta avsnitt 13 ska sekretessåtagandena i Huvudavtalet också vara tillämpliga.

14 Ändringar och tillägg

14.1 Ändringar i detta Avtal kan ske på grund av förändrad lagstiftning, förändrade säkerhetskrav eller ändrade praktiska omständigheter i övrigt. I händelse av att en ändring påverkar Behandlingen av Personuppgifter enligt detta Avtal, ska den andra parten meddelas per email till dennes kontaktperson enligt ovan. Sådant meddelande om ändring ska anses som accepterat av den andra parten, såtillvida den andra parten inte gjort rimliga invändningar skriftligen senast trettio (30) dagar från dagen för tillkännagivandet.

14.2 Om behörig domstol, myndighet eller skiljenämnd skulle finna att någon bestämmelse i detta Avtal är icke-verkställbar eller ogiltig, påverkas inte övriga bestämmelser. Parterna skall härtill ersätta den icke-verkställbara eller ogiltiga bestämmelsen med en lagenlig bestämmelse som återspeglar syftet med den icke-verkställbara eller ogiltiga bestämmelsen.

15 Ansvarsskyldighet

Ansvar för överträdelse av bestämmelserna i detta Avtal regleras, om inte annat framgår av tvingande lag, av ansvarsklausulerna i Huvudavtalet mellan parterna. Detta gäller även överträdelser som begåtts av Personuppgiftsbiträdets underleverantörer.

16 Lagval och rättsligt forum

16.1 Detta Avtal ska tolkas och tillämpas i enlighet med bestämmelser om lagval i Huvudavtalet.

16.2 Tvist som uppstår i anledning av Avtalet ska slutligt avgöras i enlighet med bestämmelser om tvistelösning i Huvudavtalet.

Detta Avtal utgör en bilaga till Huvudavtalet. Genom att signera Huvudavtalet accepterar parterna Avtalet i sin helhet.

Bilaga A – Instruktion för behandling av personuppgifter

Kategorier av personuppgifter

Den Personuppgiftsansvarige kan föra in Personuppgifter i den tjänst som tillhandahålls av Personuppgiftsbiträdet enligt Huvudavtalet. Vilka Personuppgifter som förs in i tjänsten är helt upp till den Personuppgiftsansvarige och kan t.ex. inkludera följande kategorier av Personuppgifter:

• Namn.
• Telefonnummer.
• E-postadress.
• Kundhistorik.

Kategorier av Registrerade

Den Personuppgiftsansvarige kan föra in Personuppgifter i den tjänst som tillhandahålls av Personuppgiftsbiträdet enligt Huvudavtalet. Vilka Personuppgifter som förs in i tjänsten är helt upp till den Personuppgiftsansvarige och kan t.ex. inkludera personuppgifter som berör följande kategorier av registrerade:

• Den personuppgiftsansvariges anställda, kunder, leverantörer och konsulter.
• Den Personuppgiftsansvariges potentiella kunders anställda.

Behandlingens art och syfte

Behandling av Personuppgifter för att tillhandahålla de tjänster som tillhandahålls av Personuppgiftsbiträdet enligt Huvudavtalet och i enlighet med Personuppgiftsansvariges instruktioner.

Plats för Behandling

• Personuppgiftsbiträdet Behandlar Personuppgifterna inom EU/EES.
• För underleverantörers Behandling, se underleverantörslistan.

Varaktighet av behandlingen

Behandling av Personuppgifter kommer att ske under Huvudavtalets giltighetstid och för en begränsad period därefter i enlighet med Avtalet. Personuppgiftsbiträdet ska samarbeta med den Personuppgiftsansvarige för att bestämma hur länge Personuppgifterna ska lagras hos den Personuppgiftsansvarige.

Uppdaterad 2021-12-03