Personuppgiftsbiträdesavtal
Mellan
Användare av programvara från Datalogisk
Den personuppgiftsansvarige:
och
Personuppgiftsbiträdet
Agrinavia AB
Datalogisk
Se-556661-1868
Oderup 9267
SE-242 97 Hörby
Sverige
1 Innehåll
2 Bakgrund till personuppgiftsbiträdesavtalet
3 Den personuppgiftsansvariges skyldigheter och rättigheter
4 Personuppgiftsbiträdet behandlar personuppgifter enligt den personuppgiftsansvariges instruktioner
5 Sekretess
6 Behandlingssäkerhet
7 Användning av underpersonuppgiftsbiträden
8 Överföring av personuppgifter till tredje land eller internationella organisationer
9 Stöd till den personuppgiftsansvarige
10 Anmälan av överträdelse av personuppgiftssäkerheten
11 Radering och återlämning av uppgifter
12 Tillsyn och kontroll
13 Ikraftträdande och upphörande
14 Den personuppgiftsansvariges och personuppgiftsbiträdets kontaktpersoner/kontaktpunkter
Bilaga A Information om behandlingen
Bilaga B Villkor för personuppgiftsbiträdets användning av underpersonuppgiftsbiträden och förteckning över godkända underpersonuppgiftsbiträden
B.1 Villkor för personuppgiftsbiträdets användning av eventuella underpersonuppgiftsbiträden
B.2 Godkända underpersonuppgiftsbiträden
Bilaga C Instruktioner för behandling av personuppgifter
C.1 Behandlingens syfte/instruktioner
C.2 Behandlingssäkerhet
C.3 Lagringsperiod/raderingsrutiner
C.4 Behandlingens plats
C.5 Instruktioner eller tillstånd för överföring av personuppgifter till tredje land
2 Bakgrund till personuppgiftsbiträdesavtalet
- I detta avtal fastställs de rättigheter och skyldigheter som gäller när personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning.
- Avtalet är utformat i enlighet med artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679, antagen 27 april 2016 om skydd för fysiska personer vid behandling av personuppgifter, och om det fria utbytet av sådana uppgifter, som ställer särskilda krav på innehållet i ett personuppgiftsbiträdesavtal.
- Personuppgiftsbiträdets behandling av personuppgifter utförs i syfte att parternas skyldigheter enligt avtal om tillhandahållande av programvaruprodukter från Datalogisk ska fullgöras, se tillhörande licensvillkor och den ingående licensen med licensnummer.
- Personuppgiftsbiträdesavtalet och licensvillkoren är kopplade till varandra och kan inte sägas upp var för sig. Personuppgiftsbiträdesavtalet kan dock – utan att licensvillkoren sägs upp – ersättas av ett annat giltigt personuppgiftsbiträdesavtal.
- Detta personuppgiftsbiträdesavtal har företräde framför liknande bestämmelser i andra avtal mellan parterna, inklusive licensvillkoren.
- Till detta avtal hör tre bilagor. Bilagorna fungerar som en integrerad del av personuppgiftsbiträdesavtalet.
- Personuppgiftsbiträdesavtalets Bilaga A innehåller närmare uppgifter om behandlingen, inklusive behandlingens syfte och art, typ av personuppgifter, kategorier av registrerade och behandlingens varaktighet.
- Personuppgiftsbiträdesavtalets Bilaga B innehåller den personuppgiftsansvariges villkor för personuppgiftsbiträdets eventuella användning av underpersonuppgiftsbiträden, samt en förteckning över alla underpersonuppgiftsbiträden som den personuppgiftsansvarige har godkänt.
- Personuppgiftsbiträdesavtalets Bilaga C innehåller en mer detaljerad anvisning om den behandling som personuppgiftsbiträdet ska utföra för den personuppgiftsansvariges räkning (behandlingens syfte), vilka säkerhetsåtgärder som åtminstone ska vidtas samt hur personuppgiftsbiträdet och eventuella underlydande personuppgiftsbiträden ska övervakas.
- Detta personuppgiftsbiträdesavtal friskriver inte personuppgiftsbiträdet från några skyldigheter som personuppgiftsbiträdet är direkt ålagd enligt den allmänna dataskyddsförordningen eller annan lagstiftning.
3 Den personuppgiftsansvariges skyldigheter och rättigheter
- Som utgångspunkt har den personuppgiftsansvarige inför omvärlden (inklusive den registrerade) ansvar för att behandlingen av personuppgifter sker inom ramen för den allmänna dataskyddsförordningen och dataskyddslagen.
- Den personuppgiftsansvarige har därför både rättigheter och skyldigheter att fatta beslut om i vilka syften och med vilka medel personuppgifter får behandlas.
- Den personuppgiftsansvarige ansvarar bland annat för att det finns en rättslig grund för den behandling som personuppgiftsbiträdet instrueras att utföra.
4 Personuppgiftsbiträdet behandlar personuppgifter enligt den personuppgiftsansvariges instruktioner
- Personuppgiftsbiträdet får bara behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige, såvida något annat inte krävs enligt EU-lagstiftning eller tillämplig nationell lagstiftning i enskilda medlemsstater. I sådana fall ska personuppgiftsbiträdet underrätta den personuppgiftsansvarige om detta rättsliga krav före behandlingen, såvida inte gällande lagstiftning förbjuder en sådan underrättelse på grund av viktiga allmänintressen, se artikel 28.3, punkt a.
- Personuppgiftsbiträdet ska omgående informera den personuppgiftsansvarige om personuppgiftsbiträdet anser att en instruktion strider mot dataskyddsförordningen eller dataskyddsbestämmelser i annan EU-lagstiftning eller medlemsstaternas nationella lagstiftningar.
5 Sekretess
- Personuppgiftsbiträdet ska se till att endast personer som är behöriga vid det aktuella tillfället har tillgång till de personuppgifter som behandlas för den personuppgiftsansvariges räkning. Åtkomsten till uppgifterna måste därför avbrytas omedelbart om behörigheten återkallas eller upphör att gälla.
- Åtkomst ska endast ges till personer som måste ha tillgång till personuppgifterna för att kunna uppfylla personuppgiftsbiträdets skyldigheter gentemot den personuppgiftsansvarige.
- Personuppgiftsbiträdet ska se till att de personer som är behöriga att behandla personuppgifter för den personuppgiftsansvariges räkning har åtagit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt.
- Personuppgiftsbiträdet ska på den personuppgiftsansvariges begäran kunna visa att berörd personal omfattas av ovannämnda tystnadsplikt.
6 Behandlingssäkerhet
- Personuppgiftsbiträdet ska vidta alla de åtgärder som krävs enligt artikel 32 i dataskyddsförordningen. I artikel 32 anges bland annat att det, med beaktande av aktuell nivå, genomförandekostnader, behandlingens art, omfattning, sammanhang och syfte samt risker av varierande sannolikhet och allvarlighetsgrad kopplade till fysiska personers rättigheter och friheter, ska vidtas lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för dessa risker.
- Ovannämnda skyldighet innebär att personuppgiftsbiträdet måste göra en riskbedömning och sedan vidta åtgärder för att hantera identifierade risker. I synnerhet ska, i förekommande fall, följande åtgärder vidtas:
- Pseudonymisering och kryptering av personuppgifter
- Förmåga att säkerställa beständig konfidentialitet, integritet, tillgänglighet och robusthet i behandlingssystem och -tjänster
- Förmåga att i tid återställa åtkomst och tillgänglighet till personuppgifter i händelse av en fysisk eller teknisk incident
- Ett förfarande för regelbunden testning, utvärdering och bedömning av de tekniska och organisatoriska åtgärdernas effektivitet för att garantera en säker behandling
- Pseudonymisering och kryptering av personuppgifter
- Personuppgiftsbiträdet ska i förbindelse med ovanstående – i samtliga fall – upprätta åtminstone den säkerhetsnivå och de åtgärder som anges närmare i bilaga C till detta avtal.
7 Användning av underpersonuppgiftsbiträden
- För att kunna anlita ett annat personuppgiftsbiträde (underpersonuppgiftsbiträde) måste personuppgiftsbiträdet uppfylla de villkor som beskrivs i artikel 28.2 och 28.4 i dataskyddsförordningen.
- Personuppgiftsbiträdet får därmed inte anlita ett annat personuppgiftsbiträde (underpersonuppgiftsbiträde) för fullgörande av skyldigheter enligt personuppgiftsbiträdesavtalet utan att den personuppgiftsansvarige specifikt eller allmänt godkänner detta.
- Vid allmänt godkännande ska personuppgiftsbiträdet informera den personuppgiftsansvarige om alla föreslagna ändringar i form av tillägg eller byte av personuppgiftsbiträden på så sätt att den personuppgiftsansvarige kan motsätta sig sådana förändringar.
- Den personuppgiftsansvariges specifika villkor och bestämmelser vid användning av eventuella underpersonuppgiftsbiträden anges i Bilaga B i detta avtal.
- Den personuppgiftsansvariges eventuella godkännande av specifika underpersonuppgiftsbiträden beskrivs i Bilaga B i detta avtal.
- Om den personuppgiftsansvarige godkänner att personuppgiftsbiträdet använder ett underpersonuppgiftsbiträde ska personuppgiftsbiträdet se till att underpersonuppgiftsbiträdet åläggs de personuppgiftsskyddskrav som fastslås i detta personuppgiftsbiträdesavtal. Detta sker genom upprättande av ett kontrakt eller annat rättsligt dokument i enlighet med EU-rätten eller medlemsstaternas nationella lagstiftning vari nödvändiga garantier ges för att underpersonuppgiftsbiträdet vidtar lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i dataskyddsförordningen.
Personuppgiftsbiträdet ansvarar således för att – genom ingående av ett underpersonuppgiftsbiträdesavtal – ett eventuellt underpersonuppgiftsbiträde åläggs åtminstone de skyldigheter som personuppgiftsbiträdet själv omfattas av enligt dataskyddsbestämmelserna och detta personuppgiftsbiträdesavtal med tillhörande dokument.
- Underpersonuppgiftsbiträdesavtalet och eventuella senare ändringar av detta ska på den personuppgiftsansvariges begäran skickas till personuppgiftsansvariga så att denna kan förvissa sig om att ett giltigt avtal har slutits mellan personuppgiftsbiträdet och underpersonuppgiftsbiträdet. Eventuella kommersiella villkor, såsom priser, som inte påverkar underpersonuppgiftsbiträdesavtalets dataskyddsrättsliga innehåll ska inte överlämnas till den personuppgiftsansvarige.
- Om underpersonuppgiftsbiträdet inte fullgör sina dataskyddsrelaterade skyldigheter är personuppgiftsbiträdet fullt ansvarig inför den personuppgiftsansvarige att fullgöra underpersonuppgiftsbiträdets skyldigheter.
8 Överföring av personuppgifter till tredje land eller internationella organisationer
- Personuppgiftsbiträdet får bara behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige, även inbegripet överföring (överföring, vidarebefordran och internt bruk) av personuppgifter till tredje land eller internationella organisationer, såvida det inte krävs enligt EU-lagstiftningen eller tillämplig nationell lagstiftning. I sådana fall ska personuppgiftsbiträdet underrätta den personuppgiftsansvarige om detta rättsliga krav före behandlingen, såvida inte gällande lagstiftning förbjuder sådan underrättelse på grund av viktiga allmänintressen, se artikel 28.3, punkt a.
- Utan den personuppgiftsansvariges instruktioner eller godkännande får personuppgiftsbiträdet – inom ramen för personuppgiftsbiträdesavtalet – därför bland annat inte
- vidarebefordra personuppgifter till en personuppgiftsansvarig i tredje land eller en internationell organisation
- överlåta behandlingen av personuppgifter till ett underpersonuppgiftsbiträde i tredje land
- låta personuppgifterna behandlas på en annan av personuppgiftbiträdets avdelningar som är placerad i tredje land.
- Den personuppgiftsansvariges eventuella instruktioner om eller godkännande av överföring av personuppgifter till tredje land beskrivs i Bilaga C i detta avtal.
9 Stöd till den personuppgiftsansvarige
- Personuppgiftsbiträdet ska, med hänsyn till behandlingens karaktär, så långt det är möjligt bistå den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, förutsatt att den personuppgiftsansvarige fullgör sin skyldighet att svara på förfrågningar om tillvaratagandet av de registrerades rättigheter enligt kapitel 3 i dataskyddsförordningen.
Detta innebär att personuppgiftsbiträdet så långt det är möjligt ska bistå den personuppgiftsansvarige med att se till att den personuppgiftsansvarige säkerställer överensstämmelse med
- upplysningsplikten vid insamling av den registrerades personuppgifter
- upplysningsplikten om personuppgifter inte har samlats in från den registrerade
- den registrerades insynsrätt
- rätten till rättelse
- rätten till radering (”rätten att bli bortglömd”)
- rätten till begränsning av behandling
- informationsplikt i samband med rättelse eller radering av personuppgifter eller begränsning av behandling
- rätten till dataportabilitet
- rätten att motsätta sig
- rätten att motsätta sig resultatet av automatiserade individuella beslut, inklusive profilering
- Personuppgiftsbiträdet ska bistå den personuppgiftsansvarige med att se till att den personuppgiftsansvarige fullgör sina skyldigheter enligt artikel 32–36 i dataskyddsförordningen, med beaktande av behandlingstyp och den information som den personuppgiftsansvarige har tillgång till, i enlighet med artikel 28.3, punkt f.
Detta innebär att personuppgiftsbiträdet, med hänsyn till behandlingens art, ska bistå den personuppgiftsansvarige med att se till att den personuppgiftsansvarige säkerställer överensstämmelsen med
- skyldigheten att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som lämpar sig för de risker som är kopplade till behandlingen
- skyldigheten att utan onödigt dröjsmål anmäla eventuella personuppgiftsincidenter till tillsynsmyndigheten (Datainspektionen), om möjligt inom 72 timmar efter det att den personuppgiftsansvarige har fått kännedom om incidenten, såvida det inte är osannolikt att överträdelsen av personuppgiftsskyddet medför risk för fysiska personers rättigheter eller friheter
- skyldigheten att utan onödigt dröjsmål informera den eller de registrerade om eventuella överträdelser av personuppgiftssäkerheten, om en sådan överträdelse sannolikt innebär en hög risk för fysiska personers rättigheter och friheter
- skyldigheten att genomföra en konsekvensbedömning avseende personuppgiftsskydd om en typ av behandling sannolikt kan medföra stora risker för fysiska personers rättigheter och friheter
- skyldigheten att samråda med tillsynsmyndigheten före behandlingen, om en konsekvensbedömning avseende dataskydd visar att behandlingen medför stora risker och den personuppgiftsansvarige inte har vidtagit åtgärder för att begränsa dessa risker.
- skyldigheten att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som lämpar sig för de risker som är kopplade till behandlingen
10 Anmälan av överträdelse av personuppgiftssäkerheten
- Personuppgiftsbiträdet ska, efter att ha blivit informerad om att en överträdelse av personuppgiftssäkerheten har inträffat hos personuppgiftsbiträdet eller dennas underleverantör, utan onödigt dröjsmål informera den personuppgiftsansvarige.
Om möjligt ska personuppgiftsbiträdet informera den personuppgiftsansvarige inom 24 timmar efter det att personuppgiftsbiträdet har fått kännedom om överträdelsen så att den personuppgiftsansvarige har möjlighet att fullgöra sin eventuella skyldighet att anmäla överträdelsen till tillsynsmyndigheten inom 72 timmar.
- I enlighet med avsnitt 10.2, punkt b i detta avtal ska personuppgiftsbiträdet – med hänsyn till behandlingstyp och vilka uppgifter denna har tillgång till – bistå den personuppgiftsansvarige med att anmäla överträdelsen till tillsynsmyndigheten. Detta kan innebära att personuppgiftsbiträdet bland annat ska bistå med att tillhandahålla följande information, som enligt artikel 33.3 i dataskyddsförordningen ska framgå i den personuppgiftsansvariges anmälan till tillsynsmyndigheten:
- Typ av överträdelse av personuppgiftssäkerheten, inklusive, om möjligt, kategorier av och ungefärligt antal berörda registrerade personer, samt kategorier av och ungefärligt antal berörda registreringar
- Troliga följder av överträdelsen av personuppgiftssäkerheten
- Åtgärder som har vidtagits eller föreslagits med anledning av överträdelsen av personuppgiftssäkerheten, inbegripet, i förekommande fall, åtgärder för att begränsa dess eventuella negativa effekter
- Typ av överträdelse av personuppgiftssäkerheten, inklusive, om möjligt, kategorier av och ungefärligt antal berörda registrerade personer, samt kategorier av och ungefärligt antal berörda registreringar
11 Radering och återlämning av uppgifter
- Vid behandlingstjänsternas upphörande är personuppgiftsbiträdet, enligt den personuppgiftsansvariges önskemål, skyldig att radera eller återlämna alla personuppgifter till den personuppgiftsansvarige och ta bort befintliga kopior, såvida inte EU-rätten eller nationell lagstiftning föreskriver lagring av personuppgifterna.
12 Tillsyn och kontroll
- Personuppgiftsbiträdet ska till den personuppgiftsansvarige tillhandahålla all information som krävs för att visa att personuppgiftsbiträdet uppfyller kraven i artikel 28 i dataskyddsförordningen och detta avtal samt möjliggöra och bidra till kontroller, inbegripet inspektioner, som utförs av den personuppgiftsansvarige eller ett annat kontrollorgan som har godkänts av den personuppgiftsansvarige.
- Det detaljerade förfarandet för den personuppgiftsansvariges tillsyn av personuppgiftsbiträdet beskrivs i Bilaga C i detta avtal.
- Den personuppgiftsansvariges tillsyn av eventuella underpersonuppgiftsbiträden utförs som utgångspunkt av personuppgiftsbiträdet. Förfarandet för detta beskrivs närmare i Bilaga C i detta avtal.
- Personuppgiftsbiträdet är skyldigt att, mot uppvisande av erforderlig legitimation, ge myndigheter, som i enlighet med gällande lagstiftning när som helst ska ges tillgång till den personuppgiftsansvariges och personuppgiftsbiträdets faciliteter, eller företrädare som agerar å myndigheternas vägnar tillgång till personuppgiftsbiträdets fysiska faciliteter.
Bilaga A Information om behandlingen
Syftet med personuppgiftsbiträdets behandling av personuppgifter å den personuppgiftsansvariges vägnar är
- att den personuppgiftsansvarige ska kunna använda Datalogisks programvara (Næsgaard MARK, Næsgaard MARKKORT, Næsgaard TID och Næsgaard MOBILE), som ägs och förvaltas av personuppgiftsbiträdet, för att samla in och behandla information om den personuppgiftsansvariges kunder.
Personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning består huvudsakligen i (behandlingstyp)
- att personuppgiftsbiträdet ställer Datalogisk programvara (Næsgaard MARK, Næsgaard MARKKORT, Næsgaard TID och Næsgaard MOBILE) till den personuppgiftsansvariges förfogande och därmed lagrar personuppgifter om den personuppgiftsansvariges kunder på personuppgiftsbiträdets eller personuppgiftsbiträdets underleverantörs servrar.”
Behandlingen omfattar följande typer av personuppgifter om de registrerade:
- Namn, e-postadress, telefonnummer, adress, användarnamn, lösenord och produktionsdata som framgår av programvaran.
Behandlingen omfattar följande kategorier av registrerade:
- Programvarans licenstagare
- Användare av programvaran som har beviljats åtkomst av administratören
Personuppgiftsbiträdets behandling av personuppgifter å den personuppgiftsansvariges vägnar kan påbörjas efter att detta avtal har trätt i kraft. Behandlingen pågår under följande tid:
- Behandlingen är inte tidsbegränsad och pågår tills avtalet sägs upp eller upphävs av endera parten.
Bilaga B Villkor för personuppgiftsbiträdets användning av underpersonuppgiftsbiträden och förteckning över godkända underpersonuppgiftsbiträden
B.1 Villkor för personuppgiftsbiträdets användning av eventuella underpersonuppgiftsbiträden
Personuppgiftsbiträdet har den personuppgiftsansvariges allmänna tillstånd att anlita underleverantörer. Personuppgiftsbiträdet ska dock informera den personuppgiftsansvarige om alla planerade ändringar i form av tillägg eller byte av personuppgiftsbiträden på så sätt att den personuppgiftsansvarige kan motsätta sig sådana förändringar. En sådan underrättelse ska tas emot av den personuppgiftsansvarige minst en månad innan användningen eller ändringen ska träda i kraft. Om den personuppgiftsansvarige har invändningar mot ändringarna ska den personuppgiftsansvarige informera personuppgiftsbiträdet om detta senast sju dagar efter att informationen har mottagits. Den personuppgiftsansvarige får endast göra invändningar om den personuppgiftsansvarige har rimliga och konkreta skäl till detta.”
B.2 Godkända underpersonuppgiftsbiträden
Den personuppgiftsansvarige har i och med att personuppgiftsbiträdesavtalet träder i kraft godkänt användningen av följande personuppgiftsbiträden:
Namn | Organisationsnummer | Adress | Beskrivning av behandlingen |
Curanet A/S | 29 41 20 06 | Højvangen 4 8660 Skanderborg | Datalagring och distribution av kunddata genom Datalogisks programvara |
Bilaga C Instruktioner för behandling av personuppgifter
C.1 Behandlingens syfte/instruktioner
Personuppgiftsbiträdets behandling av personuppgifter å den personuppgiftsansvariges vägnar sker genom att den personuppgiftsansvarige använder programvaran.
C.2 Behandlingssäkerhet
Säkerhetsnivån ska återspegla följande:
Att det rör sig om behandling av personuppgifter som omfattas av artikel 9 i dataskyddsförordningen om ”särskilda kategorier av personuppgifter”, vilket kräver att en viss erforderlig säkerhetsnivå upprätthålls.
Personuppgiftsbiträdet har hädanefter rätt och skyldighet att fatta beslut om vilka tekniska och organisatoriska säkerhetsåtgärder som ska vidtas för att nödvändig säkerhetsnivå för uppgifterna ska uppnås.
Personuppgiftsbiträdet måste dock – i alla fall och som minimum – vidta följande åtgärder enligt överenskommelse med den personuppgiftsansvarige (på grundval av den riskbedömning som den personuppgiftsansvarige har gjort):
- Kryptera data vid programanvändning och kommunikation med server
- Kunna återskapa data med hjälp av den senaste säkerhetskopian
- Göra data tillgängliga genom programmens webbtjänster
C.3 Lagringsperiod/raderingsrutiner
Personuppgifterna ska lagras av personuppgiftsbiträdet tills den personuppgiftsansvarige begär att uppgifterna raderas eller återlämnas.
C.4 Behandlingens plats
Behandlingen av de personuppgifter som omfattas av avtalet kan inte genomföras på andra platser än de som anges i bilaga B utan att den personuppgiftsansvarige på förhand har godkänt detta.
C.5 Instruktioner eller tillstånd för överföring av personuppgifter till tredje land
Om den personuppgiftsansvarige i detta avsnitt eller i ett senare skriftligt meddelande inte har lämnat instruktioner eller godkännande angående överföring av personuppgifter till tredje land får personuppgiftsbiträdet inte inom ramarna för personuppgiftsbiträdesavtalet göra en sådan överföring.