Senast uppdaterad: 2024-09-15

Personuppgiftsbiträdesavtal

Mellan kunder som använder Tagds kontrakthanteringssystem, hädanefter kallad ”Kunden”, och Tagd AB (559364-3058), hädanefter kallad ”Leverantören”.

Kunden har ingått ett avtal, hädanefter kallat ”Avtalet”, med Leverantören eller med en partner till Leverantören för att använda Leverantörens kontrakthanteringssystem som tillhandahålls som en mjukvarutjänst, hädanefter kallad ”Produkten”. Detta innebär att Kunden har rätt att använda systemet under prenumerationsperioden. I samband med att Kunden börjar använda Produkten kommer Leverantören att behandla personuppgifter för Kundens räkning. I detta fall ska Kunden anses vara personuppgiftsansvarig och Leverantören blir personuppgiftsbiträde. Syftet med detta avtal (”Personuppgiftsbiträdesavtal”) är att reglera denna behandling av personuppgifter.

Detta personuppgiftsbiträdesavtal följer dataskyddsförordningen (Förordning (EU) 2016/679 av Europaparlamentet och rådet om skydd av fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter) i förhållande till den behandling som Leverantören utför på uppdrag av Kunden inom ramen för Parternas samarbete enligt Avtalet.

1. Definitioner

I detta personuppgiftsbiträdesavtal ska följande termer ha följande betydelser:

”Dataskyddslag”: Avser
(i) dataskyddsförordningen och dess ersättande lagar;
(ii) tillämplig svensk dataskyddslag; och
(iii) de ovan nämnda förordningarna och riktlinjerna som utfärdats av Tillsynsmyndigheten och är tillämpliga för Partens verksamhet.

”Tillsynsmyndighet”:
Integritetsskyddsmyndigheten i respektive land och i tillämpliga fall annan behörig tillsynsmyndighet som utövar tillsyn över Partens verksamhet enligt lag.

2. Avtalsdokument och tillämpning

2.1. Bilaga 1 till detta Avtal anger vilka personuppgifter som behandlas, kategorier av registrerade och ändamålet med behandlingen. Underbiträden som beviljas och som har tillgång till Kundens personuppgifter listas löpande på www.tagd.ai.

3. Allmänt om behandlingen under detta Personuppgiftsbiträdesavtal

3.1. Leverantören, i egenskap av personuppgiftsbiträde, åtar sig att behandla personuppgifter i enlighet med Dataskyddslagstiftningen, detta Personuppgiftsbiträdesavtal, Avtalet och Kundens dokumenterade instruktioner vid varje tidpunkt. All behandling av personuppgifter som inte är nödvändig för att fullgöra Leverantörens åtaganden enligt Avtalet, inklusive att Leverantören utför behandling för egna ändamål, är inte tillåten.

3.2. Kunden har rätt att löpande ge Leverantören skriftliga instruktioner gällande Leverantörens behandling av personuppgifter som behandlas inom ramen för detta avtal.

3.3. Personuppgiftsbiträdet ska informera Personuppgiftsansvarig om Personuppgiftsbiträdet blir medveten om att personuppgifter har behandlats i strid med Personuppgiftsansvariges instruktioner, detta Personuppgiftsbiträdesavtal eller tillämplig lag.

4. Säkerhet

4.1. Genom detta Personuppgiftsbiträdesavtal garanterar Leverantören att tekniska och organisatoriska skyddsåtgärder som uppfyller kraven i tillämplig Dataskyddslagstiftning, särskilt artikel 32 i Dataskyddsförordningen, har genomförts och därmed säkerställer att de registrerades rättigheter skyddas. Sådana åtgärder innebär bland annat att Leverantören skyddar personuppgifter mot oavsiktlig eller olaglig förstörelse, förlust eller ändring, samt mot obehörigt utlämnande och obehörig åtkomst. Kunden har rätt att bli informerad om vidtagna åtgärder på begäran.

4.2. Leverantören ska möjliggöra de inspektioner som Tillsynsmyndigheten kan kräva för att säkerställa att personuppgifter behandlas i enlighet med tillämplig lag och detta Avtal. Leverantören ska följa Tillsynsmyndighetens beslut om åtgärder för att uppfylla säkerhetskraven i enlighet med tillämplig Dataskyddslagstiftning.

4.3. Leverantören garanterar vidare att denne har kompetensen och resurserna för att genomföra de tekniska och organisatoriska åtgärder som uppfyller kraven i Dataskyddslagstiftningen.

5. Överföring av personuppgifter utanför EU/EES

5.1. Leverantören får inte utan Kundens skriftliga samtycke överföra personuppgifter som omfattas av detta avtal utanför EU/EES-området. Detta innebär bland annat att Leverantören inte får behandla personuppgifter med utrustning eller resurser som är belägna utanför EU/EES-området. Om Parterna överenskommer att personuppgifter ska överföras till en plats utanför EU/EES-området, ska Parterna säkerställa att överföringen är tillåten enligt Dataskyddslagstiftningen och vid behov underteckna nödvändiga standardavtalsklausuler eller vidta andra nödvändiga åtgärder.

6. Underrättelse vid Personuppgiftsincident och skyldighet att bistå Kunden

6.1. Leverantören åtar sig att utan dröjsmål informera Kunden skriftligen om personuppgiftsincidenten från det att den upptäckts av Leverantören. Informationen ska innehålla all nödvändig information som krävs för att Kunden, i tillämpliga fall, ska kunna uppfylla sin rapporterings- och/eller informationsskyldighet gentemot Tillsynsmyndigheten och/eller de registrerade.

6.2. Leverantören ska i övrigt bistå Kunden på dennes begäran för att säkerställa att Kunden kan uppfylla sina skyldigheter enligt Dataskyddslagstiftningen. Detta kan till exempel innebära att Leverantören bistår Kunden; (i) vid fullgörandet av sina rapporterings-/informationsskyldigheter till Tillsynsmyndigheten och/eller de registrerade; (ii) genom att tillhandahålla Kunden all information som rimligen krävs för att intyga att Leverantörens skyldigheter som personuppgiftsbiträde enligt Dataskyddslagstiftningen är uppfyllda; (iii) vid fullgörandet av Kundens skyldigheter med avseende på de registrerades rättigheter; (iv) vid genomförandet av riskanalyser och konsekvensbedömningar avseende dataskydd; och (v) vid förhandskonsultation med Tillsynsmyndigheten.

7. Kontakt med Registrerade och Tillsynsmyndigheter

7.1. I händelse av att en Registrerad, Tillsynsmyndighet eller annan tredje part begär information från Leverantören rörande behandlingen av personuppgifter som behandlas enligt detta Avtal, ska Leverantören omedelbart hänvisa sådan begäran till Kunden och invänta dennes instruktioner.

7.2. Leverantören ska utan dröjsmål informera Kunden om all kontakt med registrerade, tillsynsmyndigheter eller andra tredje parter som rör Leverantörens behandling av personuppgifterna. Leverantören har inte rätt att representera Kunden eller på annat sätt agera för Kundens räkning i förhållande till registrerade, tillsynsmyndigheter eller andra tredje parter.

8. Underbiträden

8.1. Kunden godkänner härmed användningen av de underbiträden som Leverantören redan har anlitat och informerat Kunden om på sin webbplats www.tagd.ai.

8.2. Leverantören åtar sig att informera Kunden om eventuella planer på att anlita nya underbiträden och/eller ersätta befintliga underbiträden minst trettio (30) dagar innan sådana planer genomförs, med rätt för Kunden att säga upp Avtalet inklusive detta Personuppgiftsbiträdesavtal om Kunden har rimliga skäl att inte acceptera Leverantörens engagemang av ett nytt underbiträde. Om Kunden inte återkommer till Leverantören inom trettio (30) dagar, anses Kunden ha godkänt Leverantörens plan att anlita/ersätta de underbiträden som Leverantören har informerat om.

8.3. Kundens godkännande enligt punkterna 9.1 och 9.2 ovan ska betraktas som ett särskilt tillstånd för Leverantören att ingå ett personuppgiftsbiträdesavtal å Kundens vägnar med underbiträden som kommer att behandla personuppgifter. Ett sådant personuppgiftsbiträdesavtal mellan Leverantören och ett underbiträde måste vara ett skriftligt avtal där underbiträdet åläggs samma skyldigheter som detta Personuppgiftsbiträdesavtal ålägger Leverantören. Ett sådant personuppgiftsbiträdesavtal mellan Leverantören och ett underbiträde måste vara ett skriftligt avtal där underbiträdet åläggs samma skyldigheter som detta Personuppgiftsbiträdesavtal ålägger Leverantören.

8.4. Leverantören ansvarar för att gällande regler i Dataskyddslagstiftningen beaktas vid anlitande av underbiträden. Leverantören ska vidta alla nödvändiga åtgärder för att säkerställa att underbiträdet behandlar personuppgifterna i enlighet med Personuppgiftsbiträdesavtalet och säkerställa att dessa ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder.

9. Rätt till insyn

9.1. Leverantören ska, på Kundens begäran, för att säkerställa att behandlingen sker i enlighet med detta Avtal, möjliggöra och i rimlig utsträckning bidra till revisioner, inklusive inspektioner och tillträde till Leverantörens lokaler, som utförs av Kunden eller av en annan tredje part på uppdrag av Kunden.

9.2. Om Kunden anlitar en tredje part för att utföra en granskning av Leverantörens behandling av personuppgifter på uppdrag av Kunden, ska Kunden säkerställa att en sådan tredje part undertecknar ett lämpligt sekretessavtal för att inte avslöja information till tredje part före någon inspektion.

9.3. Transparens för granskning, utlämnande av information och liknande ska ske vid den tidpunkt som Kunden eller Tillsynsmyndigheten begär, vilket så långt som möjligt ska schemaläggas vid tidpunkter och på ett sätt som orsakar minsta möjliga påverkan på Parternas respektive ordinarie verksamhet. Leverantörens revision ska utföras i enlighet med de säkerhetsåtgärder som Leverantören fastställer, förutsatt att åtgärderna inte förhindrar eller orsakar betydande svårigheter vid genomförandet av revisionen. Om inte annat föreskrivs i ett separat skriftligt avtal, ska varje Part bära sina egna kostnader i samband med sådan granskning och för tillhandahållandet av information.

10. Sekretess

10.1. Utöver de sekretessförpliktelser som följer av Avtalet åtar sig Leverantören att inte avslöja personuppgifter eller annan information om behandlingen av personuppgifter till tredje part utan uttryckliga instruktioner från Kunden. Leverantören ska säkerställa att varje person som beviljas tillgång till behandlingen av personuppgifter har åtagit sig att iaktta sekretess eller är underkastad en lämplig lagstadgad sekretessplikt i enlighet med kraven i Dataskyddslagstiftningen. Denna sekretessplikt gäller inte gentemot underbiträden som det finns underbiträdesavtal med. Ett sådant underbiträdesavtal måste dock innehålla en motsvarande sekretessplikt för underbiträdet.

11. Ersättning

11.1 Om inte annat anges häri är Leverantören inte berättigad till någon ersättning för behandlingen av personuppgifter eller för att i övrigt fullgöra sina skyldigheter enligt Personuppgiftsbiträdesavtalet.

11.2 Vid ändrade instruktioner ska Kunden ersätta Leverantören för rimliga och dokumenterade ökade kostnader som en följd av de ändrade instruktionerna, förutsatt att (i) de ändrade instruktionerna är specifika för Kunden och inte följer av allmänna krav på de tjänster som Leverantören tillhandahåller enligt Avtalet, såsom ändrad lagstiftning eller marknadspraxis, och (ii) Leverantören skriftligen meddelar Kunden om kostnadsökningarna senast tre månader efter att Kunden har utfärdat de ändrade instruktionerna.

12. Ansvar

12.1. Vid ersättning för skada i samband med behandling som genom en fastställd dom eller förlikning ska betalas till den registrerade på grund av brott mot en bestämmelse i Personuppgiftsbiträdesavtalet och/eller den tillämpliga bestämmelsen i Dataskyddslagstiftningen, ska artikel 82 i Dataskyddsförordningen tillämpas.

12.2. Sanktionsavgifter enligt artikel 83 i Dataskyddsförordningen eller kapitel 6 § 2 i lagen (2018:218) med kompletterande bestämmelser till EU
dataskyddsförordning ska bäras av den part som har ålagts en sådan avgift.

12.3. Om någon av Parterna blir medveten om en omständighet som kan leda till skada för den andra parten, ska parten omedelbart informera den andra parten om omständigheten och aktivt samarbeta med den andra parten för att förebygga och minimera sådan skada. Vidare ska varje Part vara ansvarig gentemot de registrerade för eventuell skada som den orsakar genom att bryta mot sina skyldigheter enligt Dataskyddslagstiftningen eller detta Personuppgiftsbiträdesavtal. En Part som är föremål för ett skadeståndskrav från registrerade och där det är sannolikt att sådan skada har orsakats av den andra Parten ska, för att ha rätt att överföra någon del av skadan till den andra Parten, utan onödigt dröjsmål skriftligen underrätta den andra Parten om kravet och tillåta den andra Parten att på egen bekostnad delta i försvaret mot kravet.

12.4. Det är särskilt överenskommet att eventuella ansvarsbegränsningar som avtalats på annat sätt mellan Kunden och Leverantören också ska gälla för detta Personuppgiftsbiträdesavtal.

13. Upphörande av behandling av personuppgifter

Vid upphörande av Leverantörens behandling av personuppgifter, oavsett anledning, ska Leverantören, i enlighet med Kundens instruktioner, antingen (i) överföra alla personuppgifter till Kunden på det sätt, på det medium och i det format som överensstämmer med Kundens rimliga instruktioner; eller (ii) permanent radera och förstöra personuppgifterna samt ta bort befintliga kopior. Vid överföring eller radering enligt denna punkt ska Leverantören säkerställa att uppgifterna inte kan återskapas.

14. Avtalets giltighetstid

Detta Personuppgiftsbiträdesavtal gäller från dess undertecknande och så länge som Leverantören behandlar personuppgifter.

15. Överlåtelse

Ingen part har rätt att överlåta några skyldigheter eller rättigheter enligt detta Personuppgiftsbiträdesavtal till en tredje part, varken helt eller delvis.

16. Tillämplig lag och tvistelösning

Detta Personuppgiftsbiträdesavtal och all behandling av personuppgifter enligt avtalet regleras av svensk lag, med undantag för tillämpliga lagvalsregler. Eventuell tvist rörande tolkningen eller tillämpningen av detta Personuppgiftsbiträdesavtal ska avgöras i enlighet med Avtalets tvistlösningsbestämmelser.

BILAGA 1

1. Översikt av behandlingen av personuppgifter:

För användning av tjänsterna skapas användarkonton, vilket innebär att personuppgifter registreras om användarna. Kontaktpersoner hos Kundens kunder registreras också. Dessutom kan personuppgifter om andra än användare registreras i tjänsterna av Kundens administratörer. Endast personuppgifter som Kunden registrerar i tjänsterna kommer att behandlas.

2. Ändamål:

  • ● Skapa och administrera användarkonton (inklusive för att säkerställa säker inloggning/åtkomstkontroll)
  • ● Kommunicera med användare
  • ● För att Kunden ska kunna skapa en översikt och få kontroll över vilka individer som är representanter/kontaktpersoner/ansvariga för en viss aktivitet.

3. Kategorier av Registrerade:

  • Individer i Kundens organisation som har beviljats rätten att använda Leverantörens tjänster och därmed registrerats som användare.
  • Individer registrerade i tjänsterna av Kundens användare som kontaktpersoner, representanter och/eller ansvariga för de avtal som registreras i tjänsten.

4. Information där någon är kontaktperson för avtalet:

Användarinformation:

Namn, e-post, lösenord,

telefonnummer, organisation, avdelning, titel.

Avtalsrelaterad information:

Information om kontaktpersoner,

namn, e-postadress och telefonnummer.

Utförande av uppgifter kopplade till specifika fysiska personer.

Användarlogginformation.