Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal
Partner och Bovra har ingått ett avtal rörande Bovras tillhandahållande av tjänsten Bovra Företagskonto, härefter ”Huvudavtalet”, varav detta personuppgiftsbiträdesavtal ("Biträdesavtal") utgör en integrerad del. Alla definierade begrepp i Huvudavtalet ska ha samma betydelse häri om inte annat anges särskilt.
1. Bakgrund
1.1
Som en del av utförandet av tjänsterna under Huvudavtalet kommer Bovra att behandla vissa personuppgifter för Partners räkning.
1.2
Partner är personuppgiftsansvarig och Bovra personuppgiftsbiträde i förhållande till de personuppgifter som behandlas enligt detta Biträdesavtal.
1.3
Detta Biträdesavtal reglerar villkoren för Bovras behandling av personuppgifter för Partners räkning i enlighet med dataskyddsförordningen (EU) 2016/679 (”GDPR”) och annan tillämplig dataskyddslagstiftning (”Tillämplig Dataskyddslagstiftning”).
1.4
Alla definitioner i Artikel 4 GDPR har samma innebörd i Biträdesavtalet om inte annat särskilt anges.
2. Beskrivning av personuppgiftsbehandlingen
Bovra behandlar personuppgifter avseende Partners kunder för att tillhandahålla tjänster i enlighet med Huvudavtalet. Behandlingen innefattar registrering, organisering, lagring, bearbetning, läsning, överföring och tillhandahållande av information till Partners kunder. Uppgifter som behandlas innefattar kontaktinformation och fastighetsbeteckning tillhörande Partners kund tillsammans med information om utförda åtgärder kundens bostad (härefter ”Personuppgifterna”).
3. Bovras skyldigheter
3.1
Omfattning. Bovra ska endast behandla Personuppgifterna i enlighet med Biträdesavtalet samt Partners instruktioner, såvida inte vidare behandling krävs enligt lag. I sådant fall ska Bovra informera Partner om det rättsliga kravet om inte sådan upplysning är förbjuden enligt lag.
3.2
Underbiträden. Bovra har rätt att anlita andra personuppgiftsbiträden för behandling av Personuppgifterna (”Underbiträden”). Bovra ska informera Partner om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden. Om Partner inte har motsatt sig inom tio dagar från avsändandet av meddelandet ska Partner anses ha godkänt anlitandet av Underbiträdet. Om Bovra anlitar ett Underbiträde ska Bovra ingå ett Underbiträdesavtal med samma skyldigheter som i detta Biträdesavtal. Om Underbiträdet inte uppfyller sina skyldigheter, är Bovra fullt ansvarigt gentemot Partner för dess handlingar. Bovra ska upprätthålla en uppdaterad förteckning över Underbiträden och tillhandahålla en kopia på Partners begäran.
3.3
Tredjelandsöverföring. Bovra får, själv eller genom Underbiträden, överföra personuppgifter utanför EU/EES, förutsatt att Bovra, innan sådan överföring eller behandling sker, uppfyller säkerhetskraven i GDPR för tredjelandsöverföringar. Sådana säkerhetskrav kan innefatta ingående av standardavtalsklausuler.
3.4
Begäran om information. Om en registrerad, behörig tillsynsmyndighet eller annan tredje part begär information från Bovra avseende behandling av Personuppgifterna ska Bovra omedelbart meddela Partner om begäran och Parterna ska i samråd komma överens om lämpligt tillvägagångssätt. Bovra har inte rätt att företräda Partner eller på annat sätt agera för Partners räkning gentemot en registrerad, behörig tillsynsmyndighet eller annan part.
3.5
Registrerades rättigheter. Bovra ska vidta lämpliga tekniska och organisatoriska åtgärder för att bistå Partner att fullgöra sin skyldighet att svara på begäran om utövande av registrerades rättigheter, såsom rätten till tillgång, radering, rättelse och dataportabilitet, i enlighet med kapitel III GDPR.
3.6
Säkerhet. Bovra ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda Personuppgifterna, i synnerhet från oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till de Personuppgifterna som överförts, lagrats eller på annat sätt behandlats, i enlighet med artikel 32 GDPR.
3.7
Personuppgiftsincidenter. Bovra ska bistå Partner i att uppfylla sina skyldigheter i enlighet med Artikel 32 till 36 GDPR, i synnerhet avseende säkerhet i samband med behandlingen och personuppgiftsincidenter. Vid händelse av en personuppgiftsincident rörande Personuppgifterna, ska Bovra meddela Partner om personuppgiftsincidenten utan dröjsmål och senast inom tjugofyra (24) timmar från att Bovra fått kännedom om personuppgiftsincidenten.
3.8
Återlämning av information. Bovra ska i samband med Biträdesavtalets slut, beroende på vad Partner väljer, radera eller återlämna Personuppgifterna såvida inte lagring av Personuppgifterna krävs enligt lag.
3.9
Granskning och inspektion. Bovra ska möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Partner eller av tredje part som bemyndigats av Partner på Partners bekostnad.
3.10
Tillsyn. Bovra ska tillåta de inspektioner som behörig tillsynsmyndighet kan kräva för säkerställandet av en korrekt behandling av Personuppgifterna. Bovra ska följa av tillsynsmyndighet fattade beslut om åtgärder för att uppfylla säkerhetskrav enligt GDPR och annan Tillämplig Dataskyddslagstiftning.
4. Sekretessåtagande
4.1
Bovra ska begränsa åtkomsten till Personuppgifterna till enbart de anställda som behöver Personuppgifterna för att tillhandahålla tjänsterna enligt Huvudavtalet, samt säkerställa att sådana anställda har åtagit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt.
4.2
Utöver de sekretessåtaganden som följer av Huvudavtalet, åtar sig Bovra att inte lämna ut Personuppgifterna eller annan information om behandlingen Personuppgifterna till tredje part utan uttrycklig instruktion från Partner. Denna punkt gäller dock inte för information som lämnas ut till Underbiträden för att dessa ska kunna uppfylla sina åtaganden enligt underbiträdesavtal, information som är allmänt känd (till följd av annat skäl än brott mot Biträdesavtalet), eller för information som Bovra måste utge enligt tvingande lag eller till följd av beslut eller dom som fattats av behörig domstol eller annan behörig myndighet. I sådant fall ska Bovra, när det är tillåtet enligt lag, omedelbart informera Partner därom och begära att informationen hålls hemlig i samband med utlämnandet.
4.3
Bovra ska tillse att Underbiträden åtar sig att iaktta sekretess i enlighet med bestämmelserna detta avsnitt eller omfattas av lagstadgad tystnadsplikt.
4.4
Sekretessåtagandet i denna punkt 4 ska gälla utan begränsning i tid.
5. Avtalstid och lagringstid
Biträdesavtalet gäller under avtalstiden för Huvudavtalet. Efter Huvudavtalets upphörande ska Bovra radera eller återlämna Personuppgifterna till Partner. Detta gäller inte för uppgifter som delats med Partner och fortsatt behandlas av Bovra i egenskap av personuppgiftsansvarig i enlighet med punkt 5.5 i Huvudavtalet.
6. Ansvar
Bovra ska ersätta Partner för skada som Partner, de registrerade eller annan fysisk eller juridisk person eller myndighet åsamkas med anledning av Bovras behandling av Personuppgifterna i strid med Biträdesavtalet. Ansvarsbegränsningarna som anges i Huvudavtalet ska gälla för detta Biträdesavtal, med undantag för att vardera Part ska hålla den andra Parten skadeslös från eventuella sanktioner enligt artikel 83 GDPR som påförs Parten av den relevanta tillsynsmyndigheten.
7. Överlåtelse
Ingen Part har rätt att helt eller delvis överlåta dess skyldigheter eller rättigheter enligt Biträdesavtalet till tredje part utan den andra Partens skriftliga godkännande.
8. Tillämplig lag och tvistelösning
Svensk lag ska tillämpas på Biträdesavtalet. Tvister som uppstår i anledning av Biträdesavtalet ska avgöras i enlighet med Huvudavtalets bestämmelser om tvistelösning.
Partner och Bovra har ingått ett avtal rörande Bovras tillhandahållande av tjänsten Bovra Företagskonto, härefter ”Huvudavtalet”, varav detta personuppgiftsbiträdesavtal ("Biträdesavtal") utgör en integrerad del. Alla definierade begrepp i Huvudavtalet ska ha samma betydelse häri om inte annat anges särskilt.
1. Bakgrund
1.1
Som en del av utförandet av tjänsterna under Huvudavtalet kommer Bovra att behandla vissa personuppgifter för Partners räkning.
1.2
Partner är personuppgiftsansvarig och Bovra personuppgiftsbiträde i förhållande till de personuppgifter som behandlas enligt detta Biträdesavtal.
1.3
Detta Biträdesavtal reglerar villkoren för Bovras behandling av personuppgifter för Partners räkning i enlighet med dataskyddsförordningen (EU) 2016/679 (”GDPR”) och annan tillämplig dataskyddslagstiftning (”Tillämplig Dataskyddslagstiftning”).
1.4
Alla definitioner i Artikel 4 GDPR har samma innebörd i Biträdesavtalet om inte annat särskilt anges.
2. Beskrivning av personuppgiftsbehandlingen
Bovra behandlar personuppgifter avseende Partners kunder för att tillhandahålla tjänster i enlighet med Huvudavtalet. Behandlingen innefattar registrering, organisering, lagring, bearbetning, läsning, överföring och tillhandahållande av information till Partners kunder. Uppgifter som behandlas innefattar kontaktinformation och fastighetsbeteckning tillhörande Partners kund tillsammans med information om utförda åtgärder kundens bostad (härefter ”Personuppgifterna”).
3. Bovras skyldigheter
3.1
Omfattning. Bovra ska endast behandla Personuppgifterna i enlighet med Biträdesavtalet samt Partners instruktioner, såvida inte vidare behandling krävs enligt lag. I sådant fall ska Bovra informera Partner om det rättsliga kravet om inte sådan upplysning är förbjuden enligt lag.
3.2
Underbiträden. Bovra har rätt att anlita andra personuppgiftsbiträden för behandling av Personuppgifterna (”Underbiträden”). Bovra ska informera Partner om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden. Om Partner inte har motsatt sig inom tio dagar från avsändandet av meddelandet ska Partner anses ha godkänt anlitandet av Underbiträdet. Om Bovra anlitar ett Underbiträde ska Bovra ingå ett Underbiträdesavtal med samma skyldigheter som i detta Biträdesavtal. Om Underbiträdet inte uppfyller sina skyldigheter, är Bovra fullt ansvarigt gentemot Partner för dess handlingar. Bovra ska upprätthålla en uppdaterad förteckning över Underbiträden och tillhandahålla en kopia på Partners begäran.
3.3
Tredjelandsöverföring. Bovra får, själv eller genom Underbiträden, överföra personuppgifter utanför EU/EES, förutsatt att Bovra, innan sådan överföring eller behandling sker, uppfyller säkerhetskraven i GDPR för tredjelandsöverföringar. Sådana säkerhetskrav kan innefatta ingående av standardavtalsklausuler.
3.4
Begäran om information. Om en registrerad, behörig tillsynsmyndighet eller annan tredje part begär information från Bovra avseende behandling av Personuppgifterna ska Bovra omedelbart meddela Partner om begäran och Parterna ska i samråd komma överens om lämpligt tillvägagångssätt. Bovra har inte rätt att företräda Partner eller på annat sätt agera för Partners räkning gentemot en registrerad, behörig tillsynsmyndighet eller annan part.
3.5
Registrerades rättigheter. Bovra ska vidta lämpliga tekniska och organisatoriska åtgärder för att bistå Partner att fullgöra sin skyldighet att svara på begäran om utövande av registrerades rättigheter, såsom rätten till tillgång, radering, rättelse och dataportabilitet, i enlighet med kapitel III GDPR.
3.6
Säkerhet. Bovra ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda Personuppgifterna, i synnerhet från oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till de Personuppgifterna som överförts, lagrats eller på annat sätt behandlats, i enlighet med artikel 32 GDPR.
3.7
Personuppgiftsincidenter. Bovra ska bistå Partner i att uppfylla sina skyldigheter i enlighet med Artikel 32 till 36 GDPR, i synnerhet avseende säkerhet i samband med behandlingen och personuppgiftsincidenter. Vid händelse av en personuppgiftsincident rörande Personuppgifterna, ska Bovra meddela Partner om personuppgiftsincidenten utan dröjsmål och senast inom tjugofyra (24) timmar från att Bovra fått kännedom om personuppgiftsincidenten.
3.8
Återlämning av information. Bovra ska i samband med Biträdesavtalets slut, beroende på vad Partner väljer, radera eller återlämna Personuppgifterna såvida inte lagring av Personuppgifterna krävs enligt lag.
3.9
Granskning och inspektion. Bovra ska möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Partner eller av tredje part som bemyndigats av Partner på Partners bekostnad.
3.10
Tillsyn. Bovra ska tillåta de inspektioner som behörig tillsynsmyndighet kan kräva för säkerställandet av en korrekt behandling av Personuppgifterna. Bovra ska följa av tillsynsmyndighet fattade beslut om åtgärder för att uppfylla säkerhetskrav enligt GDPR och annan Tillämplig Dataskyddslagstiftning.
4. Sekretessåtagande
4.1
Bovra ska begränsa åtkomsten till Personuppgifterna till enbart de anställda som behöver Personuppgifterna för att tillhandahålla tjänsterna enligt Huvudavtalet, samt säkerställa att sådana anställda har åtagit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt.
4.2
Utöver de sekretessåtaganden som följer av Huvudavtalet, åtar sig Bovra att inte lämna ut Personuppgifterna eller annan information om behandlingen Personuppgifterna till tredje part utan uttrycklig instruktion från Partner. Denna punkt gäller dock inte för information som lämnas ut till Underbiträden för att dessa ska kunna uppfylla sina åtaganden enligt underbiträdesavtal, information som är allmänt känd (till följd av annat skäl än brott mot Biträdesavtalet), eller för information som Bovra måste utge enligt tvingande lag eller till följd av beslut eller dom som fattats av behörig domstol eller annan behörig myndighet. I sådant fall ska Bovra, när det är tillåtet enligt lag, omedelbart informera Partner därom och begära att informationen hålls hemlig i samband med utlämnandet.
4.3
Bovra ska tillse att Underbiträden åtar sig att iaktta sekretess i enlighet med bestämmelserna detta avsnitt eller omfattas av lagstadgad tystnadsplikt.
4.4
Sekretessåtagandet i denna punkt 4 ska gälla utan begränsning i tid.
5. Avtalstid och lagringstid
Biträdesavtalet gäller under avtalstiden för Huvudavtalet. Efter Huvudavtalets upphörande ska Bovra radera eller återlämna Personuppgifterna till Partner. Detta gäller inte för uppgifter som delats med Partner och fortsatt behandlas av Bovra i egenskap av personuppgiftsansvarig i enlighet med punkt 5.5 i Huvudavtalet.
6. Ansvar
Bovra ska ersätta Partner för skada som Partner, de registrerade eller annan fysisk eller juridisk person eller myndighet åsamkas med anledning av Bovras behandling av Personuppgifterna i strid med Biträdesavtalet. Ansvarsbegränsningarna som anges i Huvudavtalet ska gälla för detta Biträdesavtal, med undantag för att vardera Part ska hålla den andra Parten skadeslös från eventuella sanktioner enligt artikel 83 GDPR som påförs Parten av den relevanta tillsynsmyndigheten.
7. Överlåtelse
Ingen Part har rätt att helt eller delvis överlåta dess skyldigheter eller rättigheter enligt Biträdesavtalet till tredje part utan den andra Partens skriftliga godkännande.
8. Tillämplig lag och tvistelösning
Svensk lag ska tillämpas på Biträdesavtalet. Tvister som uppstår i anledning av Biträdesavtalet ska avgöras i enlighet med Huvudavtalets bestämmelser om tvistelösning.
Partner och Bovra har ingått ett avtal rörande Bovras tillhandahållande av tjänsten Bovra Företagskonto, härefter ”Huvudavtalet”, varav detta personuppgiftsbiträdesavtal ("Biträdesavtal") utgör en integrerad del. Alla definierade begrepp i Huvudavtalet ska ha samma betydelse häri om inte annat anges särskilt.
1. Bakgrund
1.1
Som en del av utförandet av tjänsterna under Huvudavtalet kommer Bovra att behandla vissa personuppgifter för Partners räkning.
1.2
Partner är personuppgiftsansvarig och Bovra personuppgiftsbiträde i förhållande till de personuppgifter som behandlas enligt detta Biträdesavtal.
1.3
Detta Biträdesavtal reglerar villkoren för Bovras behandling av personuppgifter för Partners räkning i enlighet med dataskyddsförordningen (EU) 2016/679 (”GDPR”) och annan tillämplig dataskyddslagstiftning (”Tillämplig Dataskyddslagstiftning”).
1.4
Alla definitioner i Artikel 4 GDPR har samma innebörd i Biträdesavtalet om inte annat särskilt anges.
2. Beskrivning av personuppgiftsbehandlingen
Bovra behandlar personuppgifter avseende Partners kunder för att tillhandahålla tjänster i enlighet med Huvudavtalet. Behandlingen innefattar registrering, organisering, lagring, bearbetning, läsning, överföring och tillhandahållande av information till Partners kunder. Uppgifter som behandlas innefattar kontaktinformation och fastighetsbeteckning tillhörande Partners kund tillsammans med information om utförda åtgärder kundens bostad (härefter ”Personuppgifterna”).
3. Bovras skyldigheter
3.1
Omfattning. Bovra ska endast behandla Personuppgifterna i enlighet med Biträdesavtalet samt Partners instruktioner, såvida inte vidare behandling krävs enligt lag. I sådant fall ska Bovra informera Partner om det rättsliga kravet om inte sådan upplysning är förbjuden enligt lag.
3.2
Underbiträden. Bovra har rätt att anlita andra personuppgiftsbiträden för behandling av Personuppgifterna (”Underbiträden”). Bovra ska informera Partner om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden. Om Partner inte har motsatt sig inom tio dagar från avsändandet av meddelandet ska Partner anses ha godkänt anlitandet av Underbiträdet. Om Bovra anlitar ett Underbiträde ska Bovra ingå ett Underbiträdesavtal med samma skyldigheter som i detta Biträdesavtal. Om Underbiträdet inte uppfyller sina skyldigheter, är Bovra fullt ansvarigt gentemot Partner för dess handlingar. Bovra ska upprätthålla en uppdaterad förteckning över Underbiträden och tillhandahålla en kopia på Partners begäran.
3.3
Tredjelandsöverföring. Bovra får, själv eller genom Underbiträden, överföra personuppgifter utanför EU/EES, förutsatt att Bovra, innan sådan överföring eller behandling sker, uppfyller säkerhetskraven i GDPR för tredjelandsöverföringar. Sådana säkerhetskrav kan innefatta ingående av standardavtalsklausuler.
3.4
Begäran om information. Om en registrerad, behörig tillsynsmyndighet eller annan tredje part begär information från Bovra avseende behandling av Personuppgifterna ska Bovra omedelbart meddela Partner om begäran och Parterna ska i samråd komma överens om lämpligt tillvägagångssätt. Bovra har inte rätt att företräda Partner eller på annat sätt agera för Partners räkning gentemot en registrerad, behörig tillsynsmyndighet eller annan part.
3.5
Registrerades rättigheter. Bovra ska vidta lämpliga tekniska och organisatoriska åtgärder för att bistå Partner att fullgöra sin skyldighet att svara på begäran om utövande av registrerades rättigheter, såsom rätten till tillgång, radering, rättelse och dataportabilitet, i enlighet med kapitel III GDPR.
3.6
Säkerhet. Bovra ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda Personuppgifterna, i synnerhet från oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till de Personuppgifterna som överförts, lagrats eller på annat sätt behandlats, i enlighet med artikel 32 GDPR.
3.7
Personuppgiftsincidenter. Bovra ska bistå Partner i att uppfylla sina skyldigheter i enlighet med Artikel 32 till 36 GDPR, i synnerhet avseende säkerhet i samband med behandlingen och personuppgiftsincidenter. Vid händelse av en personuppgiftsincident rörande Personuppgifterna, ska Bovra meddela Partner om personuppgiftsincidenten utan dröjsmål och senast inom tjugofyra (24) timmar från att Bovra fått kännedom om personuppgiftsincidenten.
3.8
Återlämning av information. Bovra ska i samband med Biträdesavtalets slut, beroende på vad Partner väljer, radera eller återlämna Personuppgifterna såvida inte lagring av Personuppgifterna krävs enligt lag.
3.9
Granskning och inspektion. Bovra ska möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Partner eller av tredje part som bemyndigats av Partner på Partners bekostnad.
3.10
Tillsyn. Bovra ska tillåta de inspektioner som behörig tillsynsmyndighet kan kräva för säkerställandet av en korrekt behandling av Personuppgifterna. Bovra ska följa av tillsynsmyndighet fattade beslut om åtgärder för att uppfylla säkerhetskrav enligt GDPR och annan Tillämplig Dataskyddslagstiftning.
4. Sekretessåtagande
4.1
Bovra ska begränsa åtkomsten till Personuppgifterna till enbart de anställda som behöver Personuppgifterna för att tillhandahålla tjänsterna enligt Huvudavtalet, samt säkerställa att sådana anställda har åtagit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt.
4.2
Utöver de sekretessåtaganden som följer av Huvudavtalet, åtar sig Bovra att inte lämna ut Personuppgifterna eller annan information om behandlingen Personuppgifterna till tredje part utan uttrycklig instruktion från Partner. Denna punkt gäller dock inte för information som lämnas ut till Underbiträden för att dessa ska kunna uppfylla sina åtaganden enligt underbiträdesavtal, information som är allmänt känd (till följd av annat skäl än brott mot Biträdesavtalet), eller för information som Bovra måste utge enligt tvingande lag eller till följd av beslut eller dom som fattats av behörig domstol eller annan behörig myndighet. I sådant fall ska Bovra, när det är tillåtet enligt lag, omedelbart informera Partner därom och begära att informationen hålls hemlig i samband med utlämnandet.
4.3
Bovra ska tillse att Underbiträden åtar sig att iaktta sekretess i enlighet med bestämmelserna detta avsnitt eller omfattas av lagstadgad tystnadsplikt.
4.4
Sekretessåtagandet i denna punkt 4 ska gälla utan begränsning i tid.
5. Avtalstid och lagringstid
Biträdesavtalet gäller under avtalstiden för Huvudavtalet. Efter Huvudavtalets upphörande ska Bovra radera eller återlämna Personuppgifterna till Partner. Detta gäller inte för uppgifter som delats med Partner och fortsatt behandlas av Bovra i egenskap av personuppgiftsansvarig i enlighet med punkt 5.5 i Huvudavtalet.
6. Ansvar
Bovra ska ersätta Partner för skada som Partner, de registrerade eller annan fysisk eller juridisk person eller myndighet åsamkas med anledning av Bovras behandling av Personuppgifterna i strid med Biträdesavtalet. Ansvarsbegränsningarna som anges i Huvudavtalet ska gälla för detta Biträdesavtal, med undantag för att vardera Part ska hålla den andra Parten skadeslös från eventuella sanktioner enligt artikel 83 GDPR som påförs Parten av den relevanta tillsynsmyndigheten.
7. Överlåtelse
Ingen Part har rätt att helt eller delvis överlåta dess skyldigheter eller rättigheter enligt Biträdesavtalet till tredje part utan den andra Partens skriftliga godkännande.
8. Tillämplig lag och tvistelösning
Svensk lag ska tillämpas på Biträdesavtalet. Tvister som uppstår i anledning av Biträdesavtalet ska avgöras i enlighet med Huvudavtalets bestämmelser om tvistelösning.
Partner och Bovra har ingått ett avtal rörande Bovras tillhandahållande av tjänsten Bovra Företagskonto, härefter ”Huvudavtalet”, varav detta personuppgiftsbiträdesavtal ("Biträdesavtal") utgör en integrerad del. Alla definierade begrepp i Huvudavtalet ska ha samma betydelse häri om inte annat anges särskilt.
1. Bakgrund
1.1
Som en del av utförandet av tjänsterna under Huvudavtalet kommer Bovra att behandla vissa personuppgifter för Partners räkning.
1.2
Partner är personuppgiftsansvarig och Bovra personuppgiftsbiträde i förhållande till de personuppgifter som behandlas enligt detta Biträdesavtal.
1.3
Detta Biträdesavtal reglerar villkoren för Bovras behandling av personuppgifter för Partners räkning i enlighet med dataskyddsförordningen (EU) 2016/679 (”GDPR”) och annan tillämplig dataskyddslagstiftning (”Tillämplig Dataskyddslagstiftning”).
1.4
Alla definitioner i Artikel 4 GDPR har samma innebörd i Biträdesavtalet om inte annat särskilt anges.
2. Beskrivning av personuppgiftsbehandlingen
Bovra behandlar personuppgifter avseende Partners kunder för att tillhandahålla tjänster i enlighet med Huvudavtalet. Behandlingen innefattar registrering, organisering, lagring, bearbetning, läsning, överföring och tillhandahållande av information till Partners kunder. Uppgifter som behandlas innefattar kontaktinformation och fastighetsbeteckning tillhörande Partners kund tillsammans med information om utförda åtgärder kundens bostad (härefter ”Personuppgifterna”).
3. Bovras skyldigheter
3.1
Omfattning. Bovra ska endast behandla Personuppgifterna i enlighet med Biträdesavtalet samt Partners instruktioner, såvida inte vidare behandling krävs enligt lag. I sådant fall ska Bovra informera Partner om det rättsliga kravet om inte sådan upplysning är förbjuden enligt lag.
3.2
Underbiträden. Bovra har rätt att anlita andra personuppgiftsbiträden för behandling av Personuppgifterna (”Underbiträden”). Bovra ska informera Partner om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden. Om Partner inte har motsatt sig inom tio dagar från avsändandet av meddelandet ska Partner anses ha godkänt anlitandet av Underbiträdet. Om Bovra anlitar ett Underbiträde ska Bovra ingå ett Underbiträdesavtal med samma skyldigheter som i detta Biträdesavtal. Om Underbiträdet inte uppfyller sina skyldigheter, är Bovra fullt ansvarigt gentemot Partner för dess handlingar. Bovra ska upprätthålla en uppdaterad förteckning över Underbiträden och tillhandahålla en kopia på Partners begäran.
3.3
Tredjelandsöverföring. Bovra får, själv eller genom Underbiträden, överföra personuppgifter utanför EU/EES, förutsatt att Bovra, innan sådan överföring eller behandling sker, uppfyller säkerhetskraven i GDPR för tredjelandsöverföringar. Sådana säkerhetskrav kan innefatta ingående av standardavtalsklausuler.
3.4
Begäran om information. Om en registrerad, behörig tillsynsmyndighet eller annan tredje part begär information från Bovra avseende behandling av Personuppgifterna ska Bovra omedelbart meddela Partner om begäran och Parterna ska i samråd komma överens om lämpligt tillvägagångssätt. Bovra har inte rätt att företräda Partner eller på annat sätt agera för Partners räkning gentemot en registrerad, behörig tillsynsmyndighet eller annan part.
3.5
Registrerades rättigheter. Bovra ska vidta lämpliga tekniska och organisatoriska åtgärder för att bistå Partner att fullgöra sin skyldighet att svara på begäran om utövande av registrerades rättigheter, såsom rätten till tillgång, radering, rättelse och dataportabilitet, i enlighet med kapitel III GDPR.
3.6
Säkerhet. Bovra ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda Personuppgifterna, i synnerhet från oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till de Personuppgifterna som överförts, lagrats eller på annat sätt behandlats, i enlighet med artikel 32 GDPR.
3.7
Personuppgiftsincidenter. Bovra ska bistå Partner i att uppfylla sina skyldigheter i enlighet med Artikel 32 till 36 GDPR, i synnerhet avseende säkerhet i samband med behandlingen och personuppgiftsincidenter. Vid händelse av en personuppgiftsincident rörande Personuppgifterna, ska Bovra meddela Partner om personuppgiftsincidenten utan dröjsmål och senast inom tjugofyra (24) timmar från att Bovra fått kännedom om personuppgiftsincidenten.
3.8
Återlämning av information. Bovra ska i samband med Biträdesavtalets slut, beroende på vad Partner väljer, radera eller återlämna Personuppgifterna såvida inte lagring av Personuppgifterna krävs enligt lag.
3.9
Granskning och inspektion. Bovra ska möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Partner eller av tredje part som bemyndigats av Partner på Partners bekostnad.
3.10
Tillsyn. Bovra ska tillåta de inspektioner som behörig tillsynsmyndighet kan kräva för säkerställandet av en korrekt behandling av Personuppgifterna. Bovra ska följa av tillsynsmyndighet fattade beslut om åtgärder för att uppfylla säkerhetskrav enligt GDPR och annan Tillämplig Dataskyddslagstiftning.
4. Sekretessåtagande
4.1
Bovra ska begränsa åtkomsten till Personuppgifterna till enbart de anställda som behöver Personuppgifterna för att tillhandahålla tjänsterna enligt Huvudavtalet, samt säkerställa att sådana anställda har åtagit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt.
4.2
Utöver de sekretessåtaganden som följer av Huvudavtalet, åtar sig Bovra att inte lämna ut Personuppgifterna eller annan information om behandlingen Personuppgifterna till tredje part utan uttrycklig instruktion från Partner. Denna punkt gäller dock inte för information som lämnas ut till Underbiträden för att dessa ska kunna uppfylla sina åtaganden enligt underbiträdesavtal, information som är allmänt känd (till följd av annat skäl än brott mot Biträdesavtalet), eller för information som Bovra måste utge enligt tvingande lag eller till följd av beslut eller dom som fattats av behörig domstol eller annan behörig myndighet. I sådant fall ska Bovra, när det är tillåtet enligt lag, omedelbart informera Partner därom och begära att informationen hålls hemlig i samband med utlämnandet.
4.3
Bovra ska tillse att Underbiträden åtar sig att iaktta sekretess i enlighet med bestämmelserna detta avsnitt eller omfattas av lagstadgad tystnadsplikt.
4.4
Sekretessåtagandet i denna punkt 4 ska gälla utan begränsning i tid.
5. Avtalstid och lagringstid
Biträdesavtalet gäller under avtalstiden för Huvudavtalet. Efter Huvudavtalets upphörande ska Bovra radera eller återlämna Personuppgifterna till Partner. Detta gäller inte för uppgifter som delats med Partner och fortsatt behandlas av Bovra i egenskap av personuppgiftsansvarig i enlighet med punkt 5.5 i Huvudavtalet.
6. Ansvar
Bovra ska ersätta Partner för skada som Partner, de registrerade eller annan fysisk eller juridisk person eller myndighet åsamkas med anledning av Bovras behandling av Personuppgifterna i strid med Biträdesavtalet. Ansvarsbegränsningarna som anges i Huvudavtalet ska gälla för detta Biträdesavtal, med undantag för att vardera Part ska hålla den andra Parten skadeslös från eventuella sanktioner enligt artikel 83 GDPR som påförs Parten av den relevanta tillsynsmyndigheten.
7. Överlåtelse
Ingen Part har rätt att helt eller delvis överlåta dess skyldigheter eller rättigheter enligt Biträdesavtalet till tredje part utan den andra Partens skriftliga godkännande.
8. Tillämplig lag och tvistelösning
Svensk lag ska tillämpas på Biträdesavtalet. Tvister som uppstår i anledning av Biträdesavtalet ska avgöras i enlighet med Huvudavtalets bestämmelser om tvistelösning.