Din varukorg är för närvarande tom!
dpa / puba
Personuppgiftsbiträdesavtal
Läs gärna igenom vårt Personuppgiftsbiträdesavtal så att du har kännedom om vad det innebär.
DPA/PUBA
Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) har ingåtts mellan
- Pagio (pagio.se) drivs av företaget Digitance, org.nr 651013-0187; och
- Part som via överenskommelse om samarbete har accepterat allmänna villkor, (”Part”).
Pagio och Part är nedan var för sig benämnda ”Part” samt gemensamt ”Parterna”.
1 ALLMÄNT
1.1 Detta Personuppgiftsbiträdesavtal utgör en integrerad del av avtalet som ingåtts mellan Pagio och Kunden (”Tjänsteavtalet”)
1.2 Pagio kommer vid fullföljandet av Tjänsteavtalet att behandla Personuppgifter (definieras nedan) för Kundens räkning såsom personuppgiftsbiträde för Kunden. Kunden är personuppgiftsansvarig för Behandling av personuppgifterna.
1.3 Om någon annan tillsammans med Kunden är personuppgiftsansvarig för de aktuella Personuppgifterna ska Kunden informera Pagio om detta.
1.4 Syftet med detta Biträdesavtal är att Parterna ska uppfylla vid var tid gällande krav enligt gällande Dataskyddsreglering samt att säkerställa ett adekvat skydd för personlig integritet och grundläggande rättigheter för enskilda i samband med överföring av Personuppgifter från Kunden till Pagio inom ramen för de tjänster Pagio utför åt Kunden under Tjänsteavtalet.
2 DEFINITIONER
”Behandling”
Avser åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, inhämtande eller användning.
”Dataskyddsreglering”
avser vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter vilket innefattar, men inte är begränsat till, Europaparlamentets och Rådets Förordning (EU) 2016 /679 (”Dataskyddsförordningen”/”GDPR”) samt Tillsynsmyndighets bindande beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd.
”Personuppgifter”
avser de personuppgifter som Pagio behandlar under Biträdesavtalet. Begreppet ska ha den innebörd som framgår av vid var tid gällande legal definition under GDPR.
”Tillsynsmyndighet”
avser den eller de tillsynsmyndigheter som har behörighet att bedriva tillsyn över hanteringen av Personuppgifter eller anses vara berörd tillsynsmyndighet enligt Dataskyddsregleringen, i Sverige t. ex. Integritetsskyddsmyndigheten.
”Underbiträde”
avser det underbiträde som anlitats eller ska anlitas av Pagio och som därför kommer behandla Personuppgifter för Pagios räkning.
Eventuella övriga definitioner med stor begynnelsebokstav som används i detta Biträdesavtal ska, om inget annat uttryckligen anges, ha den innebörd och betydelse som framgår av GDPR och i andra hand enligt vad som framgår av Tjänsteavtalet, om inte omständigheterna uppenbarligen talar för annan tolkningsordning.
3 ANSVAR
3.1 Kunden är personuppgiftsansvarig för samtliga Personuppgifter som Pagio behandlar för Kundens räkning under Tjänsteavtalet. Kunden ansvarar därmed för att gällande Dataskyddsreglering följs. Kunden har skyldighet att informera Pagio om eventuell förändring i Kunds verksamhet som gör att Pagio behöver vidta någon form av åtgärd eller förändrad rutin. Utöver de krav som gäller direkt för Pagio enligt detta Biträdesavtal ska Pagio vara skyldig att följa vid var tid gällande krav enligt gällande Dataskyddsreglering. Kunden ska även löpande informera Pagio om tredje parts, däribland Tillsynsmyndighets och Registrerads, åtgärder med anledning av Behandlingen.
3.2 Pagio och den eller de personer som arbetar under Pagios ledning ska endast behandla Personuppgifter i enlighet med de dokumenterade instruktioner som Kunden ger Pagio och inte för några andra ändamål än de ändamål som Pagio anlitats för och som anges i detta Biträdesavtal. De instruktioner som gäller vid Biträdesavtalets ingående framgår av Bilaga 1. Utöver de särskilda instruktioner som framgår av Allmänna villkor ska detta Biträdesavtal och Tjänsteavtalet i övrigt anses utgöra Kundens samtliga instruktioner till Pagio avseende Behandling av Personuppgifter. Kunden ska omedelbart informera Pagio om förändringar vilka påverkar Pagios skyldigheter enligt detta Biträdesavtal.
3.3 Om en instruktion avseende Behandling av personuppgifter som lämnats av Kunden enligt Pagios uppfattning strider mot Dataskyddsregleringen ska Pagio omedelbart informera Kunden.
3.4 Behandling får även ske om sådan Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Pagio. I sådana fall ska Pagio informera Kunden om det rättsliga kravet innan Behandlingen, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt sådan rätt.
3.5 Pagio har rätt att under Biträdesavtalet giltighetstid och därefter lagra och behandla data som Behandlas under detta Biträdesavtal i någon form av aggregerat eller anonymiserat format, d.v.s. data som inte innehåller Personuppgifter.
4 SÄKERHET
4.1 Pagio ska vidta de tekniska och organisatoriska åtgärder som krävs enligt gällande Dataskyddsreglering för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med Behandlingen och för att skydda de Personuppgifter som Behandlas mot oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som Behandlas. Detta inbegripet, när det är lämpligt följande:
- pseudonymisering och kryptering av personuppgifter,
- förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och -tjänsterna,
- förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
- ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet
4.2 Pagio ska bistå Kunden med att se till att skyldigheterna enligt artiklarna 32-36 i GDPR fullgörs, med beaktande av typen av Behandling och den information som Pagio har att tillgå.
5 UTLÄMNANDE AV INFORMATION OCH PERSONUPPGIFTER
5.1 Om det till Pagio kommer in en begäran från Registrerad, Tillsynsmyndighet eller annan tredje man om att få ta del av uppgifter som Pagio Behandlar under detta Biträdesavtal ska Pagio vidarebefordra begäran till Kunden. Pagio, eller den som arbetar under Pagios ledning, får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan instruktion om detta från Kunden.
5.2 Pagio ska hjälpa Kunden i den mån det är möjligt så att Kunden kan fullgöra sin skyldighet att svara på begäran från den Registrerade vid den Registrerades utövande av sina rättigheter enligt gällande Dataskyddsreglering.
6 KONTAKTER MED TILLSYNSMYNDIGHET
6.1 Pagio ska informera Kunden om eventuella kontakter från Tillsynsmyndigheten som rör Behandling av Personuppgifter.
7 UNDERBITRÄDEN
7.1 Pagio ges ett allmänt förhandstillstånd att anlita Underbiträden under förutsättning att Pagio ingår ett skriftligt avtal där Underbiträdet åläggs motsvarande skyldigheter som Pagio åläggs enligt detta Biträdesavtal.
7.2 Pagio ska på begäran från Kunden informera Kunden om vilka Underbiträden som anlitats av Pagio för att Behandla Personuppgifter.
7.3 Pagio åtar sig att informera Kunden om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden. Kunden har rätt att invända mot sådana förändringar på objektiva grunder. Om Kunden gör en sådan befogad invändning har Pagio rätt till extra ersättning av Kunden för de kostnader som Pagio drabbas av p.g.a. aktuellt Underbiträde inte kan användas. Pagio har även rätt att säga upp Tjänsteavtalet och/eller detta Biträdesavtal helt eller delvis, t.ex. vad avser viss tilläggstjänst med trettio (30) dagars uppsägningstid, utan att Kunden har rätt till ersättning eller skadestånd.
8 RÄTT TILL INSYN OCH KONTROLL
Pagio ska ge Kunden tillräckligt med sådan information som krävs för att visa att Pagio uppfyller de krav som framgår av detta Biträdesavtal och av gällande Dataskyddsreglering. Vid behov ska Pagio också bidra till att Kunden kan genomföra granskningar och inspektioner av Behandlingen av personuppgifter som utförs av Pagio. Sådana granskningar ska ske på överenskomna tider och på Kundens bekostnad.
9 ÖVERFÖRING TILL TREDJE LAND
9.1 Överföring av Personuppgifter av Pagio eller av Underbiträde till en plats utanför EES- området får vidtas förutsatt att vid var tid gällande krav för en sådan överföring enligt Dataskyddsreglering uppfylls.
10 SEKRETESS
10.1 Pagio åtar sig att säkerställa att personer med behörighet att Behandla Personuppgifterna som överförts av Kunden har åtagit sig att iaktta sekretess för sådan Behandling eller omfattas av en lämplig lagstadgad tystnadsplikt som på annat sätt skyddar personuppgifterna från att röjas.
10.2 Åtagandet i punkt 10.1 ovan gäller inte information som Pagio föreläggs utge till myndighet eller som annars följer av annan lagstadgad skyldighet.
10.3 Sekretessåtagandet gäller under Tjänsteavtalets giltighetstid och därefter.
11 DATAPORTABILITET
11.1 Pagio ska från och med Tillämpningsdagen tillse att Kunden och/eller Kundens slutkunder (när dessa är personuppgiftsansvariga) kan uppfylla eventuell skyldighet att möjliggöra dataportabilitet avseende Personuppgifter som Pagio Behandlar under detta Biträdesavtal.
12 ERSÄTTNING
12.1 Pagio ska ha rätt till full ersättning från Kunden för samtligt arbete och samtliga kostnader som uppstår till följd av fullgörande av punkterna 8, 11 och 15.1 som beror på instruktioner för Behandlingen som Kunden ger Pagio och som går utöver vad som framgår av bilaga 1 eller de funktioner och den säkerhetsnivå som följer av de tjänster som Pagio normalt erbjuder sina kunder, t.ex. vad gäller Pagios webbhotell och servrar och sådant som kräver att Pagio behöver göra specialanpassningar på beställning av Kunden.
12.2 Pagio ska även ha rätt till ersättning för sitt arbete med anledning av sina åtaganden enligt punkten 5. Samtligt arbete som Pagio har rätt till ersättning för enligt denna punkt ska ersättas i enlighet med Pagios vid var tid gällande timpriser. Utlägg som Pagio kan behöva göra vid fullgörande av detsamma ska ersättas enligt Pagios faktiska kostnader för utläggen.
13 ANSVAR
13.1 Om Pagio, den som arbetar under Pagios ledning eller av Pagio anlitat Underleverantör Behandlar Personuppgifter i strid med detta Biträdesavtal eller de lagenliga anvisningar som Kunden har lämnat, ska Pagio med beaktande av de ansvarsbegränsningar som följer av Tjänsteavtalet, ersätta Kunden för den direkta skada som Kunden har orsakats på grund av den felaktiga Behandlingen.
13.2 Kunden ska hålla Pagio skadelös för samtliga direkta eller indirekta skador som Pagio orsakas genom överträdelse av Dataskyddsreglering som beror på otydliga, bristfälliga eller otillåtna instruktioner som Kunden har gett Pagio, bristfällig information från Kunden om vilka kategorier av uppgifter som Behandlas (t.ex. om känsliga Personuppgifter Behandlas utan att Kunden informerat Pagio om detta) eller annars beroende på omständighet på Kundens sida.
13.3 Pagios ersättningsskyldigheter avseende krav och skador enligt denna punkt 13 gäller under förutsättning att i) Kunden utan onödigt dröjsmål skriftligen underrättar Pagio om krav som framställts mot Kunden; och ii) Kunden låter Pagio kontrollera försvaret av kravet och ensamt fatta beslut om eventuell förlikning.
14 AVTALSTID OCH ÅTGÄRDER VID UPPHÖRANDE
14.1 Biträdesavtalet gäller från dess undertecknande och så länge som Pagio Behandlar Personuppgifter för Kundens eller dennes kunders räkning.
14.2 Pagio ska efter Tjänsteavtalets eller Biträdesavtalets upphörande återlämna eller radera de Personuppgifter som Kunden överlämnat eller som på annat sätt kommit Pagio tillhanda. Pagio ska radera eventuella befintliga kopior såvida inte lagring av Personuppgifterna krävs enligt unionsrätten eller medlemsstats nationella rätt.
15 ÄNDRINGAR I BITRÄDESAVTALET
15.1 Om Dataskyddsreglering ändras under tiden för Biträdesavtalet, eller om Tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsreglering som föranleder att detta Biträdesavtal inte uppfyller de krav som ställs på ett Biträdesavtal och/eller underbiträdesavtal ska detta Biträdesavtal ändras för att tillgodose sådana nya eller tillkommande krav. Sådan ändring träder ikraft senast trettio (30) dagar efter att Kunden översänt ändringsmeddelande till Pagio, eller annars senast inom sådan tidsperiod som anges i Dataskyddsreglering, Tillsynsmyndighets riktlinjer, beslut eller föreskrifter.
15.2 Övriga ändringar av och tillägg till detta Biträdesavtal ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av Parterna.
16 ÖVRIGT
16.1 I övrigt ska vad som sägs i Tjänsteavtalet äga tillämpning även för Pagios Behandling av Personuppgifter och åtagandena under detta Biträdesavtal. Vid oenighet mellan bestämmelserna i Tjänsteavtalet och detta Biträdesavtal ska dock bestämmelserna i Biträdesavtalet äga företräde i förhållande till all Behandling av Personuppgifter. Ingenting i Tjänsteavtalet ska anses begränsa eller ändra åtaganden i detta Biträdesavtal i den mån att detta skulle medföra att någon Part inte uppfyller kraven enligt Dataskyddsreglering.
16.2 Pagios ansvar är alltid begränsat till det belopp som motsvarar Kundens erlagda avgift från att avtalsbrottet skriftligen meddelats Pagio tills dess att bristen åtgärdats eller innevarande avtalsperiod avslutats. Krav som överstiger detta belopp har Kund inte rätt att göra gällande mot Pagio. Denna begränsning gäller även om utförda avhjälpanden inte har uppfyllt sitt syfte.
16.3 Svensk materiell rätt ska gälla för detta Biträdesavtal.
16.4 Tvister som uppstår i anledning av detta Biträdesavtal ska lösas i enlighet med tvistlösningsbestämmelsen i Tjänsteavtalet.
Personuppgiftsbiträdesavtalet uppdaterades senast 2023-09-13