Bakgrund

Personuppgiftsansvarige nyttjar, enligt separat avtal, en tjänst (nedan ”tjänsten”) av Personuppgiftsbiträdet, i vilken personuppgifter behandlas. Personuppgiftsbiträdet garanterar att denne besitter nödvändig teknisk och organisatorisk kapacitet och förmåga att för Personuppgiftsansvarige behandla personuppgifter vid utförandet av tjänsten enligt gällande dataskyddsregler, och i enlighet med föreskrifterna i detta avtal.

Definitioner

  1. Behandling, avser en åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
  2. Gällande dataskyddsregler, avser Dataskyddsförordningen (GDPR) jämte därtill för var tid gällande dataskyddsreglering tillämplig i Sverige.
  3. Personuppgifter, avser varje upplysning som avser en identifierad eller identifierbar fysisk person (härefter ”Registrerad”), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
  4. Personuppgiftsincident, avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
  5. Tredje land, avser land utanför EES.
  6. Underbiträde, avser personuppgiftsbiträde som anlitas av Personuppgiftsbiträdet för behandling av Personuppgift.

Behandling av personuppgifter

  1. Personuppgiftsbiträdet äger ej rätt att behandla Personuppgifter på annat sätt än
    1. vad som föreskrivs i detta avtal jämte dess ev. bilagor
    2. enligt gällande dataskyddsregler
    3. enligt skriftlig instruktion från Personuppgiftsansvarige
  2. Personuppgiftsbiträdet ska utan dröjsmål, senast 30 dagar från Personuppgiftsansvariges begäran;
    1. ge denne tillgång till Personuppgifter som Personuppgiftsbiträdet har i sin besittning
    2. genomföra begärda ändringar, begränsningar, eller överföringar av Personuppgifter
    3. radera Personuppgift, såvida sådan radering inte står i strid med gällande dataskyddsregler eller för Personuppgiftsbiträdet annan tvingande lagstiftning eller föreskrift.
  3. För det fall Personuppgiftsansvarige har begärt radering av Personuppgifter, och radering därefter sker, skall Personuppgiftsbiträdet tillse att den raderade Personuppgiften inte kan återskapas.
  4. Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran styrka att de förpliktelser som Personuppgiftsbiträdet har åtagit sig enligt detta avtal eller vad som följer av gällande dataskyddsregler efterföljs. Personuppgiftsbiträdet ska härvid utan dröjsmål, senast inom 30 dagar från begäran, tillhandahålla Personuppgiftsansvarige relevant dokumentation som styrker uppfyllelse av dessa åtaganden. Personuppgiftsbiträdet skall i motsvarande mån tillförsäkra Personuppgiftsansvarige dessa uppgifter från eventuella underbiträden.
  5. Personuppgiftsbiträdet är skyldig att upprätthålla register över den behandling av Personuppgifter som sker på Personuppgiftsansvariges räkning. Vid begäran ska utdrag från detta register överlämnas till Personuppgiftsansvarige, eller till behörig tillsynsmyndighet. Registret skall vara i läsbart format och innehålla:
    1. Namn och kontaktuppgifter för Personuppgiftsansvarige och för Personuppgiftsbiträdet samt – om så finnes – dennes dataskyddsombud.
    2. Namn och kontaktuppgifter på eventuella underbiträden till Personuppgiftsbiträdet.
    3. De kategorier av behandling av Personuppgifter som utförs för Personuppgiftsansvariges räkning.
    4. Om överföring av Personuppgifter skett till Tredje land – uppgift om vilket/vilka länder, samt vilka skyddsåtgärder som vidtagits härför.
    5. En teknisk och organisatorisk beskrivning av de säkerhetsåtgärder Personuppgiftsbiträdet vidtagit i syfte att hindra obehörig behandling av Personuppgifter.

Personuppgiftsansvariges ansvar

  1. Personuppgiftsansvarige ansvarar för att behandlingen av Personuppgifter är laglig och har stöd i gällande dataskyddsregler.
  2. Personuppgiftsansvarige skall endast ge tillträde till Personuppgifter för Personuppgiftsbiträdet som är nödvändiga för utförandet av tjänsten.
  3. Personuppgiftsansvarige ansvarar för att de instruktioner som lämnats till Personuppgiftsbiträdet avseende behandling av Personuppgifter vid var tid är korrekta och fullständiga.

Säkerhet och tillsyn

  1. Personuppgiftsbiträdet skall verka för att begränsa tillgången till Personuppgifterna vid behandling av dessa för utförandet av tjänsten. Personuppgifterna ska behandlas med sekretess. Det åligger Personuppgiftsbiträdet att tillse att personer som skall behandla Personuppgifterna har ingått särskild sekretessförbindelse eller på annat sätt upplysts om gällande dataskyddsregler vid behandling av Personuppgifter.
  2. Personuppgiftsbiträdet skall genom lämpliga och erforderliga åtgärder tillse att Personuppgifterna skyddas mot behandling som står i strid med föreskrifterna i detta avtal eller i gällande dataskyddsregler.
  3. Personuppgiftsbiträdet ska meddela Personuppgiftsansvarige om denne kontaktats av tillsynsmyndighet, Registrerad, eller annan tredje part i syfte att få tillgång till Personuppgifter. Det åligger Personuppgiftsbiträdet att utan oskäligt dröjsmål bistå Personuppgiftsansvarige med framtagande av den information som efterfrågats.
  4. Personuppgiftsbiträdet ska utan oskäligt dröjsmål, senast inom 24 timmar, från att det kommit Personuppgiftsbiträdet till kännedom, underrätta Personuppgiftsansvarige om förekomsten eller risken för en Personuppgiftsincident. En sådan underrättelse ska innehålla all nödvändig och tillgänglig information som Personuppgiftsansvarige behöver föra att kunna vidta motåtgärder samt för att kunna uppfylla sina skyldigheter gentemot Datainspektionen eller annan behörig tillsynsmyndighet.

Underbiträden

  1. Personuppgiftsbiträdet får inte utan Personuppgiftsansvariges förtida skriftliga samtycke anlita Underbiträde för behandling av Personuppgifter enligt detta avtal. Förteckning över Underbiträden framgår av bilaga till detta avtal.
  2. Personuppgiftsbiträdet ansvarar för att anlitade Underbiträden uppfyller alla tillämpliga föreskrifter i detta avtal jämte gällande dataskyddsregler vid behandling av Personuppgifter.

Överföring till tredje land

  1. För det fall Personuppgiftsbiträdet avser behandla Personuppgifter eller anlita Underbiträde i Tredje land, och sådant land av EU-kommissionen inte anses uppfylla en adekvat skyddsnivå i förhållande till gällande dataskyddsregler, ska parterna ingå särskilt tilläggsavtal avseende detta.

Ansvarsbegränsning

  1. Personuppgiftsbiträdet skall hållas skadelös gentemot tillsynsmyndigheter, Registrerad, eller annan tredje part vad gäller ersättningsanspråk, viten, eller andra påföljder som riktats mot Personuppgiftsansvarige eller Personuppgiftsbiträdet i anledning av Personuppgiftsbiträdets behandling av Personuppgifter för Personuppgiftsansvariges räkning. Ansvarsbegränsningen gäller dock inte för ersättningsanspråk som grundas på Personuppgiftsbiträdets behandling av Personuppgifter i strid mot Personuppgiftsansvariges instruktioner eller av gällande dataskyddsregler.

Kontaktuppgifter

  1. Meddelanden enligt detta avtal ska ske skriftligen. Kontaktuppgifter framgår av gällande avtal avseende tjänst mellan parterna.

Avtalstid och ändrade avtalsvillkor

  1. Avtalstiden följer av parternas avtal avseende tjänst. Överenskommelser mellan parterna om tillägg eller justeringar i detta avtal ska ske skriftligen.
  2. För det fall Personuppgiftsbiträdet avser göra tekniska eller organisatoriska förändringar som kan påverka skyddet av Personuppgifterna skall Personuppgiftsansvarige meddelas. Ändringar av väsentlig art får inte utföras utan Personuppgiftsansvariges förtida skriftliga samtycke.
  3. Personuppgiftsbiträdet ska vid avtalets upphörande, eller på instruktion från Personuppgiftsansvarige, radera eller återlämna Personuppgifter som denne har i sin besittning, såvida detta inte är oförenligt med gällande dataskyddsregler eller för Personuppgiftsbiträdet annan tvingande lagstiftning eller föreskrift.

Tvistlösning

  1. Tvist i anledning av detta avtal ska avgöras i allmän domstol, i enlighet med svensk lag, med Stockholms tingsrätt som första instans.

Bilaga till Personuppgiftsbiträdesavtal

Parterna har i anslutning till tecknande av Personuppgiftsbiträdesavtal överenskommit vad som i denna bilaga föreskrivits om behandling av Personuppgifter.

  1. Ändamål med behandlingen

Personuppgiftsansvarige nyttjar tjänsten styrelseportal och hemsida av Personuppgiftsbiträdet. Personuppgiftsbiträdet äger endast rätt att behandla Personuppgifter för Personuppgiftsansvarige vid genomförande av ovannämnd tjänst, såvida annat inte följer av gällande dataskyddsregler eller annan för Personuppgiftsbiträdet tvingande lagstiftning.

  1. Typ av behandling

Personuppgiftsbiträdet kommer vid utförande av tjänsten att behandla Personuppgifter enligt följande;

Läsa, lagra, exportera, ändra och radera.

  1. Typ av personuppgifter

Vid utförande av tjänsten kommer Personuppgiftsbiträdet att behandla följande typ av personuppgifter:

Namn, adress, mailadresser, telefon, medlemsdatum, förrådsnummer, hyra/avgift, inflyttningsdatum, bostadsyta, antal rum, lantmäteriets lägenhetsnummer, lägenhetsnummer, köpeskilling, upplåtelseform, inre fond, ägarandel, arvode, IP-adress och personnummer.

  1. Kategorier av personuppgifter

Kommer s.k. känsliga personuppgifter att behandlas av Reduca? Nej.

  1. Geografisk placering

Personuppgifterna kommer att lagras på servrar i Sverige och genom underbiträden inom EU.

  1. Tidsbegränsning av behandling

Behandling av Personuppgifter för Personuppgiftsansvariges räkning är tidsbegränsat till att gälla så länge avtal avseende tjänst är gällande mellan parterna, och därefter endast om, och under så lång tid som, Personuppgiftsbiträdet är skyldig enligt tvingande lag eller gällande dataskyddsregler att fortsatt behandla Personuppgifter.

  1. Underbiträden

Personuppgiftsbiträdet kommer att nyttja följande underbiträden vid behandling av Personuppgifter:

Underbiträde

Tjänst

Land

Kontakt

Amazon

Server

Sverige

www.aws.amazon.com

Scrive

E-Sign

Inom EU

info@scrive.com

Cellsynt

SMS tjänst

Inom EU

support@cellsynt.se

Fortnox

Fakturering

Inom EU

https://www.fortnox.se/kontakt

Loopia

Domän/Webb/Mail

Inom EU

support@loopia.se

Whereby

Videomöten

Inom EU

support@whereby.com

Zoho

Redigering dokument

Inom EU

support@eu.zohoofficeapi.com

Hetzner

Backup

Finland

support@hetzner.com