NUITEQ STAGE EU PERSONUPPGIFTBITRÄDESAVTAL (“BITRÄDESAVTAL”)
Versionsdatum: 5 October 2023
har ingåtts mellan
- Den juridiska enhet som är identifierad som kund i det elektroniska beställningsformuläret (“Personuppgiftsansvarig”), och
- Natural User Interference Technologies AB, med organisationsnummer 556731-1344, ett svensk aktiebolag med registrerad adress Laboratorgränd 11 1tr, 931 77 Skellefteå, Sverige (“Personuppgiftsbiträde”);
där Personuppgiftsansvarig och Personuppgiftsbiträde betecknas tillsammans ”Parterna”, enskilt en ”Part”.
BAKGRUND OCH SYFTE
- Detta Biträdesavtal reglerar villkoren för behandling av personuppgifter av Personuppgiftsbiträdet för den Personuppgiftsansvariges räkning under det avtal som Parterna avseende Personuppgiftsbiträdets Tjänster ("Avtalet"), enligt vilket Personuppgiftsbiträdet tillhandahåller sådana Tjänster till Personuppgiftsansvarig.
- Parterna är införstådda med att Personuppgiftsbiträdets uppfyllande av kraven i detta Biträdesavtal är en förutsättning för ett samarbete mellan Parterna.
- Personuppgiftsbiträdet agerar såsom ett Personuppgiftsbiträde och Personuppgiftsansvarig agerar såsom en Personuppgiftsansvarig såsom definierat i Dataskyddslagstiftningen.
- Parterna är införstådda med att detta Biträdesavtal kan vara i behov av uppdatering när GDPR har blivit implementerad eller uttolkad såsom nationell lag eller om tvingande instruktioner är givna av en Tillsynsmyndighet, detta ska i så fall ske gemensamt mellan Parterna. Om någon av Parterna anser det vara nödvändigt att uppdatera detta Biträdesavtal med anledning av förändringar i lagen eller dess tolkning, ska Parterna förhandla i god tro för att tillgodose sådan ändring.
FÖLJANDE ÄR ÖVERENSKOMMET:
1. DEFINITIONER
1.1 Alla begrepp som inte definieras i detta Biträdesavtal eller i Avtalet ska ha samma betydelse som de givits i Dataskyddsslagstiftning från en tid till annan, sådana begrepp ska tolkas i enlighet med den då företrädande tolkningen av begreppets betydelse i rättspraxis avseende Dataskyddsslagstiftning.
1.2 Följande definierade begrepp ska tillämpas till den grad att de inte är i konflikt med begreppen i Dataskyddslagstiftning:
“Avtalet” |
ska betyda det avtal mellan Parterna för tillgängliggörandet av Tjänsterna såsom beskrivet i ingressen punkt A; |
“Behandling” |
ska betyda varje åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring, såsom definierat i Dataskyddslagstiftningen; |
”Dataskyddslagstiftning” |
ska betyda tillämplig dataskyddslagstiftning inklusive Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av Personuppgifter och om det fria flödet av sådana uppgifter och upphävande av direktiv 95/46/EG (Allmänna Dataskyddsförordningen; “GDPR”) och sådan nationell lagstiftning som implementerar GDPR är tillämplig dataskyddslagstiftning; |
“Förluster” |
ska betyda varje krav, förlust, skada, kostnad, böter, vite, företagsbot, avgifter, utgifter eller annat ansvar oavsett natur (oberoende förutsebarheten) inklusive varje direkt eller indirekt förlust eller skada samt eventuella följdförluster; |
“Informationssystem” |
ska betyda alla system som används för att tillgängliggöra sig, förvara eller annars behandla personuppgifter, inklusive tillfälliga filer; |
“Krav” |
ska betyda alla åtgärder, krav, påståenden, begäran eller förfarande; |
“Minimumsäkerhetskrav” |
ska betyda de säkerhetskrav specificerade av Personuppgiftsbiträdet som kan bli uppdaterade eller återupptas från en tid till annan av Personuppgiftsansvarig i enlighet med såväl villkoren i detta Biträdesavtal som Säkerhetskrav. |
“Modellklausuler” |
ska betyda modellavtalsklausulerna som anges i Europeiska kommissionens Genomförandebeslut av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredjeländer enligt förordning (EU) 2016/679, som kan ändras eller ersättas av Europeiska kommissionen från tid till annan; |
“Personuppgifter” |
ska betyda varje upplysning som avser en identifierad eller identifierbar fysisk person såsom definierad enligt Dataskyddslagstiftning till vilken Personuppgiftsbiträdet har tillgång från tid till annan under utförandet av Tjänsterna; |
“Personuppgiftsbiträdets koncernföretag” |
Skall betyda Personuppgiftsbiträdet eller något företag eller organisations för vilket Personuppgiftsbiträdet eller Personuppgiftsbiträdet slutliga moderbolag äger (direkt eller indirekt) någon procentandel av det emitterade aktiekapitalet; |
“Säkerhetskrav” |
ska betyda Personuppgiftsbiträdets säkerhetspolicys under vilka Tjänsterna och överenskomna ändringar; |
“Tillsynsmyndighet” |
ska betyda relevant tillsynsmyndighet med ansvar för skydd eller dataskyddsärenden för Tjänstemottagare; |
“Tjänster” |
ska betyda av Personuppgiftsbiträdet tillhandahållna Tjänster; |
2. PERSONUPPGIFTSANSVARIGES RÄTTIGHETER OCH SKYLDIGHETER
2.1 Personuppgiftsansvarig ska:
- behandla Personuppgifterna i enlighet med Dataskyddslagstiftning och god databehandlingssed;
- ha rätt att ge dokumenterade instruktioner till Personuppgiftsbiträdet avseende Behandlingen av Personuppgifterna, sådana instruktioner ska vara bindande för Personuppgiftsbiträdet;
- alltid och under alla omständigheter bibehålla rättigheterna och ägandet till Personuppgifterna;
- alltid och under alla omständigheter bibehålla samtliga immateriella rättigheter och andra rättigheter, oavsett hur dessa har uppstått, till Personuppgifterna.
2.2 Eventuella kostnader som uppstår som ett resultat av Personuppgiftsbiträdets uppfyllande av Personuppgiftsansvariges instruktioner, som inte omfattas av Avtalet, ska ersättas av Personuppgiftsansvarig.
3. PERSONUPPGIFTSBITRÄDETS SKYLDIGHETER
3.1 Generella principer för behandling av Personuppgifter
3.1.1 Personuppgiftsbiträdet får inte använda Personuppgifterna till andra syften än för de som är specificerade i Avtalet eller detta Biträdesavtal.
3.1.2 Personuppgiftsbiträdet ska:
- behandla Personuppgifter på ett fackmannamässigt sätt med all nödvändig försiktighet, skicklighet och noggrannhet, i enlighet med god praxis och hög professionell standard och i enlighet med tillämpliga lagar och förordningar;
- endast behandla Personuppgifterna enligt skriftliga instruktioner från den Personuppgiftsansvarige, såvida inte denna behandling krävs enligt tillämpliga lagar eller förordningar. I sådant fall ska Personuppgiftsbiträdet omedelbart informera Personuppgiftsansvarig om sådant krav enligt tillämpliga lagar och förordningar innan behandling av Personuppgifter, under förutsättning att tillämpliga lagar och förordningar tillåter sådan underrättelse;
- assistera den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder så att den Personuppgiftsansvariges kan fullgöra sin skyldighet att svara på begäran om utövande av den Registrerades rättigheter;
- assistera den Personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32–36 fullgörs, med beaktande av typen av behandling och den information som den Personuppgiftsansvarige har att tillgå;
- tillhandahålla den Personuppgiftsansvarige med tillgång till all information som krävs för att visa de skyldigheter som fastställs i denna punkt 3.1.2 och bidra till granskningar, inbegripet inspektioner, som genomförs av den Personuppgiftsansvarige eller av annan revisor som har bemyndigats av den Personuppgiftsansvarige. Med avseende på punkt (b) ska Personuppgiftsbiträdet omedelbart informera den Personuppgiftsansvarige, om denne anser, att en instruktion strider mot Dataskyddslagstiftningen; och
- endast behandla Personuppgifter under giltighetstiden av detta Biträdesavtal.
3.1.3 Detta Biträdesavtal ska inte förhindra Personuppgiftsbiträdet från att behandla Personuppgifter enligt lag, förordning eller efter beslut från Tillsynsmyndighet (i sådant fall ska Personuppgiftsbiträdet, under förutsättning att detta inte är förbjudet enligt lag, informera Personuppgiftsansvarig i förväg).
3.1.4 Personuppgiftsbiträdet äger inga rätt till Personuppgifter som Behandlas. Personuppgiftsansvarig ska vara ensamt ansvarig för noggrannheten, kvaliteten, integriteten, lagenligheten, tillförlitligheten, lämpligheten och de immateriella rättigheterna och rätten att använda alla Personuppgifter. Personuppgiftsbiträdet ska inte vara ansvarig för varken radering, rättning, förstörelse, skada, förlust eller underlåtenhet att lagra några Personuppgifter, om det inte är reglerat i detta Biträdesavtal eller i Avtalet och annan tillämplig bestämmelse.
3.2 Instruktioner från Personuppgiftsansvarig
3.2.1 För att säkerställa att Personuppgiftsansvariges instruktioner avseende Personuppgifter kan utföras och följas i enlighet med detta Biträdesavtal, ska Personuppgiftsbiträdet tillse att lämpliga processer samt eventuella tillhörande tekniska åtgärder är implementerade, inklusive följande:
- att förfrågningar från Registrerade till Personuppgiftsansvarig, eller andra eventuella utövningar av integritetsrättigheter, avseende dess Personuppgifter från en tid till annan kan genomföras;
- att tillhandahålla lämpliga gränssnitt eller support för andra processer för Personuppgiftsansvarig för att säkerställa att information tillhandahålls till de Registrerade i enlighet med Dataskyddsslagstiftning;
- att uppdatera, ändra eller rätta Personuppgifter avseende registrerad på begäran av Personuppgiftsansvarig från en tid till annan;
- att annullera eller blockera tillgång till Personuppgifter vid mottagande av instruktioner från Personuppgiftsansvarig; och
- flaggning av Personuppgiftsfiler eller konton för att möjliggöra för Personuppgiftsansvarig att tillämpa särskilda regler för registrerades Personuppgifter, till exempelvis förhindrande av marknadsföring.
3.3 Konsekvensbedömningar
3.3.1 Vid begäran av Personuppgiftsansvarig, ska Personuppgiftsbiträdet tillgängliggöra all nödvändig information för att påvisa att denne följer Dataskyddslagstiftning och ska assistera Personuppgiftsansvarig att genomföra konsekvensbedömning av Tjänsterna samt arbeta tillsammans med Personuppgiftsansvarig för att implementera överenskomna lindringsåtgärder för identifierade integritetsrisker. Mer information om konsekvensbedömningarna som gjorts för överföringar kan efterfrågas via privacy[at]nuiteq.com.
3.4 Datasäkerhet
3.4.1 Med hänsyn till den senaste utvecklingen, kostnaderna för genomförandet och med beaktande av en Behandlings art, omfattning, sammanhang och ändamål, såväl riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska den Personuppgiftsansvarige och Personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt:
- pseudonymisering eller kryptering av Personuppgifter, om så krävs enligt Avrop;
- förmågan att fortlöpande säkerställa sekretess, integritet, tillgänglighet och motståndskraft hos Informationssystemen och Tjänsterna som behandlar av Personuppgifterna;
- förmågan att återställa tillgängligheten och tillgången till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident; och
- ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
3.4.2 Personuppgiftsbiträdet ska se till att varje person som utför arbete under Personuppgiftsbiträdets överinseende, och som har tillgång till Personuppgifter, endast ska behandla dessa på instruktioner från den Personuppgiftsansvarige eller enligt Dataskyddslagstiftning.
3.4.3 Personuppgiftsbiträdet ska dokumentera varje tagen åtgärd för att säkerställa uppfyllande av kraven som ställs under denna punkt 3.4, och ska säkerställa att sådana åtgärder har genomförts innan påbörjandet av Personuppgifternas behandling, och på begäran lämna dokumentation till Personuppgiftsansvarig för granskning.
3.5 Katastrofhantering (Business Continuity / Disaster Recovery)
3.5.1 Katastrof ska i detta Biträdesavtal betyda ett oförutsett avbrott eller störning i Tjänsten hos tjänstemottagarna som kan hänföras till ett kritiskt fel eller fel i Tjänsterna eller en otillgänglighet av eller ett avbrott i Tjänsterna (oavsett om det är orsakat av ett naturligt fenomen eller förekomst eller av en person och oavsett om det påverkar Personuppgiftsansvarig eller Personuppgiftsbiträdet eller båda) som kräver genomförandet av katastrofplan och som erkänns vara en Katastrof av Parterna enligt katastrofplan, inbegripet men inte begränsat till a) allvarlig fysisk skada eller förstörelse av materiell egendom, (b) eventuell pandemi, (c) datorvirus eller annan skadlig kod; d) avbrott eller annan störning av telekommunikation; e) denial-of-service-attacker; eller (f) förlust eller annan störning av el eller andra allmännyttigheter.
3.6 Förteckning över Behandling
3.6.1 Personuppgiftsbiträdet ska upprätthålla en förteckning i elektronisk form över alla Personuppgifter som har Behandlats under detta Biträdesavtal och under Avtalet för Personuppgiftsansvariges räkning (”Förteckning”), innehållande:
- Namn och kontaktuppgifter för Personuppgiftsbiträdet samt dennes Dataskyddsombud;
- En beskrivning av kategorierna av Behandlingar gjorda för Personuppgiftsansvariges räkning;
- Information om eventuella överföringar av Personuppgifter till länder utanför EU/EES gjorda i enlighet med avsnitt 5 och dokumentation av lämpliga säkerhetsåtgärder som har vidtagits;
- En beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som har vidtagits och som avses i punkt 3.4.1;
- En lista över alla underleverantörer som använts för behandling av Personuppgifter; och
- En rapport över granskningar utförda av Personuppgiftsbiträdet eller tredje part, innehållande åtminstone information om utförandet av detta Biträdesavtal och krav från relevanta Tillsynsmyndigheter och Registrerade samt åtgärder tagna baserade på dessa krav.
3.7 Rapportering och krav på underrättelse
3.7.1 Personuppgiftsbiträdet ska tillhandahålla Förteckningen till Personuppgiftsansvarig utan onödigt dröjsmål men inte senare än sju (7) arbetsdagar från Personuppgiftsansvariges begäran.
3.7.2 Om de Registrerade eller Tillsynsmyndigheten gör en begäran om Personuppgifter, inbegripet en begäran om blockering, borttagning, ändring av Personuppgifter, tillhandahållande av någon information eller genomförande av andra åtgärder, ska Personuppgiftsbiträdet, utan onödigt dröjsmål , informera Personuppgiftsansvarige om alla sådana önskemål innan något svar eller annan åtgärd rörande Personuppgifter eller efteråt så snart som rimligt möjligt om någon lag eller förordning föreskriver ett omedelbart svar. Personuppgiftsbiträdet får endast korrigera, radera, ändra eller blockera de Personuppgifter som behandlas för Personuppgiftsansvariges räkning när de uppmanas att göra det av Personuppgiftsansvarige eller om det krävs enligt lag eller föreskrift. Sådana anvisningar ska vara tydliga och lämnas till den Personuppgiftsansvarige utan onödigt dröjsmål på begäran.
3.7.3 Personuppgiftsbiträdet ska underrätta den Personuppgiftsansvarige om alla eventuella ändringar i de aktiviteter som skulle kunna påverka dataskyddet och/eller säkerheten av den Personuppgiftsansvariges Personuppgifter.
3.8 Underrättelse om Personuppgiftsincident
3.8.1 Vid en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till Personuppgifter som överförts, lagrats eller på annat sätt behandlats (”Personuppgiftsincident”), ska Personuppgiftsbiträdet utan onödigt dröjsmål men inte senare än tjugofyra (24) timmar efter att ha fått vetskap om den, underrätta Personuppgiftsansvarige skriftligen och dessutom på annat lämpligt och snabbt sätt (exempelvis via telefon).
3.8.2 Underrättelsen om Personuppgiftsincidenten ska åtminstone innehålla följande:
- En beskrivning av Personuppgiftsincidentens art, inbegripet, de kategorier och det ungefärliga antalet Registrerade som berörs samt de kategorier av och det ungefärliga antalet Personuppgiftsposter berörda;
- Namnet och kontaktuppgifterna till Personuppgiftsbiträdets ansvariga person avseende skydd för Personuppgifter;
- En beskrivning av de sannolika konsekvenserna och/eller realiserade konsekvenser av Personuppgiftsincidenten; och
- En beskrivning av de åtgärder som vidtagits för att åtgärda Personuppgiftsincidenten, och åtgärder tagna för att mildra dess potentiella negativa effekter.
3.8.3 Om, och i den utsträckning, det inte är möjligt att tillhandahålla informationen som framgår av punkt 3.8.2 samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
3.8.4 Personuppgiftsbiträdet ska dokumentera alla Personuppgiftsincidenter och ska ha en förteckning över dessa tillgängligt för den Personuppgiftsansvarige på begäran.
3.8.5 Personuppgiftsbiträdet ska vidta alla nödvändiga åtgärder för att skydda Personuppgifterna efter att ha blivit medveten om Personuppgiftsincidenten. Efter att ha underrättat Personuppgiftsansvarig i enlighet med punkt 3.8.1 ovan ska Personuppgiftsbiträdet, i samråd med den Personuppgiftsansvarige, vidta lämpliga åtgärder för att skydda Personuppgifterna och begränsa eventuella skadliga effekter för de Registrerade. Personuppgiftsbiträdet kommer att samarbeta med den Personuppgiftsansvarige och med tredje part som utsetts av den Personuppgiftsansvarige, för att hantera Personuppgiftsincidenten. Syftet med Personuppgiftsincidentens åtgärder är att återställa sekretess, integriteten och tillgängligheten av Tjänsterna, att fastställa grundorsaker och hjälpåtgärder samt bevara bevis och för att mildra eventuella skador som de Registrerade eller den Personuppgiftsansvarige har råkat ut för.
3.9 Radering och Återlämnande av Personuppgifter
3.9.1 Personuppgiftsbiträdet ska radera alla Personuppgifter från Tjänsterna i enlighet med gällande lagringspolicys för Tjänsterna och vid andra tillfällen som kan krävas från en tid till annan av Personuppgiftsansvarig.
3.9.2 Vid uppsägande eller upphörande av någon av de relevanta Tjänsterna ska, i fråga om sådana Tjänster, alla kvarstående Personuppgifter, när Personuppgiftsansvarige så väljer, bli förstörda eller returnerade till Personuppgiftsansvarig, tillsammans med alla medier eller dokument innehållande Personuppgifter.
3.9.3 Vid uppsägande eller upphörande av Avtalet ska alla kvarstående Personuppgifter och när Personuppgiftsansvarige så väljer, bli förstörda eller returnerade till Personuppgiftsansvarig, tillsammans med alla medier eller dokument innehållande Personuppgifter.
4 LAGRING AV PERSONUPPGIFTER
4.1 Personuppgiftsbiträdet ska underrätta Personuppgiftsansvarig skriftligen om var Personuppgifterna finns lagrade, tillgängliga eller var de annars behandlas för Personuppgiftsansvariges räkning samt, om aktuellt, identiteten av Personuppgiftsbiträdets underleverantörer om dessa deltar i sådan behandlingen.
5 ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND
5.1 Personuppgiftsbiträdet ska inte överföra några Personuppgifter till någon tredje part eller land utanför Europeiska unionen eller Europeiska Ekonomiska Samarbetsområdet, (EU/EES), med undantag för överföringar gjorda i enlighet med Personuppgiftsansvariges tidigare skriftliga instruktioner samt de uttryckliga villkoren i detta Biträdesavtal och Avtalet. Överföringar skall först göras efter att en konsekvensbedömning för aktuell överföring är gjord.
5.2 Om den Personuppgiftsansvarige begär eller samtycker till överföring av Personuppgifter utanför gränserna för Europeiska unionen och Europeiska Ekonomiska Samarbetsområdet och enligt vad som krävs enligt Dataskyddslagstiftning eller såsom begärs av den Personuppgiftsansvarige ska Personuppgiftsbiträdet ingå Standardavtalsklausulerna.
6 ANVÄNDNING AV UNDERLEVERANTÖRER
6.1 Personuppgiftsbiträdet ska endast använda sig av de underleverantörer (”Underleverantörer”) som förtecknas på https://www.nuiteq.com/privacy
6.2 Personuppgiftsbiträdet ska inte lägga till Underleverantörer om inte:
- Personuppgiftsbiträdet har underrättat Personuppgiftsansvarig via epost;
- Personuppgiftsbiträdet har tillhandahållit Personuppgiftsansvarig detaljer (inbegripet kategorier) om behandlingarna som ska utföras av Underleverantörerna i förhållande till Tjänsterna; och annan information som kan efterfrågas av Personuppgiftsansvarig för att den Personuppgiftsansvarige ska kunna följande Dataskyddsslagstiftning eller för att den Personuppgiftsansvarige ska kunna anmäla till relevant Tillsynsmyndighet;
- Personuppgiftsbiträdet har infört juridiskt bindande villkor som ställer minst samma krav som anges i detta Biträdesavtal och Avtalet avseende Underleverantörer;
- Den Personuppgiftsansvarige inte har invänt mot Underleverantörerna eller outsourcing inom tio (10) arbetsdagar från mottagandet av Personuppgiftbiträdets skriftliga underrättelse som anges i punkt 6.2 (a) tillsammans med den information som anges i punkt 6.12 (b); och
- Personuppgiftsbiträdet har ingått Standardavtalsklausulerna med Underleverantören, där omfattningen av Underleverantörens arbete innebär att Personuppgiftsansvariges Personuppgifter kommer behandlas eller lagras på något sätt i tredje land.
6.3 Personuppgiftsbiträdet är skyldig att regelbundet övervaka Underleverantörernas prestationer och är helt ansvarig för sina Underleverantörers arbete. Underleverantörernas underlåtenhet, avsiktliga försummelse eller grova oaktsamhet ska anses vara
6.4 Personuppgiftbiträdets underlåtenhet, avsiktliga försummelse eller grova oaktsamhet. På begäran ska Personuppgiftsbiträdet tillhandahålla den Personuppgiftsansvarige med information om avtalets innehåll rörande införandet av skyldigheter gällande dataskydd och säkerhet inom ramen för underleverantörsavtalet.
7 GRANSKNING
7.1 Personuppgiftsbiträdet ska tillåta, och ska säkerställa att eventuella Underbiträden tillåter den Personuppgiftsansvarige, sina kunder (inbegripet den Personuppgiftsansvariges samt kundernas respektive underleverantörer, revisorer eller andra agenter) (vardera ”Granskande Part”), att få tillgång till sina lokaler, datorer och andra informationssystem, register, dokument och avtal som är rimligen begärda av den Granskande Parten för att säkerställa att Personuppgiftsbiträdet och/eller sina Underbiträden uppfyller sina skyldigheter under detta Biträdesavtal (eller andra följande underbiträdesavtal) eller någon Dataskyddslagstiftning. Eventuell granskning i enlighet med detta Avsnitt 7.1 ska inte kräva granskning av tredjepartsuppgifter som inte är relevanta för detta Avtal och att sådan granskningsenhet ska ingå sådana sekretessförpliktelser med Personuppgiftsbiträdet eller det relevanta Underbiträdet som är rimliga och nödvändiga för att respektera sekretessen av Personuppgiftsbiträdets eller Underbiträdets affärsintressen, tredjepartsuppgifter samt information som granskningsenheten möjligen kan bli medveten om vid granskningen. Den Granskande Parten ska bära sina egna kostnader som uppstår i samband med sådan granskning, bortsett från om granskningen skulle påvisa att Personuppgiftsbiträdet eller Underbiträdet inte har uppfyllt sina förpliktelser under Dataskyddslagstiftning eller detta Biträdesavtal eller annat följande Underbiträdesavtal, i sådant fall ska kostnaderna bäras av Personuppgiftsbiträdet.
7.2 Personuppgiftsbiträdet ska tillåta, och ska säkerställa att eventuella Underbiträden tillåter, på egen kostnad, Tillsynsmyndigheterna att utföra en granskning av dataskyddet med hänsyn till Behandlingarna som utförs av Personuppgiftsbiträdet eller Underbiträden i enlighet med Dataskyddslagstiftning.
8 GARANTIER OCH SKADEERSÄTTNING
8.1 Personuppgiftsbiträdet garanterat att denne ska behandla Personuppgifterna i enlighet med villkoren av detta Biträdesavtal, Dataskyddslagstiftning och andra tillämpliga och gällande skriftliga instruktioner, regler eller policys utfärdade av Personuppgiftsansvarig avseende behandlingar av Personuppgifter under detta Biträdesavtal, utom för vad som uttryckligen har överenskommits under Avsnitt 8.4 nedan.
8.2 Krav från de Registrerade. Om en Registrerad framför ett krav gentemot Personuppgiftsansvarige med anledning av att Personuppgiftsbiträdet har brutit mot nämnd garanti, ska Personuppgiftsbiträdet (i) på egen kostnad ge den Personuppgiftsansvarige all information och assistans tillgänglig som krävs för att svara på ett sådant krav; och (ii) Personuppgiftsbiträdet ska ersätta och hålla Personuppgiftsansvarig skadeslös mot alla skador som uppstår i en rättegång eller potentiell förlikning, överenskomna belopp som ska betalas till Registrerade såväl som alla kostnader, inbegripet men utan begränsning till advokatkostnader, som uppkommit på grund av Personuppgiftsansvarig under förutsättning att (a) Personuppgiftsbiträdet har ensamt kontroll över rättegångar, skiljeförfaranden och/eller överenskommelser, och (b) att Personuppgiftsbiträdet omgående, utan onödigt dröjsmål, informeras av Personuppgiftsansvarig om ett sådant krav, och (c) att Personuppgiftsansvarig, på egen kostnad, tillgodoser Personuppgiftsbiträdet med all nödvändig information som begärs.
8.3 Vite eller böter utfärdade av Tillsynsmyndigheten. Parterna är överens om att den generella principen för uppdelning av ansvar mellan Parterna med hänsyn till böter utfärdade av relevant Tillsynsmyndighet baseras på att respektive Part ska uppfylla sina krav enligt Dataskyddslagstiftning, och att eventuella böter utfärdade av Tillsynsmyndigheter slutligen ska betalas av Parten som har misslyckats i sitt utförande av sina legala skyldigheter under Dataskyddslagstiftning. Om ett krav eller förfarande som kan resultera i böter, ska båda Parter tillsammans hantera förfarandet, lojalt och i god anda, tills det att det kan fastställas vem av Parterna som är ansvarig för brottet mot Dataskyddslagstiftning, efter vilket den Parten ska ta över förfarandet. Den icke-felande Parten ska tillgodose och stötta den andra Parten som hanterar förfarandet lojalt och i god anda. För undvikande av tvivel, Personuppgiftsbiträdet ansvar ska begränsas till överträdelser där Personuppgiftsbiträdet är ensamt ansvarig eller där Personuppgiftsbiträdet har bortsett från eller avvikit från Personuppgiftsansvariges tydliga och skriftliga instruktioner.
8.4 I enlighet med principerna som anges i punkt 8.3 ovan, är Personuppgiftsansvarig ansvarig för respektive uppfyllelse med deras egna förpliktelser som anges i Dataskyddslagstiftning. Personuppgiftsbiträdet ska granska kraven och instruktionerna utfärdade av Personuppgiftsansvarig avseende de olika behandlingarna utfärdade av Personuppgiftsbiträdet under detta Biträdesavtal för deras räkning, och skriftligen i förhand underrätta Personuppgiftsansvarig om det är tydligt att sådana instruktioner och implementationen därav strider mot Dataskyddslagstiftning tillämplig på Personuppgiftsbiträdet. Personuppgiftsbiträdet ska, till rimlig utsträckning, i sin skriftliga underrättelse instruera Personuppgiftsansvarig hur instruktionerna och kraven bör ändras för att undvika att Personuppgiftsbiträdet strider mot GDPR eller annan Dataskyddslagstiftning vid utövandet av instruktionerna och kraven. Om Personuppgiftsansvarig i sitt skriftliga svar fortsatt kräver att Personuppgiftsbiträdet ska följa sådana krav och instruktioner trots de därmed sammanhängande riskerna, ska Personuppgiftsansvarig på egen kostnad ersätta och hålla Personuppgiftsbiträdet skadelöst mot eventuella böter utfärdade av relevant Tillsynsmyndighet.
9 MEDDELANDEN
9.1 Meddelanden om eventuell tvist, anspråk eller kontrovers som härrör från eller relaterar till denna Biträdesavtal och dess bilagor, eller överträdelse, uppsägning eller giltighet därav, ska anses vara tillräckliga om gjorda skriftligen och levererade med rekommenderat brev, med bud, via e-post eller per fax till mottagaren på adressen nedan angiven eller på annan adress som den mottagande Parten har lämnat skriftligt. Vardera Part har rätt att ändra sina kontaktpersoner genom att skriftligen underrätta den andra Parten om detta.
10 GILTIGHETSTID OCH UPPSÄGNING
10.1 Detta Biträdesavtal träder ikraft när det är vederbörligen undertecknat av båda Parter och ska fortsätta vara giltigt tills det upphör i enlighet med Avsnitt 10.2 eller 10.3 nedan.
10.2 Detta Biträdesavtal ska automatiskt upphöra när Avtalet upphör eller löper ut, förutsatt att inga separata Avrop för behandling av Personuppgifter fortfarande är giltiga. Om sådana Avrop har upprättats, ska detta Biträdesavtal automatiskt upphöra när Avtalet och alla sådana separata Avrop upphör eller löper ut.
10.3 Om Personuppgiftsbiträdet väsentligt bryter mot denna Biträdesavtal och misslyckas med att avhjälpa överträdelsen, om en sådan överträdelse är avhjälpbar, ska Personuppgiftsansvarig ha rätt att säga upp, inom trettio (30) dagar från Personuppgiftsansvariges anmälan om överträdelsen till Personuppgiftsbiträdet eller trettio (30) dagar från det datum då Personuppgiftsbiträdet borde ha märkt överträdelsen, med omedelbar verkan, alla Tjänster och andra avtal som överträdelsen påverkar eller relaterar till. Detsamma gäller om en av Personuppgiftsbiträdets Underleverantörer väsentligt bryter mot denna Biträdesavtal eller motsvarande avtal mellan Personuppgiftsbiträdet och Personuppgiftsbiträdets Underleverantör.
10.4 Uppsägelse eller upphörande av detta Biträdesavtal ska inte resultera i att Personuppgiftsbiträdet är fri från sina sekretessförpliktelser eller andra skyldigheter enligt Avtalet och det Personuppgiftsbiträdet synnerligen samtycker till, även efter upphörandet eller uppsägelsen av detta Biträdesavtal, för att fullgöra någon eller alla sina legala förpliktelser i egenskap av Personuppgiftsbiträde och för att bistå Personuppgiftsansvarig i sitt fullgörande av sina legala förpliktelser enligt Dataskyddslagstiftning.
11 ÖVRIGT
11.1 Bilagor till detta Biträdesavtal ska anses vara en integrerad del av detta Biträdesavtal.
11.2 Detta Biträdesavtal är personligt för Personuppgiftsbiträdet och Personuppgiftsbiträdet får under inga omständigheter överlåta, genomföra partsbyte eller på annat sätt överföra någon av sina rättigheter eller skyldigheter enligt detta Biträdesavtal utan ett skriftligt samtyckte från Personuppgiftsansvarig.
11.3 Detta Biträdesavtal, inklusive bifogade Bilagor och eventuellt medföljande och korrekt utförda Behandlingsbilagor som Parterna har kommit överens om, utgör hela avtalet mellan Parterna avseende ämnet och ersätter alla tidigare avtal, överenskommelser, förhandlingar och diskussioner mellan Parterna. Till undvikande av tvivel, villkoren i Avtalet är inte införlivade i detta Biträdesavtal.
12 TILLÄMPLIG LAG OCH TVISTELÖSNING
12.1 Det lands lag där den Personuppgiftsansvarige är etablerad ska tillämpas på detta Biträdesavtal.
12.2 Tvister som uppstår i anledning av detta avtal ska slutligt avgöras genom skiljedom enligt Skiljedomsregler för Stockholms Handelskammares Skiljedomsinstitut. Skiljenämnden ska bestå av tre skiljedomare. Skiljeförfarandets säte ska vara Stockholm, Sverige. Språket för förfarandet ska vara Svenska.