Bilaga 3 Personuppgiftsbiträdesavtal Detta personuppgiftsbiträdesavtal ( Biträdesavtalet ) har ingåtts av Parterna för att garantera en säker, korrekt och laglig behandling av personuppgifter i samband med nyttjandet och tillhandahållandet av Tjänsten. I detta Biträdesavtal benämns Kunden den Ansvarige och Kaustik Biträdet. Den Ansvarige är personuppgiftsansvarig för den behandling av personuppgifter som avses i detta Biträdesavtal. Biträdet är personuppgiftsbiträde för den Ansvariges räkning. För det fall annat inte uttryckligen anges i detta Biträdesavtal ska de definierade termer som används i övrigt i Avtalet gälla i detta Biträdesavtal. Dokument Detta Biträdesavtal består av detta huvuddokument och följande bilagor: Bilaga 3.1, Instruktion Bilaga 3.2, Godkända Underbiträden Tillämplig Lagstiftning 2.1 Personuppgiftslagen (1998:204) ( PUL ) ska tillämpas på all behandling av personuppgifter inom ramen för detta Biträdesavtal. Den 25 maj 2018 träder Europaparlamentets och Rådets Förordning (EU) 2016/679 ( Förordningen ) i kraft, varpå PUL kommer att upphävas. När Förordningen träder i kraft ska all behandling av personuppgifter inom ramen för detta Biträdesavtal följa och tillämpa Förordningen. Samtliga hänvisningar till Tillämplig Lagstiftning i detta Biträdesavtal, ska förstås som en hänvisning till Förordningen och PUL. 2.2 Samtliga termer och definitioner i detta Biträdesavtal ska tillmätas samma innebörd och tolkas i enlighet med Tillämplig Lagstiftning och Avtalet. Instruktioner 3.1 Den Ansvarige ska ge Biträdet instruktioner rörande behandlingen av personuppgifter. Sådana instruktioner ska framgå av Bilaga 3.1, Instruktion, och ska åtminstone innehålla följande information: (v) behandlingens ändamål, behandlingens karaktär, hur länge behandlingen ska pågå, vilka kategorier av personuppgifter som ska behandlas, och vilka kategorier av registrerade som inkluderas i behandlingen. 3.2 Biträdet får inte behandla personuppgifter för andra ändamål än vad som följer av den Ansvariges instruktioner. 3.3 Oaktat ovanstående har Biträdet rätt att i skälig omfattning vidta löpande åtgärder utan den Ansvariges uttryckliga instruktion. Detta under förutsättning att Biträdet agerar för och i enlighet med de ändamål som framgår av Bilaga 3.1, Instruktion, och Biträdesavtalet i övrigt. 3.4 Den Ansvarige ska säkerställa att instruktionerna inte strider mot Tillämplig Lagstiftning. Den Ansvarige ska hållas ansvarig för instruktioner som strider mot Tillämplig Lagstiftning eller som annars är inkorrekta. Biträdets skyldigheter 4.1 Biträdet ska i skälig omfattning vidta tekniska och organisatoriska åtgärder för att bistå den Ansvarige så att den Ansvarige kan säkerställa att de registrerade kan utnyttja de rättigheter som följer av Tillämplig Lagstiftning. 4.2 Biträdet ska vidare bistå den Ansvarige med följande, i enlighet med Tillämplig Lagstiftning: säkerställa att behandlingen är säker,
informera registrerade om personuppgiftsincidenter, så som obehörigt intrång, om tillämpligt, genomföra risk- och sårbarhetsanalys tillsammans med den Ansvarige, och konsultera tillsynsmyndighet om en risk- och sårbarhetsanalys indikerar att behandlingen medför särskilt höga risker för de registrerade. Säkerhetsåtgärder 5.1 Biträdet ska vidta nödvändiga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som Biträdet behandlar för den Ansvariges räkning. 5.2 Biträdet ska med de tekniska och organisatoriska åtgärderna säkerställa att personuppgifterna är skyddade mot förstöring, ändring och spridning. 5.3 Biträdet ska säkerställa att endast behöriga personer hos Biträdet har tillgång till personuppgifter. Sådana behöriga personer ska vara bundna av sekretess som motsvarar den sekretessförbindelse som följer av detta Biträdesavtal. 5.4 Tillgång till system som behandlar personuppgifter ska loggas på ett sätt som möjliggör att tillgången spåras bakåt i tiden. Underbiträden 6.1 Biträdet har rätt att anlita tredje part att utföra behandlingen, eller delar därav ( Underbiträde ). Godkända Underbiträden finns listade i Bilaga 3.2, Godkända Underbiträden. 6.2 Biträdet ska ingå ett skriftligt avtal med varje Underbiträde där Underbiträdet åtar sig samma skyldigheter som Biträdet har åtagit sig enligt detta Biträdesavtal. 6.3 För det fall Biträdet anlitar ett annat Underbiträde än de Underbiträden som finns listande i Bilaga 3.2, Godkända Underbiträden, ska Biträdet innan Underbiträdet påbörjar behandlingen skriftligen delge den Ansvarige information om Underbiträdet. Sådan information ska innehålla: underbiträdets namn, kontaktinformation, företagsform och var Underbiträdet finns lokaliserat geografiskt, en beskrivning av den tjänst som Underbiträdet levererar, information om innehållet avseende personuppgiftsbehandling i det avtal som har slutits mellan Biträdet och Underbiträdet, och var (geografiskt) Underbiträdet kommer att behandla personuppgifter. Överföringar till tredje land 7.1 Biträdet får endast föra över personuppgifter utanför EU/EES om Biträdet kan visa att det finns en legal grund för sådan överföring. 7.2 Vad som sägs i punkt 7.1 ovan måste vara uppfyllt även för det fall Biträdet anlitar ett Underbiträde i tredje land, i enlighet med punkt 6. Insyn Biträdet ska säkerställa att den Ansvarige på begäran kan erhålla information som visar att de personuppgifter som Biträdet behandlar för den Ansvariges räkning behandlas i enlighet med den Ansvariges instruktioner. Sekretess Bestämmelserna i Bilaga 4, avseende sekretess ska gälla för detta Biträdesavtal. Personuppgifter som behandlas inom ramen för detta Biträdesavtal ska alltid anses utgöra Konfidentiell Information.
Ersättning 10.1 Biträdet ska ha rätt till ersättning för kostnader och utgifter som drabbar Biträdet på grund av: ändringar i den Ansvariges instruktioner, den Ansvariges utövande av sin rätt till insyn enligt punkt 8, eller radering eller överföring av personuppgifter i enlighet med punkt 11.2. 10.2 De priser som anges i Bilaga 1 ska tillämpas på ersättningen enligt denna punkt 10. Avtalstid 11.1 Detta Biträdesavtal gäller mellan Parterna under den tid Biträdet behandlar personuppgifter för den Ansvariges räkning eller till dess att Avtalet upphör att gälla. 11.2 När Biträdesavtalet upphör att gälla ska Biträdet, på begäran av den Ansvarige, antingen radera eller överföra till den Ansvarige, samtliga personuppgifter som Biträdet har behandlat inom ramen för Biträdesavtalet. Om den Ansvarige begär att personuppgifterna ska överföras till den Ansvarige, ska personuppgifterna överföras på ett vanligt förekommande maskinläsbart format. Efter sådan överföring ska Biträdet genast radera personuppgifterna från sina system. Om den Ansvarige inte har inkommit med någon begäran om radering eller överföring inom trettio (30) dagar från Biträdesavtalets upphörande, har Biträdet rätt att radera personuppgifterna.
Bilaga 3.1 Instruktion Biträdet åtar sig att behandla personuppgifter för den Ansvariges räkning under detta Biträdesavtal tills Avtalet upphör att gälla eller den Ansvarige instruerar Biträdet att upphöra med behandlingen. Personuppgifterna kommer att behandlas i syfte att leverera Tjänsten. De personuppgifter som kommer att behandlas av Biträdet består huvudsakligen av namn, personnummer, adresser och liknande personuppgifter rörande den Ansvariges kunder. Typen av personuppgifter som behandlas av Biträdet beror dock i stor utsträckning på vilka funktioner av Tjänsten som den Ansvarige nyttjar och kan därför inkludera även andra typer av personuppgifter, exempelvis känsliga personuppgifter. Den behandling som Biträdet kommer att utföra under detta Biträdesavtal består i hög grad av lagring, men kan även bestå av andra åtgärder som den Ansvarige efterfrågar, till exempel vidareförmedling till en tredje part eller exportering till andra system.
Bilaga 3.2 Godkända Underbiträden 1. Cygate AB, org. nr. 556549-8952. 2. Glesys Internet Services AB, org. nr. 556647-9241.