Northmill

Personuppgiftsbiträdesavtal

Detta Personuppgiftsbiträdesavtal (”Avtal”) gäller mellan Northmill Flo AB, 556665-9339 (”Northmill Flo”) och Kund som valt att ingå detta Personuppgiftsbiträdesavtal med Northmill Flo (”Kunden”)

Båda Parterna bekräftar att de undertecknade har fullmakt att ingå detta Avtal. Detta Avtal reglerar behandlingen av Personuppgifter mellan parterna och är en förutsättning för användning av Northmill Flos tjänster så som Northmill Flo Konto och liknande. Avtalet anses accepterat vid användningen av Northmill Flo Konto eller motsvarande tjänster som behandlar kunders data om ej annat överenskommits.

Definitioner

Definitionen av Personuppgifter, Särskilda kategorier av Personuppgifter (Känsliga Personuppgifter),behandling av Personuppgifter, Registrerad, Personuppgiftsansvarig och Personuppgiftsbiträde är densamma som används i gällande dataskyddslagstiftning, inklusive den allmänna dataskyddsförordningen (GDPR – General Data Protection Regulation från den 25 maj 2018.

Omfattning

Avtalet reglerar Personuppgiftsbiträdets behandling av Personuppgifter på uppdrag av Personuppgiftsansvarig och beskriver hur Personuppgiftsbiträdet ska säkerställa dataskydd, genom tekniska och organisatoriska åtgärder enligt gällande dataskyddslagstiftning, inklusive dataskyddsförordningen.

Northmill Flo kommer vid fullföljandet av Avtalet att behandla Personuppgifter för Kundens räkning såsom Kundens personuppgiftsbiträde. Kunden är personuppgiftsansvarig för behandlingen av Personuppgifterna.

Syftet med detta Personuppgiftsbiträdesavtal är att Kunden och Northmill Flo ska uppfylla vid var tid gällande krav på personuppgiftsbiträdesavtal och förpliktelser enligt Dataskyddsregler samt att säkerställa ett adekvat skydd för personlig integritet och grundläggande rättigheter för enskilda i samband med överföring av Personuppgifter från Kunden till Northmill Flo inom ramen för de tjänster Northmill Flo utför åt Kunden under Avtalet.

Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet får endast behandla Personuppgifter på uppdrag av och i enlighet med Personuppgiftsansvarigs instruktioner.

Personuppgiftsansvarig ger i och med detta avtal i uppdrag och instruerar Personuppgiftsbiträdet att behandla Personuppgifter på följande sätt:

  1. i) endast i enlighet med gällande lag, ii) för att uppfylla alla förpliktelser inom ramen för de tjänster Northmill Flo utför åt Kunden, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges i detta Avtal.

Om Personuppgiftsbiträdet blir medveten om att Personuppgiftsansvariges instruktioner eller behandling strider mot gällande dataskyddslagstiftning skall Personuppgiftsbiträdet informera Personuppgiftsansvarige om detta.

Personuppgiftsbiträdet ska vidta de åtgärder som krävs för att uppfylla Artikel 32 i Dataskyddsförordningen. Personuppgiftsbiträdet ska därvid säkerställa en säkerhetsnivå som är lämplig i förhållande till risken som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som behandlas.

Personuppgiftsbiträdet ska även bistå Personuppgiftsansvarige med att se till att skyldigheterna enligt Artiklarna 32-36 i Dataskyddsförordningen fullgörs, med beaktande av typen av behandling och den information som Northmill Flo har att tillgå. Personuppgiftsbiträdet skall säkerställa att personer med behörighet att behandla Personuppgifterna antingen omfattas av en lagstadgad tystnadsplikt eller har åtagit sig det i ett bindande avtal. Åtkomst till Personuppgifterna skall begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter.

Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation eller annan

information om hur Personuppgiftsbiträdet behandlar personuppgifter som är utöver den standardinformation som tillhandahålls av Personuppgiftsbiträdet för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, och det innebär mer arbete för

Personuppgiftsbiträdet, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster.

Personuppgiftsbiträdet ska göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och registrerade rörande

personuppgiftsincidenter, genom att skyndsamt och utan onödigt dröjsmål meddela

Personuppgiftsansvarig om sådana incidenter.

Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela

Personuppgiftsansvarig om;

  1. i) förfrågningar om utlämnande av Personuppgifter som erhållits från en registrerad
  2. ii) förfrågningar från tillsynsmyndigheter om utlämnande av Personuppgifter

Personuppgiftsbiträdet får inte svara direkt på förfrågningar från Registrerade utan medgivande från

Personuppgiftsansvarig.

Personuppgiftsbiträdet har inte ägarskap till eller kontroll över huruvida och hur Personuppgiftsansvarig väljer att använda sig av eventuella tredjepartsintegrationer via Personuppgiftsbiträdets API, via direkt databaskoppling eller liknande. Ansvaret för sådana integrationer med tredje part åligger uteslutande Personuppgiftsansvarig.

Personuppgiftsansvarigs skyldigheter

Genom att underteckna detta avtal bekräftar Personuppgiftsansvarig att:

  • Personuppgiftsansvarig ska, vid användning av de tjänster som tillhandahålls av Personuppgiftsbiträdet enligt Tjänsteavtal, behandla Personuppgifter i enlighet med kraven i gällande dataskyddslagstiftning.
  • Personuppgiftsansvarig har rättslig grund att behandla och lämna ut de aktuella Personuppgifterna till Personuppgiftsbiträdet (inklusive eventuella underbiträden som Personuppgiftsbiträdet använder).
  • Personuppgiftsansvarig är ensamt ansvarig för riktigheten, integriteten, innehållet, tillförlitligheten och lagenligheten av de Personuppgifter som lämnats till Personuppgiftsbiträdet.
  • Personuppgiftsansvarig har uppfyllt alla obligatoriska krav och skyldigheter att anmäla hos eller få tillstånd från relevanta myndigheter för behandlingen av Personuppgifter.
  • Personuppgiftsansvarig har fullgjort sina skyldigheter att tillhandahålla relevant information till registrerade avseende behandling av Personuppgifter enligt obligatorisk dataskyddslagstiftning.

Underbiträden

Personuppgifter får behandlas av ett Underbiträde under förutsättning att Personuppgiftsbiträdet på Personuppgiftsansvarige vägnar ingår ett skriftligt avtal eller annan rättsakt enligt unionsrätten där Underbiträdet åläggs motsvarande skyldigheter i fråga om dataskydd som Personuppgiftsbiträdet åläggs enligt detta Personuppgiftsbiträdesavtal

Personuppgiftsbiträdet åtar sig att informera Personuppgiftsansvarige om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden. Personuppgiftsansvarige har rätt att invända mot sådana förändringar. Sådan invändning får endast hänföra sig till objektiva grunder hänförliga till exempelvis säkerheten av behandlingen enligt Personuppgiftsbiträdesavtalet. Om Personuppgiftsansvarige gör en sådan befogad invändning och inte accepterar att byta ut aktuellt Underbiträde har Personuppgiftsbiträdet rätt till extra ersättning av Personuppgiftsansvarige för de kostnader som Personuppgiftsbiträdet drabbas av p.g.a. aktuellt Underbiträde inte kan användas. Personuppgiftsbiträdet har även rätt att säga upp Tjänsteavtal och/eller detta Personuppgiftsbiträdesavtal helt eller delvis, t.ex. vad avser viss tilläggstjänst med trettio (30) dagars uppsägningstid.

Personuppgiftsbiträdet är särskilt ansvarig för att tillse att Artiklarna 28.2 och 28.4 i Dataskyddsförordningen beaktas vid anlitande av Underbiträden och att tillse att sådant Underbiträde ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen.

Personuppgiftsbiträdet ska på begäran från Personuppgiftsansvarige tillhandahålla Personuppgiftsansvarige en aktuell lista över Underbiträden som anlitats av Personuppgiftsbiträdet för behandlingen av Personuppgifter, kontaktuppgifter till dessa samt den geografiska placeringen för sådan behandling.

Överföring av Personuppgifter utanför EU/EES

Överföring av Personuppgifter av Personuppgiftsbiträdet eller av Underbiträde till en plats utanför EES-området (s.k. tredje land)får vidtas förutsatt att vid var tid gällande krav för sådan överföring enligt Dataskyddsregler uppfylls Personuppgiftsbiträdet ska vid sådan överföring tillämpa, och i förhållande till Underbiträde i tredje land för Personuppgiftsansvarige räkning ingå avtal där Underbiträdet åläggs att tillämpa, EU:s standardklausuler (2010/87/EU) eller de standardklausuler som ersätter dessa efter eventuellt beslut av EU-kommissionen och/eller EU-domstolen.

Revisionsrättigheter

Personuppgiftsansvarig har rätt att genomföra årlig revision av Personuppgiftsbiträdets uppfyllande av villkoren i avtalet. Om lagstiftningen kräver det kan Personuppgiftsansvarig begära revisioner oftare. För att begära en revision måste Personuppgiftsansvarig lämna in en detaljerad revisionsplan till Personuppgiftsbiträdet minst fyra veckor före det föreslagna revisionsdatumet med en beskrivning av revisionens omfattning, varaktighet och startdatum

Under alla omständigheter måste revisioner utföras under vanliga öppettider vid den aktuella anläggningen, med förbehåll för Personuppgiftsbiträdets regler, och får inte störa Personuppgiftsbiträdets affärsverksamhet i väsentlig grad.

Personuppgiftsansvarig står för eventuella kostnader som uppstår i samband med begärda revisioner. Hjälp från Personuppgiftsbiträdet som överstiger standardtjänsten som tillhandahålls av Personuppgiftsbiträdet och/eller Northmill Flo för att följa gällande dataskyddslagstiftning, kommer att debiteras.

Varaktighet och uppsägning

Detta avtal är giltigt så länge som Personuppgiftsbiträdet behandlar Personuppgifter på uppdrag av Personuppgiftsansvarig enligt gällande Tjänsteavtal.

Avtalet upphör automatiskt när Tjänsteavtal upphör att gälla eller enligt separat överenskommelse. När Avtalet upphör kommer Personuppgiftsbiträdet att radera eller återlämna Personuppgifter som Behandlas på uppdrag av Personuppgiftsansvarig, i enlighet med gällande klausuler i respektive Tjänsteavtal.

Om inte annat avtalats skriftligen ska kostnaden för sådana åtgärder baseras på; i) timtaxa för Personuppgiftsbiträdets tid och ii) komplexiteten i den begärda processen.

Personuppgiftsbiträdet kan behålla Personuppgifter efter att Avtalet har upphört, i den utsträckning det krävs enligt lag, med samma typ av tekniska och organisatoriska säkerhetsåtgärder som beskrivs i detta Avtal.

Ändringar och tillägg

 Ändringar i Avtalet ska inkluderas i en ny bilaga till detta Avtal och undertecknas av båda Parter för att vara giltigt. Om några villkor i detta Avtal blir ogiltiga, ska detta inte påverka återstående villkor. Parterna ska ersätta eventuella ogiltiga villkor med villkor som återspeglar syftet med ogiltiga villkor.

Ansvar

Till undvikande av missförstånd är Parterna ense om att vardera Parten är skyldig att själv ansvara för och bära sådan administrativ sanktionsavgift som ålagts Parten enligt dataskyddsförordningen.

Ansvaret i övrigt för samtliga överträdelse av villkoren i detta avtal eller åtagande enligt dataskyddsförordningen, ska regleras av ansvarsklausuler i respektive Tjänsteavtal mellan Parterna. Detta gäller även för eventuella överträdelser som begåtts av Personuppgiftsbiträdets underleverantörer.

Tillämplig lag och jurisdiktion

Detta Avtal är underkastat tillämplig lag och den jurisdiktion som anges i respektive Tjänsteavtal mellan Parterna.