PERSONUPPGIFTSBITRÄDESAVTAL
Uppdaterat 2018-05-18
PARTER
Detta Personuppgiftsbiträdesavtal gäller mellan Axtech AB, org.nr. 556661-3914, (”Personuppgiftsbiträde” eller ”Leverantören”) och Kunder med personuppgiftsansvar som tecknat avtal för tjänsten Körjournal med Leverantören.
DEFINITIONER
Begrepp och definitioner i detta Avtal har motsvarande betydelse som Europaparlamentets och Rådets förordning (EU) 2016/679 (nedan kallad dataskyddsförordningen) samt tolkas och tillämpas i enlighet med Tillämplig dataskyddslagstiftning. Detta innebär bland annat följande:
| Behandling | Avser en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. |
| Tillämplig dataskyddslagstiftning | Avser Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG och de nationella lagar som stiftas till följd av denna förordning. ”Tillämplig dataskyddslagstiftning” inkluderar även bindande vägledningar, utlåtanden, rekommendationer och beslut från tillsynsmyndigheter, domstol eller annan myndighet. |
| Personuppgiftsansvarig | Den som på egen hand eller tillsammans med andra, fastställer ändamål och medel för behandlingen av personuppgifterna. |
| Personuppgiftsbiträde | Avser den som behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige |
| Registrerad | Den fysiska person som personuppgiften avser. |
| Personuppgifter | Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifikator som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
| Personuppgiftsincident | Avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. |
INNEHÅLL OCH SYFTE
Kunden och Leverantören har ingått ett avtal (nedan kallat Tjänsteavtal) angående de tjänster som Leverantören, tillika Personuppgiftsbiträdet, ska tillhandahålla Kunden, tillika Personuppgiftsansvarig. Med anledning av Tjänsteavtalet kommer Leverantören att behandla personuppgifter för Kundens räkning. Detta Personuppgiftsbiträdesavtal har upprättats för att bland annat uppfylla kravet i artikel 28 i dataskyddsförordningen om att det ska finnas ett skriftligt avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde för behandlingen av personuppgifter.
Syfte med tjänsten
Tjänsten som Leverantören, Axtech, levererar till Kunden innefattar tjänsten elektronisk körjournal nedan kallad ”tjänsten” eller ”körjournal”. Tjänsten används av företag som har personuppgiftsansvar gentemot sina anställda. Vid tillhandahållandet av denna tjänst kommer Leverantören att hantera information för Kundens räkning som direkt eller indirekt kan hänföras till en fysisk person. All personuppgiftshantering hanteras av Leverantören enligt Tillämplig dataskyddslagstiftning.
Syftet med en elektronisk körjournal är att Kunden skall kunna presentera ett korrekt underlag med relevanta data för användandet av sina bilar för Skatteverket vid en revision. Axtechs elektroniska körjournal uppfyller Skatteverkets riktlinjer. Tjänsten följer även uppsatta riktlinjer för integritet i enlighet med Tillämplig dataskyddslagstiftning, vilket innebär att ej nödvändig data kopplad till person raderas så snart det inte finns relevant anledning att spara datan längre. Till relevant data räknas den information som Skatteverket vill kunna granska i en körjournal. Dessa är: Mätarställning vid årets början / Datum och mätarställning vid resans start samt varifrån resan startade / Ärende privat/tjänst / Antal körda kilometer / Datum och mätarställning vid resans slut samt var resan avslutades / Mätarställning vid årets slut.
Förutom att teckna detta Personuppgiftsbiträdesavtal skall kunden tydligt informera sina anställda om att en tjänst med positioneringsteknik (GPS) används, samt i vissa fall inhämta de anställdas samtycke skriftligen.
BEHANDLING AV PERSONUPPGIFTER
Kunden garanterar att denne har rätt att behandla personuppgifter samt att behandlingen är i enlighet med Tillämplig Dataskyddslagstiftning.
Leverantören åtar sig att endast behandla personuppgifter i enlighet med Tjänsteavtalet. Endast uppgifter relevanta för tjänsten behandlas. För mer information om de uppgifter som behandlas, se bilaga 1, Hantering av personuppgifter till detta Avtal. Leverantören skall vid behandlingen av personuppgifter följa Tillämplig dataskyddslagstiftning.
Leverantören skall omedelbart informera Kunden om Leverantören saknar instruktion om hur denne ska behandla personuppgifter i en specifik situation eller om en det sker en förändring som påverkar Leverantörens skyldigheter enligt detta avtal.
Leverantören får inte, utan föreläggande från relevant myndighet eller tvingande lagstiftning: samla in eller lämna ut personuppgifter från eller till någon tredje part om inte annat skriftligen har överenskommits, ändra metod för behandling, kopiera eller återskapa personuppgifter eller på något annat sätt behandla personuppgifter för andra ändamål än de som anges i Tjänsteavtalet.
Om det kommer in en begäran från Registrerad, Tillsynsmyndighet eller annan tredje part om att få ta del av uppgifter som Leverantören behandlar för Kundens räkning skall Leverantören meddela Kunden utan dröjsmål.
ÖVERFÖRING TILL TREDJE LAND
Överföring av personuppgifter till en stat utanför EU och EES kräver den Personuppgiftsansvariges skriftliga samtycke i förväg och får endast ske de om villkor för överföring till tredje länder som framgår av Tillämplig dataskyddslagstiftning har uppfyllts.
SÄKERHET
Leverantören skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall innebära en säkerhetsnivå som är lämplig för de risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är. Åtgärderna skall beakta de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är.
Med beaktande av ovan kan lämpliga åtgärder innefatta:
- Pseudonymisering och kryptering av personuppgifter.
- Förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos de system och tjänster som behandlar personuppgifter,
- Förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident
- Regelbunden testning och utvärdering av effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
SEKRETESS
Leverantören skall säkerställa att alla personer med behörighet att behandla Personuppgifterna omfattas av en lagstadgad tystnadsplikt eller har ett bindande avtal där detta ingår. Tystnadsplikten fortsätter att gälla även efter det personuppgiftsavtalet slutar gälla. Åtkomst till Personuppgifter skall begränsas till de personer som behöver dem för att kunna utföra sina arbetsuppgifter i enlighet med tjänsteavtalet.
UNDERBITRÄDEN
För att Leverantören skall kunna uppfylla skyldigheterna enligt Tjänsteavtalet och detta Avtal har Leverantören rätt att anlita Underbiträde. När Leverantören anlitar Underbiträde skall ett avtal (Underbiträdesavtal) upprättas mellan parterna avseende Underbiträdets behandling av personuppgifter. I ett sådant avtal ska det tydligt framgå att Underbiträdet har motsvarande skyldigheter som Leverantören har enligt detta Avtal. Leverantören skall på Kundens begäran tillhandahålla de delar av Leverantörens avtal med Underbiträde som krävs för att utvisa att Leverantören uppfyllt sina åtaganden enligt detta Avtal. Om Leverantören avser att ändra, ta bort eller lägga till ett Underbiträde kommer Leverantören att informera om detta så att Kunden har möjlighet att göra invändningar mot sådana förändringar.
Leverantören skall på begäran från Kunden tillhandahålla en korrekt och uppdaterad lista om vilka Underbiträden som anlitats av Leverantören för behandling av Kundens personuppgifter.
ASSISTANS
Leverantören skall, med hänsyn taget till behandlingens art, hjälpa Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Kunden kan fullgöra sin skyldighet att svara när den Registrerade vill utöva sina rättigheter.
Leverantören skall bistå Kunden med att se till att Kunden kan uppfylla sina rättsliga skyldigheter som personuppgiftsansvarig enligt Tillämplig dataskyddslagstiftning.
GRANSKNING
Kunden äger rätt att, själv eller genom tredje man, genomföra revision gentemot Leverantören eller på annat sätt kontrollera att Leverantörens behandling av personuppgifter följer detta Avtal. Vid sådan revision eller kontroll ska Leverantören ge Kunden den assistans som behövs för genomförandet. Kontrollen skall utföras på sådant sätt att den inte stör Axtechs övriga verksamhet. Skulle genomförd granskning inte visa på annat än mindre brister i Axtechs fullgörande av skyldigheter enligt detta personuppgiftsavtal, äger Axtech rätt till skälig ersättning för uppkomna kostnader till följd av granskningen.
PERSONUPPGIFTSINCIDENT
Vid en personuppgiftsincident som omfattar personuppgifter som behandlas på uppdrag av Kund skall Leverantören omedelbart undersöka incidenten och vidta lämpliga åtgärder för att mildra dess potentiella negativa effekt och förhindra upprepning. Leverantören skall även utan onödigt dröjsmål tillhandahålla Kunden en beskrivning av incidenten. Beskrivningen skall åtminstone:
- beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
- förmedla namnet på den person som kan tillhandahålla mer information eller svara på frågor, beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
- beskriva de åtgärder som Leverantören har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
Så snart Kunden blir medveten om att personuppgiftsincident har inträffat, bör den anmäla personuppgiftsincidenten till tillsynsmyndigheten utan onödigt dröjsmål och, om så är möjligt, inom 72 timmar efter att ha blivit medveten om denna.
AVTALETS UPPHÖRANDE
Villkoren i detta Avtal ska gälla så länge Leverantören behandlar Personuppgifter på uppdrag av Kunden.
Om detta Avtal upphör att gälla skall Leverantören upphöra med behandlingen av Personuppgifter och, efter Kundens önskemål, radera eller återsända alla Personuppgifter, samt radera befintliga kopior, såvida inte Tillämplig dataskyddslagstiftning eller nationell rätt kräver att Personuppgifterna lagras. Leverantören skall säkerställa att Underbiträde vidtar samma rutin.
ÄNDRINGAR
Ändringar eller tillägg till Avtalet ska göras skriftligen och godkännas av båda Parterna.
TVIST
Tvist angående tolkning eller tillämpning av detta Avtal ska avgöras enligt svensk lag och Tjänsteavtalets bestämmelse om tvist. Om Tjänsteavtalet inte innehåller någon sådan bestämmelse gäller att tvist ska avgöras av svensk allmän domstol.
KONTAKTINFORMATION
För mer information, kontakta:
Axtech AB
EA Rosengrens gata 4
421 31 Västra Frölunda
tel. 031-558866
e-mail: info@axtech.se
www.axtech.se
www.redknows-körjournal.se