Parter
Detta biträdesavtal (”Biträdesavtalet”) har denna dag träffats mellan dig som kund i Hushållningssällskapet* (nedan ”Kunden” eller ”Ansvarig”) och den part inom Hushållningssällskapet, som du som kund har tecknat ett uppdragsavtal med (nedan ”Hushållningssällskapet” eller ”Biträdet”). Ovanstående parter benämns var för sig för ”Part” och tillsammans ”Parterna”.
Bakgrund och syfte
Kunden har tecknat ett uppdragsavtal avseende någon form av rådgivning eller tjänst hos ett sällskap eller bolag inom Hushållningssällskapet (”Uppdragsavtalet”). Hushållningssällskapets rådgivning/tjänster och insamling av personuppgifter, som följer av Uppdragsavtalet, sker via Hushållningssällskapets gemensamma portal (”Portalen”) för att öka säkerheten för Kunden, vad gäller såväl behandling av personuppgifter som sekretess. Inom ramen för Uppdragsavtalet kommer alltså Biträdet att, i egenskap av personuppgiftsbiträde, behandla personuppgifter för vilka Ansvarig är personuppgiftsansvarig (”Behandlingen”).
Parterna är medvetna om att Hushållningssällskapet, utöver sin roll som personuppgiftsbiträde till Kunden, har en självständig rätt att för egna syften behandla vissa personuppgifter som också omfattas av Behandlingen. Parterna är även medvetna om att beroende av vilken typ av rådgivning eller tjänst som utförs av Hushållningssällskapet enligt Uppdragsavtalet så kan Hushållningssällskapets roll variera vad avser den typ av personuppgiftsbehandling som rådgivningen eller tjänsten kräver, på så sätt att Hushållningssällskapet i vissa sammanhang kommer att behandla personuppgifter i egenskap av personuppgiftsbiträde och i andra självständigt personuppgiftsansvarig. För att undvika missförstånd omfattar detta Biträdesavtal endast den personuppgiftsbehandling som utförs i de situationer när Hushållningssällskapet är personuppgiftsbiträde till Kunden och därmed behandlar personuppgifter på uppdrag av Kunden.
Biträdesavtalet utgör jämte den externa integritetspolicyn bilaga till de Allmänna villkoren som godkänns genom undertecknande av Uppdragsavtalet. Vid händelse av motstridiga uppgifter avseende behandling av personuppgifter i de Allmänna villkoren, Biträdesavtalet, extern integritetspolicyn och Uppdragsavtalet har Biträdesavtalet företräde.
Syftet med Biträdesavtalet är att tillse att Behandlingen sker i enlighet med Dataskyddslagstiftningen, Ansvarigs instruktioner samt vad som i övrigt har överenskommits mellan Parterna.
Vardera Parten ska ha rätt att när som helst föreslå ändringar till detta Biträdesavtal. Sådana ändringar blir dock gällande först efter den andra Partens godkännande.
Lagval och definitioner
Vid Behandlingen ska Dataskyddslagstiftningen tillämpas.
Med ”Dataskyddslagstiftningen” avses alla tillämpliga lagar, förordningar, föreskrifter och regler som gäller för behandling av personuppgifter, inklusive men inte begränsat till EU:s allmänna dataskyddsförordning 2016/679 och sådan reglering som implementerar EU:s direktiv om integritet och elektronisk kommunikation 2002/58/EG och eventuella ändringar av, tillägg till eller regleringar som ersätter sådana lagar, förordningar, föreskrifter och regler.
Såvida inte annat framgår av detta Biträdesavtal ska begrepp som används i detta Biträdesavtal ha den innebörd som de ges i Dataskyddslagstiftningen.
Den Ansvariges åtaganden
I förhållande till de registrerade ansvarar Ansvarig för att de rättsliga kraven på Behandlingen uppfyller kraven i Dataskyddslagstiftningen.
Det är Ansvarigs ansvar att tillse att Biträdet vid var tid är informerat om Ansvarigs skriftliga instruktioner från Ansvarig, avseende Behandlingen. Instruktioner och hur Behandlingen ska utföras framgår av Bilaga A. För det fall Ansvarig ger nya instruktioner avseende Behandlingen som avviker från dem som följer av tjänsterna under Uppdragsavtalet och sådana tillkommande instruktioner innebär att omfattningen av de tjänster som omfattas av Uppdragsavtalet förändras i väsentlig grad ska frågan i första hand hanteras inom ramen för Uppdragsavtalet.
Samtliga instruktioner från Ansvarig ska vara skriftliga eller på annat sätt dokumenterade.
Biträdets åtaganden
Behandlingen beskrivs närmare i Bilaga A. Biträdet åtar sig att enbart behandla personuppgifter på det sätt och/eller för de ändamål som är nödvändiga för att uppfylla Biträdets åtaganden enligt Uppdragsavtalet, detta Biträdesavtal eller i enlighet med de dokumenterade instruktioner som lämnats av Ansvarig i Bilaga A. Biträdet kan även komma att behandla personuppgifter för att tillhandahålla eventuella tilläggstjänster som Ansvarig från tid till annan beställer.
Efter mottagande av skriftliga instruktioner beträffande Behandlingen från Ansvarig, såsom dem i Bilaga A, ska Biträdet inom skälig tid vidta lämpliga åtgärder för att tillse att Behandlingen anpassas enligt instruktionerna.
Biträdet åtar sig att säkerställa att varje fysisk person som utför arbete under dess ledning och som får tillgång till personuppgifter är informerad om innehållet i detta Biträdesavtal och endast behandlar personuppgifterna i enlighet med Biträdesavtalet och Ansvarigs dokumenterade instruktioner.
Biträdet ska i skälig utsträckning bistå Ansvarig genom lämpliga tekniska och organisatoriska åtgärder i den mån det är nödvändigt för att Ansvarig ska kunna fullgöra sina skyldigheter att svara på begäran från de registrerade om registerutdrag eller rättelse, blockering eller utplåning av personuppgifter.
Biträdet ska utan oskäligt dröjsmål från det att Biträdet har fått vetskap om en personuppgiftsincident underrätta Ansvarig därom. Biträdet ska bistå Ansvarig med den information som Ansvarig behöver för att uppfylla sina skyldigheter avseende anmälan av personuppgiftsincidenten till behörig tillsynsmyndighet samt i tillämpliga fall, information till de registrerade om personuppgiftsincidenten.
Biträdet åtar sig att i skälig utsträckning bistå Ansvarig vid utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd samt medverka till utredning av inträffade personuppgiftsincidenter med behöriga tillsynsmyndigheter.
Anlitande av Underbiträden
Genom undertecknande av detta Biträdesavtal godkänner Ansvarig att Biträdet anlitar underleverantörer för utförande av Behandlingen (”Underbiträde”). Om Biträdets anlitande av Underbiträde innebär att personuppgifter kommer att överföras till tredje land får sådant Underbiträde dock endast anlitas av Biträdet om bestämmelserna i punkt 7.1 är uppfyllda.
När Biträdet anlitar ett Underbiträde för utförande av Behandlingen åtar sig Biträdet att träffa ett skriftligt avtal med Underbiträdet för hanteringen av personuppgifter, varigenom Underbiträdet åläggs samma skyldigheter som enligt detta Biträdesavtal åläggs Biträdet.
Biträdet åtar sig att skriftligen informera Ansvarig innan Underbiträde anlitas och Ansvarig ska ha rätt att invända mot Biträdets val av Underbiträde. Biträdet får inte anlita det valda Underbiträdet om Ansvarig har presenterat skäliga invändningar.
Överföring av personuppgifter till Underbiträde sker på Biträdets risk och medför inga förändringar i den ansvarsfördelning som gäller mellan Biträdet och Ansvarig.
Överföring av personuppgifter till land utanför EU/EES
Biträdet åtar sig att inte överföra personuppgifter utanför EU/EES utan att Ansvarig först har lämnat sitt skriftliga godkännande och någon av följande förutsättningar är uppfyllda:
- det finns en adekvat skyddsnivå i mottagarlandet;
- den registrerade har gett sitt samtycke till överföringen;
- biträdesavtal som innehåller EU-kommissionens modellklausuler (EU) 2021/914) har ingåtts, utan ändringar eller tillägg som står i strid med klausulerna; eller
- Biträdet har upprättat bindande företagsinterna regler som godkänts av Datainspektionen (så kallade Binding Corporate Rules) och mottagaren av personuppgifterna i tredje land omfattas av dessa.
Om någon av förutsättningarna i punkten 7.1 är uppfyllda får Ansvarigs skriftliga godkännande angående överföring av personuppgifter till mottagare utanför EU/EES inte oskäligen vägras.
Utlämnande av information
Biträdet får inte lämna ut eller överföra några personuppgifter, som omfattas av Behandlingen, till tredje man utan att Ansvarig först har lämnat sitt skriftliga godkännande, såvida inte utlämnande krävs enligt gällande lag eller myndighetsbeslut. Biträdet har dock alltid rätt att lämna ut personuppgifter till Underbiträden i enlighet med punkt 6. Biträdet har även rätt att dela personuppgifter med en annan enhet inom Hushållningssällskapet, om detta (i) krävs för uppfyllandet av Uppdragsavtalet; och (ii) Biträdet har ingått ett datadelningsavtal med sådan annan enhet inom Hushållningssällskapet.
Biträdet ska utan dröjsmål skriftligen underrätta Ansvarig om eventuella kontakter från Integritetsskyddsmyndigheten eller annan tillsynsmyndighet som rör eller kan vara av betydelse för Behandlingen. För det fall Biträdet genom lag eller myndighetsföreläggande måste lämna ut personuppgifter, gäller vad som stadgas i punkt 10.2(d).
Tekniska och organisatoriska säkerhetsåtgärder
Biträdet ska vidta de tekniska och organisatoriska åtgärder som erfordras enligt Dataskyddslagstiftningen för att säkerställa en säkerhetsnivå som är lämplig i förhållande till (i) risken, särskilt i förhållande till risker avseende obehörig åtkomst, förstörelse och ändring av de personuppgifter som Behandlingen omfattar; (ii) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna; (iii) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident; och (iv) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet. Biträdet avgör hur sådana åtgärder ska implementeras för att uppnå erforderlig skyddsnivå.
Om Ansvarig gör sannolikt att ny skyddsåtgärd krävs eller att befintlig skyddsåtgärd måste anpassas för att uppfylla lagkrav om lämplig säkerhetsnivå eller för att efterkomma myndighetsbeslut ska Parterna i god anda diskutera implementationen av sådan åtgärd eller ändring av befintlig skyddsåtgärd. Utökad eller tillkommande skyddsåtgärd kräver skriftlig överenskommelse mellan Parterna. Biträdet ska i sådant fall ha rätt till för skäliga merkostnader som Biträdet orsakas till följd av sådana vidtagna säkerhetsåtgärder som går utöver kraven i Dataskyddslagstiftningen eller som utgör tillägg till Ansvarigs instruktioner efter det att detta Biträdesavtal träffats.
Om Biträdet saknar instruktioner från Ansvarig som Biträdet bedömer är nödvändiga för att utföra behandling av personuppgifter, eller anser att Ansvarigs instruktioner helt eller delvis står i konflikt med Dataskyddslagstiftningen, ska Biträdet utan dröjsmål meddela Ansvarig om sin inställning och invänta de instruktioner som Ansvarig bedömer erforderliga.
Sekretess
Biträdet och de personer som arbetar under dennes ledning ska vid behandling av personuppgifter iaktta sekretess. Det innebär att personuppgifter inte obehörigen får röjas för tredje man. Biträdet åtar sig att se till att den eller de personer som arbetar under Biträdets ledning och som kommer att behandla personuppgifter iakttar och följer Biträdets sekretesskyldighet enligt denna punkt 10.
Biträdet åtar sig att inte för utomstående yppa sådan information som Biträdet i egenskap av personuppgiftsbiträde mottagit från Ansvarig eller sådan information som Biträdet i övrigt behandlar i egenskap av personuppgiftsbiträde till Ansvarig. Biträdet åtar sig att säkerställa att de personer som arbetar under dess ledning har åtagit sig att iaktta sekretess i enlighet med denna punkt 10. Sekretessåtaganden ska dock inte gälla information som:
- är allmänt känd eller kommer till allmän kännedom på annat sätt än genom brott mot detta Biträdesavtal;
- information som Biträdet hade i sin besittning innan Biträdet erhöll informationen från Ansvarig med anledning av detta Biträdesavtal;
- information som Biträdet erhåller från tredje man utanför detta avtalsförhållande; eller
- information som Part är rättsligt förpliktad att tillhandahålla på grund av tvingande lagstiftning, domstolsbeslut eller beslut av annan myndighet. I sådant fall åligger det dock Biträdet att omgående skriftligen meddela Ansvarig om detta och begära att de efterfrågade personuppgifterna omfattas av sekretess vid utlämnandet.
Sekretesskyldigheten gäller även om detta Biträdesavtal i övrigt upphör.
Revision och granskning
Ansvarig har rätt att med trettio (30) dagars varsel på egen bekostnad, själv eller genom denne bemyndigad tredje man (”Revisorn”), genomföra granskning (inbegripet inspektioner) för att kontrollera att Biträdet följer detta Biträdesavtal.
När Revisorn utses ska Ansvarig ta hänsyn till sådana konkurrensaspekter som hänför sig till affärsrelationer mellan Biträdet och den tilltänkte Revisorn. I detta avseende måste Revisorn godkännas av Biträdet. Sådant godkännande ska dock inte oskäligen vägras.
Biträdet åtar sig att ge Ansvarig eller Revisorn tillgång till den dokumentation som krävs för att visa att Biträdet har fullgjort sina skyldigheter under Biträdesavtalet och ska även i övrigt bistå Ansvarig eller Revisorn vid genomförande av granskning och inspektion. Granskning och inspektion får genomföras under kontorstid, på vardagar mellan kl. 9 och 17.
Biträdet får ge Revisorn begränsad tillgång till Biträdets lokaler där Behandlingen utförs. När sådan platsinspektion genomförs ska Revisorn följa Biträdets skäliga arbetsregler, säkerhetskrav och andra föreskrifter som gäller på arbetsplatsen och får inte störa Biträdets dagliga verksamhet. Revisorn ska inte ha tillgång till sådan konfidentiell information som rör Biträdets andra kunder eller andra personuppgifter som inte behandlas inom ramen för detta Biträdesavtal.
Kostnader
Vardera Part står för de kostnader som kan uppstå i samband med efterlevande av åtaganden som följer av Biträdesavtalet, så som sammanställande och utlämnande av uppgifter, rättelse och radering.
Skadestånd och ansvar gentemot tredje man
Part åtar sig att hålla den andre Parten skadeslös i det fall den andre Parten är skyldig att utge skadestånd till den registrerade för det fall den behandling av personuppgifter som ligger till grund för skadeståndsersättningen har utförts av den första Parten i strid med Dataskyddslagstiftningen eller detta Biträdesavtal.
På samma sätt ska Part även i övrigt hålla den andre Parten skadeslös för det fall den andre Parten drabbas av skada till följd av den första Partens behandling av personuppgifter i strid med Dataskyddslagstiftningen eller detta Biträdesavtal.
Part ska inte vara skyldig att utge ersättning för indirekta skador såsom exempelvis utebliven vinst enligt detta Biträdesavtal. Till undvikande av missförstånd ska sådan skada som avses i punkt 13.1 anses utgöra direkt skada.
Överlåtelse
Biträdesavtalet får inte överlåtas utan den andra Partens föregående godkännande.
Avtalstid och upphörande
Biträdesavtalet gäller från dagen för dess ingående till dess Hushållningssällskapets uppdrag för Kunden upphör. Bestämmelser om uppsägning finns i Uppdragsavtalet.
Såvida Ansvarig inte uttryckligen instruerar Biträdet att personuppgifterna ska återlämnas, åtar sig Biträdet att vid detta Biträdesavtals upphörande radera alla personuppgifter från Portalen, såvida sådant förfarande inte är oförenligt med gällande nationell rätt eller EU-rätt. Begäran om återlämning av personuppgifter ska vara skriftlig och lämnas till Biträdet senast i samband med att Uppdragsavtalet sägs upp eller upphör att gälla. För undvikande av missförstånd behöver Hushållningssällskapet inte återlämna eller radera sådana uppgifter som Hushållningssällskapet har en självständig rätt att behandla i egenskap av personuppgiftsansvarig, i enlighet med vad som framgår av punkt 2.2 ovan.
Om Uppdragsavtalet upphör och nytt sådant uppdragsavtal, som även omfattar behandling av personuppgifter, träffas utan att ett nytt biträdesavtal träffas, gäller detta Biträdesavtal även för personuppgiftsbehandling som sker som en del av tjänster som tillhandahålls enligt det nya biträdesavtalet.
Tvister och tillämplig lag
Tvister i anledning av detta Biträdesavtal ska slutligt avgöras i enlighet med den tvistlösningsbestämmelse som framgår i Uppdragsavtalet. I det fall dylik bestämmelse ej finns skall tvist i anledning av detta Biträdesavtal avgöras vid allmän domstol med Kristianstads tingsrätt som första instans. Svensk rätt ska vara tillämplig på detta Biträdesavtal.
Bilaga A, Instruktioner
Utöver vad som anges i Biträdesavtalet ska nedan instruktioner gälla och iakttas av Biträdet vid utförandet av Behandlingen.
| Ändamål | Behandlingen får endast utföras i syfte att tillhandahålla de tjänster som framgår av Uppdragsavtalet, dvs. huvudsakligen i syfte att tillhandahålla överenskomna konsulttjänster. Personuppgifterna får inte behandlas eller nyttjas av Biträdet för egna eller några andra ändamål. |
| Typer av behandlingar | Biträdet får använda sig av sådana typer av behandling av personuppgifter som är nödvändig för att tillhandahålla de tjänster som framgår av Uppdragsavtalet, däribland registrering, organisering, lagring, ändring, användning och/eller radering. |
| Typer av personuppgifter | Biträdet får endast behandla följande typer av personuppgifter: namn, personnummer, medlemsnummer, adress, telefonnummer, leveransinformation, samt sådana övriga personuppgifter som är nödvändiga att behandla inom ramen för rådgivning som lämnas i enlighet med Uppdragsavtalet, eller som annars är nödvändiga att behandla för att Biträdet ska kunna tillhandahålla de tjänster som framgår av Uppdragsavtalet. |
| Kategorier av registrerade | Behandlingen ska endast omfatta Biträdets medlemmar och kunder. |
| Behandlingens varaktighet | Personuppgifterna ska raderas av Biträdet vid Biträdesavtalets upphörande i enlighet med vad som framgår av Biträdesavtalet. Personuppgifter ska vidare raderas av Biträdet från fall till fall i enlighet med Ansvarigs skriftliga instruktioner. |
| Plats för behandling | Behandlingen får endast utföras inom EU på sådan infrastruktur som Biträdet direkt eller indirekt (dvs. genom godkända Underbiträden) har kontroll över. |
| Kontaktinformation till Biträdets dataskyddsombud | Du når Hushållningssällskapets dataskyddsombud enligt nedan.
E-post: dataskyddsombud@hushallningssallskapet.se |