Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtalet

Daterat den xxxxxx ("Avtalsdagen")

MELLAN:

OneBridge Sweden AB, 559478-9124, ("Leverantören");

och

xxx, ("Kunden");

Leverantören och Kunden benämns individuellt som "Part" och gemensamt som "Parterna".

Bakgrund:
Leverantören tillhandahåller tjänster till Kunden enligt Tjänsteavtalet och kan i samband med detta behandla personuppgifter för vilka Kunden är personuppgiftsansvarig. Leverantören agerar som personuppgiftsbiträde och ska behandla uppgifterna enligt lag, Kundens instruktioner och detta avtal.

Vid konflikt mellan Tjänsteavtalet och detta avtal gäller detta avtal i den del som ger bättre skydd för personuppgifterna.

1. Definitioner
- "Personuppgifter", "Behandling", "Personuppgiftsbiträde", "Personuppgiftsincident" och "Registrerad" enligt GDPR (EU 2016/679).
- "Tillämplig personuppgiftslagstiftning" = lag och föreskrifter om skydd av personuppgifter som gäller för Leverantören och Kunden.
- "Tredje Land" = land utanför EU/EES.

2. Kundens skyldigheter
2.1 Kunden ansvarar för att behandlingen uppfyller lagkrav och är förenlig med ändamålet för insamlingen.
2.2 Kunden ska ge skriftliga instruktioner som Leverantören ska följa.
2.3 Nya instruktioner som går utöver lagkrav kan Leverantören överväga men är inte skyldig att acceptera.

3. Leverantörens skyldigheter
3.1 Leverantören ska endast behandla personuppgifter i enlighet med detta avtal och Kundens instruktioner.
3.2 Vid nya instruktioner utöver avtalet har Leverantören rätt till ersättning.
3.3 Leverantören får behandla personuppgifter om lag kräver det, men ska informera Kunden om möjligt.
3.4 Leverantören ska bistå Kunden vid utövande av registrerades rättigheter.

4. Säkerhet och incidenthantering
4.1 Leverantören ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot obehörig åtkomst, förlust eller incidenter.
4.2. Vid personuppgiftsincidenter ska Kunden underrättas utan dröjsmål och Leverantören ska vidta åtgärder för att begränsa konsekvenser.
4.3 Kunden får årligen kontrollera att Leverantören uppfyller sina skyldigheter, med minst 30 dagars förhandsmeddelande.

5. Anlitande av underbiträden
Leverantören får anlita underbiträden men ansvarar fullt ut för deras behandling av personuppgifter.

6. Överföring från tredje land
Personuppgifter får inte överföras till tredje land utan Kundens skriftliga godkännande. Vid överföring ska adekvat skydd enligt lag säkerställas.

7. Återlämnande av personuppgifter
Vid avtalets upphörande ska Kunden instruera Leverantören att antingen återlämna eller radera personuppgifter. Om instruktion inte ges inom 30 dagar ska uppgifterna raderas.

8. Avtalstid, överlåtelse och ändringar
8.1 Avtalet gäller från Avtalsdagen under Tjänsteavtalets löptid eller så länge Leverantören behandlar personuppgifter för Kundens räkning.
8.2 Ingen part får överlåta rättigheter eller skyldigheter utan skriftligt samtycke.
8.3 Ändringar ska vara skriftliga och undertecknade av båda parter

9. Tillämplig lag och tvist
9.1. Svensk lag gäller.
9.2 Tvister ska först försöka lösas genom förtroliga diskussioner. Om detta misslyckas avgörs tvisten genom skiljedom vid Stockholms Handelskammares Skiljedomsinstitut.
9.3 Skiljeförfarandet och all information ska vara strikt konfidentiellt.