Databehandlingstillägg

Detta databehandlingstillägg och bifogade bilagor ("Tillägg") tillämpas på Behandling av Personuppgifter vid de situationer där Abion AB, i roll av Personuppgiftsbiträde, på uppdrag av Kunden, i roll av Personuppgiftsansvarig, tillhandahåller de tjänster som avtalats i Avtalet (Tjänster).

Detta Tillägg blir ej applicerbart på de situationer där Abion AB är Personuppgiftsansvarig. Detta Tillägg är underkastat de villkor som definieras i Abion ABs allmänna villkor för juridiska tjänster och Abion ABs allmänna villkor för registrartjänster. Kapitaliserade termer som används och som inte definieras här har den innebörd som anges i Allmänna dataskyddsförordningen (Förordning (EU) 2016/679 ("GDPR").

1. Bakgrund

a) Personuppgiftsbiträdet kommer att Behandla Personuppgifter för Personuppgiftsansvarig som en del av tillhandahållandet av Tjänster till Personuppgiftsansvarig, närmre beskrivet i bilaga 1.

b) Detta Tillägg är applicerbart när Kunden är Personuppgiftsansvarig och Abion AB är Personuppgiftsbiträde enligt definitionerna i GDPR.

c) Kunden är den enda Personuppgiftsansvarige av Kundens Personuppgifter. Kunden utser Abion som Personuppgiftsbiträde för att Behandla Kundens Personuppgifter enligt vad som anges i detta Tillägg. För att kräva ändringar i detta Tillägg kan Kunden kontakta Abion via kontaktinformationen under avsnitt 8.

2. Personuppgiftsansvariges instruktioner

2.1 Personuppgiftsbiträdet ska Behandla Personuppgifter endast i enlighet med dokumenterade instruktioner från Personuppgiftsansvarig, enligt vad som anges i bilaga 1, och i enlighet med GDPR. Följaktligen åtar sig Personuppgiftsansvarige att hålla Personuppgiftsbiträdet skyddad från sådan skada som Personuppgiftsbiträdet lider som en direkt följd av Personuppgiftsansvariges instruktioner som leder till Personuppgiftsbiträdets behandling av Personuppgifter i strid med GDPR. I de fall Personuppgiftsbiträdet inte har tillräckliga och nödvändiga instruktioner ska Personuppgiftsbiträdet informera Personuppgiftsansvarige och därefter vänta på instruktioner som Personuppgiftsansvarig anser tillräckliga. Personuppgiftsbiträdet ska omedelbart underrätta Personuppgiftsansvarig om en instruktion, enligt dennes uppfattning, överträder GDPR.

3. Personuppgiftsbiträdets ansvar

3.1 Vidare ska Personuppgiftsbiträdet i synnerhet:

(a) ha en lämplig teknisk och organisatorisk säkerhet och vidta alla åtgärder som krävs enligt artikel 32 i GDPR för att skydda Personuppgifter som Behandlas enligt detta Tillägg, inklusive men inte begränsat till att se till att personer som har tillstånd att Behandla Personuppgifter tillämpar sekretess eller omfattas av en lämplig rättslig förpliktelse;

(b) bistå Personuppgiftsansvarig med att säkerställa att skyldigheterna enligt artiklarna 32-36 i GDPR följs (såsom tekniska och organisatoriska åtgärder, anmälan och information vid Personuppgiftsincident, konsekvensbedömning avseende dataskydd och föregående samråd) och Personuppgiftsansvariges skyldigheter enligt kapitel III i GDPR om rättigheter för Registrerad (såsom rätten till information, tillgång, rättelse, radering, begränsning av Behandling, dataportabilitet, invändning mot automatiserat beslutsfattande);

(c) hänvisa eventuell begäran om tillgång till Personuppgifter från en Registrerad, Dataskyddsmyndigheten eller någon annan tredje part till Personuppgiftsansvarig. Personuppgiftsbiträdet ska också utan dröjsmål meddela Personuppgiftsansvarig om någon kontakt skett med Dataskyddsmyndigheten angående eller eventuellt rörande Behandling av Personuppgifter enligt detta Tillägg;

(d) efter eventuell begäran från Personuppgiftsansvarig, radera, anonymisera eller återlämna alla Personuppgifter till Personuppgiftsansvarig efter avslutandet av Tillägget, oavsett orsak, inklusive radering av befintliga kopior, såvida inte GDPR, domännamnsregistren eller medlemsstatens lag kräver lagring av Personuppgifterna;

(e) omedelbart underrätta Personuppgiftsansvarige om eventuella säkerhetsincidenter där sådana händelser har resulterat i eller sannolikt kommer att resultera i oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande eller tillgång till de Personuppgifter som omfattas av detta Databehandlingstillägg;

(f) på begäran av Personuppgiftsansvarige, omedelbart tillhandahålla Personuppgiftsansvarige all information som begärs om händelsen, såsom fakta som hänför sig till händelsen, dess effekter och åtgärdsåtgärder som vidtagits och samarbeta med Personuppgiftsansvarig i att kommunicera om händelsen med tillsynsmyndigheten vid behov;

(g) efter eventuell instruktion för att ta bort Personuppgifter från Personuppgiftsansvariges Registrerad, förstöra, skriva över eller på annat sätt ta bort data utan onödigt dröjsmål;

(h) bistå Personuppgiftsansvarig med information som är nödvändig för att Personuppgiftsansvarig ska uppfylla sina skyldigheter som Personuppgiftsansvarig gentemot Dataskyddsmyndigheten och/eller Registrerade; och

3.2 Vidare ska Personuppgiftsbiträdet alltid Behandla Personuppgifter i enlighet med GDPR. Detta inkluderar, men är inte begränsat till, upprätthållande av en förteckning över Behandlingsaktiviteter, ge tillgång till register av Behandlingsaktiviteter när det begärs av den Registrerade eller Personuppgiftsansvarig och omedelbart anmäla Personuppgiftsansvarig om Personuppgiftsbiträdet misstänker att det finns risk att individernas rättigheter och friheter kränks.

3.3 Kunden ger fullmakt till Abion att ingå standardklausuler för Kundens räkning med underbiträden i tredje land, specifikt standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredje land i enlighet med Europaparlamentets och rådets direktiv 95/46/EG (2010/87/EU).

4. Ansvar

4.1 Ingendera parten ska under några omständigheter vara ansvarig gentemot den andra parten för indirekta skador såsom förlust av vinst, minskad omsättning, förlust och korruption av data, bristande efterlevnad av tredje parts skyldigheter eller förlust av förmåner med Behandlingen eller Tillägget i övrigt.

5. Avtalsperiod

5.1 Detta Tillägg blir gällande genom godkännande av Avtalet, alternativt genom särskilt godkännande av Tillägget. Tillägget ska gälla så länge som Personuppgiftsbiträdet Behandlar Personuppgifter på uppdrag av Personuppgiftsansvarig. Tillägget kan avslutas av endera parten genom att säga upp Avtalet i enlighet med uppsägningsreglerna som anges i Avtalet. Tillägg ska påbörjas från sju (7) dagar efter det att Kunden har erhållit Tillägget om inga ändringar i Tillägget har begärts och i vart fall senast den 25 maj 2018. Tillägget ska gälla så länge som Personuppgiftsbiträdet Behandlar Personuppgifter på uppdrag av Personuppgiftsansvarig. Tillägget kan avslutas av endera parten genom att säga upp Avtalet i enlighet med uppsägningsreglerna som anges i Avtalet.

6. Förfrågningar från tredje part och konfidentialitet

6.1 Abion kommer inte att avslöja Kundens Personuppgifter till någon tredje part, såvida inte Kunden har godkänt det eller om det krävs enligt lag. Om en regering eller tillsynsmyndighet kräver tillgång till Kundens Personuppgifter, kommer Abion att meddela Kunden före offentliggörandet, såvida inte det förbjuds enligt lag.

6.2 Abion kräver att all personal som är behörig att Behandla Kundens Personuppgifter tillämpar sekretess och inte Behandlar Kundens Personuppgifter för andra ändamål, med undantag av om detta sker enligt instruktioner från Kunden eller om inte annat följer av gällande lag.

7. Revision

7.1 På Kundens skriftliga begäran ska Abion tillåta och bidra till revisioner, inklusive inspektioner, utförda av Kunden eller av en annan revisor som uppdragats av Kunden.

7.2 Abion kommer att ge Kunden eller dess uppdragsgivna revisor den information som är nödvändig för att visa att de skyldigheter som följer av detta Tillägg följs.

7.3 Varje part ska stå för sina egna kostnader i enlighet med klausul 7.1 och 7.2.

8. Övrigt

8.1 Överlevande förpliktelser:

Vid uppsägning av detta Tillägg, oavsett anledningen till uppsägningen, ska följande klausuler överleva och fortsätta i full kraft och effekt: klausul

8.1 (Överlevande förpliktelser) och klausul 9 (Gällande lag och tvister).

8.2 Ändring och tillägg:

Ändringar och tillägg måste vara skriftliga (med uttrycklig hänvisning till detta Tillägg) och vederbörligen verkställda av parterna.

8.3 Underbiträden:

(a) Personuppgiftsbiträdet har rätt att anställa underbiträden för behandling av Personuppgifter på Personuppgiftsansvarigs vägnar. Personuppgiftsbiträdet förbinder sig att informera Personuppgiftsansvarige om Personuppgiftsbiträdets eventuella planer att anställa och/eller ersätta ett underbiträde, vilket ger Personuppgiftsansvarig möjlighet att invända mot sådana ändringar.

(b) Om Personuppgiftsbiträdet anställer underbiträden för behandling av Personuppgifter på Personuppgiftsansvariges vägnar är Personuppgiftsbiträdet helt ansvarig gentemot Personuppgiftsansvarig för sådana underbiträdens aktiviteter.

(c) Personuppgiftsbiträdet ska anställa underbiträden i enlighet med bilaga 2.

9. Gällande lag och tvister

9.1 Detta Tillägg ska styras av och tolkas i enlighet med Sveriges lagar.

9.2 Eventuell tvist, kontrovers eller anspråk som härrör från eller i anslutning till detta Tillägg, eller brott, uppsägning eller ogiltighet som följd därav skall slutgiltigt avgöras genom skiljeförfarande i Stockholms Handelskammares skiljedomsinstitut ("Institutet"). Skiljeförfarandets säte ska vara Göteborg, Sverige.

9.3 Reglerna för förenklat skiljeförfaranden i Stockholms Handelskammares skiljedomsinstitut ska tillämpas, såvida inte Institutet, med hänsyn till ärendets komplexitet, det ifrågavarande beloppet och andra omständigheter, bestämmer att skiljedomsregler i Stockholms Handelskammares skiljedomsinstitut ska tillämpas. I det senare fallet ska Institutet också avgöra huruvida skiljenämnden ska bestå av en eller tre skiljemän.

9.4 Parterna är överens om att, utan begränsning i tid, inte avslöja existensen eller innehållet eller några beslut eller belopp avseende detta Tillägg eller information om förfaranden, skiljeförfarande eller medling på grund av detsamma. Bestämmelserna i denna klausul 7.4.4 ska inte gälla om den strider mot lag, annan lagstiftning, myndighetens föreskrifter, värdepappersutbytesbestämmelser eller praxis i värdepappersutbytet eller annars krävs för verkställighet av ett beslut.

10. Kontaktuppgifter

10.1 Företagets kontaktuppgifter:

För eventuella ändringar i detta Tillägg, frågor om hur vi Behandlar dina Personuppgifter eller information och kontaktuppgifter till utvald ansvarig kontaktperson för Personuppgifter, vänligen kontakta oss på följande kontaktuppgifter:

gdpr@abion.com

legal@abion.com


Bilaga 1

Syftet med Behandlingen

1. Instruktioner

1.1 Personuppgiftsbiträdet åtar sig att följa instruktionerna i denna bilaga 1, som kan ändras då och då genom ett skriftligt meddelande från Personuppgiftsansvarig till Personuppgiftsbiträdet.

1.2 Personuppgiftsbiträdet ska Behandla Personuppgifter för att tillhandahålla hostinglösningar för uthyrning av virtuellt och fysiskt serverutrymme. Genom att tillhandahålla dessa tjänster Behandlas samtliga Personuppgifter som Personuppgiftsansvarig väljer att lagra på servrarna.

1.3 Behandlingens art och syfte är att tillhandahålla Tjänsten enligt beskrivningen i Avtalet.

2. Tiden för Behandling

2.1 Personuppgiftsbiträdet ska Behandla Personuppgifter under Avtalets varaktighet, om inte annat avtalats skriftligen.

2.2 Vissa uppgifter måste lagras under längre tid, även efter det att ett affärsförhållande har avslutats, när det krävs enligt nationell lagstiftning. Sådana krav kan exempelvis ingå i skatte- eller bokföringslagar.

3. Säkerhet

3.1 Personuppgiftsbiträdet kommer att sträva efter att vidta adekvata tekniska och organisatoriska åtgärder mot förlust eller någon form av olaglig behandling (som obehörigt avslöjande, försämring, ändring eller offentliggörande av Personuppgifter) i samband med utförandet av behandling av Personuppgifter enligt detta Databehandlingstillägg.

3.2 Personuppgiftsbiträdet garanterar inte att säkerhetsåtgärderna är effektiva under alla omständigheter. Personuppgiftsbiträdet kommer att sträva efter att säkerställa att säkerhetsåtgärderna är på en rimlig nivå med hänsyn till den senaste tekniken, Personuppgifternas känslighet och kostnaderna för säkerhetsåtgärderna.

4. Typer av Personuppgifter

4.1 Personuppgiftsbiträdet Behandlar Personuppgifter som är nödvändiga för att administrera relationen med Personuppgiftsansvarig och att tillhandahålla tjänster i enlighet med Avtalet. Behandlingen består i samtliga Personuppgifter som Personuppgiftsansvarig väljer att lagra på servrarna. Personuppgiftsbiträdet Behandlar enbart dessa Personuppgifter genom lagring. Då typen av Personuppgifter beror på vad Personuppgiftsansvarig väljer att lagra är det inte möjligt att ange vilken typ av Personuppgifter som kommer att behandlas.

5. Kategorier av Registrerade

5.1 Personuppgiftsansvariges Registrerade kan innehålla Personuppgiftsansvariges slutanvändare, anställda, entreprenörer, leverantörer och andra tredje parter.


Bilaga 2

Underleverantörer

1. Underleverantörer

1.1 Personuppgiftsbiträdet ska använda följande underleverantörer:

1.1.1 Drift och skötsel av redundansservrar Gridcore
Byfogdegatan 6, 415 05 Göteborg

1.1.2 Tillhandahållande av Office365 Microsoft Ireland
One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland