DPA/PUBA
Det här avtalet gäller från och med 2023-06-01.
Personuppgiftsbiträdesavtal
Detta Personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) mellan: Smooth Internet Group AB, org.nr. 556936-4325 (”Smooth Internet Group”); och Kunder som använder våra tjänster (”Kunden”), (var och en ”Part” och gemensamt ”Parterna”).
Allmänt
Detta Personuppgiftsbiträdesavtal utgör en integrerad del av avtalet som ingåtts mellan Smooth Internet Group och Kunden (”Avtalet”). Smooth Internet Group kommer vid fullföljandet av Avtalet att Behandla Personuppgifter som Kunden är personuppgiftsansvarig för och/eller som Kundens kunder är personuppgiftsansvariga för. I de fall Kunden är personuppgiftsansvarig, Behandlar Smooth Internet Group Personuppgifter såsom Kundens personuppgiftsbiträde. I de fall Kundens kunder är personuppgiftsansvariga Behandlar Smooth Internet Group Personuppgifter såsom underbiträde åt Kunden som i sin tur Behandlar Personuppgifterna såsom personuppgiftsbiträde åt sina kunder. De skyldigheter som Smooth Internet Group har gentemot Kunden enligt detta Personuppgiftsbiträdesavtal (och de rättigheter som tillkommer Kunden enligt detta Personuppgiftsbiträdesavtal) ska då även föreligga gentemot (och tillkomma) Kundens kunder i den mån det krävs för att följa Dataskyddsregleringen. Om någon annan tillsammans med Kunden är personuppgiftsansvarig för de aktuella Personuppgifterna ska Kunden informera Smooth Internet Group om detta.
Syftet med detta Personuppgiftsbiträdesavtal är att Parterna ska uppfylla vid var tid gällande krav på Personuppgiftsbiträdesavtal och förpliktelser enligt Dataskyddsreglering samt att säkerställa ett adekvat skydd för personlig integritet och grundläggande rättigheter för enskilda i samband med överföring av Personuppgifter från Kunden till Smooth Internet Group inom ramen för den verksamhet som bedrivs av Smooth Internet Group i rollen som leverantör av webbhotell och virtuella servrar och driftstjänster samt därtill tillhörande support- och tilläggstjänster till Kunden. Detta Personuppgiftsbiträdesavtal ersätter eventuella tidigare personuppgiftsbiträdesavtal mellan Parterna och har företräde framför Avtalet vad gäller föremålet för detta Personuppgiftsbiträdesavtal, oavsett vad som anges i Avtalet.
Definitioner
”Behandling” avser vid var tid gällande legaldefinition av ”Behandling” enligt Dataskyddsreglering. Vid tidpunkten för Avtalets undertecknande innefattar Behandling varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning efter annat tillhandahållande av uppgifter, sammanställning eller samkörning blockering, utplåning eller förstöring. ”Dataskyddsreglering” avser vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter vilket innefattar men inte är begränsat till Personuppgiftslagen (1998:204) och från den 25 maj 2018 Europaparlamentets och Rådets Förordning (EU) 2016/679 (”Dataskyddsförordningen”) vilken ersätter Personuppgiftslagen (1998:204); samt Tillsynsmyndighets bindande beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd. ”Personuppgifter” avser de Personuppgifter, som Smooth Internet Group Behandlar under Personuppgiftsbiträdesavtalet. Vid tidpunkten för Avtalets undertecknande definieras ”Personuppgifter” som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och som Behandlas för Kundens räkning men begreppet ska anses ha den innebörd som framgår av vid var tid gällande legaldefinition under Dataskyddsreglering. ”Registrerad” avser den fysiska person som en Personuppgift avser. ”Tillsynsmyndighet” avser den eller de tillsynsmyndigheter som har behörighet att bedriva tillsyn över hantering av Personuppgifter eller anses vara berörd tillsynsmyndighet enligt Dataskyddsreglering, t.ex. Datainspektionen. ”Tillämpningsdagen” avser den dag Dataskyddsförordningen börjar gälla, d.v.s. 25 maj 2018. ”Underleverantör” avser den underleverantör åt Smooth Internet Group som Behandlar Personuppgifter såsom Smooth Internet Group’s underbiträde.
Eventuella övriga definitioner med stor begynnelsebokstav som används i detta Personuppgiftsbiträdesavtal ska, om inget annat uttryckligen anges, ha den innebörd och betydelse som framgår i första hand av Dataskyddsreglering och annars av Avtalet om inte omständigheterna uppenbarligen talar för annan tolkningsordning.
Ansvar och instruktion
Kunden eller Kundens kund är personuppgiftsansvarig för samtliga Personuppgifter som Smooth Internet Group Behandlar under Avtalet. Den Personuppgiftsansvarige ansvarar för att gällande Dataskyddsreglering följs. Oavsett Kundens roll, åtar sig Kunden att informera Smooth Internet Group om innehållet i Dataskyddsreglering i delar som är av relevans för Smooth Internet Group för utförande av Behandlingen. Smooth Internet Group accepterar att följa vid var tid gällande krav i Dataskyddsreglering som Kunden informerat Smooth Internet Group om och instruerat Smooth Internet Group att följa.
Smooth Service och den eller de personer som arbetar under Smooth Internet Group’s ledning ska endast Behandla Personuppgifter i enlighet med de dokumenterade instruktioner som Kunden ger Smooth Internet Group och inte för andra ändamål än dem som Smooth Internet Group anlitats för. De instruktioner som gäller vid Avtalets ingående framgår av Bilaga 1 (Instruktion om hantering av Personuppgifter). Utöver de
särskilda instruktioner som framgår av Bilaga 1 ska detta Personuppgiftsbiträdesavtal och Avtalet i övrigt anses utgöra Kundens
instruktioner till Smooth Internet Group avseende Behandling av Personuppgifter. Kunden ska omedelbart informera Smooth Internet Group om förändringar vilka påverkar Smooth Internet Group’s skyldigheter enligt detta Personuppgiftsbiträdesavtal. Kunden ska även informera Smooth Internet Group om tredje parts, däribland Tillsynsmyndighets och Registrerads, åtgärder med anledning av Behandlingen som Smooth Internet Group utför under Personuppgiftsbiträdesavtalet.
Från och med Tillämpningsdagen får Behandling även ske om sådan Behandling krävs enligt unionsrätten eller enligt en
medlemsstats nationella rätt som Smooth Internet Group eller Underleverantör omfattas av. Om Behandling krävs enligt unionsrätten eller
enligt en medlemsstats nationella rätt som Smooth Internet Group eller Underleverantör omfattas av ska Smooth Internet Group eller Underleverantören informera Kunden om det rättsliga kravet innan Behandlingen, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.
Smooth Internet Group har rätt att under Personuppgiftsbiträdesavtalets giltighetstid och därefter lagra och behandla data som Behandlas
under detta Personuppgiftsbiträdesavtal i någon form i aggregerat eller anonymiserat format, d.v.s. data som inte innehåller
Personuppgifter.
Säkerhet m.m.
Smooth Internet Group ska vidta de tekniska och organisatoriska åtgärder som krävs enligt Dataskyddsreglering för att säkerställa en
säkerhetsnivå som är lämplig i förhållande till risken och för att skydda de Personuppgifter som Behandlas mot oavsiktlig eller
olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som Behandlas.
Smooth Internet Group ska, från och med Tillämpningsdagen, bistå Kunden med att se till att skyldigheterna enligt Artiklarna 32-36 i
Dataskyddsförordningen fullgörs, med beaktande av typen av Behandling och den information som Smooth Internet Group har att tillgå.
Utlämnande av Personuppgifter och information
Om det till Smooth Internet Group kommer in en begäran från Registrerad, Tillsynsmyndighet eller annan tredje man om att få ta del av uppgifter som Smooth Internet Group Behandlar under detta Personuppgiftsbiträdesavtal ska Smooth Internet Group vidarebefordra begäran till Kunden. Smooth Internet Group, eller den som arbetar under Smooth Internet Group’s ledning, får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan instruktion om detta från Kunden. Från och med Tillämpningsdagen ska Smooth Internet Group genom tekniska och organisatoriska åtgärder, som med hänsyn till Behandlingens art är lämpliga, hjälpa Kunden i den mån det är möjligt så att Kunden kan fullgöra sin skyldighet att svara på begäran från den Registrerade vid den Registrerades utövande av sina rättigheter enligt Dataskyddsreglering.
Kontakt med Tillsynsmyndigheten
Smooth Internet Group ska informera Kunden om eventuella kontakter från Tillsynsmyndigheten som rör Behandling av Personuppgifter. Smooth Internet Group har inte rätt att företräda Kunden eller Kundens kunder och får inte agera för deras räkning gentemot Tillsynsmyndighet.
Underleverantörer
Personuppgifter får Behandlas av en Underleverantör under förutsättning att Smooth Internet Group ingår ett skriftligt avtal (”Underbiträdesavtal”) där Underleverantören åläggs motsvarande skyldigheter som Smooth Internet Group åläggs enligt detta Personuppgiftsbiträdesavtal. Innan Tillämpningsdagen ska sådant Underbiträdesavtal ingås för Kundens räkning eller, när Kundens kund är personuppgiftsansvarig, för dennes räkning. Smooth Internet Group ska från och med Tillämpningsdagen särskilt tillse att Underleverantör ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i Dataskyddsförordningen. Smooth Internet Group ska på begäran från Kunden informera Kunden (och om så begärs, Kundens kunder som är personuppgiftsansvariga) om vilka Underleverantörer som anlitats av Smooth Internet Group för att Behandla Personuppgifter enligt detta Personuppgiftsbiträdesavtal och Smooth Internet Group ska på begäran från Kunden lämna den ytterligare specificerade information om sådan Behandling som Kunden eller Kundens kunder skäligen kan begära enligt Dataskyddsreglering. Smooth Internet Group åtar sig att informera Kunden om eventuella planer på att anlita nya Underleverantörer eller ersätta Underleverantörer. Kunden har rätt att själv – i egenskap av personuppgiftsansvarig – eller för dess kunders räkning – i egenskap av personuppgiftsbiträde åt sina kunder, invända mot sådana förändringar. Sådan invändning får endast hänföra sig till objektiva grunder hänförliga till säkerheten av Behandlingen enligt Personuppgiftsbiträdesavtalet. Om Kunden för egen eller sina kunders räkning gör en sådan befogad invändning har Smooth Internet Grouprätt till extra ersättning av Kunden för de kostnader som Smooth Internet Group drabbas av p.g.a. aktuell Underleverantör inte kan användas. Smooth Internet Group har även rätt att säga upp Avtalet och/eller detta Personuppgiftsbiträdesavtal helt eller delvis, t.ex. vad avser viss tilläggstjänst med trettio (30) dagars uppsägningstid.
Rätt till insyn
Med verkan från Tillämpningsdagen ska Smooth Internet Group ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som följer av Artikel 28 i Dataskyddsförordningen har fullgjorts inom skälig tid efter sådan begäran framställts av Kunden till Smooth Internet Group. Detta medför bland annat att Kunden och i tillämpliga fall Kundens kunder, i egenskap av personuppgiftsansvarig(a), har rätt att vidta nödvändiga åtgärder för att verifiera att Smooth Internet Group kan fullfölja sina åtaganden enligt detta Personuppgiftsbiträdesavtal och att Smooth Internet Group faktiskt har vidtagit åtgärder för att säkerställa detta.
Överföring av Personuppgifter utanför EU/EES
Överföring av Personuppgifter av Smooth Internet Group eller av Underleverantör till en plats utanför EES-området får vidtas förutsatt att vid var tid gällande krav för sådan överföring enligt Dataskyddsreglering uppfylls.
Sekretess
Om Kunden och/eller Kundens personuppgiftsansvariga kunder omfattas av bestämmelserna i gällande Offentlighets- och sekretesslag ska Smooth Internet Group iaktta bestämmelserna i sådan lag för sekretesskyddade uppgifter och information enligt nämnda lag i den mån Kunden informerar Smooth Internet Group härom. Smooth Internet Group åtar sig att säkerställa att personer med behörighet att Behandla Personuppgifterna har åtagit sig att iaktta sekretess för sådan Behandling eller omfattas av en lämplig lagstadgad tystnadsplikt. Åtagandet i punkt 10.1 ovan gäller inte information som Smooth Internet Group föreläggs utge till myndighet eller enligt Dataskyddsreglering eller annan lagstadgad skyldighet. Sekretessåtagandet gäller under Avtalets giltighetstid och därefter
Dataportabilitet
Smooth Internet Group ska från och med Tillämpningsdagen tillse att Kunden och/eller Kundens kunder (när dessa är personuppgiftsansvariga) kan uppfylla eventuell skyldighet att möjliggöra dataportabilitet avseende Personuppgifter som Smooth Internet Group Behandlar under detta Personuppgiftsbiträdesavtal.
Ersättning
Smooth Internet Group ska ha rätt till full ersättning från Kunden för samtligt arbete och samtliga kostnader som uppstår till följd av fullgörande av punkterna 8, 11 och 15.1 som beror på instruktioner för Behandlingen som Kunden ger Smooth Internet Group och som går utöver vad som framgår av bilaga 1 eller de funktioner och den säkerhetsnivå som följer av de tjänster som Smooth Internet Group normalt erbjuder sina kunder, t.ex. vad gäller Smooth Internet Group’s webbhotell och servrar sådant som kräver att Smooth Internet Group behöver göra specialanpassningar på beställning av Kunden. Smooth Internet Group ska även ha rätt till ersättning för sitt arbete med anledning av sina åtaganden enligt punkten 5. Samtligt arbete som Smooth Internet Group har rätt till ersättning för enligt denna punkt ska ersättas i enlighet med Smooth Internet Group’s vid var tid gällande timpriser. Kostnader ska ersättas med Smooth Internet Group’s faktiska kostnader.
Ansvar
Om Smooth Internet Group, den som arbetar under Smooth Internet Group’s ledning eller av Smooth Internet Group anlitat Underleverantör Behandlar Personuppgifter i strid med detta Personuppgiftsbiträdesavtal eller de lagenliga anvisningar som Kunden har lämnat, ska Smooth Internet Group med beaktande av de ansvarsbegränsningar som följer av Avtalet, ersätta Kunden för den direkta skada som Kunden har orsakats på grund av den felaktiga Behandlingen. Kunden ska hålla Smooth Internet Group skadelös för samtliga direkta eller indirekta skador som Smooth Internet Group orsakas genom överträdelse av Dataskyddsreglering som beror på otydliga, bristfälliga eller otillåtna instruktioner som Kunden har gett Smooth Internet Group, bristfällig information från Kunden om vilka kategorier av uppgifter som Behandlas (t.ex. om känsliga Personuppgifter Behandlas utan att Kunden informerat Smooth Internet Group om detta) eller annars beroende på omständighet på Kundens sida.
Smooth Internet Group’s ersättningsskyldigheter avseende krav och skador enligt denna punkt 13 gäller under förutsättning att i) Kunden utan onödigt dröjsmål skriftligen underrättar Smooth Internet Group om krav som framställts mot Kunden; och ii) Kunden låter Smooth Internet Group kontrollera försvaret av kravet och ensam fatta beslut om eventuell förlikning Avtalstid och åtgärder vid upphörande Personuppgiftsbiträdesavtalet gäller från dess undertecknande och så länge som Smooth Internet Group Behandlar Personuppgifter för Kundens eller dennes kunders räkning. Smooth Internet Group ska efter Avtalets eller Personuppgiftsbiträdesavtalets upphörande (beroende på vilket som inträffar först) återlämna eller radera de Personuppgifter som Kunden överlämnat eller som på annat sätt kommit Smooth Internet Group tillhanda. Smooth Internet Group ska radera eventuella befintliga kopior såvida inte lagring av Personuppgifterna krävs enligt unionsrätten eller medlemsstats nationella rätt.
Ändringar i Personuppgiftsbiträdesavtalet
Om Dataskyddsreglering ändras under tiden för Personuppgiftsbiträdesavtalet, eller om Tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsreglering som föranleder att detta Personuppgiftsbiträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal och/eller underbiträdesavtal ska detta Personuppgiftsbiträdesavtal ändras för att tillgodose sådana nya eller tillkommande krav. Sådan ändring träder ikraft senast trettio (30) dagar efter att Kunden översänt ändringsmeddelande till Smooth Internet Group, eller annars senast inom sådan tidsperiod som anges i Dataskyddsreglering, Tillsynsmyndighets riktlinjer, beslut eller föreskrifter. Övriga ändringar av och tillägg till detta Personuppgiftsbiträdesavtal ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av Parterna.
Övrigt
I övrigt ska vad som sägs i Avtalet äga tillämpning även för Smooth Internet Groups Behandling av Personuppgifter och åtagandena under detta Personuppgiftsbiträdesavtal. Vid oenighet mellan bestämmelserna i Avtalet och detta Personuppgiftsbiträdesavtal ska dock bestämmelserna i Personuppgiftsbiträdesavtalet äga företräde i förhållande till all Behandling av Personuppgifter och inget i Avtalet ska anses begränsa eller ändra åtaganden i detta Personuppgiftsbiträdesavtal i den mån att detta skulle medföra att någon Part inte uppfyller kraven enligt Dataskyddsreglering. Svensk lag ska under alla omständigheter tillämpas på Smooth Internet Group’s Behandling av Personuppgifter enligt detta Personuppgiftsbiträdesavtal.
Tvister som uppstår i anledning av detta Personuppgiftsbiträdesavtal ska lösas i enlighet med tvistlösningsbestämmelsen i
Avtalet