Personuppgiftsbiträdesavtal för K3 Travel AB

Nedan följer ett Personuppgiftsbiträdesavtal. Detta avtal godkänns genom att signera K3 Travels huvudavtal. 

1. Bakgrund och syfte

1.1. Avtalet är en del av ett avtal om tillhandahållandet av tjänster som ingåtts mellan personuppgiftsansvarig (Företaget/Organisationen) och personuppgiftsbiträde (K3 Travel) och ska tolkas mot bakgrund av detta. Avtalet reglerar personuppgiftsbiträdets behandling av personuppgifter för personuppgiftsansvarigs räkning samt den integritetsnivå som ska uppnås vid behandling.

1.2. Avtalet syftar till att säkerställa de registrerades fri- och rättigheter när personuppgiftsansvarig anlitar ett personuppgiftsbiträde vid behandling av personuppgifter och till att uppfylla tillämpliga dataskyddsregler.

1.3. Eventuella tidigare regleringar avseende leverantörens behandling av personuppgifter för personuppgiftsansvarigs räkning ersätts till fullo av avtalet. I övrigt påverkas inte parternas åtaganden i huvudavtalet eller något av bilagorna till huvudavtalet.

2. Definitioner

2.1. Om inget annat uttryckligen anges ska begreppen i avtalet ha samma innebörd som i gällande dataskyddsregler.

2.2. Behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,

2.3. Personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller Onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet,

2.4. Personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan personuppgiftsansvarig eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt,

2.5. Personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för personuppgiftsansvarigs räkning.

2.6. Underbiträde: avser sådant personuppgiftsansvarig som anlitas av det personuppgiftsbiträde som är part och som behandlar personuppgifter för personuppgiftsansvarigs räkning. 

2.7. Personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

2.8. Dataskyddsregler: avser sådan integritets- och personuppgiftslagstiftning exempelvis den allmänna dataskyddsförordningen (GDPR), (EU) 2016/679 med tillhörande genomförandeförfattningar samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på den personuppgiftsbehandling som sker under avtalet, inklusive nationell sådan lagstiftning och EU Lagstiftning, såsom denna kan komma att förändras över tid.

3. Personuppgiftsansvarigs ansvar

3.1. Personuppgiftsansvarig ska säkerställa att behandlingen av personuppgifter är laglig enligt dataskyddsregler.

3.2. Personuppgiftsansvarig får endast tillhandahålla personuppgiftsbiträdet sådana personuppgifter som är nödvändiga för ändamålet med behandlingen.

3.3. Personuppgiftsansvarig ska tillhandhålla personuppgiftsbiträdet dokumenterade instruktioner och övriga anvisningar avseende ändamålet, omfattningen, arten och varaktigheten av behandlingen samt kategorier av registrerade i den utsträckning som är nödvändig för att personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt avtalet och dataskyddsregler.

4. Personuppgiftsbiträdets behandling av personuppgifter och biträde till personuppgiftsansvarig

4.1. De Personuppgifter som personuppgiftsbiträdet har åtkomst till får endast behandlas i enlighet med avtalet och dataskyddsregler.

4.2. Personuppgiftsbiträdet får endast behandla personuppgifter i enlighet med personuppgiftsansvarigs såvida inte personuppgiftsbiträdet är skyldig enligt lag eller författning att behandla personuppgifter för annat ändamål eller på annat sätt. Har personuppgiftsansvarig lämnat ofullständiga eller felaktiga instruktioner ska personuppgiftsbiträdet omgående påtala detta för personuppgiftsansvarig.

4.3. Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta personuppgiftsansvarig när denne anser att en behandling strider mot dataskyddsregler eller annan tillämplig lag och därefter invänta personuppgiftsansvarigs anvisningar. Vad som anges ovan gäller endast om personuppgiftsbiträdet inte är förhindrad att på andra grunder lämna sådan underrättelse.

4.4. Personuppgiftsbiträdet ska utan oskäligt dröjsmål, dock senast fjorton (14) dagar från personuppgiftsansvarigs begäran, ge denne tillgång till personuppgifter som personuppgiftsbiträdet behandlar samt genomföra en begärd ändring, radering, begränsning eller överföring av nämnda personuppgifter. Har personuppgiftsansvarig raderat, eller anvisat personuppgiftsbiträdetom radering, ska den senare vidta sådana åtgärder som krävs för att personuppgiften inte ska kunna återskapas.

4.5. Personuppgiftsbiträdet ska upprätthålla ett register över all behandling som sker på uppdrag av personuppgiftsansvarig, samt att på personuppgiftsansvarigs eller behörig tillsynsmyndighets uttryckliga begäran överlämna ett läsbart registerutdrag omfattandes, till ett minimum, de uppgifter som stadgas i den allmänna dataskyddsförordningens Artikel 30 p2.

4.6. Personuppgiftsbiträdet ska på personuppgiftsansvarigs förfrågan bistå denne att fullgöra sina skyldigheter enligt dataskyddsregler, såsom utförandet av konsekvensbedömningar avseende dataskydd, utformningen av lämpliga tekniska och organisatoriska åtgärder för inbyggt dataskydd, förhandssamråd med behörig tillsynsmyndighet samt medverka till utredning av inträffade personuppgiftsincidenter.

4.7. Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta personuppgiftsansvarig om denne kontaktas av behörig tillsynsmyndighet, någon registrerad eller annan tredje part i syfte att få tillgång till personuppgifter som personuppgiftsbiträdet, eller i förekommande fall ett underbiträde, behandlar.

4.8. Personuppgiftsbiträdet ska skriftligen och senast trettio (30) dagar innan en väsentlig förändring av behandlingsförfarandet, däribland tekniska och organisatoriska ändringar som kan påverka skyddet av personuppgift och personuppgiftsbiträdets efterlevnad av dataskyddsregler, informera personuppgiftsansvarig. Innan sådana ändringar genomförs ska personuppgiftsansvarig lämna sitt samtycke, vilket inte skäligen ska förvägras.

5. Underbiträden och tredjelandsöverföringar

5.1. Personuppgiftsansvarig godkänner att personuppgiftsbiträdet får anlita underbiträden, från och med dagen för ikraftträdandet av avtalet. Personuppgiftsbiträdet har rätt att ta del av samtliga underbiträden som används och personuppgiftsbiträdet är skyldig att säkerställa att motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt avtalet.

5.2. Om personuppgiftsbiträdet avser att anlita ett nytt underbiträde för behandling av personuppgifter som omfattas av avtalet ska personuppgiftsbiträdet informera personuppgiftsansvarig därom. Personuppgiftsbiträdet ska tillhandahålla personuppgiftsansvarig all information som skäligen begärs av personuppgiftsansvarig så att personuppgiftsansvarig kan bedöma huruvida användningen av det föreslagna underbiträdet säkerställer personuppgiftsansvarigs efterlevnad av avtalet och tillämpliga dataskyddsregler.

6. Teknisk och organisatorisk kapacitet och säkerhetsåtgärder

6.1. Personuppgiftsbiträdet garanterar att denne besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt avtalet och dataskyddsregler.

6.2. Personuppgiftsbiträdet ska på personuppgiftsansvarigs begäran kunna visa att de skyldigheter som framgår av avtalet och dataskyddsregler uppfylls genom att möjliggöra och bidra till granskningar och inspektioner och/eller tillhandahålla personuppgiftsansvarig andra adekvata underlag.

6.3. I det fall personuppgiftsbiträdet behandlar känsliga personuppgifter vilka omfattas av sekretess, ställs särskilt höga säkerhetskrav. Personuppgiftsansvarig får då lämna ytterligare instruktioner om säkerhetsåtgärder.

7. Personuppgiftsincidenter

7.1. Personuppgiftsbiträdet ska informera personuppgiftsansvarig utan onödigt dröjsmål efter att ha fått vetskap om förekomst av eller risken för oavsiktlig eller obehörig åtkomst till personuppgifter eller andra säkerhetsincidenter (”personuppgiftsincidenter”).

7.2. Personuppgiftsbiträdet ska bistå personuppgiftsansvarig med skäligen begärd information så att personuppgiftsansvarig kan uppfylla kraven avseende anmälan av personuppgiftsincident i enlighet med tillämpliga dataskyddsregler.

7.3. Personuppgiftsbiträdet ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenter, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för personuppgiftsansvarig och aktuell tillsynsmyndighet att kontrollera efterlevnad av detta kapitel.

 

Tillbaka till villkor och policy