Personuppgiftsbiträdesavtal
Det här Personuppgiftsbiträdesavtalet är en bilaga och en integrerad del av Klintberg & Way ABs Allmänna Villkor. Avtalet anses accepterat genom att Kunden har godkänt Allmänna Villkor.
1. Innehåll och syfte
Personuppgiftsansvarig är en återförsäljare av Personuppgiftsbiträdets tjänster och/eller produkter, och nyttjar för detta syfte det ordersystem som tillhandahålls av Personuppgiftsbiträdet där uppgifter kopplade till Personuppgiftsansvariges kunders Personuppgifter hanteras. Detta Avtal reglerar parternas respektive ansvar för Behandlingen av Personuppgifter, och är gällande så länge som Parternas affärsförhållande är aktivt eller avtalet sägs upp av någon Part.
2. Definitioner
2.1. “Personuppgifter” varje upplysning som avser en identifierad eller identifierbar fysisk person, i enlighet med EU:s förordning (EU) 2016/679 (“GDPR”).
2.2. “Behandla” eller “Behandling” är en åtgärd eller en kombination av åtgärder beträffande Personuppgifter, som definierat under GDPR.
3. Kategorier av registrerade/individer
De kategorier av individer vars Personuppgifter kommer att behandlas under Avtalet är den Personuppgiftsansvariges kunder.
4. Kategorier av Personuppgifter
De kategorier av Personuppgifter som kommer att Behandlas under Avtalet är: Registreringsnummer eller VIN nr på kundens bil samt annan information som Personuppgiftsansvarig väljer att hantera i systemet.
5. Ansvar och instruktioner
Den Personuppgiftsansvarige beslutar om ändamål och medel för Behandlingen av Personuppgifterna.
Den Personuppgiftsansvarige ansvarar för att ge Personuppgiftsbiträdet instruktioner gällande Personuppgiftsbiträdes Behandling av Personuppgifter, och Personuppgiftsbiträdet ska endast Behandla Personuppgifterna i enlighet med Avtalet och de från tid till annan givna instruktionerna ifrån den Personuppgiftsansvarige. Personuppgiftsbiträdet ska ha rätt till skälig ersättning vid ändrade skriftliga instruktioner. Om Personuppgiftsbiträdet anser att en instruktion bryter mot GDPR, ska Personuppgiftsbiträdet genast meddela den Personuppgiftsansvarige om detta.
6. Stöd och information
Personuppgiftsbiträdet ska vara Personuppgiftsansvarige behjälplig och samarbeta med den Personuppgiftsansvarige vid frågor som rör individers rättigheter, och i övrigt vara behjälplig med att tillhandahålla information och support till den Personuppgiftsansvarige när denne så begär det i syfte att uppfylla sina skyldigheter enligt lag.
Personuppgiftsbiträdet har rätt till skälig ersättning för det bistånd som Personuppgiftsbiträdet tillhandahåller enligt denna punkten 6.
7. Säkerhet och sekretess
Personuppgiftsbiträdet ska implementera lämpliga tekniska och organisatoriska åtgärder till skydd för Personuppgifterna som Behandlas, särskilt med avseende på artikel 32 i GDPR.
Personuppgiftsbiträdet ska tillåta de granskningar som en tillsynsmyndighet eller den Personuppgiftsansvarige kan kräva för att säkerställa att Personuppgiftsbiträdet uppfyller sina skyldigheter enligt detta Avtal.
Endast den personal som behöver få tillgång till Personuppgifterna för att Personuppgiftsbiträdet ska kunna tillhandahålla produkter och/eller tjänster till Personuppgiftsansvarig ska få det, och dessa ska vara bundna av lämpliga sekretessavtal.
8. Användande av underleverantörer
Personuppgiftsbiträdet får anlita underleverantörer för Behandling av Personuppgifterna, med förbehåll för vad som övrigt gäller i detta avsnitt 8, och enbart i syfte att tillhandahålla produkter och/eller tjänster till Personuppgiftsansvarig.
Leverantören ansvarar för att all Behandling av Personuppgifter som sker utav en underleverantör ska regleras genom ett skriftligt avtal med underleverantören som minst motsvarar kraven i detta Avtal.
Leverantören ansvarar för underleverantörs Behandling av Personuppgifter så som för sig själv, och är fullt ansvarig för underleverantör som inte uppfyller sina skyldigheter enligt Avtalet.
Personuppgiftsbiträdet har rätt att säga upp eller anlita andra lämpliga och tillförlitliga underleverantörer under förutsättning att reglerna i detta avsnitt 8 tillämpas. Personuppgiftsbiträdet ska innan en ny underleverantör anlitas skriftligen meddela den Personuppgiftsansvarige om den nya underleverantören, och den Personuppgiftsansvarige har efter mottagande meddelandet en rätt att invända mot den nya underleverantören.
Personuppgiftsbiträdet ska upprätthålla en lista över samtliga underleverantörer som Behandlar Personuppgifter i enlighet med detta Avtal och ska på förfrågan av Personuppgiftsansvarige översända en kopia på listan.
9. Tredjelandsöverföringar
Personuppgiftsbiträdet och dess underleverantörer får Behandla Personuppgifter under Avtalet utanför EU och de länder som Kommissionen bedömt har en adekvat skyddsnivå endast om;
a) Mottagaren har bedömts tillförsäkra Personuppgifterna en adekvat skyddsnivå genom att vara certifierad enligt Privacy Shield-överenskommelsen, eller;
b) Överföringen och de registrerades rättigheter och friheter skyddas genom godkända Bindande Företagsbestämmelser enligt artikel 47 i GDPR, eller;
c) Överföringen och de registrerades rättigheter och friheter skyddas genom Kommissionens Standardavtalsklausuler.
10. Skadestånd
Personuppgiftsbiträdet ansvar för skador som Personuppgiftsbiträdets Behandling av Personuppgifter orsakar Personuppgiftsansvarig ska vara begränsat till Personuppgiftsansvariges direkta skada till följd av Personuppgiftsbiträdes brott mot detta Avtal, och maximalt upp till vad Personuppgiftsansvarige betalt för det produkter och/eller tjänster Personuppgiftsbiträdet tillhandahållit den Personuppgiftsansvarige under det senaste året.
11. Avtalets upphörande
Vid Avtalets upphörande ska Personuppgiftsbiträdet återlämna och/eller radera samtliga Personuppgifter som Behandlats under Avtalet, enligt instruktion ifrån den Personuppgiftsansvarige.