Definitioner | |
“Avtalet” | Alla avtalshandlingar som är en del av avtalet. Offert eller anbud som accepterats inklusive alla bilagor och eventuella tillägg, justeringar eller korrigeringar som överenskommits mellan parterna efter Avtalets ingående. |
“Avtalshandling” | Samtliga handlingar som reglerar villkor för tillhandahållande av Tjänsten inklusive eventuella bilagor, arbets- eller projektbeskrivningar, beställningar om att genomföra tjänsten inklusive dessa allmänna villkor – tjänster 2023:1 och Certezzas särskilda bestämmelser vid behandling av personuppgifter – 2023 eller annat av Kunden framtaget personuppgiftsbiträdesavtal eller underbiträdesavtal inklusive bilagor. |
“Arbetsbeskrivning” | En offert eller beställning i överenskommet format som utgör en del av Avtalet och som identifierar Tjänsten eventuella Projekt och den kompetens som krävs för utförande av Tjänsten. |
“Behandling” | All behandling av personuppgifter inom ramen för tillhandahållande av Tjänsten och som regleras genom dessa bestämmelser inklusive bilagor. |
“Certezza” | Certezza AB, organisationsnummer 556536-1150, Kornhamnstorg 61, 111 27, Stockholm. |
“dataskyddsförordning” | Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG. |
“Dataskyddslagstiftning” | Avser all integritets- och personuppgiftslagstiftning, samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter), som är tillämplig på den behandling som sker enligt dessa bestämmelser, inklusive nationell sådan lagstiftning och EU-lagstiftning. |
“Kontaktperson” | Person som har rätt att representera part, företräda sin huvudman i frågor som rör Tjänstens utförande och/eller får ta emot Meddelanden med anledning av Avtalet. |
“Kund” | Part eller parter till Avtalet med Certezza och som definieras i Avtalet. |
“Part” | Certezza eller Kund, eller tillsammans som Parterna. |
“Personuppgiftsansvarig” | Kunden eller annan, som ensam eller tillsammans med andra bestämmer ändamål och medel för behandling av personuppgifter. |
“Personuppgiftsbiträde” | Certezza när Certezza behandlar personuppgifter för den Personuppgiftsansvarigas räkning; eller Kunden när Certezza är underleverantör vid tillhandahållande av Tjänsten. |
“Projekt” | Arbete som ska utföras enligt Arbetsbeskrivning/Offert. |
“Tjänsten” | Det arbete som ska utföras enligt Arbetsbeskrivning/Offert, inklusive eventuell dokumentation. |
“Underbiträde” | Underleverantör som Certezza använder för behandling av personuppgifter för den Personuppgiftsansvarigas räkning; och/eller Certezza när Certezza är underleverantör vid tillhandahållande av Tjänsten. |
1 Allmänt
1.1 Dessa särskilda bestämmelser ska tillämpas när Certezza kan komma att behandla personuppgifter inom ramen för Tjänsten och Avtalet hänvisar till dessa särskilda bestämmelser.
1.2 Parterna ska senast i samband med att Avtalet träffas säkerställa att Instruktion för behandling av personuppgifter (bilaga A) är korrekt ifylld.
1.3 Handlingars inbördes ordning regleras i Certezzas allmänna villkor – Tjänster 2023:1 om inte annat avtalats.
1.4 Termer och begrepp i övrigt har samma betydelse som de definierats i dataskyddsförordningen.
2 Behandlingen av personuppgifter
2.1 Kunden i egenskap av Personuppgiftsansvarig eller Personuppgiftsbiträde utser Certezza att behandla personuppgifter för den Personuppgiftsansvariges räkning i enlighet med dessa bestämmelser.
2.2 Den Personuppgiftsansvariga och i förekommande fall Personuppgiftsbiträdet ska ge skriftliga instruktioner för behandlingen av personuppgifterna.
2.3 Certezza får endast behandla personuppgifterna i enlighet med dessa bestämmelser och vid var tid gällande instruktioner för behandlingen av personuppgifterna.
3 Kundens ansvar
3.1 Kunden ansvarar för att det vid var tid finns laglig grund för behandlingen som Certezza ska utföra och för att utforma korrekta instruktioner så att Certezza och eventuellt Underbiträde kan fullgöra Tjänsten.
3.2 Kunden ansvarar för att alla instruktioner för behandlingen av personuppgifter sker i enlighet med gällande Dataskyddslagstiftning.
3.3 Kunden ska utan onödigt dröjsmål informera Certezza om förändringar i behandlingen som påverkar Certezza skyldigheter enligt Dataskyddslagstiftningen.
3.4 Kunden ansvarar för att informera registrerade om behandlingen och för att tillvara ta registrerades rättigheter enligt Dataskyddslagstiftningen samt vidta varje åtgärd som åligger Kunden enligt Dataskyddslagstiftningen.
4 Certezzas åtaganden
4.1 Certezza kommer endast behandla personuppgifter för Kundens räkning enligt dessa bestämmelser för att utföra den Tjänst som anges i Arbetsbeskrivningen, enligt Kundens uttryckliga instruktioner och för att följa krav enligt Dataskyddslagstiftningen. Certezza håller sig fortlöpande informerad om gällande rätt på området för personuppgiftsbehandling.
4.2 Certezza åtar sig att säkerställa att samtliga fysiska personer som arbetar under dess ledning följer dessa bestämmelser, Instruktion för behandling av personuppgifter (bilaga A) inklusive alla eventuellt tillkommande instruktioner samt Dataskyddslagstiftningen.
Om Certezza finner att Instruktionerna är otydliga, i strid med Dataskyddslagstiftningen eller saknas och Certezza bedömer att nya eller kompletterande instruktioner är nödvändiga för att genomföra sina åtaganden ska Certezza utan onödigt dröjsmål informera Kunden, tillfälligt upphöra med behandlingen och invänta nya instruktioner.
Om Kunden lämnar nya eller ändrade instruktioner ska Certezza, utan onödigt dröjsmål från mottagandet, meddela Kunden om de nya eller ändrade instruktioner medför förändrade kostnader för Kunden.
4.3 Certezza ska på begäran från Kunden eller den Personuppgiftsansvariga (om det är en annan än Kunden), bistå denne med att säkerställa att skyldigheterna att
med beaktande av den typ av behandling som Certezza ska utföra samt den information som Certezza har tillgång till.
Certezza ska bistå med att förmedla information som omfattas av medgivande från Kunden att lämna ut eller krav enligt lag på att lämna ut till registrerad eller tredje man.
4.4 Om Kunden har begärt rättelse eller radering på grund av Certezzas felaktiga behandling ska Certezza vidta lämplig åtgärd utan onödigt dröjsmål, senast inom trettio (30) dagar, från det att Certezza mottagit sådan information från Kunden. När Kunden har begärt radering för Certezza endast behandla aktuell personuppgift som ett led i processen för rättelse eller radering.
4.5 Om Certezza planerar att vidta tekniska eller organisatoriska åtgärder (t.ex. uppgraderingar eller felsökningar) som väntas påverka behandlingen ska Certezza skriftligen meddela Kunden i god tid innan åtgärderna vidtas.
5 Säkerhetsåtgärder
5.1 Certezza ska med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang samt riskerna för de fysiska personernas rättigheter och friheter vidta alla tekniska och organisatoriska åtgärder i enlighet med Instruktion för behandling av personuppgifter (bilaga A) samt alla tillkommande instruktioner för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken vid behandlingen av personuppgifter som den Personuppgiftsansvariga ansvar.
5.2 Genom tillämpning av behörighetskontrollsystem ger Certezza åtkomst till de personuppgifter som den Personuppgiftsansvarige har ansvar för endast för sådana fysiska personer som arbetar under Certezzas ledning och som behöver uppgifterna för att kunna utföra Tjänsten.
5.3 Certezza loggar kontinuerligt åtkomst till de personuppgifter som den Personuppgiftsansvarige har ansvar för i den utsträckning som det krävs enligt Instruktion för behandling av personuppgifter (bilaga A). Loggar gallras fem (5) år efter loggningstillfället om inget annat anges i Instruktion för behandling av personuppgifter (bilaga A).
5.4 Certezza vidtar regelbundet, minst en (1) gång vartannat år, tester av de tekniska och organisatoriska åtgärderna som ska säkerställa behandlingens säkerhet. Resultatet av testerna utvärderas och effektiviteten av vidtagna åtgärder bedöms så att eventuella förbättringar av säkerheten bäst kan prioriteras.
5.5 Certezza har förmåga att återställa tillgängligheten och tillgången till Personuppgifterna inom rimlig tid i händelse av en fysisk eller teknisk incident.
6 Konfidentialitet
6.1 Certezza och Certezzas medarbetare ska hantera personuppgifterna, som behandlas inom ramen för Tjänsten, konfidentiellt. Personuppgifterna får inte användas eller spridas för andra ändamål, vare sig direkt eller indirekt om inte annat avtalats särskilt eller följer av lag eller myndighetsbeslut.
6.2 Certezza ska skyndsamt underrätta Kunden om eventuella kontakter med tillsynsmyndigheter avseende behandlingen. Certezza har inte rätt att företräda eller agera för Kunden eller i förekommande fall den Personuppgiftsansvariga gentemot tillsynsmyndigheter i frågor som rör behandlingen av personuppgifterna inom ramen för Tjänsten.
6.3 Om en registrerad, tillsynsmyndighet eller tredje man begär information från Certezza om personuppgifter som den Personuppgiftsansvarige ansvar för eller om behandlingen i enlighet med Tjänstens utförande ska Certezza informera Kunden om detta. Information om behandlingen får inte lämnas till registrerade, tillsynsmyndighet eller tredje man utan skriftligt medgivande från Kunden och/eller i förekommande fall den Personuppgiftsansvariga. Detta gäller dock inte om det framgår av tvingande lag att information ska lämnas.
7. Granskning och tillsyn
7.1 Kunden har rätt att själv, eller genom annan av denne utsedd tredje part (som inte får vara en konkurrent till Certezza), följa upp att Certezza uppfyller dessa bestämmelser, Instruktion för behandling av personuppgifter (bilaga A) och Dataskyddslagstiftningens krav. Certezza ska vid en sådan granskning bistå Kunden, eller den som utför granskningen i Kundens ställe, med dokumentation, tillgång till lokaler, it-system och andra tillgångar som behövs för att kunna granska Certezzas efterlevnad av dessa bestämmelser, Instruktion för behandling av personuppgifter (bilaga A) och Dataskyddslagstiftningen. Kunden ska säkerställa att personal som genomför granskningen är underkastade krav på sekretess, konfidentialitet eller tystnadsplikt enligt lag eller avtal.
7.2 Certezza har rätt att som alternativ till bestämmelsen i 7.1 säkerställa granskning av en oberoende tredje part. Vid en sådan granskning ska Certezza ge Kunden eller en tredje part den assistans som behövs för genomförandet av granskningen.
7.3 Certezza ska ge tillsynsmyndighet eller annan myndighet som har laglig rätt till det, möjlighet att bedriva tillsyn enligt myndighetens begäran i enlighet med vid var till gällande lagstiftning, även om sådan tillsyn annars skulle stå i strid med dessa bestämmelser inklusive dessa bestämmelser, Instruktion för behandling av personuppgifter (bilaga A).
7.4 Certezza ska se till att Kunden har samma rättigheter enligt denna punkt 7 i förhållande till eventuella Underbiträden som Certezza anlitar.
8 Personuppgiftsincidenter
8.1 Certezza ska med beaktande av behandlingens art, och den information som Certezza har, bistå Kunden och i förekommande fall den Personuppgiftsansvariga med att fullgöra dennes skyldigheter vid en Personuppgiftsincident beträffande behandlingen. Certezza ska på Kundens eller i förekommande fall den personuppgiftsansvarigas begäran även bistå med att utreda misstankar om eventuell obehörigs behandling eller åtkomst till personuppgifterna.
8.2 Vid en personuppgiftsincident, som Certezza fått vetskap om, ska Certezza utan onödigt dröjsmål skriftligen underrätta Kunden och i förekommande fall den Personuppgiftsansvariga om händelsen. Certezza ska, med beaktande av typen av behandling och den information som Certezza har, tillhandahålla Kunden och i förekommande fall den personuppgiftsansvariga en skriftlig beskrivning av personuppgiftsincidenten.
Beskrivningen ska redogöra för:
Om det inte är möjligt för Certezza att tillhandahålla hela beskrivningen samtidigt, får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
9 Underbiträden
9.1 Certezza får anlita det eller de Underbiträden som framgår av punkt 10 Instruktion för behandling av personuppgifter (bilaga A) och under förutsättning att underbiträdet/ena kan ge tillräckliga garantier för att genomföra lämplig tekniska och organisatoriska åtgärder så att behandlingen uppfyller kraven enligt Dataskyddslagstiftningen.
9.2 Certezza är skyldig att tillämpa samma bestämmelser för personuppgiftsbehandlingen gentemot Underbiträden som gäller i förhållande till Kunden.
9.3 Certezza ansvarar fullt ut för Underbiträdens behandling gentemot Kunden och i förekommande fall den Personuppgiftsansvariga.
9.4 Certezza får anlita nya Underbiträden och ersätta befintliga Underbiträden.
9.5 När Certezza planerar att anlita ett nytt eller ersätta ett befintligt Underbiträde ska Certezza säkerställa Underbiträdets kapacitet och förmåga att uppfylla sina skyldigheter enligt Dataskyddslagstiftningen. Certezza ska skriftligen meddela Kunden och i förekommande fall den personuppgiftsansvariga om
9.6 Kunden och i förekommande fall den Personuppgiftsansvariga har rätt att inom trettio (30) dagar från meddelande enligt punkten 9.5 invända mot att Certezza anlitar ett nytt Underbiträde och att med anledning av sådan invändning säga upp regleras i Avtalet.
9.7 När Certezza slutar att anlita ett Underbiträde ska Certezza skriftligen meddela Kunden om att Certezza upphör med att anlita Underbiträdet.
9.8 Certezza ska på Kundens eller i förekommande fall den Personuppgiftsansvarigas begäran skicka en kopia av de bestämmelser som reglerar behandling av Underbiträdets behandling av personuppgifter inom ramen för Tjänsten i enligt punkten 9.2.
10 Lokalisering och överföring av personuppgifter till tredje land.
10.1 Certezza ska säkerställa att personuppgifterna som behandlas inom ramen för tillhandahållande av Tjänsten behandlas och lagras inom EU/EES av en fysisk eller juridisk person som är etablerad inom EU/EES, om inte annat framgår av punkt 8 Instruktion för behandling av personuppgifter (bilaga A).
10.2 Certezza får endast överföra personuppgifter till tredje land för behandling (t.ex. service, support, underhåll, utveckling drift eller liknande hantering) om Kunden eller i förekommande fall den Personuppgiftsansvariga på förhand skriftligen godkänt sådan överföring och utfärdat instruktioner för detta ändamål, som framgår av Instruktion för behandling av personuppgifter (bilaga A).
10.3 Överföring till tredje land enligt dessa bestämmelser, punkten 10.2, får endast göras om den är förenlig med Dataskyddslagstiftningen och uppfyller de krav på behandlingen som ställs i dessa bestämmelser och Instruktion för behandling av personuppgifter (bilaga A).
11 Ansvar för skada i samband med personuppgiftsbehandling
11.1 Vid ersättning för skada i samband med behandling som, genom fastställd dom eller förlikning, ska betalas till registrerade på grund av överträdelse av Dataskyddslagstiftningen tillämpas artikel 82 i dataskyddsförordningen.
11.2 Sanktionsavgifter enligt artikel 83 i dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska betalas av den part som påförts en sådan avgift. Om orsaken till avgiften är ett resultat av att Certezza följt uttrycklig instruktion från Kunden ska Kunden ersätta Certezza för denna kostnad. Om orsaken till avgiften beror på att Certezza inte följt eller agerat i strid med en uttrycklig instruktion från Kunden ska Certezza ersätta Kunden för denna kostnad.
11.3 Om en part får kännedom om omständighet med avseende på personuppgiftsbehandlingen som kan leda till skada för medparten ska parten omedelbart informera medparten om förhållandet och aktivt arbeta tillsammans med varandra för att förhindra och minimera sådan skada.
12 Giltighetstid, ändringar, uppsägning och åtgärder vid Avtalets upphörande
12.1 Dessa bestämmelser gäller under den tid som Avtalet gäller.
12.2 Avtalet reglerar rätten till uppsägning.
12.3 Tillägg till och ändringar i bilagorna till dessa bestämmelser ska vara skriftliga och signerade av behöriga företrädare för alla i Avtalet för behandling av personuppgifter relevanta för Tjänstens tillhandahållande ingående parter för att vara gällande.
12.4 Om någon av parterna får kännedom om att medparten agerar i strid med dessa bestämmelser inklusive tillämpliga bilagor eller dataskyddslagstiftningen ska parten utan dröjsmål meddela medparten om agerandet. Därefter äger parten rätt att med omedelbar verkan upphöra att utföra sina förpliktelser enligt dessa bestämmelser till dess medparten förklara att agerandet upphört och förklaringen accepterats av den part som påtalat agerandet.
12.5 Vid uppsägning av Avtalet ska Kunden utan onödigt dröjsmål och om det är tekniskt möjligt begära att Certezza överlämnar samtliga personuppgifter som behandlas inom ramen för Tjänsten till Kunden eller radera dem, enligt dennes önskemål. Om personuppgifterna överlämnas ska de lämnas i ett öppet och standardiserat format. Med samtliga personuppgifter som behandlas inom ramen för Tjänsten inkluderas även tillhörande information som loggar, instruktioner, systemlösningar, beskrivningar och andra handlingar som Certezza fått av Kunden genom informationsutbyte inom ramen för tillhandahållande av Tjänsten.
12.6 Överlämning eller radering ska vara utförda senast trettio (30) dagar räknat från den begäran som Kunden gjort enligt 12.5.
12.7 Behandling som sker efter tidpunkten enligt 12.6 är Certezza ansvarig för.
12.8 Bestämmelserna om konfidentialitet enligt punkten 6 i dessa bestämmelser ska fortsätta att gälla efter att Avtalet i övrigt upphört att gälla.
13 Övriga bestämmelser
13.1 Övriga bestämmelser såsom meddelanden, lagval och tvistlösning, Kontaktpersoner undertecknanden med mera regleras i Avtalet.