Bilaga Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal
Mellan
Den som är registrerad som Användare av GastroPlanner
(Personuppgiftsansvarig)
och Gastro Planner AS
(Databehandlaren)
tillsammans ”Parterna”
1. Avtalets bakgrund och syfte
1.1 Parterna har ingått ett slutanvändaravtal (”Slutanvändaravtalet”) som ger Personuppgiftsansvarig rätt att använda tjänster som tillhandahålls av Databehandlaren via webbplatsen gastroplanner.se. Det här avtalet är en bilaga till Slutanvändaravtalet och ska betraktas som att ha ingåtts samtidigt som Slutanvändaravtalet träder i kraft.
1.2 Som en del av uppfyllandet av skyldigheterna enligt Slutanvändaravtalet ska Databehandlaren behandla personuppgifter på Personuppgiftsansvariges vägnar. Syftet med avtalet är därför att reglera parternas rättigheter och skyldigheter i enlighet med den vid varje tidpunkt gällande dataskyddsförordningen, inklusive ramen för Databehandlarens behandling av personuppgifter. Avtalet ska säkerställa att databehandlingen är i enlighet med gällande dataskyddsförordning och att den registrerades personuppgifter inte används olagligt eller kommer i orätta händer.
1.3 Genom att godkänna Slutanvändaravtalet, inklusive detta avtal, bekräftar parterna att Databehandlaren har garanterat genomförandet av lämpliga tekniska och organisatoriska åtgärder som säkerställer att databehandlingen uppfyller kraven i den vid varje tidpunkt gällande dataskyddsförordningen, inklusive skydd av registrerades rättigheter.
2. Syftet med databehandlingen
2.1 I enlighet med Slutanvändaravtalet ska Databehandlaren erbjuda ett webbaserat restauranghanteringssystem via gastroplanner.se, som underlättar Personuppgiftsansvariges administration av gäster och anställda. Databehandlaren kommer också att tillhandahålla supporttjänster till Personuppgiftsansvarig (”Tjänsterna”).
2.2 Databehandlarens Tjänster gör det möjligt för Personuppgiftsansvarig att hålla reda på sina gäster och anställda, samt skapa sig en översikt över rutiner kring gäster, anställda, varuhantering och livsmedelssäkerhet.
2.3 I samband med användningen av Tjänsterna kommer Personuppgiftsansvarig att registrera personuppgifter på ett separat konto i Databehandlarens webblösning. För att Databehandlaren ska kunna leverera Tjänsterna till Personuppgiftsansvarig och fullgöra sina skyldigheter enligt Slutanvändaravtalet kommer Databehandlaren, på Personuppgiftsansvariges vägnar, att ha tillgång till och behandla personuppgifter som lagras i Personuppgiftsansvariges personliga konto. Databehandlaren kommer vidare att behandla personuppgifter som lagras i webbtjänsten gastroplanner.se, i syfte att hantera kundrelationen med Personuppgiftsansvarig, samt säkerställa en optimal drift av Tjänsterna, inklusive förbättring, effektivisering och underhåll av de Tjänster som tillhandahålls i enlighet med Slutanvändaravtalet.
2.4 Om Personuppgiftsansvarig har ingått ett avtal om tilläggstjänster kommer Databehandlaren även behandla personuppgifter som har mottagits från samarbetspartners, i syfte att säkerställa att Tjänsterna fungerar tillsammans med de valda tilläggstjänsterna.
2.5 Databehandlaren kommer att använda anonymiserade personuppgifter för att generera statistik, samt för att utveckla nya tjänster och produkter.
2.6 Med behandling avses varje åtgärd som utförs av Databehandlaren, oavsett om den är automatiserad eller inte, till exempel insamling, registrering, organisering, strukturering, lagring, anpassning, ändring, användning, leverans, överföring, sammanställning och radering.
2.7 Databehandlaren kommer att behandla all information om de Personuppgiftsansvariges gäster och anställda. De registrerade personerna kan till exempel vara Personuppgiftsansvariges kunder, medlemmar, kurser eller evenemang, anställda eller liknande. De registrerade kan också vara minderåriga. Alla de registrerade kommer att ha någon form av avtalsförhållande med Personuppgiftsansvarig.
2.8 Databehandlaren kommer att behandla information såsom namn, telefonnummer, e-postadress, adress, IP-adress, historik, kontonummer och annan information som Personuppgiftsansvarig finner nödvändigt att registrera i webblösningen i syfte att kunna utföra en korrekt uppföljning av gäster och anställda.
2.9 Exempel på historik är information om gästers och anställdas aktivitet, bokningar, betalningar, in- och utstämplingar, löner, produkter och tjänster, belopp, datum, kontonummer och annan information som normalt når Personuppgiftsansvarig.
3. Personuppgiftsansvariges skyldigheter
3.1 Personuppgiftsansvarig ansvarar för vilken information som matas in och registreras i webblösningen, inklusive Personuppgiftsansvariges personliga profil, samt för att denna information är adekvat, relevant och begränsad till vad som är nödvändigt för att Personuppgiftsansvarig ska kunna uppnå syftet med att använda Tjänsterna.
3.2 Personuppgiftsansvarig garanterar att alla personuppgifter som lagras, registreras och på annat sätt behandlas i Databehandlarens webblösning har en rättslig grund, inklusive att det föreligger särskild rättslig grund för behandling av känsliga personuppgifter. Med känsliga personuppgifter avses information om ras eller etniskt ursprung, politiska åsikter (till exempel deltagande i politiska organisationer eller partier), religion, tro eller fackföreningsmedlemskap, hälsoinformation (såsom allergier), sexuella relationer eller sexuell läggning.
3.3 Om Personuppgiftsansvarig skapar anpassade fält för gäster eller anställda är Personuppgiftsansvarig skyldig att utöva särskild försiktighet eftersom anpassade fält ger Personuppgiftsansvariges gäster och anställda möjlighet att mata in information som Personuppgiftsansvarig inte har full kontroll över. Personuppgiftsansvarig är ensam ansvarig för att personuppgifter som registrerats i Personuppgiftsansvariges anpassade fält har en rättslig grund och är i övrigt adekvata, relevanta och begränsade till vad som är nödvändigt för att Personuppgiftsansvarig ska kunna uppnå syftet med databehandlingen.
3.4 För behandling av personuppgifter om minderåriga, dvs. personer under 18 år, är Personuppgiftsansvarig ansvarig för att få ett giltigt samtycke från den person som har föräldraansvar för barnet.
3.5 Personuppgiftsansvarig är ansvarig för att behandlingen av personuppgifter i samband med användningen av Tjänsterna sker i enlighet med den vid varje tidpunkt gällande dataskyddsförordningen, inklusive att de grundläggande principerna för behandling av personuppgifter följs. Det innebär bland annat att Behandlingsansvarig, enligt kraven i dataskyddsförordningen, är skyldig att informera de registrerade, dvs. de fysiska personer som uppgifterna kan länkas till, om databehandlingen och de registrerades rättigheter.
3.6 Användaren ansvarar för att svara på kunders frågor med avseende på utövandet av rättigheter i enlighet med den vid varje tidpunkt gällande dataskyddsförordningen.
3.7 Innan Slutanvändaravtalets ingående har Personuppgiftsansvarig gjort en bedömning av riskerna förknippade med användningen av Tjänsterna och Databehandlaren, och funnit detta motiverat och i enlighet med dataskyddsförordningen.
4. Databehandlarens skyldigheter
4.1 Databehandlaren har inte förfoganderätt över de personuppgifter som behandlas i enlighet med detta Avtal och får inte behandla dessa uppgifter för sina egna syften. Databehandlaren får endast behandla personuppgifter i syfte att tillhandahålla de Tjänster som Personuppgiftsansvarig beställer i enlighet med Slutanvändaravtalet, och endast efter dokumenterade instruktioner från Personuppgiftsansvarig, inklusive när det gäller överföring av personuppgifter till länder utanför EU/EES. Undantag gäller om annat krävs enligt lag. I så fall ska Databehandlaren informera Personuppgiftsansvarig om den lagliga skyldigheten innan behandlingen påbörjas, genom att skicka ett e-postmeddelande till Personuppgiftsansvariges registrerade e-postadress. Databehandlaren ska alltid behandla personuppgifter i enlighet med den vid varje tidpunkt gällande dataskyddsförordningen.
4.2 Databehandlaren är skyldig att, på skriftlig begäran, ge Personuppgiftsansvarig tillgång till sin säkerhetsdokumentation, samt på annat sätt se till så att Personuppgiftsansvarig kan fullgöra sitt eget ansvar i enlighet med dataskyddsförordningen. Det innefattar, men är inte begränsat till, att ge Personuppgiftsansvarig tillgång till all nödvändig information om databehandling, samt insyn i de personuppgifter som behandlas av Databehandlaren och de system som används för detta ändamål.
4.3 Databehandlaren är skyldig att, på skriftlig begäran från Personuppgiftsansvarig, hjälpa Personuppgiftsansvarig fullgöra sitt ansvar för att bedöma dataskyddskonsekvenser och diskutera med datainspektionen i den utsträckning detta krävs enligt dataskyddsförordningen. Denna hjälp kan till exempel handla om att överlämna en kopia av säkerhetsdokumentationen till Databehandlaren. De övergripande säkerhetsprinciperna finns också tillgängliga på gastroplanner.se/säkerhet.
4.4 Databehandlaren ska, genom organisatoriska och tekniska åtgärder, hjälpa Personuppgiftsansvarig fullgöra sin skyldighet att besvara de registrerades frågor med avseende på utövandet av rättigheter i enlighet med den vid varje tidpunkt gällande dataskyddsförordningen. Exempel på Databehandlarens skyldigheter är att tillhandahålla säkerhetsdokumentation och underlätta radering av data.
4.5 Om den registrerade hävdar sina rättigheter genom att kontakta Databehandlaren direkt, ska Databehandlaren omedelbart informera Personuppgiftsansvarig om ärendet och därefter, i den utsträckning som krävs i gällande dataskyddsförordning, bistå Personuppgiftsansvarig i den vidare hanteringen av ärendet. Om Databehandlaren inte får tag i Personuppgiftsansvarig ska Databehandlaren underrätta den registrerade om detta utan att uppfylla den registrerades begäran. På detta sätt kommer Personuppgiftsansvarig vara säker på att Databehandlaren till exempel inte tar bort personuppgifter som Personuppgiftsansvarig enligt lag är skyldig att behålla. Personuppgiftsansvarig bär ensam alla risker som är förknippade med att de registrerades önskemål inte uppfylls.
4.6 De kostnader som Databehandlaren ådrar sig i samband med att hjälpa Personuppgiftsansvarig att fullgöra sin skyldighet att besvara de registrerades frågor med avseende på utövandet av rättigheter, kan Databehandlaren fakturera Personuppgiftsansvarig.
4.7 Om Personuppgiftsansvarig behöver hjälp från Databehandlaren i samband med uppfyllandet av sina egna skyldigheter enligt dataskyddsförordningen och i enlighet med punkt 4.2 till 4.5, ska Personuppgiftsansvarig skicka en skriftlig begäran till Databehandlaren på support@gastroplanner.se, med en beskrivning av vad begäran gäller.
4.8 Databehandlarens skyldighet att bistå Personuppgiftsansvarig så att Personuppgiftsansvarig kan fullgöra sitt eget ansvar enligt dataskyddsförordningen innebär inte att Databehandlaren har någon skyldighet att utbilda Personuppgiftsansvarig med avseende på dennes förpliktelser enligt dataskyddsförordningen.
4.9 Databehandlaren har tystnadsplikt beträffande dokumentation och personuppgifter som vederbörande har tillgång till enligt detta avtal. Detta gäller även efter avtalets upphörande. Tillgången till personuppgifterna ska vara begränsad till de av Databehandlarens anställda som behöver tillgång till informationen för att kunna utföra sina arbetsuppgifter, samt för att kunna genomföra Databehandlarens skyldigheter enligt Slutanvändaravtalet och detta avtal. Databehandlaren ska se till att personer som har tillstånd att behandla personuppgifter har åtagit sig att behandla uppgifterna konfidentiellt eller omfattas av tillämplig lagstadgad tystnadsplikt.
5. Utlämnande av personuppgifter till tredje part
5.1 Personuppgiftsansvarig kan beställa tilläggstjänster från andra leverantörer som innebär att Databehandlaren måste lämna ut personlig information till dessa tredje parter. Vid beställning av tilläggstjänster måste Personuppgiftsansvarig godkänna den aktuella leverantörens villkor. Ett separat avtal som är oberoende av slutanvändaravtalet upprättas också mellan Personuppgiftsansvarig och den externa leverantören.
5.2 Databehandlaren överlämnar endast personuppgifter till externa leverantörer om detta krävs för leverantören ska kunna leverera den tilläggstjänst som Personuppgiftsansvarig har beställt via gastroplanner.se. Vid leverans i enlighet med denna punkt 5 agerar Databehandlaren i enlighet med instruktionerna och på Personuppgiftsansvarig vägnar. Personuppgiftsansvariges ansvarar för att säkerställa att användningen av relevanta externa leverantörer sker i enlighet med dataskyddsförordningen.
5.3 En översikt över externa leverantörer som erbjuder tilläggstjänster finns på gastroplanner.se/partner.
6. Användning av underleverantör
6.1 Databehandlaren har rätt att använda underleverantörer för behandlingen i den mån det är nödvändigt för att Databehandlaren ska kunna fullgöra sina skyldigheter enligt Slutanvändaravtalet. Detta kan till exempel handla om tredje parter som tillhandahåller tjänster inom drift, underhåll, servrar för lagring eller andra tekniska lösningar till gastroplanner.se.
6.2 Databehandlaren meddelar Personuppgiftsansvarig om ändringar i anlitade underleverantörer genom att publicera information om ändringarna i Personuppgiftsansvariges personliga konto på my.gastroplanner.se/. Meddelande om byte av underleverantörer ges inom rimlig tid innan underleverantören börjar anlitas, för att ge Personuppgiftsansvarig möjlighet att, om så önskas, hinna säga upp Slutanvändaravtalet innan underleverantören börjar anlitas.
6.3 Databehandlaren ansvarar för att användningen av underleverantörer sker i enlighet med lagar och alla bestämmelser, inklusive att ett tillfredsställande databehandlaravtal har ingåtts. Databehandlaren ska se till att underleverantörerna är medvetna om Databehandlarens avtalsenliga och juridiska skyldigheter, och underentreprenörerna är skyldiga att uppfylla villkoren enligt dessa på samma sätt som Databehandlaren.
6.4 Om Databehandlaren använder underleverantörer som innebär överföring av personuppgifter till ett land utanför EU/EES, är Databehandlaren skyldig att se till att överföringen har en rättslig grund och i övrigt alltid följer gällande dataskyddsförordning. Vid överföring till USA kommer Databehandlaren försöka använda underleverantörer som är anslutna till Privacy Shield.
6.5 Databehandlaren är skyldig att, på skriftlig begäran, förse Personuppgiftsansvarig med en kopia av databehandlaravtalet mellan Databehandlaren och underleverantören.
6.6 En översikt över de underleverantörer som används vid en viss tidpunkt finns på webbplatsen gastroplanner.se
7. Säkerhet och avvikelsehantering
7.1 Databehandlaren ska uppfylla de krav för säkerhetsåtgärder som fastställs i den vid varje tidpunkt gällande dataskyddsförordningen. Detta innebär bland annat att tekniska och organisatoriska åtgärder måste vidtas för att säkerställa tillfredsställande informationssäkerhet med avseende på sekretess, integritet och tillgänglighet vid behandling av personuppgifter.
7.2 Databehandlaren ska dokumentera rutiner och andra åtgärder för att uppfylla kraven för informationssäkerhet. Det innebär bland annat att Databehandlaren ska genomföra dokumenterade interna kontroller på eget initiativ. Dokumentationen måste också finnas tillgänglig på Personuppgiftsansvariges skriftliga begäran. Databehandlarens allmänna principer för informationssäkerhet finns på gastroplanner.se
7.3 Databehandlaren är skyldig att, utan onödigt dröjsmål, skriftligen meddela Personuppgiftsansvarig om brott mot personuppgiftssäkerheten efter att ha fått kunskap om överträdelsen. Meddelande om överträdelse måste skickas till Personuppgiftsansvariges registrerade e-postadress.
7.4 Personuppgiftsansvarig ansvarar för att skicka in en avvikelserapport till den svenska tillsynsmyndigheten. Databehandlaren är skyldig att hjälpa Personuppgiftsansvarig med information för att säkerställa att kraven på anmälan till datainspektionen och de berörda registrerade är uppfyllda.
7.5 Om Databehandlaren får kunskap om ett brott mot personuppgiftssäkerheten som inte bara påverkar Personuppgiftsansvarig utan flera av Databehandlarens användare, kan Databehandlaren lämna in en separat avvikelserapport till datainspektionen på Databehandlarens vägnar, inklusive Personuppgiftsansvarig. Om så sker kommer Databehandlaren underrätta Personuppgiftsansvarig om detta, samtidigt som ett meddelande om brott skickas i enlighet med punkt 7.3, så att Personuppgiftsansvarig kan göra invändningar mot att meddelandet skickas på Personuppgiftsansvariges vägnar.
8. Säkerhetsrevisioner
8.1 Databehandlaren ska underlätta för att säkerhetsrevisioner ska kunna genomföras genom att göra nödvändig dokumentation och fysiska lokaler tillgängliga för inspektion av Personuppgiftsansvarig.
8.2 Personuppgiftsansvarig ska använda en extern revisor för att utföra en säkerhetsrevision i enlighet med punkt 8.1. Kostnaderna täcks av Personuppgiftsansvarig.
8.3 Databehandlaren får, men måste inte, använda externa partners som utför säkerhetstester av systemet och Tjänsterna.
9. Lagring
9.1 Personuppgifter lagras i enlighet med Slutanvändaravtalet, punkt 8.
10. Avtalets varaktighet
10.1 Detta avtal gäller så länge Databehandlaren behandlar personuppgifter på Personuppgiftsansvariges vägnar i enlighet med Slutanvändaravtalet.
11. Vid uppsägning
11.1 Vid uppsägning av avtalet raderar Databehandlaren all registrerad information som har tagits emot på Personuppgiftsansvariges vägnar och som omfattas av detta avtal, såvida lagen inte kräver att informationen lagras.
11.2 Innan registrerad information raderas måste Personuppgiftsansvarig meddelas. Ett meddelande kommer att skickas till Personuppgiftsansvarige i enlighet med punkt 12.1. Personuppgiftsansvariges rätt att ladda ner en kopia av informationen innan Databehandlaren utför raderingen följer av Slutanvändaravtalet. Kostnader relaterade till eventuell återleverans täcks av Personuppgiftsansvarig.
11.3 Radering av registrerade personuppgifter som lagras i Databehandlarens säkerhetskopieringslösning sker inom tre månader efter att de registrerade personuppgifterna har raderats. Anledningen till detta är att säkerställa att det går att återställa data skulle den primära säkerhetskopieringslösningen gå sönder. Säkerhetskopiering sker med hjälp av ögonblicksbilder av databasen. En eventuell återställning görs baserat på ögonblicksbilderna. Alla försök att ta bort data från ögonblicksbilderna innebär en hög risk för att bilderna sedan inte går att använda för att återställa databasen. Därför kommer data inte att tas bort från ögonblicksbilderna. Ögonblicksbilderna lagras i tre månader för att säkerställa möjligheten att återställa data från bilderna, skulle det ta tid att upptäcka det underliggande felet. Om data som har raderats från den primära lagringslösningen återställs med hjälp av ögonblicksbilder kommer dessa data att tas bort så snart återställningen är klar.
11.4 Databehandlaren ska skriftligen bekräfta att radering och/eller förstörelse har utförts i enlighet med avtalet inom rimlig tid efter avtalets upphörande och senast fyra månader efter avtalets upphörande. Dokumentationen överlämnas till Personuppgiftsansvarig på begäran.
12. Meddelanden
12.1 Alla meddelanden och/eller varningar från databehandlaren skickas till Personuppgiftsansvariges registrerade kontaktperson, via den e-postadress som har angetts under företagsinställningar i GastroPlanner.
12.2 Alla meddelanden och/eller instruktioner kopplade till behandlingen av personuppgifter från Personuppgiftsansvarig till Databehandlaren ska skickas till support@gastroplanner.se
12.3 Databehandlaren måste omedelbart meddela Personuppgiftsansvarige om Databehandlaren anser att en instruktion är i strid med lagen.
13. Val av lag och plats
13.1 Avtalet är underlagt norsk lag och parterna antar Bergens tingsrätt som mötesplats. Detta gäller även efter uppsägning av avtalet.