Generella villkor för underkonsulter  

Generella villkor för underkonsulter, version 1.01

I enlighet med EU:s dataskyddsförordning GDPR är underkonsult i arbetsrelation även AJ Landskaps personuppgiftsbiträde och förbinder sig att efterleva AJ Landskaps generella villkor för underkonsulter. Personuppgiftsbiträdesavtal ingås genom undertecknande av uppdragsbeställning mellan Underkonsult (nedan kallad Personuppgiftsbiträde eller Leverantör) och AJ Landskap, Södermannagatan 5, 116 23 Stockholm, organisationsnummer: 556451-9881, Anders Jönsson, anders.jonsson@aj-landskap.se (nedan kallad Personuppgiftsansvarig)

Personuppgiftsbiträdet och den Personuppgiftsansvarige benämns här nedan gemensamt ”Parterna” eller var för sig ”Part”.

  1. Uppdragets art och avtalets syfte

Uppdragets art och syfte beskrivs i respektive uppdragsbeställning. Uppdrag medför att Leverantören behandlar personuppgifter för Kundens räkning. Personuppgiftsbiträdesavtalet löper tills vidare.

Syftet med Personuppgiftsbiträdesavtalet är att reglera parternas rättigheter och skyldigheter som följer med uppdraget att behandla personuppgifter, för att på så vis säkerställa att personuppgifterna behandlas i enlighet med de bestämmelser som följer av EU:s dataskyddsförordning (GDPR) och eventuell senare lagstiftning som ersätter eller kompletterar dessa.

  1. Personuppgiftsbehandlingens ändamål och omfattning

Syftet med behandlingen av personuppgifter är att utföra aktuellt uppdrag enligt tecknat avtal.

Kategorier av registrerade och kategorier av personuppgifter som kan förekomma inom ramen för behandlingen av personuppgifter är kontaktpersoner, anställda, referenspersoner, namn- och kontaktuppgifter, arbetsgivare och organisationsnummer, erfarenhet och utbildning.

  1. Den Personuppgiftsansvariges skyldigheter

Den Personuppgiftsansvarige ska utan onödigt dröjsmål anmäla till Personuppgiftsbiträdet alla förhållanden som kan medföra behov av förändringar i det sätt som Personuppgiftsbiträdet behandlar personuppgifterna.

  1. Personuppgiftsbiträdets skyldigheter

4.1 Säkerhetsåtgärder

Personuppgiftsbiträdet ska etablera lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifterna behandlas i enlighet med kraven i dataskyddslagstiftningen och villkoren i Uppdragsbeställningen och detta avtal. Säkerhetsåtgärderna ska minst motsvara den nivå som behöriga tillsynsmyndigheter normalt kräver för motsvarande behandlingar. Åtgärderna ska vara dokumenterade och ska utan onödigt dröjsmål lämnas till den Personuppgiftsansvarige på begäran.

  • Instruktioner

Personuppgiftsbiträdet får endast behandla personuppgifterna på uppdrag av den Personuppgiftsansvarige för dennes räkning och endast för det ändamål som framgår av punkten 2 ovan. Personuppgiftsbiträdet är skyldig att följa de instruktioner som den Personuppgiftsansvarige gett i Uppdragsavtalet.

Personuppgiftsbiträdet ska säkerställa att var och en som utför arbete under dennes överinseende och som får tillgång till personuppgifterna som omfattas av detta personuppgiftsbiträdesavtal, endast behandlar dessa i enlighet med givna instruktioner.

Om Personuppgiftsbiträdet anser att den Personuppgiftsansvariges instruktioner står i strid med tillämplig dataskyddslagstiftning, ska Personuppgiftsbiträdet skyndsamt underrätta den Personuppgiftsansvarige om detta via den kontaktinformation som framgår av uppdragsavtalet. Personuppgiftsbiträdet har dock inte rätt att avbryta uppdraget av den anledningen.

4.3 Utlämnande av personuppgifter och användningen av underleverantörer

Personuppgiftsbiträdet får inte överföra eller ge åtkomst till personuppgifterna som omfattas av detta personuppgiftsbiträdesavtal till en extern part utan den Personuppgiftsansvariges uttryckliga förhandstillstånd, i annat fall än när det föreligger en lagstadgad skyldighet för Personuppgiftsbiträdet att göra det. Om en sådan lagstadgad skyldighet föreligger, ska Personuppgiftsbiträdet underrätta den Personuppgiftsansvarige om det, innan personuppgiftsbehandlingen påbörjas, under förutsättning att en sådan information inte är förbjuden enligt lag.

Personuppgiftsbiträdet får inte anlita underleverantörer för att utföra hela eller delar av behandlingen av personuppgifter utan att den Personuppgiftsansvarige på förhand har lämnat sitt skriftliga godkännande.

Personuppgiftsbiträdet ska ingå ett skriftligt avtal med sina underleverantörer, som binder underleverantören vid minst samma skyldigheter som Personuppgiftsbiträdet har enligt Uppdragsbeställningen och dessa Generella villkor för underkonsulter. Personuppgiftsbiträdet ansvarar fullt ut gentemot den Personuppgiftsansvarige för hur underleverantörerna behandlar personuppgifterna, inklusive deras säkerhetsåtgärder.

Om en ny underleverantör tillkommer, eller vid byte av underleverantör, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om detta via de kontaktuppgifter som framgår av Uppdragsbeställningen, minst 1 månad innan förändringen sker, och inhämta dennes skriftliga godkännande. Godkännande ska ges utan onödigt dröjsmål.

4.4 Krav på lokalisering och överföring av personuppgifter till tredjeland

Personuppgiftsbiträdet ska se till att personuppgifterna endast lagras och i övrigt behandlas inom EU/EES om inte parterna skriftligen kommer överens om något annat.

4.5 Behörigheter

Åtkomst till personuppgifterna ska begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter.

4.6 Incidentrapportering

Personuppgiftsbiträdet ska skyndsamt underrätta den Personuppgiftsansvarige om säkerhetsincidenter som har medfört eller sannolikt kan leda till oavsiktlig eller olovlig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till personuppgifterna. Rapportering ska ske till personuppgift@aj-landskap.se.

Alla sådana incidenter ska dokumenteras av Personuppgiftsbiträdet och dokumentationen ska överlämnas utan oskäligt dröjsmål till den Personuppgiftsansvarige på begäran. I de fall en incident ska rapporternas till tillsynsmyndigheten, ska Personuppgiftsbiträdet samarbeta med och skyndsamt bistå den Personuppgiftsansvarige med all information som efterfrågas.

4.7 Bistånd för att fullgöra skyldigheter gentemot de registrerade

Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige att fullgöra sina skyldigheter gentemot de registrerade när dessa utövar sina rättigheter enligt dataskyddslagstiftningen, exempelvis rätten till insyn, rättelse, radering, dataportabilitet etc. Detta ska ske utan oskäligt dröjsmål och utan krav på ytterligare ekonomisk kompensation, om inte parterna kommer överens om annat.

4.8 Radering av personuppgifter

Under löpande avtalstid signalerar den Personuppgiftsansvariges användare att personuppgifter ska raderas. De ska därefter förstöras, skrivas över eller på annat sätt raderas av Personuppgiftsbiträdet inom en tidsperiod som parterna kommer överens om och utan krav på ytterligare ekonomisk kompensation, om inte parterna kommer överens om annat.

4.9 Revision

Personuppgiftsbiträdet ska se till att den Personuppgiftsansvarige eller en extern granskare som den Personuppgiftsansvarige utser har möjlighet att revidera att Personuppgiftsbiträdet och dennes underleverantörer efterlever alla bestämmelser om behandlingen av personuppgifter enligt detta avtal.

4.10 Uppsägning av avtal

Den Personuppgiftsansvariga kan när som helst, genom skriftligt meddelande till Personuppgiftsbiträdet, välja att tillfälligt avbryta eller helt avsluta Uppdragsavtalet och detta Personuppgiftsbiträdesavtal med omedelbar verkan och utan skyldighet att utge kompensation till Personuppgiftsbiträdet om det är så att den Personuppgiftsansvariga har skälig anledning att tro att Personuppgiftsbiträdet är oförmöget att eller har misslyckats med att möta de skyldigheter som framgår av denna paragraf (4).

  1. Lagval och jurisdiktion

5.1 Detta personuppgiftsbiträdesavtal ska tolkas enligt svensk lagstiftning.

5.2 Tvister enligt detta avtal ska avgöras av svensk allmän domstol om inte parterna kommer överens om annat.

  1. Avtalstid

Personuppgiftsbiträdesavtalet gäller så länge personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning.