Personuppgiftsbiträdesavtal

1. Cedra och Uppdragsgivaren (definieras nedan) har ingått ett uppdragsbrev enligt vilket Cedra tillhandahåller löne- eller redovisningstjänster till Uppdragsgivaren (“Uppdragsbrevet”).
2. I samband med Cedras tjänsteleverans och i enlighet med villkoren i Uppdragsbrevet och detta personuppgiftsbiträdesavtal (”Avtalet”) kommer Cedra (”Personuppgiftsbiträdet”) att Behandla Personuppgifter på uppdrag av Uppdragsgivaren (”Personuppgiftsansvarig”).
3. Uppdragsgivarens instruktioner för Behandling av Personuppgifter framgår av bilaga till Avtalet. Om Uppdragsbrevet avser lönetjänster gäller Bilaga Lönetjänster och om Uppdragsbrevet avser redovisningstjänster gäller Bilaga Redovisningstjänster (tillämplig bilaga benämns nedan ”Instruktionen”).

Om inte annat är särskilt angivet ska ord och uttryck i detta Avtal ha den betydelse som följer av GDPR (definieras nedan) artikel 4. Övriga ord och uttryck ska ha nedan angiven betydelse.

“Annan Dataskyddslagstiftning” avser kompletterande nationell dataskyddslagstiftning som från tid till annan är tillämplig på Behandling av Personuppgifter (exklusive GDPR).

”Avtalet” definieras i avsnitt 1.2.

“Behöriga Personer” avser Personuppgiftsbiträdets anställda, konsulter och andra representanter som behöver tillgång till Personuppgifter för att fullgöra Personuppgiftsbiträdets åtaganden under Uppdragsbrevet eller Avtalet.

”Cedra” definieras i Uppdragsbrevet.

“GDPR” avser Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

”IMY” avser Integritetsskyddsmyndigheten.

”Instruktionen” definieras i avsnitt 1.3.

”Uppdragsbrevet” definieras i avsnitt 1.1.

”Uppdragsgivaren” definieras i Uppdragsbrevet.

”Part” respektive ”Parterna” avser Cedra eller Uppdragsgivaren enskilt, respektive båda tillsammans.

”Personuppgiftsansvarig” definieras i avsnitt 1.2.

”Personuppgiftsbiträde” definieras i avsnitt 1.2.

“Registrerad” avser fysiska personer i livet vars Personuppgifter Behandlas.

”Tredje Land” avser land utanför EU/EES.

”Underbiträde” avser ett personuppgiftsbiträde som anlitas av Personuppgiftsbiträdet för specifik Behandling av Personuppgifter.

1. Personuppgiftsansvarig bedömer att Personuppgiftsbiträdet ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder för att Behandlingen av Personuppgifter ska uppfylla kraven i GDPR och Annan Dataskyddslagstiftning och säkerställa att de Registrerades rättigheter skyddas.
2. Personuppgiftsansvarig ansvarar för att Behandlingen av Personuppgifter sker enligt gällande rätt, att Personuppgiftsansvarig har rätt att överföra Personuppgifterna till Personuppgiftsbiträdet samt att Personuppgiftsbiträdet har rätt att Behandla Personuppgifterna. Personuppgiftsansvarig får endast tillhandahålla Personuppgiftsbiträdet de Personuppgifter som behövs för att utföra de tjänster som följer av Uppdragsbrevet och Instruktionen.

1. Personuppgiftsbiträdet ska enbart Behandla Personuppgifter i enlighet med Avtalet och Instruktionen, inbegripet när det gäller överföringar av Personuppgifter till Tredje Land eller en internationell organisation, såvida inte sådan Behandling krävs enligt GDPR eller Annan Dataskyddlagstiftning, och Personuppgiftsbiträdet ska i sådant fall informera Personuppgiftsansvarig om det rättsliga kravet innan uppgifterna Behandlas, såvida sådan information inte är förbjuden under tillämplig lagstiftning.
2. Om Personuppgiftsbiträdet anser att Instruktionen, eller annan instruktion från Personuppgiftsansvarig, strider mot tillämplig lag, ska Personuppgiftsbiträdet omedelbart meddela Personuppgiftsansvarig därom och invänta vidare instruktioner. Personuppgiftsansvarig är alltid ansvarig för lämnade instruktioner. Om Personuppgiftsansvarig avser ändra eller meddela nya instruktioner som väsentligt påverkar Personuppgiftsbiträdets utförande av de avropade tjänsterna, har Personuppgiftsbiträdet rätt att invända. I sådant fall äger vardera Part rätt att frånträda detta Avtal och Uppdragsbrevet, såvitt avser de avropade tjänsterna, med omedelbar verkan. Personuppgiftsansvarig ska ersätta Personuppgiftsbiträdets rimliga kostnader till följd av nya eller ändrade instruktioner.
3. Personuppgiftsbiträdet får överföra Personuppgifter till sådant Tredje Land som framgår av Instruktionen.
4. Personuppgiftsbiträdet ska tillse att Personuppgifterna endast är tillgängliga för Behöriga Personer, att Behöriga Personer endast Behandlar Personuppgifter i enlighet med Avtalet och Instruktionen och omfattas av sekretessavtal eller lämplig lagstadgad tystnadsplikt.
5. Personuppgiftsbiträdet ska, med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål, samt riskerna för fysiska personers rättigheter och friheter, vidta lämpliga tekniska och organisatoriska åtgärder för att skydda Personuppgifterna mot obehörig eller otillåten förstöring, ändring, spridning eller åtkomst, inklusive de åtgärder som följer av GDPR artikel 32. Personuppgiftsbiträdet tillhandahåller en uppdaterad förteckning över tekniska och organisatoriska åtgärder på www.cedra.se.
6. Personuppgiftsansvarig beviljar Personuppgiftsbiträdet ett allmänt tillstånd att anlita Underbiträden. Anlitande av ett Underbiträde medför inga ändringar i den ansvarsfördelning som gäller mellan Parterna. Personuppgiftsbiträdet ska ålägga Underbiträdet motsvarande skyldigheter i fråga om dataskydd som åligger Personuppgiftsbiträdet enligt Avtalet. Personuppgiftsbiträdet ansvarar för Underbiträdens behandling av Personuppgifter i samma utsträckning som Personuppgiftsbiträdets egen behandling enligt Avtalet.
7. Personuppgiftsbiträdet tillhandahåller en uppdaterad förteckning över anlitade Underbiträden på www.cedra.se. Den Personuppgiftsansvarige är skyldig att löpande hålla sig uppdaterad om informationen om Underbiträden och att utan onödigt dröjsmål meddela eventuella invändningar mot nya Underbiträden. Sådan invändning ska vara skriftlig och redovisa sakliga skäl för invändningen. Personuppgiftsansvarigs underlåtenhet att invända mot anlitandet av ett Underbiträde ska tolkas som samtycke till detsamma.
8. Om Personuppgiftsbiträdet trots Personuppgiftsansvarigs invändning väljer att anlita ett nytt Underbiträde, äger den Personuppgiftsansvarige rätt att frånträda Avtalet och Uppdragsbrevet, såvitt avser de avropade tjänsterna, dock senast 20 arbetsdagar efter att Personuppgiftsbiträdet informerat den Personuppgiftsansvarige om att Underbiträdet kommer att anlitas trots den Personuppgiftsansvariges invändning.
9. Personuppgiftsbiträdet ska, med beaktande av Behandlings art, bistå Personuppgiftsansvarig med att fullgöra dennes skyldighet att besvara förfrågningar om utövande av Registrerades rättigheter i enlighet med GDPR. Personuppgiftsbiträdet ska utan onödigt dröjsmål informera Personuppgiftsansvarig om mottagen begäran och får inte själv besvara sådan begäran.
10. Personuppgiftsbiträdet ska, utan onödigt dröjsmål, underrätta Personuppgiftsansvarig om befarad eller bekräftad Personuppgiftsincident samt, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå, bistå Personuppgiftsansvarig med att fullgöra dennes skyldigheter enligt GDPR artikel 33-34. Personuppgiftsansvarig ansvarar för eventuell anmälan till behörig tillsynsmyndighet samt för information till Registrerade.
11. Personuppgiftsbiträdet ska, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå, bistå Personuppgiftsansvarig med att fullgöra dennes skyldigheter att utföra konsekvensbedömning och förhandssamråd i enlighet med GDPR artikel 35-36.
12. Personuppgiftsbiträdet ska ge Personuppgiftsansvarig tillgång till all information som krävs för att visa att de skyldigheter som fastställs under GDPR artikel 28 har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Personuppgiftsansvarig eller av revisor som bemyndigats av Personuppgiftsansvarig.
13. Personuppgiftsansvarig ska skriftligen underrätta Personuppgiftsbiträdet om begäran om sådan granskning som avses i avsnitt 4.12 senast 20 arbetsdagar innan granskningen ska genomföras eller informationen tillhandahållas. Innan granskning påbörjas ska Parterna enas om gransknings- och tidsplan. Granskningen får inte störa Personuppgiftsbiträdets verksamhet eller omfatta information som omfattas av lagstadgad eller avtalad tystnadsplikt gentemot tredje part. Personuppgiftsansvarig får anlita extern revisor efter Parternas gemensamma godkännande förutsatt att sådan revisor inte är en direkt konkurrent till Personuppgiftsbiträdet. Samtliga kostnader i samband med granskningen ska bäras av Personuppgiftsansvarig.

1. Avtalet träder i kraft i samband med ingående av Uppdragsbrevet eller vid sådant senare datum då Personuppgiftsansvarig avropar fristående rådgivning och konsulttjänster från Personuppgiftsbiträdet.
2. Avtalet upphör när Uppdragsbrevet upphör, när Personuppgiftsbiträdet upphör att tillhandahålla fristående rådgivning och konsulttjänster i enlighet med Uppdragsbrevet eller när Personuppgiftsbiträdets Behandling av Personuppgifter på uppdrag av Personuppgiftsansvarig annars upphör.
3. Vid Avtalets upphörande ska Personuppgiftsbiträdet, beroende på vad Personuppgiftsansvarig väljer, radera eller återlämna alla Personuppgifter som Behandlats under Avtalet, såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller nationell rätt eller för att dokumentera det specifika uppdraget. Personuppgiftsbiträdet ska anses vara personuppgiftsansvarig för sådan Behandling.

1. Om Parterna överenskommit om ansvarsbegränsning i Uppdragsbrevet gäller sådan ansvarsbegränsning även Parternas ansvar under detta Avtal.
2. Oaktat ovan begränsas Parternas ansvar under detta Avtal av den ansvarsbegränsning som följer av FAR:s Allmänna Villkor för Rådgivning och Andra Tjänster (version 2022:1).
3. Ansvaret gentemot en Registrerad som lidit skada på grund av en överträdelse av GDPR eller Avtalet ska fördelas mellan Parterna i enlighet med GDPR artikel 82. Oaktat den Registrerades rätt att rikta krav mot endera Part enligt GDPR artikel 82 ska Personuppgiftsbiträdets sammanlagda ansvar aldrig överstiga det ansvar som följer av den eventuella ansvarsfördelningen mellan Personuppgiftsbiträdet och den Personuppgiftsansvarige enligt Uppdragsbrevet eller detta Avtal.
4. Vardera Part ska själv ansvara för eventuella administrativa sanktionsavgifter som en tillsynsmyndighet har utdömt som en följd av dess Behandling.
5. Övriga frågor om skador och ansvar med anledning av Avtalet ska hanteras i enlighet med Uppdragsbrevet.

1. Part äger inte rätt att helt eller delvis överlåta sina rättigheter eller skyldigheter under detta Avtal till tredje part utan den andra Partens föregående skriftliga samtycke.
2. Detta Avtal utgör Parternas fullständiga reglering i fråga om Behandling av Personuppgifter och ersätter alla tidigare muntliga eller skriftliga överenskommelser mellan Parterna i denna fråga. Ändringar av och tillägg till Avtalet ska vara skriftliga och undertecknade av båda Parter.
3. Meddelanden under Avtalet ska tillställas de kontaktpersoner och de adresser som framgår av Uppdragsbrevet.
4. Vid motstridighet mellan Uppdragsbrevet och Avtalet avseende Personuppgiftsbiträdets Behandling av Personuppgifter äger Avtalet företräde. Vid motstridighet mellan Avtalet och Instruktionen äger Instruktionen företräde.

1. Det lagval och den tvistlösningsmekanism som anges i FAR:s Allmänna Villkor om Revision av Svenska Företag och Organisationer (version 2022:1) ska tillämpas även på detta Avtal.