PERSONUPPGIFTSBITRÄDESAVTAL

Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) har ingåtts mellan:

Nibe AB, org.nr 556056-4485 (”PuA”), Hannabadsvägen 5, 285 32 Markaryd, och installatör (“PuB“) av Nibe produkt (”Nibe Produkt”).

  1. Bakgrund
    1. PuB kommer vid fullföljandet av installation av Nibe Produkt att Behandla Personuppgifter för PuAs räkning.
    2. Syftet med Biträdesavtalet är att PuA och PuB ska uppfylla vid var tid gällande krav på personuppgiftsbiträdesavtal enligt Dataskyddsreglerna.
  2. Definitioner
    "Behandling"
    Varje åtgärd eller kombination av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte.
    "Dataskyddsregler"
    Vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter, vilket från och med den 25 maj 2018 innefattar Europaparlamentets och Rådets Förordning (EU) 2016/679 (”GDPR”) samt tillämplig lokal anpassning och reglering avseende dataskydd.
    "Godkänt Underbiträde"
    Ett Underbiträde som särskilt skriftligen har godkänts för Behandling av Personuppgifter av PuA.
    "Personuppgifter"
    Information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och som PuB Behandlar för PuAs räkning under Biträdesavtalet.
    "Registrerad"
    Den fysiska personen som en Personuppgift avser.
    "Tillsynsmyndighet"
    Den eller de tillsynsmyndigheter som anses vara berörd tillsynsmyndighet enligt Dataskyddsreglerna, t.ex. Datainspektionen.
    "Underbiträde"
    Den som PuB anlitat för utförande av specifik Behandling på PuAs vägnar och som Behandlar Personuppgifter som underleverantör åt PuBs vägnar.
    Eventuella övriga definitioner med stor begynnelsebokstav som används i detta Biträdesavtal ska, om inget annat uttryckligen anges, ha den innebörd som framgår i första hand av Dataskyddsreglerna och annars av Avtalet.
  3. Ansvar och instruktion
    1. De Personuppgifter som Behandlas av PuB under detta Biträdesavtal beskrivs i Bilaga 1 (Instruktion om hantering av Personuppgifter).
    2. PuB ska vid Behandling av Personuppgifter under detta Biträdesavtal följa Dataskyddsregler och gällande rekommendationer från Tillsynsmyndigheten.
    3. PuB och den eller de personer som arbetar under PuBs ledning ska endast Behandla Personuppgifter i enlighet med PuAs Instruktion om hantering av Personuppgifter och i enlighet med Dataskyddsregler. Sådan Behandling får dock ske om det krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som PuB eller Underbiträde omfattas av. I ett sådant fall ska PuB eller Underbiträdet informera PuA om det rättsliga kravet innan Personuppgifterna Behandlas.
    4. Utöver de särskilda instruktioner som framgår av Bilaga 1 ska detta Biträdesavtal och Avtalet i övrigt anses utgöra PuAs initiala instruktioner till PuB avseende Behandling av Personuppgifter. PuB ska informera PuA om PuB saknar instruktion om hur Behandling av Personuppgifter ska ske eller om PuB anser att PuAs instruktioner strider mot gällande Dataskyddsregler.
  4. Säkerhet m.m.
    1. PuB ska vid all Behandling uppfylla de åtgärder som krävs för att uppfylla gällande Dataskyddsregler. Åtgärderna ska åtminstone medföra en säkerhetsnivå som är lämplig med hänsyn till befintliga tekniska möjligheter, de särskilda risker som är förenade med Behandlingen av Personuppgifterna och graden av känslighet för de Personuppgifter som Behandlas.
    2. PuB ska bistå PuA vid begäran som rör fullgörandet av PuAs skyldigheter för att uppfylla gällande Dataskyddsregler, särskilt med beaktande av de krav som uppställs i art. 28 och 32-36 GDPR.
    3. PuB ska omedelbart meddela PuA avseende oavsiktlig eller obehörig åtkomst till Personuppgifter liksom varje annan personuppgiftsincident, dock senast inom 36 timmar efter kännedom om sådan incident. Meddelandet ska åtminstone:
      1. beskriva personuppgiftsincidentens art, de kategorier av och antalet Registrerade som berörs,
      2. förmedla namnet på och kontaktuppgifterna till dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,
      3. beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
      4. beskriva de åtgärder som vidtagits av PuB, eller som föreslås vidtas, för att hantera personuppgiftsincidenten, inbegripet åtgärder för att begränsa dess potentiella negativa effekter.
    4. PuB ska säkerställa att all personal som får tillgång till Personuppgifterna ska uppfylla PuBs åtaganden.
  5. Sekretess
    1. PuB ska säkerställa att personer med behörighet att Behandla Personuppgifterna har åtagit sig att iaktta sekretess för sådan Behandling eller omfattas av en lämplig lagstadgad tystnadsplikt.
    2. Åtagandet i punkt 5.1 ovan gäller inte information som PuB föreläggs utge till myndighet, enligt Dataskyddsreglerna eller annan lagstadgad skyldighet.
    3. Sekretessåtagandet gäller under Biträdesavtalets giltighetstid och därefter.
  6. Utlämnande av Personuppgifter och information
    1. PuB ska genom tekniska och organisatoriska åtgärder, som med hänsyn till Behandlingens art är lämpliga, hjälpa PuA i den mån det är möjligt så att PuA kan fullgöra sin skyldighet att svara på begäran från den Registrerade vid den Registrerades utövande av sina rättigheter enligt kapitel III i GDPR.
    2. Om det till PuB kommer in en begäran om att få ta del av uppgifter som PuB Behandlar för PuAs räkning ska PuB utan dröjsmål vidarebefordra begäran till PuA. PuB får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan instruktion från PuA, om inte sådan skyldighet föreligger enligt Dataskyddsreglerna.
  7. Underbiträden
    1. Personuppgifter får endast Behandlas av ett Underbiträde om sådant Underbiträde uppfyller villkoren för att utgöra ett Godkänt Underbiträde och under förutsättning att PuB på PuAs vägnar ingår ett skriftligt avtal där Underbiträdet åläggs samma skyldigheter som PuB åläggs enligt detta Biträdesavtal. PuB ska särskilt tillse att artikel 28.3 och 28.4 i GDPR beaktas vid anlitande av Underbiträden samt tillse att Underbiträden ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i GDPR.
    2. PuB åtar sig att informera PuA om eventuella planer att anlita nya Underbiträden eller ersätta Underbiträden innan planerad användning av Underbiträde. PuA har rätt att invända mot sådana förändringar.
    3. PuB ska tillhandahålla PuA en korrekt lista utvisande vilka Underbiträden som anlitats för Behandlingen av Personuppgifter.
    4. Om ett Underbiträde inte fullgör sina skyldigheter i fråga om dataskydd ska PuB vara ansvarig för utförandet av Underbiträdets skyldigheter i relation till PuA.
  8. Rätt till insyn
    PuB ska ge PuA tillgång till information som krävs för att visa att de skyldigheter som följer av detta Biträdesavtal har fullgjorts samt möjliggöra och bidra till granskningar som genomförs av PuA eller av en annan revisor som har bemyndigats av PuA.
  9. Överföring av Personuppgifter utanför EU/EES
    PuB eller Underbiträde får överföra Personuppgifter till en plats utanför EU/EES-området förutsatt att den parten som överför Personuppgifterna har erhållit PuAs godkännande och att vid var tid gällande krav för sådan överföring enligt Dataskyddsregler uppfylls.
  10. Ansvar
    Parternas ansvar för skada enligt detta Biträdesavtal ska regleras i enlighet med Dataskyddsregler. Denna punkt 10 ska gälla även efter Biträdesavtalets upphörande i enlighet med punkt 11.1 nedan.
  11. Avtalstid och åtgärder vid upphörande
    1. Biträdesavtalet gäller så länge som PuB Behandlar Personuppgifter för PuAs räkning.
    2. När Avtalet eller Biträdesavtalet upphör (beroende på vilket som inträffar först), ska PuB, beroende på PuAs val, radera eller återlämna alla Personuppgifter till PuA. PuB ska radera eventuella befintliga kopior såvida inte lagring av Personuppgifterna krävs enligt gällande rätt. PuB ska säkerställa att varje Underbiträde gör detsamma.
  12. Ändringar av eller tillägg till Biträdesavtalet
    Om Dataskyddsreglerna ändras under avtalstiden för Biträdesavtalet, eller om Tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsreglerna som föranleder att detta Biträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal ska detta Biträdesavtal ändras för att tillgodose sådana nya eller tillkommande krav.
  13. Lagval och tvist
    Svensk lag ska tillämpas på PuBs Behandling av Personuppgifter enligt detta Biträdesavtal. Tvist ska slutligt avgöras i allmän domstol.

Bilaga 1 – Instruktion om hantering av Personuppgifter

Följande instruktioner gäller för hantering av de Personuppgifter som PuA är personuppgiftsansvarig för. Utöver vad som redan framgår av detta Personuppgiftsbiträdesavtal ska PuB följa nedanstående instruktioner:

Personuppgiftsbehandling:

Ändamål PuB Behandlar Personuppgifter för att PuA ska hantera garantiåtaganden mot slutkund.
Kategorier av Personuppgifter Namn, adress, e-post, telefonnummer
Kategorier av Registrerade Slutkunder
Gallringstid Personuppgifterna ska raderas på PuAs begäran och enligt PuAs instruktioner.
Praktisk hantering Insamling av Personuppgifter sker genom att PuB vid installation av Nibe Produkt samlar in Personuppgifter från den Registrerade. I de fall PuB väljer att använda pappersblankett skickas Personuppgifterna till NIBE AB, Hannabadsvägen 5, 28532 Markaryd, och i annat fall använder PuB Produktregistreringsapplikationen för att skicka Personuppgifter till PuA.

Du som installatör är personuppgiftsbiträde för Nibes räkning. Genom att du skickar in personuppgifter om slutkund accepterar du Nibes personuppgiftsbiträdesavtal.

Sekretesspolicy