Personuppgiftsbiträdesavtal
Bakgrund
Ni har som kund till Filmstaden i samband med köp av företagsbiljetter valt att nyttja Filmstadens webtjänst för distribution av biljetterna till valda mottagare via sms eller e-post (”Distributionstjänsten”). Tjänsten administreras av Filmstaden som därigenom som Personuppgiftsbiträde kan komma att behandla de personuppgifter ni lägger in och för vilka ni som kund är Personuppgiftsansvarig.
Europaparlamentets och rådets förordning (EU) 2016/679 (“GDPR”) kräver att ett skriftligt avtal upprättas mellan den Personuppgiftsansvarige och Personuppgifts-biträdet rörande Personuppgiftsbiträdets behandling av personuppgifter för vilka den personuppgiftsansvarige är ansvarig. Detta avtal (“Biträdesavtalet”) - som ska anses ingånget då ni beslutar att använda Distributionstjänsten - reglerar sådan behandling.
Begrepp i detta Biträdesavtal som rör personuppgifter eller behandling av dessa ska tolkas i enlighet med GDPR.
Behandling
De personuppgifter som kan komma att behandlas av Personuppgiftsbiträdet inom ramen för detta avtal är kontaktuppgifter till sådana personer som ni önskar ska motta av er köpta biljetter, innebärande e-postadress, telefonnummer och i vissa fall namn.
Personuppgiftsbiträdet får endast behandla personuppgifter i enlighet med (i) detta Biträdesavtal, (ii) GDPR och annan tillämplig lagstiftning, samt (iii) i enlighet med dokumenterade instruktioner från den Personuppgiftsansvarige.
Behandling av personuppgifter enligt detta Biträdesavtal får endast utföras så länge behandlingen behövs för det aktuella syftet och Personuppgiftsbiträdet ska följa den Personuppgiftsanansvariges instruktioner rörande gallring, återlämning och radering av personuppgifter behandlade inom ramen för Distributionstjänsten.
Personuppgiftsbiträdet får för egen räkning inte behandla personuppgifter för vilka den Personuppgiftsansvarige är ansvarig i den mån annat inte följer av lag.
Underbiträden
Det är Filmstaden som tillhandahåller tjänsten och några underbiträden används inte.
Alternativ:
Underbiträden
Filmstaden kommer som Personuppgiftsbiträde att anlita [ ] som underbiträde vilket härmed godkänns av den Personuppgiftsansvarige. Filmstaden har ingått skriftligt avtal med [ ] enligt vilket [ ] som underbiträde åläggs samma skyldigheter vid behandlingen som gäller för Personuppgiftsbiträdet enligt detta Biträdesavtal. Om Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt underbiträde för att behandla personuppgifter som omfattas av detta Biträdesavtal, ska Personuppgiftsbiträdet i förväg informera den Personuppgiftsansvarige om detta och bereda denne möjlighet att framföra invändningar. Personuppgiftsbiträdet svarar gentemot den Personuppgiftsansvarige för den behandling som utförs av underbiträden. Personuppgiftsbiträdet ska på den Personuppgiftsansvariges begäran tillhandahålla kopia av de delar av Personuppgiftsbiträdets avtal med underbiträden som krävs för att utvisa att Personuppgiftsbiträdet uppfyllt sina åtaganden enligt detta Biträdesavtal.
Överföring till tredjeländer
Personuppgiftsbiträdet [, och i förekommande fall underbiträde,] får inte överföra personuppgifter till land utanför EU/EES, eller möjliggöra åtkomst till personuppgifter från sådant land, utan att först ha inhämtat den Personuppgiftsansvariges godkännande därtill.
Säkerhet och sekretess
Personuppgiftsbiträdet ska vidta erforderliga och lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas i syfte att säkerställa att de personuppgifter som behandlas i enlighet med detta Biträdesavtal skyddas mot obehörig eller olaglig behandling, oavsiktlig eller olaglig förlust, förstöring eller obehörigt röjande eller åtkomst till sådana personuppgifter.
Personuppgiftsbiträdet ska tillse att samtliga anställda, konsulter, och övriga personer som Personuppgiftsbiträdet svarar för och som behandlar personuppgifter enligt detta Biträdesavtal, är bundna av ett ändamålsenligt sekretessåtagande samt att de är informerade om hur behandling av personuppgifter får ske. Personuppgiftsbiträdet ansvarar för att de personer som har åtkomst till personuppgifterna är informerade om hur de får behandla personuppgifterna enligt med den Personuppgiftsansvariges instruktioner.
Instruktioner och Assistans
Om Personuppgiftsbiträdet tar emot en begäran från tredje part, såsom en registrerad person, om utlämning av dennes personuppgifter eller om rättelse, radering eller annan åtgärd enligt GDPR, ska Personuppgiftsbiträdet hänvisa denna tredje part till den Personuppgiftsansvarige.
Personuppgiftsbiträdet ska assistera den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder i relation till en begäran från en registrerad person om utlämning, rättelse, radering eller blockering av personuppgifter som behandlas i enlighet med detta Biträdesavtal.
Personuppgiftbiträdet ska omedelbart informera den Personuppgiftsansvarige om en misstanke eller konstaterad Personuppgiftsincident, och ska assistera den Personuppgiftsansvarige i framtagandet av information och rapporter till registrerade personer och myndigheter i den mån detta krävs enligt GDPR.
I det fall Personuppgiftsbiträdet upplever sig sakna instruktioner från den Person-uppgiftsansvarige som Personuppgiftsbiträdet upplever nödvändiga för att kunna behandla personuppgifter I enlighet med detta Biträdesavtal, ska Personuppgifts-biträdet omgående underrätta den Personuppgiftsansvarige om detta, varpå den Personuppgiftsansvarige utan dröjsmål ska utfärda efterfrågade instruktioner.
Rätt till insyn
Den Personuppgiftsansvarige äger rätt att, själv eller genom tredje man, genomföra revision gentemot Personuppgiftsbiträdet eller på annat sätt kontrollera att Personuppgiftsbiträdets behandling av personuppgifter följer detta Biträdesavtal. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge den Personuppgiftsansvarige den assistans som behövs för genomförandet av revisionen, inklusive att ge tillgång till all tillgänglig information rörande hanteringen.
Ersättning
Personuppgiftsbiträdet har inte rätt till särskild ersättning för behandling av personuppgifter i enlighet med detta Biträdesavtal.
Ansvar
Personuppgiftsbiträdet ska hålla den Personuppgiftsansvarige skadeslös för anspråk på ersättning från registrerad person eller administrativa sanktionsavgifter utfärdade av behörig myndighet som den Personuppgiftsansvarige drabbas av till följd av att Personuppgiftsbiträdet, eller av denne anlitat underbiträde, i strid mot detta Biträdesavtal vidtagit otillåten eller försumlig behandling av personuppgifter för vilka den Personuppgiftsansvarige är ansvarig.
Part som får anspråk på ersättning eller administrativa avgifter riktat mot sig ska utan dröjsmål underrätta den andre Parten därom.
Avtalstid
Bestämmelserna i detta Biträdesavtal ska gälla så länge Personuppgiftsbiträdet behandlar personuppgifter inom ramen för Distributionstjänsten.
När detta Biträdesavtal upphör i enlighet med föregående stycke ska Personuppgiftsbiträdet, beroende på vad den Personuppgiftsansvarige väljer, inom 30 dagar radera eller återlämna alla personuppgifter som behandlats enligt detta Biträdesavtal, i den mån inte lagring av personuppgifterna krävs enligt tillämplig lagstiftning.
Tvist och tillämplig lag
Tvist angående tolkning eller tillämpning av detta Biträdesavtal ska avgöras enligt svensk lag och genom skiljedomsförfarande administrerat av Stockholms Handelskammares Skiljedomsinstitut (SCC).
Regler för Förenklat Skiljeförfarande ska tillämpas om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsregler ska tillämpas. I sistnämnda fall ska SCC också bestämma om skiljenämnden ska bestå av en eller tre skiljemän.
Skiljeförfarandets säte ska vara Stockholm.