BILAGA 2 – PERSONUPPGIFTSBITRÄDESAVTAL

Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”), är en bilaga till Mondidos Allmänna villkor, och har träffats mellan Mondido IT AB, 559366-9913 (”Personuppgiftsbiträde”) och Användaren (”Personuppgiftsansvarig”).(var och en ”Part” och gemensamt ”Parterna”).

1. Bakgrund

A. Personuppgiftsbiträdet tillhandahåller en betaltjänst till Personuppgiftsansvarig (”Tjänsten”). Parterna har kommit överens om att Personuppgiftsbiträdet, inom ramen för Tjänsten, ska behandla personuppgifter hänförliga till Personuppgiftsansvariges kunder för Personuppgiftsansvariges räkning inom ramen för tjänsten. Syftet med behandlingen och tjänsten för vilken sådan behandling sker beskrivs närmare i Personuppgiftsbiträdets Allmänna villkor.

B. Parterna är överens om att Personuppgiftsansvarig ska anses vara personuppgiftsansvarig och att Personuppgiftsbiträdet ska anses vara personuppgiftsbiträde såsom begreppen definieras i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (”GDPR”).

C. Mot bakgrund av ovanstående har Parterna ingått detta Avtal.

2. Personuppgiftsansvariges instruktioner

Personuppgiftsbiträdet åtar sig att behandla personuppgifter endast inom ramen för Tjänsten och i enlighet med Personuppgiftsansvariges från tid till annan skriftlig instruktion och i enlighet med GDPR. För det fall att Personuppgiftsbiträdet saknar nödvändiga instruktioner ska Personuppgiftsbiträdet informera Personuppgiftsansvarig därom och invänta de instruktioner som Personuppgiftsansvarig bedömer erfordras.

3. Personuppgiftsbiträdets åtaganden

3.1 Personuppgiftsbiträdet åtar sig särskilt att:
(a) ha en lämplig teknisk och organisatorisk säkerhet och vidta de säkerhetsåtgärder som framgår av artikel 32 i GDPR för att skydda de personuppgifter som behandlas under detta Avtal, vilket bland annat inbegriper att personer hos Personuppgiftsbiträdet med behörighet att behandla dessa personuppgifter åläggs lämplig sekretesskyldighet;
(b) bistå Personuppgiftsansvarige att uppfylla kraven avseende säkerhet som framgår av artikel 32-36 i GDPR, samt Personuppgiftsansvariges skyldigheter avseende individuella rättigheter i Kapitel III i GDPR uppfylls;
(c) till Personuppgiftsansvarige hänvisa den vars personuppgifter behandlas, Datainspektionen eller annan tredje man som begär information från Personuppgiftsbiträdet som rör behandling av personuppgifter. Personuppgiftsbiträdet skall utan dröjsmål informera Personuppgiftsansvarige om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandling av personuppgifter,
(d) beroende på vad Personuppgiftsansvarige väljer radera, anonymisera eller återlämna alla personuppgifter till Personuppgiftsansvarige när Avtalet upphör, oavsett anledning därtill, inklusive att radera samtliga kopior vilka inte enligt GDPR måste sparas,
(e) i övrigt ge Personuppgiftsansvarige tillgång till sådan information som krävs för att Personuppgiftsansvarige ska kunna uppfylla sina skyldigheter såsom personuppgiftsansvarig gentemot Datainspektionen och/eller enskilda, och ska bidra till granskningar, inbegripet inspektioner, för vilka Personuppgiftsansvarig ska stå för samtliga kostnader.
(f) inte överföra personuppgifterna till tredje land eller en internationell organisation såvida detta inte krävs enligt GDPR varvid Personuppgiftsbiträdet omedelbart ska informera Personuppgiftsansvarige, såvida sådan information inte är förbjuden.3.2 Personuppgiftsbiträdet åtar sig vidare att alltid behandla personuppgifter i enlighet med GDPR. Detta inkluderar, men är inte begränsat till, att föra ett register över alla kategorier av behandlingar som utförs, att på begäran av en enskild eller Personuppgiftsansvarige tillhandahålla ett registerutdrag på genomförda behandlingar och att omedelbart informera Personuppgiftsansvarige om Personuppgiftsbiträdet misstänker att det föreligger en risk för att de enskildas fri och rättigheter kränks.4. Ersättning
Personuppgiftsbiträdet har rätt till skälig ersättning för behandlingen av personuppgifter i enlighet med detta Avtal.

5. Ansvar

Ansvar regleras i enlighet med Personuppgiftsbiträdets Allmänna villkor.

6. Avtalstid

Avtalet gäller från dess ingående och så länge som Personuppgiftsbiträdet Behandlar Personuppgifter för Användarens räkning.

7. Övrigt

7.1 Ändringar och tillägg
7.2 Alla ändringar och tillägg till detta Avtal ska vara skriftliga (med uttrycklig hänvisning till detta Avtal) och behörigen undertecknade av vardera Part.

8 Underbiträden

8.1 Personuppgiftsbiträdet har rätt att anlita underbiträden för behandling av personuppgifter för Personuppgiftsansvariges räkning. Personuppgiftsbiträdet åtar sig att informera Personuppgiftsansvarige angående Personuppgiftsbiträdets eventuella planer på att anlita och/eller ersätta ett underbiträde, så att den Personuppgiftsansvariga har möjlighet att göra invändningar mot sådana förändringar. Personuppgiftsbiträdet godkänner härmed underbiträden enligt denna Underbilaga.
8.2 Om Personuppgiftsbiträdet anlitar underbiträden för behandling av personuppgifter för Personuppgiftsansvariges räkning är Personuppgiftsbiträdet fullt ansvarig gentemot den Personuppgiftsansvarige för underbiträdets agerande och behandlingar.