Nytt regelverk
Den nya allmänna dataskyddsförordningen trädde i kraft den 25 maj 2018. På engelska benämns den nya regleringen General Data Protection Regulation, förkortat ”GDPR”. Enligt det nya regelverket är Elis kunder att betrakta som ”personuppgiftsansvarig” för de personuppgifter som överförs till Elis, som i sin tur är att betrakta som ”personuppgiftsbiträde” till kunden. De nya reglerna innehåller krav på att det ska finnas nedtecknade villkor som reglerar denna situation. Därför har det gällande avtal som finns mellan Elis och kunden uppdaterats på så sätt att avtalets nuvarande bestämmelse om behandling av personuppgifter enligt bestämmelserna i personuppgiftslagen (”PUL”), per den 25 maj 2018 ersätts med villkor i enlighet med bestämmelserna i GDPR (särskilt artiklarna 28-36 och därtill kopplade bestämmelser). Detta gäller om inget annat särskilt avtalas mellan parterna.
Nya villkor
Personuppgifter (ersätter tidigare villkor rörande PUL)
För att Elis ska kunna tillhandahålla tjänster kan Elis komma att behandla vissa personuppgifter för Kundens räkning.
Elis kommer för den behandling av personuppgifter som kan följa av tillhandahållandet av tjänsterna, att agera personuppgiftsbiträde åt kunden som är personuppgiftsansvarig för behandlingen av personuppgifterna som lämnas till Elis. För det fall inte annat särskilt avtalats skriftligen mellan parterna tillämpas följande villkor.
Kunden åtar sig att följa vid var tid gällande Personuppgiftslagstiftning avseende insamling och behandling av de personuppgifter som lämnas till Elis. Kunden garanterar att de instruktioner som Kunden lämnat till Elis (i form av beställning av någon av Elis tjänster) följer vid var tid gällande Personuppgiftslagstiftning.
Om Kunden behandlar personuppgifter utöver eller i strid med gällande personuppgiftslagstiftning åtar sig Kunden att skriftligen informera Elis om sådant förhållande.
Kunden åtar sig att följa vid var tid gällande personuppgiftslagstiftning, beakta tillsynsmyndighetens råd och rekommendationer samt hålla sig uppdaterad om personuppgiftslagstiftning. Kunden åtar sig också att samarbeta med Tillsynsmyndigheten vid utövande av sin tillsyn avseende behandling av personuppgifter.
Kunden åtar sig att se till att anställda och andra personer som ges åtkomst till personuppgifter erhåller information om hur personuppgifterna får behandlas.
Elis ska endast behandla personuppgifter erhållna från Kunden i den utsträckning som det är nödvändigt för att tillhandahålla tjänster och endast i enlighet med Kundens – genom gjorda beställningar - givna skriftliga instruktioner.
För det fall myndighet, registrerade personer eller annan tredje man begär information från Elis som rör behandling av personuppgifter, ska Elis så snart som möjligt hänvisa till Kunden. Elis får endast lämna ut personuppgifter eller information om behandling av personuppgifter enligt instruktion från Kunden eller om Elis är skyldig att lämna ut aktuell uppgift enligt lag, förordning, domstols eller annan myndighets beslut eller börsreglering.
Elis ska så snart som möjligt skriftligen informera Kunden om oavsiktlig eller olaglig förstöring, förlust eller ändring av, eller obehörigt röjande eller åtkomst till, personuppgifter, eller försök därtill. I sådan händelse ska Elis:
(i) förse Kunden med en redogörelse av vad som har hänt;
(ii) i samråd med Kunden samla information och dokumentation för att möjliggöra upprättande av anmälan enligt Artikel 33.3 i Dataskyddsförordningen;
(iii) i samråd med Kunden vidta rimliga åtgärder för att begränsa konsekvenserna av den uppkomna situationen.
Från och med den dag då Dataskyddsförordningen är tillämplig, åtar sig Elis att vidta alla åtgärder som krävs enligt Artikel 32 i Dataskyddsförordningen, samt bistå Kunden med att se till att skyldigheterna enligt Artiklarna 32-36 i Dataskyddsförordningen fullgörs.
Parterna åtar sig att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att Parterna kan leva upp till sina åtaganden enligt detta Avtal.
Parterna ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter. Till exempel ska Parterna begränsa åtkomsten till personuppgifterna till de personer som behöver åtkomst för att fullgöra sina arbetsuppgifter avseende Elis tjänster.
De åtgärder som Parterna ska vidta ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det kostar att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifter och hur känsliga personuppgifterna är.
Parterna ska bistå varandra genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Parterna kan fullgöra sina skyldigheter att svara på begäran om utövande av den Registrerades rättigheter enligt Kapitel III i Dataskyddsförordningen.
Kunden ska hålla Elis skadeslös i händelse av att Elis förorsakas skada som är hänförlig till Kundens insamling och behandling av personuppgifter i strid med gällande Personuppgiftslagstiftning.
Elis ska hålla Kunden skadeslös i händelse av att Kunden förorsakas skada som är hänförlig till Elis behandling av personuppgifter i strid med instruktion från Kunden eller avtal.
Elis äger rätt att anlita underbiträden utan Kundens föregående skriftligt medgivande. Elis åtar sig att skriftligen informera Kunden om anlitade underbiträden samt för det fall Elis avser att byta underbiträde.
Vid Avtalets upphörande, oavsett anledning därtill, ska Elis radera alla personuppgifter såvida inte lagring av personuppgifterna krävs enligt Personuppgiftslagstiftning eller annan lag.