Personuppgiftsbiträdesavtal Fastighetsägarna Dokument

Bilaga till Fastighetsägarna Dokuments allmänna villkor.

1.    Parter

Detta personuppgiftsbiträdesavtal (nedan ”Avtalet”) har ingåtts mellan Fastighetsägarna Sverige AB, org nr 556019-6387, Box 16132, 103 23 Stockholm (nedan ”Fastighetsägarna Sverige”) och dig som kund i Fastighetsägarna Dokument (nedan ”Kunden”) avseende personuppgiftshantering i tjänsten Fastighetsägarna Dokument. 

2.    Definitioner

Personuppgifter

Varje upplysning som avser en identifierad eller identifierbar fysisk person. Personuppgifter kan till exempel vara namn, adress, e-post, organisationsnummer, personnummer, IP-adress, betaluppgifter och telefonnummer.


Personuppgiftsbehandling

En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiskt eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, lösning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning radering eller förstöring.

Personuppgiftsansvarig

En fysisk eller juridisk person, offentlig myndighet eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. nedan kallad ”PuA”.

Personuppgiftsbiträde

En fysisk eller juridisk person, offentlig myndighet eller annat organ som behandlar personuppgifter för personuppgiftsansvariges räkning. Nedan kallad ”PuB”.

Underbiträde

Även kallad underleverantör. En fysisk eller juridisk person, offentligt organ eller annat organ anlitad av personuppgiftsbiträdet för att utföra behandlingar av personuppgifter vilka tillhör personuppgiftsansvarig.

Personuppgiftsincident

En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller förändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas.

Tredje part

En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som inte är den registrerande, Kunden eller Fastighetsägarna Sverige eller de personer som under Kundens eller Fastighetsägarna Sveriges direkta ansvar är behöriga att behandla personuppgifterna.

Tredje land

En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.

EU-lagstiftningen

Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG ¬– det vill säga Dataskyddsförordningen (nedan ”GDPR”).

3.    Syfte och omfattning

Detta personuppgiftsbiträdesavtal kompletterar Fastighetsägarna Dokuments allmänna villkor. Syftet med detta avtal är att uppfylla GDPR och annan tillämplig dataskyddslagstiftning samt att reglera Fastighetsägarna Sveriges behandling av personuppgifter för personuppgiftsansvarigs räkning.

4.    Ansvar och roller

Kunden är personuppgiftsansvarig för de personuppgifter som Kunden registrerar i mallar, formulär med mera i och med användandet av tjänsten Fastighetsägarna Dokument. Detta beror på att det är Kunden som bestämmer för vilka ändamål som uppgifterna ska behandlas och hur behandlingen ska gå till. Fastighetsägarnas Sverige är personuppgiftsbiträde för sådana personuppgifter.

Fastighetsägarna Sverige är dock ansvarig för de uppgifter om Kunden som registreras för att administrera och fullgöra tjänsten Fastighetsägarna Dokument. Det kan till exempel röra sig om Kundens namn och kontaktuppgifter samt fakturerings- och betaluppgifter.

5.    Behandling av personuppgifter

De personuppgifter som Kunden registrerar inom ramen för tjänsten Fastighetsägarna Dokument är bland annat följande.

a.    Uppgifter om bostadshyresgäster – till exempel namn, personnummer, adress, e-post och lägenhetsnummer.
b.    Kontaktpersoner hos lokalhyresgäster – till exempel namn, personnummer, adress och e-post.

6.    Instruktioner

I syfte att skydda i tjänsten registrerade individers integritet och att behandling av personuppgifter sker korrekt och med adekvata säkerhetsåtgärder ska Fastighetsägarna Sverige tillse följande.

 
a.    Endast behandla personuppgifter i enlighet med Avtalet samt gällande dataskyddslagstiftning.  
b.    Inhämta eventuella instruktioner från Kunden som Fastighetsägarna Sverige bedömer erforderliga för att kunna genomföra sina åtaganden.
c.    Fastighetsägarnas Sverige åtar sig att inte behandla personuppgifterna för egna ändamål.
d.    Fastighetsägarna Sverige ska informera Kunden om Fastighetsägarna Sverige anser att instruktionerna strider mot tillämplig dataskyddslagstiftning.
7.    Fastighetsägarna Sveriges åtagande
Fastighetsägarna Sverige åtar sig följande.
a.    Följa tillämplig dataskyddslagstiftning vid personuppgiftsbehandlingen.
b.    Att vidta relevanta säkerhetsåtgärder som krävs för att skydda personuppgifter under behandling i enlighet med artikel 32 i GDPR.
c.    Att underhålla en allmänt vedertagen certifieringsmekanism för att påvisa att kraven i artikel 32.1 i GDPR efterlevs.
d.    Fastighetsägarna Sverige får inte överföra personuppgifterna till tredje land annat än efter skriftligt samtycke från Kunden eller i enlighet med fastslagna standardkontraktsklausuler eller till part som omfattas av Privacy Shield.
e.    Fastighetsägarna Sverige ska (beroende på vad Kunden väljer) radera eller återlämna alla behandlade personuppgifter till Kunden eller erbjuda Kunden möjligheten att exportera personuppgifter efter det att tillhandahållandet av behandlingstjänster har avslutats.
f.    Fastighetsägarna Sverige ska ge Kunden tillgång till all information som krävs för att visa att krav i dataskyddslagstiftningen har fullgjorts samt möjliggöra och bidra till granskning, inbegripet inspektioner som genomförs av Kunden eller av en revisor som bemyndigats av Kunden inom ramen för Avtalet.
g.    Fastighetsägarna Sverige åtar sig att begränsa behandling av personuppgifter till endast de individer inom den egna organisationen som har behov av dem i syfte att leverera avtalad leveransnivå enligt Avtalet.
h.    Fastighetsägarna Sverige får inte lämna ut personuppgifterna eller annan information om personuppgiftsbehandlingen till Tredje part, annat än efter i förväg lämnat skriftligt samtycke från Kunden, med undantag för sådant utlämnande som kan krävas enligt lag.  
i.    För det fall myndighet eller annan Tredje part begär ut information från Fastighetsägarna Sverige som rör personuppgiftsbehandling ska Fastighetsägarna Sverige utan dröjsmål vidarebefordra sådan framställan till Kunden. Fastighetsägarna Sverige ska vid behov assistera Kunden med att ta fram information som begärts av Tredje part.
j.    Fastighetsägarna Sverige har inte rätt att företräda Kunden eller agera för dennes räkning gentemot Tredje part med undantag för vad som framgår av klausulen Underbiträden.  
k.    Fastighetsägarna ska utan dröjsmål informera Kunden vid upptäckt av eller misstanke om Personuppgiftsincident.
l.    Fastighetsägarna Sverige åtar sig att säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

8.    Säkerhetsåtgärder

I syfte att skydda Kundens personuppgiftsbehandling förbinder sig Fastighetsägarna Sverige att vidta och upprätthålla tekniska och organisatoriska skyddsåtgärder som ingår i standarderbjudandet av Fastighetsägarna Dokument.

Fastighetsägarna Sverige intygar att Fastighetsägarna Sveriges verksamhet hanteras på ett sätt som säkerställer efterlevnad av gällande dataskyddslagstiftning och följa myndighetsbeslut gällande säkerhetsåtgärder för personuppgiftshantering.
Personuppgifter som enligt GDPR definieras som känsliga personuppgifter får inte skickas med e-post från tjänsten Fastighetsägarna Dokument eftersom det innebär ett lägre skydd.

I syfte att skydda personuppgifter förbinder sig Kunden att använda lämpliga inbyggda och tillhandahållna säkerhetsfunktioner i tjänsten Fastighetsägarna Dokument. Exempel på sådana funktioner är gallringsrutiner, konfidentiella formulärfält och rättighetsinstruktioner för användarkonton i tjänsten. Vidare förbinder sig Kunden att följa råd och rekommendationer från Fastighetsägarnas Sverige som kommuniceras i samband med utveckling av nya säkerhetsfunktioner i tjänsten Fastighetsägarna Dokument.

För att kunna säkerställa att Fastighetsägarna Sverige vidtar tillräckliga säkerhetsåtgärder har Kunden rätt till nödvändig och skälig insyn i Fastighetsägarna Sveriges verksamhet, system och personuppgiftshantering. Fastighetsägarna Sverige åtar sig att, på Kundens begäran, tillhandahålla Kunden med den information Kunden behöver för att utöva sin tillsyn. Fastighetsägarna Sverige har rätt att debitera Kunden för kostnader förknippade med detta insynsutövande.

9.    Underbiträden

Fastighetsägarna Sverige har vid Avtalets ingående tecknat avtal med följande Underbiträden.

 

Nya Underbiträden för befintlig behandling
Kunden lämnar härmed ett allmänt skriftligt godkännande för Fastighetsägarna Sverige att anlita ett annat Underbiträde för sådan personuppgiftsbehandling som utförs av befintliga Underbiträden vid Avtalets ingående. Fastighetsägarna Sverige ska informera Kunden om sina avsikter att byta ut ett Underbiträde.

Underbiträden för ny behandling
Fastighetsägarna Sverige får inte utan Kundens skriftliga medgivande anlita ett Underbiträde för annan personuppgiftsbehandling för Kundens räkning som inte omfattas av ovanstående. Sådant medgivande ska inte innehållas såvida det inte föreligger objektiva skäl därtill i förhållande till de krav som finns upptagna i Avtalet. Lämnar Kunden inte medgivande ska Fastighetsägarna Sverige ha rätt, men inte skyldighet, att säga upp detta Avtal och andra avtal kopplade till tjänsten Fastighetsägarna Dokument. I förskott inbetalade abonnemangsavgifter belöpande på kvarvarande avtalsperiod ska i så fall återbetalas.
 
I de fall Fastighetsägarna Sverige anlitar ett Underbiträde för utförande av specifik personuppgiftsbehandling å Kundens vägnar ska detta Underbiträde, genom avtal, åläggas samma skyldigheter i fråga om dataskydd som det som fastställts mellan Fastighetsägarna Sverige och Kunden.

10.    Rättelse och radering av personuppgifter

Fastighetsägarna Sverige åtar sig att – i situationer då Kunden inte själv har möjlighet att genomföra behandlingen – på begäran och efter instruktion från Kunden utan dröjsmål (dock inom 30 dagar) radera eller rätta felaktigheter i registrerade personuppgifter.

Begäran och instruktion om radering av personuppgifter måste förmedlas skriftligen till Fastighetsägarna Sverige.

Efter det att Kunden skriftligen begärt radering av personuppgifter får Fastighetsägarna Sverige endast behandla personuppgifter som ett led i raderingsprocessen samt för backuptagning i ytterligare 30 dagar.
Vid Avtalets upphörande kommer data (inklusive personuppgifter) som Kunden ansvarar för raderas. Dock sparas all data i ytterligare 30 dagar i backuper innan den kan anses fullständigt raderad.

Innan Avtalet löper ut har Kunden rätt att begära ut personuppgifterna i ett överenskommet digitalt portabelt format. Fastighetsägarna Sverige åtar sig att vid händelse av återläsning av backuper ånyo radera data som tidigare raderats i tjänsten.

11.    Portabilitet av personuppgifter

Fastighetsägarna Sverige förbinder sig att – i situationer då Kunden inte själv har möjlighet att genomföra behandlingen – efter skriftlig begäran från Kunden lämna ut personuppgifter i ett (vid begäran) överenskommet format. Fastighetsägarna Sverige äger rätt till ersättning för sådana åtgärder och tjänster som ligger utanför vad som framgår av Avtalet.

12.    Ansvar för skada

Fastighetsägarna Sverige ansvarar endast för skada som uppkommit på grund av Fastighetsägarna Sveriges uppsåt eller vårdslöshet vid utförandet av tjänsten Fastighetsägarna Dokument. Fastighetsägarna Sveriges totala ansvar för skada är begränsat till högst den totala ersättning som Kunden betalat in till Fastighetsägarna Sverige för tjänsten den senaste 12-månadersperioden.

13.    Överlåtelse

Detta Avtal får inte överlåtas utan den andre partens godkännande.

14.    Avtalstid

Detta Avtal är giltigt från dagen för ingående av Avtalet och gäller tillsvidare och kan sägas upp av endera part. Avtalet upphör att gälla tre månader efter att uppsägningen skriftligen eller per e-post meddelats den andre parten.

15.    Tvister och tillämplig lag

Svensk rätt är tillämplig på detta Avtal. Tvist angående tolkning eller tillämpning av detta avtal ska avgöras enligt Stockholms Handelskammares Skiljedomsinstituts regler för förenklat skiljeförfarande.