Personuppgiftsansvarig: Kund enligt definition i huvudavtalet för Ladd- och betaltjänsten
Personuppgiftsbiträde: ChargeNode Europé AB
Org.nr: 559188-1130
Adress: Neongatan 4B, 431 53 Mölndal
E-post: info@chargenode.eu
Datum för avtalets ikraftträdande: Avtalet träder i kraft vid signering av huvudavtalet för ladd- och betaltjänsten
Detta avtal reglerar personuppgiftsbiträdets behandling av personuppgifter för personuppgiftsansvariges räkning i enlighet med Europaparlamentets och rådets förordning (EU)2016/679 (”GDPR”).
I detta avtal gäller följande definitioner:
Personuppgiftsansvarig: Fysisk eller juridisk person, offentlig myndighet, institutioneller annat organ som ensamt eller tillsammans med andra bestämmer ändamål och medlen för Behandlingen av Personuppgifter.
Personuppgiftsbiträde: Fysisk eller juridisk person, offentlig myndighet, institution ellerannat organ som Behandlar Personuppgifter för den Personuppgifts-ansvariges räkning
Personuppgifter: Varje upplysning som avser en identifierad eller identifierbar fysiskperson, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Behandling: En åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring
Dataskyddslagstiftning: Avser all integritets- och personuppgiftslagstiftning, samt annan lagstiftning, förordningar och föreskrifter som är tillämplig på den Behandling som sker enligt detta PUB-avtal, inklusive nationell sådan lagstiftning och EU-lagstiftning
Loggning: Loggning är ett kontinuerligt insamlande av uppgifter om den Behandling av Personuppgifter som utförs enligt detta PUB-avtal och som kan knytas till en enskild fysisk person.
Personuppgiftsincident: En säkerhetsincident som leder till oavsiktlig eller olagligförstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.
Registrerad: Fysisk person vars Personuppgifter Behandlas.
3.1 Syfte och omfattning
Med detta Personuppgiftsbiträdesavtal (nedan gemensamt ”PUB-avtalet”) reglerar den Personuppgiftsansvarige Personuppgiftsbiträdets Behandling av Personuppgifter åt den Personuppgiftsansvarige. PUB-avtalets syfte är att säkerställa den Registrerades fri- och rättigheter vid Behandlingen, i enlighet med vad som stadgas i artikel 28.3 i Allmänna dataskyddsförordningen EU 2016/679 (”Dataskyddsförordningen”).
3.2 Behandling av personuppgifter
Den Personuppgiftsansvarige utser härmed Personuppgiftsbiträdet att utföra Behandlingen för den Personuppgiftsansvariges räkning enligt vad som stadgas i detta PUB-avtal. Den Personuppgiftsansvarige ska ge skriftliga Instruktioner till Personuppgiftsbiträdet om hur det ska utföra Behandlingen. Personuppgiftsbiträdet får endast utföra Behandlingen i enlighet med PUB-avtalet och vid var tid gällande Instruktioner.
4.1 Den Personuppgiftsansvarige ansvarar för att det vid var tid finns laglig grund för Behandlingen och för att utforma korrekta Instruktioner med hänsyn till Behandlingens art så att Personuppgiftsbiträdet och eventuellt Underbiträde kan fullgöra sitt eller sina uppdrag enligt detta PUB-avtal och Huvudavtal i förekommande fall.
4.2 Den Personuppgiftsansvarige ska utan onödigt dröjsmål informera Personuppgiftsbiträdet om förändringar i Behandlingen vilka påverkar Personuppgiftsbiträdets skyldigheter enligt Dataskyddslagstiftningen.
4.3 Den Personuppgiftsansvarige ansvarar för att informera Registrerade om Behandlingen och för att tillvarata Registrerades rättigheter enligt Dataskyddslagstiftningen samt vidta varje annan åtgärd som åligger den Personuppgiftsansvarige enligt Dataskyddslagstiftningen.
5.1 Personuppgiftsbiträdet förbinder sig att endast utföra Behandlingen i enlighet med PUB avtalet och för de specifika ändamål som anges i Instruktioner samt att följa Dataskyddslagstiftningen. Personuppgiftsbiträdet förbinder sig även att fortlöpande hålla sig informerad om gällande rätt på området.
5.2 Personuppgiftsbiträdet ska vidta åtgärder för att skydda Personuppgifterna mot alla slag av Behandlingar som inte är förenliga med PUB-avtalet, Instruktioner och Dataskyddslagstiftningen.
5.3 Personuppgiftsbiträdet åtar sig att säkerställa att samtliga fysiska personer som arbetar under dess ledning följer PUB-avtalet och Instruktioner samt att de fysiska personerna informeras om relevant lagstiftning.
5.4 Personuppgiftsbiträdet ska på begäran från den Personuppgiftsansvarige bistå denne med att säkerställa att skyldigheterna enligt artikel 32–36 i Dataskyddsförordningen fullgörs och svara på begäran om utövande av den Registrerades rättigheter i enlighet med Dataskyddsförordningen, kap. III, med beaktande av typen av Behandling och den informationsom Personuppgiftsbiträdet har att tillgå.
5.5 För det fall att Personuppgiftsbiträdet finner att Instruktioner är otydliga, i strid med Dataskyddslagstiftningen eller saknas och Personuppgiftsbiträdet bedömer att nya eller kompletterande Instruktioner är nödvändiga för att genomföra sina åtaganden ska Personuppgiftsbiträdet utan dröjsmål informera den Personuppgiftsansvarige, tillfälligt upphöra med Behandlingen och invänta nya Instruktioner, om inte parterna kommer överens om annat.
5.6 För det fall att den Personuppgiftsansvarige förser Personuppgiftsbiträdet med nya eller ändrade Instruktioner ska Personuppgiftsbiträdet, utan onödigt dröjsmål från mottagandet, meddela den Personuppgiftsansvarige huruvida genomförandet av de nya Instruktionerna föranleder förändrade kostnader för Personuppgiftsbiträdet.
6.1 Personuppgiftsbiträdet ska vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgärder som krävs enligt Dataskyddslagstiftningen för att förhindra Personuppgiftsincidenter, genom att säkerställa att Behandlingen uppfyller kraven i Dataskyddsförordningen och att den Registrerades rättigheter skyddas.
6.2 Personuppgiftsbiträdet ska fortlöpande säkerställa att den tekniska och organisatoriska säkerheten i samband med Behandlingen medför en lämplig nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft.
6.3 Eventuella tillkommande eller ändrade krav på skyddsåtgärder från den Personuppgiftsansvarige, efter parternas tecknande av PUB-avtalet, ska betraktas som nya Instruktioner enligt PUB-avtalet.
6.4 Personuppgiftbiträdet ska genom behörighetskontrollsystem endast ge åtkomst till Personuppgifterna för sådana fysiska personer som arbetar under Personuppgiftsbiträdetsledning och som behöver åtkomsten för att kunna utföra sina arbetsuppgifter.
6.5 Personuppgiftsbiträdet åtar sig att kontinuerligt Logga åtkomst till Personuppgifterna enligt PUB-avtalet i den utsträckning det krävs enligt Instruktionen. Loggar får gallras först fem (5) år efter Loggningstillfället om inte annat anges i Instruktionen. Loggar ska omfattas av erforderliga skyddsåtgärder, i enlighet med Dataskyddslagstiftningen.
6.6 Personuppgiftsbiträdet ska systematiskt testa, undersöka, utvärdera och säkerställa effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.
7.1 Personuppgiftsbiträdet och samtliga fysiska personer som arbetar under dess ledning ska vid Behandlingen iaktta såväl sekretess som tystnadsplikt. Personuppgifterna får inte nyttjas eller spridas för andra ändamål, varken direkt eller indirekt, såvida inte annat avtalats.
7.2 Personuppgiftsbiträdet ska tillse att samtliga fysiska personer som arbetar under dessledning, vilka deltar i Behandlingen, är bundna av sekretessförbindelse avseende Behandlingen. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag. Personuppgiftsbiträdet åtar sig även att tillse att det finns sekretessavtal med Underbiträdet samt sekretessförbindelser mellan Underbiträdet och samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen.
7.3 Personuppgiftsbiträdet ska skyndsamt underrätta den Personuppgiftsansvarige om eventuella kontakter med tillsynsmyndighet avseende Behandlingen. Personuppgiftsbiträdet har inte rätt att företräda den Personuppgiftsansvarige eller agera för den Personuppgiftsansvariges räkning gentemot tillsynsmyndigheter i frågor avseende Behandlingen.
7.4 Om den Registrerade, tillsynsmyndighet eller tredje man begär information från Personuppgiftsbiträdet vilken rör Behandlingen, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om saken. Information om Behandlingen får inte lämnas till den Registrerade, tillsynsmyndighet eller tredje man utan skriftligt medgivande från den Personuppgiftsansvarige, såvida det inte framgår av tvingande lag att information ska lämnas. Personuppgiftsbiträdet ska bistå med förmedling av den informationen som omfattas av ettmedgivande eller lagkrav.
8.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål som en del av sina garantier, enligt artikel 28.1 i Dataskyddsförordningen, på den Personuppgiftsansvariges begäran kunna redovisa vilka tekniska och organisatoriska säkerhetsåtgärder som används för att Behandlingen ska uppfylla kraven enligt PUB-avtalet och artikel 28.3.h i Dataskyddsförordningen.
8.2 Personuppgiftsbiträdet ska minst en (1) gång om året granska säkerheten avseende Behandlingen genom en egenkontroll för att säkerställa att Behandlingen följer PUB-avtalet. Resultatet av sådan egenkontroll ska kommuniceras vid ordinarie avtalsuppföljning med den Personuppgiftsansvarige.
8.3 Den Personuppgiftsansvarige äger rätt att, själv eller genom annan av denne utsedd tredjepart (som inte får vara en konkurrent till Personuppgiftsbiträdet), följa upp att Personuppgiftsbiträdet uppfyller PUB-avtalets, Instruktionernas och Dataskyddslagstiftningenskrav. Personuppgiftsbiträdet ska vid sådan granskning bistå den Personuppgiftsansvarige, eller den som utför granskningen i den Personuppgiftsansvariges ställe, med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna granska Personuppgiftsbiträdets efterlevnad av PUB-avtalet, Instruktioner och Dataskyddslagstiftningen. Den Personuppgiftsansvarige ska säkerställa att personal som genomför granskningen är underkastade sekretess eller tystnadsplikt enligt lag eller avtal.
8.4 Personuppgiftsbiträdet äger alternativt till vad som stadgas i punkterna 9.2–9.3, rätt att erbjuda andra tillvägagångssätt för granskning av Behandlingen, exempelvis granskning genomförd av oberoende tredje part. Den Personuppgiftsansvarige ska i sådant fall äga rätt, men inte skyldighet, att tillämpa detta alternativa tillvägagångssätt för granskning. Vid sådan granskning ska Personuppgiftsbiträdet ge den Personuppgiftsansvarige eller en tredje part den assistans som behövs för utförandet av granskningen.
8.5 Personuppgiftbiträdet ska bereda tillsynsmyndighet, eller annan myndighet som har laglig rätt till det, möjlighet att göra tillsyn enligt myndighetens begäran i enlighet med vid var tid gällande lagstiftning, även om sådan tillsyn annars skulle stå i strid med bestämmelserna i PUB avtalet.
8.6 Personuppgiftsbiträdet ska tillförsäkra den Personuppgiftsansvarige rättigheter gentemot Underbiträdet vilka motsvarar den Personuppgiftsansvariges samtliga rättigheter gentemot Personuppgiftsbiträdet enligt avsnitt 9 i PUB-avtalet.
9.1 För det fall den Personuppgiftsansvarige begärt rättelse eller radering på grund av Personuppgiftsbiträdets felaktiga Behandling ska Personuppgiftsbiträdet vidta lämplig åtgärd utan onödigt dröjsmål, senast inom trettio (30) dagar, från det att Personuppgiftsbiträdet mottagit erforderlig information från den Personuppgiftsansvarige. När den Personuppgiftsansvarige begärt radering får Personuppgiftsbiträdet endast utföra Behandling av den aktuella Personuppgiften som ett led i processen för rättelse eller radering.
9.2 Om tekniska och organisatoriska åtgärder (t.ex. uppgraderingar eller felsökningar) vidtas av Personuppgiftsbiträdet i Behandlingen, vilka kan påverka Behandlingen, ska Personuppgiftsbiträdet skriftligt informera den Personuppgiftsansvarige om detta i enlighet med vad som stadgas om meddelanden i avsnitt 18 i PUB-avtalet. Informationen ska lämnas i god tid innan åtgärderna vidtas.
10.1 Personuppgiftsbiträdet ska ha förmåga att återställa tillgängligheten och tillgången till Personuppgifterna i rimlig tid vid en fysisk eller teknisk incident enligt artikel 32.1.c i Dataskyddsförordningen.
10.2 Personuppgiftbiträdet åtar sig att med beaktande av Behandlingens art, och den information som Personuppgiftsbiträdet har att tillgå, bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en Personuppgiftsincident beträffande Behandlingen. Personuppgiftsbiträdet ska på den Personuppgiftsansvariges begäran även bistå med att utreda misstankar om eventuell obehörigs Behandling och/eller åtkomst till Personuppgifterna.
10.3 Vid Personuppgiftsincident, vilken Personuppgiftbiträdet fått vetskap om, ska Personuppgiftsbiträdet utan onödigt dröjsmål skriftligen underrätta den Personuppgiftsansvarige om händelsen. Personuppgiftsbiträdet ska, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå, tillhandahålla den Personuppgiftsansvarige en skriftlig beskrivning av Personuppgiftsincidenten.
10.4 Beskrivningen ska redogöra för:
... Personuppgiftsincidentens art och, om möjligt, de kategorier och antalet Registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
... de sannolika konsekvenserna av Personuppgiftsincidenten, och
... åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra Personuppgiftincidentens potentiella negativa effekter.
10.5 Om det inte är möjligt för Personuppgiftsbiträdet att tillhandahålla hela beskrivningen samtidigt, enligt punkten 11.3 i PUB-avtalet, får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
11.1. Personuppgiftsbiträdet är skyldig att informera personuppgiftsansvarig då nya underbiträden anlitas. Personuppgiftsbiträdet åtar sig att teckna avtal och säkerställa att alla underbiträden omfattas av samma villkor som gäller personuppgiftsbiträdet. Personuppgiftsbiträdet ansvarar fullt ut för de underbiträden som anlitas gentemot personuppgiftsansvarige.
11.2 Om Personuppgiftsbiträdet avser att anlita Underbiträden ska denne tillhandahålla information om vilken typ av uppgifter och kategorier av registrerade ett visst Underbiträde ska befatta sig med samt dess kapacitet och förmåga att leva upp till sina skyldigheter enligt Dataskyddslagstiftningen och annan relevant lagstiftning med avseende på behandling avpersonuppgifter.
11.3 Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran översända en kopia på personuppgiftsbiträdesavtalet med underbiträdet.
11.4 Personuppgiftsbiträdet åtar sig även att informera Personuppgiftsansvarig om eventuella planer på att upphöra att använda sig av ett godkänt underbiträde.
12.1 Personuppgiftsbiträdet ska tillse att personuppgifterna (hanteras och) lagras inom EU/EES, om inte parterna kommer överens om något annat.
12.2 Personuppgiftsbiträdet äger endast rätt att överföra personuppgifter till tredje land, för exempelvis service, support, underhåll, utveckling, drift eller liknande hantering, om den personuppgiftsansvarige godkänt sådan överföring och utfärdat särskilda instruktioner (bilaga1).
12.3 Överföring till tredje land får endast ske om Dataskyddslagstiftningen och annan relevant lagstiftning samt detta avtal med tillhörande instruktioner är uppfyllda.
13.1 Vid ersättning för skada som, genom fastställd dom eller annat beslut, utgått till registrerad på grund av överträdelse av någon bestämmelse i detta avtal, instruktion från Personuppgiftsansvarig eller tillämplig dataskyddsbestämmelse ska artikel 82 Dataskyddsförordningen tillämpas.
13.2 Sanktionsavgifter enligt artikel 83 i Dataskyddsförordningen eller 6 kap. 2 § lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska bäras av den Part som påförts en sådan avgift.
13.3 Om Personuppgiftsansvarig får kännedom om omständighet som kan leda till skadestånd eller betalningsansvar för Personuppgiftsbiträde ska Personuppgiftsansvarig omedelbart informera Personuppgiftsbiträdet om förhållande och aktivt arbeta tillsammans med Personuppgiftsbiträdet för att förhindra och minimera sådant skadestånd eller betalningsansvar.
13.4 Oaktat vad som anges i Huvudavtalet och dess Bilagor gäller 13.1 och 13.2 före andra regler om fördelning mellan Parterna av krav sinsemellan såvitt avser behandling av personuppgifter.
14.1 PUB-avtalet gäller från och med den tidpunkt PUB-avtalet undertecknats av båda parter och tillsvidare. Parterna äger ömsesidig rätt att säga upp PUB-avtalet att upphöra med trettio (30) dagars varsel.
15.1 Om PUB-avtalet upphör att gälla föranleder det ett sådant avtalsbrott som kan utgöra grund för hävning av huvudavtalet.
15.2 Efter uppsägning av PUB-avtalet ska Personuppgiftsbiträdet utan onödigt dröjsmål, beroende på vad den Personuppgiftsansvarige väljer, antingen radera och intyga förden Personuppgiftsansvarige att det är utfört, eller återlämna
... alla Personuppgifter som Behandlats för den Personuppgiftsansvariges räkning och
... all tillhörande information såsom Loggar, Instruktioner, systemlösningar, beskrivningar och andra handlingar som Personuppgiftsbiträdet erhållit genom informationsutbyte enligt PUB-avtalet.
15.3 I samband med återlämning ska Personuppgiftsbiträdet även radera befintliga kopior av Personuppgifter och tillhörande information.
15.4 Skyldigheten att radera eller återlämna Personuppgifter eller tillhörande information gäller inte om lagring av Personuppgifterna eller informationen krävs enligt unionsrätten eller relevant nationell rätt där Behandling får utföras enligt PUB-avtalet.
15.5 Om Personuppgifter eller tillhörande information återlämnas ska det ske i ett allmänt använt och standardiserat format, om parterna inte har kommit överens om något annat format.
15.6 Till dess att uppgifterna raderas eller återlämnas ska Personuppgiftsbiträdet säkerställa efterlevnaden av PUB-avtalet.
15.7 Återlämning eller radering enligt PUB-avtalet ska vara utförd senast trettio (30) kalenderdagar räknat från tidpunkten för uppsägningen av PUB-avtalet, om inte annat anges i Instruktionen. Behandling av Personuppgifter som Personuppgiftsbiträdet utför därefter är att betrakta som otillåten Behandling.
15.8 Bestämmelser om sekretess/tystnadsplikt i avsnitt 8 ska fortsätta gälla även om PUB-avtalet i övrigt upphör att gälla.
16.1 Vid tolkning och tillämpning av PUB-avtalet gäller svensk rätt med undantag för lagvals-reglerna. Tvister med anledning av PUB-avtalet ska avgöras av behörig svensk domstol.
17.1 Detta PUB-avtal tillhandahålls i digitalt format som bilaga till ChargeNodes avtal för ladd- och betaltjänster, och anses vara undertecknat i samband med undertecknandet av nämnda avtal.
1. Ändamål med behandlingen
ChargeNode behandlar personuppgifter för att tillhandahålla ladd och betaltjänster, inklusive:
hantering av användarkonton och medlemsinformation
hantering av laddsessioner och debitering
support, felsökning och drift
säkerhetsloggning och incidenthantering
2. Kategorier av registrerade
Medlemmar/användare som använder laddtjänsterna
3. Kategorier av personuppgifter
Kontaktuppgifter (namn, e-post, telefon)
Användar-/medlemsID
Laddhistorik
Faktureringsuppgifter
Tekniska loggar
4. Behandlingar som ChargeNode får utföra
ChargeNode får utföra följande behandlingar i syfte att fullgöra sina åtaganden:
lagring
visning
registrering och uppdatering
felsökning och loggning
radering/gallring enligt retentionpolicy
överföring till underbiträden enligt avtal
5. Gallring och lagringstid
Uppgifter behandlas så länge kundavtalet gäller och 12 månader därefter.
6. Underbiträden
ChargeNode får använda de underbiträden som anges i aktuell lista som uppdateras löpande.
7. Avvikelser
Om kunden önskar behandling utöver dessa instruktioner ska kunden lämna skriftliga kompletterande instruktioner, vilka betraktas som nya instruktioner enligt PUB-avtalet.
Charge Node Europé AB
Neongatan 4B
431 53 Mölndal
