sv

Logga in

AVTAL OM BEHANDLINGEN AV PERSONUPPGIFTER (PBA)

1. Parter

a. Personuppgiftsansvarig

Kundorganisation (nedan ”personuppgiftsansvarig”)

b. Personuppgiftsbiträde

Leverantörorganisation: Finlands Olympiska Kommitté rf (nedan ”personuppgiftsbiträde”)

2. Bakgrund och syfte

I detta personuppgiftsbehandlingsavtal (”PBA”) kommer parterna överens om de villkor enligt vilka Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvarigas räkning i Suomisport-tjänsten (nedan ”Tjänsten”) och i de datasystem som är anslutna till den samt personuppgifter som överförts från Suomisport-tjänsten till ett annat datasystem eller datamedium. Detta PBA ansluter sig till det serviceavtal som parterna ingått och som berättigar till användning av Suomisport-tjänsten, inklusive eventuella bilagor, tillägg och ändringar till serviceavtalet (”Avtalet”) enligt vilket den Personuppgiftsansvariga skaffar tjänster av Personuppgiftsbiträdet.

Detta PBA tillämpas inte på personuppgifter som behandlas av Personuppgiftsbiträdet självständigt som ansvarig personuppgiftsansvarig, till exempel i anslutning till kontaktpersoner i huvudavtalet, kontakt mellan parterna vid fakturering och motsvarande verksamhet.

Om det uppstår en konflikt mellan villkoren i Avtalet och villkoren i PBA, tillämpas i första hand villkoren i PBA, om inte något annat anges separat i detta PBA.

3. Definitioner

Om inget annat har avtalats eller om inte sammanhanget kräver något annat, ska definitionerna i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (”den allmänna dataskyddsförordningen”) användas i detta PBA.

”Dataskyddsbestämmelserna” avser den allmänna dataskyddsförordningen och annan tillämplig EU-lagstiftning eller nationell dataskyddslagstiftning samt tillsynsmyndighetens föreskrifter och utlåtanden, inklusive lagar och praxis som följer av Europeiska dataskyddsstyrelsens och Europeiska kommissionens åtgärder.

4. Den personuppgiftsansvarigas rättigheter och skyldigheter

  • Den personuppgiftsansvariga ansvarar enligt detta PBA för att samla in, behandla och använda personuppgifterna som behandlas i Tjänsten på ett lagenligt sätt, för att uppgifterna är korrekta samt för att fullgöra de övriga skyldigheterna som den Personuppgiftsansvariga åläggs i dataskyddsbestämmelserna.
  • Det är den personuppgiftsansvarigas ansvar att informera de registrerade om överföringen av deras personuppgifter till Tjänsten och att säkerställa att denne har en lämplig rättslig grund för överföringen av personuppgifter till Personuppgiftsbiträdet, så att Personuppgiftsbiträdet får behandla personuppgifter för att genomföra Tjänsten enligt avtalet som parterna har kommit överens om.
  • Den Personuppgiftsansvariga bekräftar att dennes anvisningar om behandlingen av personuppgifter har presenterats uttömmande i avtalet och i detta PBA. Om den Personuppgiftsansvariga senare vill ändra sina anvisningar, ska denne skriftligen kontakta Personuppgiftsbiträdet. Om verkställandet av sådana nya anvisningar medför extra kostnader för Personuppgiftsbiträdet, har Personuppgiftsbiträdet rätt att debitera den Personuppgiftsansvariga för alla extra kostnader som uppstår när Personuppgiftsbiträder verkställer sådana nya anvisningar. Anvisningarna ska vara skäliga och följa dataskyddsbestämmelserna.

5. Personuppgiftsbiträdets rättigheter och skyldigheter

  • Personuppgiftsbiträdet förbinder sig att iaktta dataskyddsbestämmelserna samt den Personuppgiftsansvariges anvisningar när personuppgifterna behandlas. Personuppgiftsbiträdet får inte behandla den Personuppgiftsansvarigas personuppgifter för andra ändamål än de som avtalats om behandlingen i avtalet eller i detta PBA.
  • Personuppgiftsbiträdet ansvarar enligt detta PBA för att samla in, behandla och använda de behandlade personuppgifterna på ett lagenligt sätt, för att uppgifterna är korrekta samt för att fullgöra de övriga skyldigheterna som Personuppgiftsbiträdet åläggs i dataskyddsbestämmelserna.
  • Personuppgiftsbiträdet ska meddela den Personuppgiftsansvariga om de nya anvisningar som den Personuppgiftsansvariga gett strider mot dataskyddsbestämmelserna. Personuppgiftsbiträdet kan avbryta verkställandet av sådana nya anvisningar tills de ändras eller tills den Personuppgiftsansvariga bekräftar dem. Den Personuppgiftsansvariga är alltid i slutändan ansvarig för att alla dennes anvisningar överensstämmer med dataskyddsbestämmelserna. Personuppgiftsbiträdet är endast skyldigt att meddela den Personuppgiftsansvariga om denne upptäcker ofrånkomliga brott mot dataskyddsbestämmelserna i anvisningarna, men denne är i övrigt inte skyldig att kontrollera eller säkerställa att anvisningarna överensstämmer med dataskyddsbestämmelserna.
  • Personuppgiftsbiträdet förbinder sig att i skälig utsträckning bistå den Personuppgiftsansvariga vid fullgörandet av dennes skyldigheter beträffande de personuppgifter som behandlas av Personuppgiftsbiträdet på basis av detta PBA. Sådana skyldigheter kan omfatta att bistå den Personuppgiftsansvariga med att svara på begäranden eller förfrågningar från den behöriga tillsynsmyndigheten, att utföra konsekvensbedömningar av dataskyddet och att begära förhandsinformation från tillsynsmyndigheten, samt att bistå den Personuppgiftsansvariga med att tillgodose begäranden om de registrerades rättigheter enligt dataskyddsbestämmelserna. Personuppgiftsbiträdet har rätt att fakturera eventuella extra kostnader orsakade av att bistå med begäranden om de registrerades rättigheter, och den Personuppgiftsansvariga är skyldig att betala sådana extra kostnader.
  • Om personen som är registrerad i Tjänsten, en annan fysisk person eller en tillsynsmyndighet begär assistans direkt från Personuppgiftsbiträdet i anknytning till den Personuppgiftsansvarigas personuppgifter (t.ex. en begäran om tillgång till, rättelse eller radering av uppgifter, lämnande av uppgifter eller annan åtgärd), ska Personuppgiftsbiträdet så snart som det rimligt är möjligt informera den Personuppgiftsansvariga om en sådan begäran i enlighet med dataskyddsbestämmelserna.
  • Personuppgiftsbiträdet upprätthåller, instruerar och utbildar sina anställda i behandlingen av personuppgifter i Tjänsten avseende kraven på skydd av personuppgifter och integritetsskydd i enlighet med dataskyddsbestämmelserna, och säkerställer att de anställda har förbundit sig till tystnadsplikt eller omfattas av lämplig lagstadgad sekretess. Om den Personuppgiftsansvariga har gett särskilda anvisningar om behandlingen av den Personuppgiftsansvarigas personuppgifter, ska Personuppgiftsbiträdet även instruera sina anställda som deltar i behandlingen av den Personuppgiftsansvarigas personuppgifter om innehållet i sådana eventuella anvisningar.
  • Personuppgiftsbiträdet ska vidta och upprätthålla lämpliga tekniska och organisatoriska åtgärder för alla personuppgifter som behandlas. Personuppgiftsbiträdet väljer sådana informationssäkerhetsåtgärder inom ramen för sitt bedömningsutrymme, till exempel utifrån branschstandarder, marknadspraxis och särskilda krav enligt dataskyddsbestämmelserna. Personuppgiftsbiträdet kan anpassa sina informationssäkerhetsåtgärder då och då, men dock inte sänka den övergripande informationssäkerhetsnivån under giltighetstiden för detta PBA.
  • Personuppgiftsbiträdet ska säkerställa konfidentialitet, informationssäkerhet, tillgänglighet och hållbarhet i de system som denne använder för behandling av personuppgifter. Personuppgiftsbiträdet testar, undersöker och utvärderar regelbundet effektiviteten i de tekniska och organisatoriska säkerhetsåtgärder som denne genomför. Personuppgiftsbiträdet förbinder sig att iaktta relevanta myndighetsbeslut som gäller behandlingen av personuppgifter.
  • Personuppgiftsbiträdet förbinder sig att utan obefogat dröjsmål underrätta den Personuppgiftsansvariga om personuppgiftsincidenter som riktar sig till personuppgifter som den Personuppgiftsansvariga överfört till Personuppgiftsbiträdet. En sådan anmälan ska i enlighet med dataskyddsbestämmelserna innehålla: en beskrivning av typen och omfattningen av personuppgiftsincidenten, inklusive, i mån av möjlighet, de kategorier och det uppskattade antalet registrerade som berörs av personuppgiftsincidenten, samt kategorier och det uppskattade antalet av den Personuppgiftsansvarigas personuppgifter som är föremål för personuppgiftsincidenten; namn och kontaktuppgifter till personuppgiftsbiträdets dataskyddsombud eller annan kontaktinformation som kan finnas för ytterligare information; en beskrivning av de uppskattade konsekvenserna av personuppgiftsincidenten, samt; en beskrivning av de åtgärder som Personuppgiftsbiträdet har vidtagit eller har för avsikt att vidta för att hantera och åtgärda personuppgiftsincidenten, inklusive åtgärder för att minimera eventuella skadliga konsekvenser.

    De ovan nämnda uppgifterna om personuppgiftsincidenten kan också lämnas in stegvis, om Personuppgiftsbiträdet inte kan lämna in dem samtidigt som denne underrättar den Personuppgiftsansvariga om personuppgiftsincidenten.
  • Personuppgiftsbiträdet åtar sig att, enligt den Personuppgiftsansvarigas val, radera eller i mån av möjlighet återlämna personuppgifter som behandlats i enlighet med detta PBA efter det att avtalet och detta PBA har upphört att gälla, samt att radera befintliga kopior, utom i den mån och i den utsträckning som det enligt tvingande lagstiftning som tillämpas på Personuppgiftsbiträdet krävs att denne sparar personuppgifter.
  • Personuppgiftsbiträdet har rätt att producera anonymiserade statistiska uppgifter om de personuppgifter som behandlas under detta PBA för eget eller sina samarbetspartners bruk.

6. Överföring av personuppgifter

Personuppgiftsbiträdet behandlar personuppgifter inom Europeiska ekonomiska samarbetsområdet (”EES”). Om den Personuppgiftsansvariga kräver eller samtycker till att personuppgifter överförs utanför EES, förbinder sig parterna att vidta nödvändiga rättsliga skyddsåtgärder för att säkerställa den Personuppgiftsansvariges dataskydd och sekretess av personuppgifter i enlighet med dataskyddsbestämmelserna.

7. Kvalitetsrevision

Personuppgiftsbiträdet förbinder sig att upprätthålla relevanta redogörelser eller på annat sätt dokumentera den behandling av personuppgifter som utförs för den Personuppgiftsansvarigas räkning till den del och när detta förutsätts enligt dataskyddsbestämmelserna. Den personuppgiftsansvariga ska på begäran ge den Personuppgiftsansvariga en kopia av den relevanta delen av sådana handlingar eller redovisningar, i den mån det gäller behandling av personuppgifter enligt detta PBA.

Den Personuppgiftsansvariga eller en utomstående granskare, som utsetts av den Personuppgiftsansvariga och som inte är en konkurrent till Personuppgiftsbiträdet, får utföra kvalitetsrevisionen för att försäkra sig om att Personuppgiftsbiträdet följer detta PBA samt dataskyddsbestämmelserna i behandlingen av personuppgifter enligt detta PBA. Den Personuppgiftsansvariga har rätt att utföra kvalitetsrevisioner enligt detta PBA en (1) gång per kalenderår. Den Personuppgiftsansvariga ska skriftligen och alltid minst tjugoen (21) dagar i förväg underrätta Personuppgiftsbiträdet om alla kvalitetsrevisioner som är planerade att utföras i Personuppgiftsbiträdets lokaler.

Om kvalitetsrevisionen gäller de system som Personuppgiftsbiträdet använder, skapar Personuppgiftsbiträdet en testmiljö där den Personuppgiftsansvariga kan utföra en kvalitetsrevision av behandlingen av personuppgifter enligt detta PBA. Sådana kvalitetsrevisioner ska i huvudsak utföras av en oberoende extern granskare och alltid inom ramen för Personuppgiftsbiträdets normala kontorstid, utan att orsaka betydande störningar i dennes affärsverksamhet.

Personuppgiftsbiträdet lämnar in en kopia av sin behandling av den Personuppgiftsansvarigas personuppgifter och alla andra befintliga handlingar som är väsentliga för kvalitetsrevisionen, och förbinder sig på den Personuppgiftsansvarigas begäran att på ett skäligt sätt bistå den Personuppgiftsansvariga vid sådana här kvalitetsrevisioner. Personuppgiftsbiträdet har rätt att fakturera för arbetsinsatsen i anslutning till de tilläggshandlingar, tilläggsstöd och tilläggstjänster som den Registeransvariga begärt och för de skäliga kostnader som detta medför. Detta omfattar också en tillräcklig ersättning för arbetstimmarna för Personuppgiftsbiträdets personal när de bistår den Personuppgiftsansvariga vid utförandet av kvalitetsrevisionen. Den Personuppgiftsansvariga ansvarar för sina egna kostnader i anslutning till kvalitetsrevisionerna (inklusive eventuella kostnader för den externa granskare som anlitats).

8. Underleverantörer

Den Personuppgiftsansvariga ger sin allmänna fullmakt och sitt samtycke till att denne tillåter att Personuppgiftsbiträde anlitar underleverantörer vid behandling av personuppgifter enligt detta PBA, i den mån sådan användning av underleverantören inte leder till verksamhet som strider mot Dataskyddsbestämmelserna eller till brott mot Personuppgiftsbiträdets skyldigheter enligt detta PBA. Personuppgiftsbiträdet förbinder sig att se till att de underleverantörer som anlitas är kompetenta, att de undertecknar ett avtal om behandling av personuppgifter med Personuppgiftsbiträdet och att de iakttar lämpliga sekretessförpliktelser. Personuppgiftsbiträdet är ansvarigt för den behandling av personuppgifter som utförs av dess underleverantörer gentemot den Personuppgiftsansvariga. Personuppgiftsbiträdet förbinder sig att på begäran av den Personuppgiftsansvariga lämna den Personuppgiftsansvariga en förteckning över underleverantörer som Personuppgiftsbiträdet anlitat vid behandlingen av personuppgifter enligt detta PBA och över de informationssystem som underleverantörerna levererat till denne.

Personuppgiftsbiträdet har frihet att välja och byta underleverantörer i enlighet med villkoren i detta PBA och i dataskyddsbestämmelserna. Personuppgiftsbiträdet ska dock underrätta den Personuppgiftsansvariga om alla väsentliga ändringar i dess underleverantörer. Om den Personuppgiftsansvariga med fog anser att en sådan ändring i underleverantörerna skulle leda till en risk för den Personuppgiftsansvariges personuppgifter, har den Personuppgiftsansvariga rätt att invända mot en sådan ändring av underleverantören.

9. Identifiering av behandlingen

I bilagan till detta PBA anges parternas kontaktpersoner, föremålet för och varaktigheten av behandlingen av personuppgifter, behandlingens art och syfte, typen av personuppgifter och grupper av registrerade. Bilagan utgör en integrerad del av detta PBA (bilaga 1: Behandling av personuppgifter i Suomisport-tjänsten).

10. Parternas skadestånd

Parterna har rätt till ersättning för skada som de lidit till följd av den andra partens avtalsbrott, såvida inte avtalsbrottet har orsakats av ett hinder utanför den andra partens kontroll som den inte rimligen kan förväntas ha beaktat vid tidpunkten för ingåendet av avtalet om behandling av personuppgifter och vars följder denne rimligen inte hade kunnat undvika eller övervinna.

Ingen av parterna ska hållas ansvarig för indirekta förluster eller skador, inklusive men inte begränsat till all förlust av vinster, förlorad inkomst, anseende eller affärsvärde.

Parternas ansvar enligt detta PBA är begränsat till minst 1 000 euro eller högst 100 000 euro eller 4 procent av omsättningen.

Parterna fastslår att alla administrativa sanktioner som åläggs av behöriga tillsynsmyndigheter ska fastställas i enlighet med dataskyddsbestämmelserna.

11. Avtalets giltighet och uppsägning

Detta PBA träder i kraft vid tidpunkten för undertecknandet och fortsätter att gälla tills avtalet har upphört att gälla och Personuppgiftsbiträdet har fullgjort alla sina skyldigheter enligt avtalet.

12. Tillämplig lag och tvistlösning

På detta PBA tillämpas finsk lag.
Tvister som uppstår till följd av detta PBA avgörs slutgiltigt genom skiljeförfarande i enlighet med Centralhandelskammarens skiljedomsregler. Skiljedomstolen har en (1) ledamot, med Helsingfors, Finland som säte och finska som skiljeförfarandespråk.

Om en tvist utöver PBA även gäller avtalet, avgörs tvisten i sin helhet i enlighet med villkoren för lösning av tvister i avtalet, med avvikelse från vad som överenskommits ovan i punkt 12.2, både för avtalet och PBA.


Bilaga 1 – Behandling av personuppgifter in Suomisport-tjästen

Huvudavtal

Huvudavtalet är ett serviceavtal som parterna kommit överens om och som hänvisar till denna bilaga (bilaga 3 i huvudavtal).

Föremål, art och syfte med behandlingen av personuppgifter

Föremål, art och syfte för behandlingen av personuppgifter beskrivs i användningsvillkoren och åtagandet för organisationsanvändarna (bilaga 2) och i avtalet om behandling av personuppgifter (bilaga 3) som utgör bilaga till huvudavtalet.

Känsliga personuppgifter

I tjänsten behandlas inte känsliga personuppgifter.

Dataskydd

Informationssäkerhetskraven beskrivs i servicebeskrivningen som bifogas huvudavtalet (bilaga 1 i huvudavtal).

Underentreprenör

Vid tidpunkten för ingåendet av avtalet har parterna inga underentreprenörer. I punkt 8 i avtalet om behandling av personuppgifter (bilaga 3 i huvudavtal) som bifogas huvudavtalet definieras den behandling av underleverantörer som parterna förbinder sig till.