För våra kunder
För juridiska personer som har Kundkort hos Qstar och som har valt att ange personuppgifter som kortrefenser på Kundkort, gäller Qstars personuppgiftsbiträdesavtal.
Qstars personuppgiftsbiträdesavtal
Avtalet: Ingånget avtal om att Qstar Försäljning AB bl.a. ska tillhandahålla Kundkort (enligt definition nedan) till Personuppgiftsansvarig enligt Allmänna villkor för Qstars/Pumps/Bilistens Kundkort.
Biträdesavtalet: Detta personuppgiftsbiträdesavtal.
Dataskyddslagstiftning: Förordningen (enligt definition nedan), svenska genomförandeförfattningar till Förordningen, andra av EU:s eller dess medlemsstaters tillämpliga dataskyddsbestämmelser, övrig framtida lagstiftning som är tillämplig på den personuppgiftsbehandling som sker enligt Avtalet samt vid var tid gällande föreskrifter, rekommendationer, allmänna råd och tillsynspraxis från tillämpliga tillsynsmyndigheter.
Förordningen: Dataskyddsförordningen 2016/679 (GDPR).
Kundkort: Av Qstar Försäljning AB utgivet Tank-, Smart-, Företags- eller Fordonskort.
Personuppgifter: Alla personuppgifter som behandlas av Personuppgiftsbiträdet för vilka Personuppgiftsansvarig är personuppgiftsansvarig.
Personuppgiftsansvarig: Den juridiska person som Qstar Försäljning AB har ingått Avtal med och som valt att ange personuppgifter som kortreferenser på Kundkort.
Personuppgiftsbiträde: Qstar Försäljning AB.
1. Bakgrund
1.1 Personuppgiftsbiträdet och Personuppgiftsansvarig har ingått Avtal. Avtalet innebär att Personuppgiftsbiträdet ska tillhandahålla Kundkort till Personuppgiftsansvarig. Personuppgiftsansvarig har valt att ange personuppgifter som kortreferenser på Kundkort.
1.2 Avtalet medför bl.a. att Personuppgiftsbiträdet kommer att behandla personuppgifter som Personuppgiftsansvarig för över till Personuppgiftsbiträdet eller som Personuppgiftsbiträdet på annat sätt ges tillgång till för behandling för Personuppgiftsansvarigs räkning. Personuppgiftsansvarig är personuppgiftsansvarig enligt Förordningen och Personuppgiftsbiträdet är personuppgiftsbiträde. Detta Biträdesavtal reglerar Personuppgiftsbiträdet behandling av personuppgifter för Personuppgiftsansvarigs räkning.
2. Omfattning
2.1 Biträdesavtalet gäller för Personuppgiftsbiträdets behandling av Personuppgifter enligt Avtalet.
2.2 Ändamålet med Personuppgiftsbiträdets behandling av Personuppgifter är att fullgöra Personuppgiftsbiträdets skyldigheter enligt Avtalet och Biträdesavtalet. Behandlingens art kommer att vara begränsad till vad som krävs för fullgörande av Avtalet och Biträdesavtalet.
2.3 De typer av Personuppgifter som bedöms bli föremål för Personuppgiftsbiträdets behandling är namn.
2.4 De kategorier av registrerade som bedöms bli föremål för Personuppgiftsbiträdets behandling är Personuppgiftsansvarigs personal och konsulter.
2.5 Behandlingen av Personuppgifter kommer som längst att pågå under avtalstiden för Avtalet med tillägg av skälig tid för slutlig överföring och/eller radering av personuppgifterna.
3. Personuppgiftsbiträdets skyldigheter
3.1 Personuppgiftsbiträdet får behandla Personuppgifter endast på Personuppgiftsansvarigs dokumenterade instruktioner från tid till annan, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation. Personuppgiftsbiträdets behandling ska ske i enlighet med Dataskyddslagstiftningen, Biträdesavtalet, Avtalet samt endast i syfte att uppfylla Personuppgiftsbiträdets åtaganden enligt Avtalet och Biträdesavtalet. Personuppgiftsbiträdet får inte behandla Personuppgifter för andra ändamål än de som framgår av Avtalet.
3.2 Personuppgiftsbiträdet ska följa de instruktioner gällande behandling av Personuppgifter som Personuppgiftsansvarig lämnar, inklusive att bistå Personuppgiftsansvarig om en registrerad vill utöva sina rättigheter enligt Dataskyddslagstiftningen samt att tillse att skyldigheterna enligt artikel 32-36 i Förordningen fullgörs.
3.3 Tillgången till Personuppgifter ska vara begränsad till den personal hos Personuppgiftsbiträdet som behöver tillgång till Personuppgifter för att Personuppgiftsbiträdet ska kunna uppfylla sina åtaganden gentemot Personuppgiftsansvarig. Personuppgiftsbiträdet ska säkerställa att alla personer som har behörighet att behandla Personuppgifter är (i) informerade om hur de får behandla Personuppgifter samt (ii) har åtagit sig att iaktta sekretess genom ett skriftligt avtal.
3.4 Personuppgiftsbiträdet garanterar att det ska genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen av Personuppgifter uppfyller kraven i Dataskyddslagstiftningen, inklusive artikel 32 i Förordningen. Personuppgiftsbiträdet garanterar att Personuppgiftsbiträdet innehar nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet säkerhetslösningar och ekonomiska och personella resurser, rutiner och metoder, i syfte att kunna fullgöra sina skyldigheter enligt Biträdesavtalet.
3.5 Det åligger Personuppgiftsbiträdet att vid var tid kunna visa att dess behandling av Personuppgifter sker i enlighet med Biträdesavtalet. Personuppgiftsbiträdet ska ge Personuppgiftsansvarig tillgång till all information som krävs för att visa att Personuppgiftsbiträdet skyldigheter enligt Biträdesavtalet har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Personuppgiftsansvarig eller av en annan revisor som bemyndigats av Personuppgiftsansvarig. Om Personuppgiftsbiträdet anser att en instruktion från Personuppgiftsansvarig strider mot Dataskyddslagstiftningen i detta avseende ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om det omedelbart.
3.6 Personuppgiftsbiträdet ska omgående skriftligen informera Personuppgiftsansvarig om Personuppgiftsbiträdet får kännedom om, eller får anledning att misstänka, (i) obehörig tillgång till eller obehörigt röjande av Personuppgifter, eller försök till sådan åtgärd, (ii) att Personuppgifter till följd av annan omständighet än Personuppgiftsansvarigs instruktioner förlorats, förstörts, förvanskats, skadats eller på annat sätt blivit obrukbara, eller (iii) att Personuppgifter på annat sätt behandlats i strid med Biträdesavtalet.
4. Underbiträden
4.1 Personuppgiftsbiträdet får i sin tur anlita andra personuppgiftsbiträden för behandling av Personuppgifter (”Underbiträde”). Med ”Underbiträde” avses samtliga andra personuppgiftsbiträden som behandlar Personuppgifter direkt eller indirekt (d.v.s. oavsett antal avtalsled) på uppdrag av Personuppgiftsbiträdet. Vid ingående av Biträdesavtalet har Personuppgiftsbiträdet de Underbiträden som anges på “UNDERBITRÄDEN”. Personuppgiftsbiträdet får anlita ytterligare Underbiträde eller ersätta Underbiträde under förutsättning att Personuppgiftsbiträdet dessförinnan underrättar Personuppgiftsansvarig så att Personuppgiftsansvarig har möjlighet att göra invändningar mot sådana förändringar.
4.2 I de fall Personuppgiftsbiträdet har anlitat Underbiträde för behandling av Personuppgifter ska Underbiträdet, genom ett skriftligt avtal, åläggas samma skyldigheter i fråga om dataskydd som de som fastställs i Biträdesavtalet.
4.3 Om Underbiträde inte fullgör sina skyldigheter i fråga om dataskydd eller behandling av Personuppgifter är Personuppgiftsbiträdet fullt ansvarig gentemot Personuppgiftsansvarig för utförandet av Underbiträdets skyldigheter.
5. Överföring till tredje land
5.1 Skyldigheten att behandla Personuppgifter endast i enlighet med Personuppgiftsansvarigs dokumenterade instruktioner gäller även för överföringar av Personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Personuppgiftsbiträdet omfattas av, och i så fall ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om det rättsliga kravet innan Personuppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.
5.2 Personuppgiftsbiträdet får behandla Personuppgifter i tredjeland i den mån behandlingen sker i enlighet med såväl Kapitel V i Förordningen som Biträdesavtalet i övrigt. Biträdet får därutöver inte, vare sig för egen del eller genom Underbiträde, behandla Personuppgifter i, eller överföra Personuppgifter till, tredjeland.
6. Förhållande till tredje man
6.1 För det fall att registrerad, tillämplig tillsynsmyndighet eller tredje man begär information från Personuppgiftsbiträdet som rör Personuppgiftsbiträdets behandling av Personuppgifter, ska Personuppgiftsbiträdet hänvisa till Personuppgiftsansvarig. Personuppgiftsbiträdet får inte lämna ut Personuppgifter eller annan information om behandlingen av Personuppgifter utan föregående skriftlig och uttrycklig instruktion från Personuppgiftsansvarig, om inte sådan skyldighet följer av Dataskyddslagstiftningen.
6.2 Personuppgiftsbiträdet ska informera Personuppgiftsansvarig om eventuella kontakter med tillämplig tillsynsmyndighet som rör, eller kan vara av betydelse för, behandling av Personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarigs räkning gentemot tillämplig tillsynsmyndighet.
7. Ansvarsbegränsning
7.1 Personuppgiftsbiträdets ansvar enligt Biträdesavtalet är begränsat till 100 prisbasbelopp enligt socialförsäkringsbalken (2010:110) för det år den skadegörande handlingen vidtogs.
8. Avtalstid och Biträdesavtalets upphörande
8.1 Biträdesavtalet gäller så länge som Personuppgiftsbiträdet behandlar Personuppgifter för Personuppgiftsansvarigs räkning.
8.2 Vid Avtalets upphörande ska Personuppgiftsbiträdet, utan oskäligt dröjsmål – enligt Personuppgiftsansvarigs val och skäliga instruktioner – till Personuppgiftsansvarig återlämna och/eller radera de Personuppgifter som Personuppgiftsbiträdet behandlar eller annars har kontroll över, och radera befintliga kopior.
9. Tillämplig lag och tvistelösning
9.1 Svensk lag ska tillämpas på Biträdesavtalet. Tvist i anledning av Biträdesavtalet ska avgöras av allmän domstol, med Norrköpings tingsrätt som första instans.