4. Parternas särskilda åtaganden

4.1 Roller, ägande av personuppgifter, behandling och ändamål

4.1.1 Kunden ska betraktas som personuppgiftsansvarig för alla personuppgifter som Leverantören behandlar på Kundens vägnar enligt dennes instruktioner. Instruktionerna utgörs i detta sammanhang av de överenskomna åtaganden som krävs för att uppnå Ändamålet och i samband med vilka det utförs behandling av personuppgifter.

4.1.2 Leverantören får endast behandla Kundens personuppgifter för Ändamålet och i den utsträckning det är nödvändigt för fullgörandet av Leverantörens skyldigheter enligt detta Avtal eller Tjänsteavtalet.

4.1.3 Utan att det påverkar behandlingen av personuppgifter som sker i överrensstämmelse med detta Avtal ska, i situationer då Leverantören överträder de Lagstadgade kraven genom att fastställa ändamål och medel för själva behandlingen (t.ex. genom att behandla personuppgifter i strid med Ändamålet), personuppgiftsbiträdet betraktas som personuppgiftsansvarig med avseende på den behandlingen.

4.2 Kundens särskilda åtaganden1 Kunden åtar sig att:
(a) Säkerställa att det finns en rättslig grund för behandlingen av personuppgifterna som omfattas av detta Avtal;
(b) Säkerställa att de registrerade, enligt kraven i EU Personuppgiftslagstiftning, har erhållit tillräcklig information om behandlingen, inklusive information om att Leverantören kan komma att behandla personuppgifter på Kundens vägnar;
(c) Omedelbart efter att Kunden har upplysts, informera Leverantören om felaktiga, rättade, uppdaterade eller raderade personuppgifter som omfattas av Leverantörens behandling;
(d) I god tid tillhandhålla Leverantören lagliga och dokumenterade instruktioner för Leverantörens behandling av personuppgifter om inte annat överenskommits;
(e) Innan detta Avtal träder i kraft, förse Leverantören med Kundens tillämpliga rutiner och riktlinjer för behandlingen av personuppgifter om inte annat överenskommits; och
(f) Agera som kontaktpunkt för den registrerade.

4.3 Leverantörens särskilda åtaganden Leverantören åtar sig att:2
(a) Endast behandla personuppgifter i överrensstämmelse med den personuppgiftsansvariges dokumenterade instruktioner, inklusive gällande överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte behandling krävs enligt Lagstadgade krav; i sådana fall ska Leverantören informera den personuppgiftsansvarige om sådana lagkrav innan behandling av personuppgifterna sker, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt Lagstadgade krav;
(b) Säkerställa att sådana anställda (hos Leverantören och dennes underleverantörer) som behandlar personuppgifter på Kundens vägnar har förbundit sig till sekretess eller omfattas av en adekvat lagstadgad tystnadsplikt;
(c) Implementera lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter som behandlas av Leverantören enligt detta Avtal, och med tanke på behandlingens art, (i) vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken i enlighet med GDPR Artikel 323 och (ii) bistå den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med EU Personuppgiftslagstiftningen;
(d) På begäran från den personuppgiftsansvarige (bortsett från vid personuppgiftsincidenter då sådan begäran inte är påkallad), bistå den personuppgiftsansvarige med att säkerställa efterlevnad av skyldigheterna enligt GDPR, Artikel 33 till 36 (t.ex. bistå den personuppgiftsansvarige vid personuppgiftsincidenter, vid genomförandet av konsekvensbedömning avseende dataskydd och föregående konsultation) med beaktande av typen av behandling och den information som Leverantören har att tillgå; och
(e) Ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att Leverantörens skyldigheter som fastställs i detta Avtal har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en revisor som bemyndigats av denne i enlighet med punkten 4.

4.3.1 Leverantören ska omedelbart informera den personuppgiftsansvarige om denne anser att en instruktion strider mot EU Personuppgiftslagstiftning.

4.3.2 Parterna är överens om att de säkerhetsåtgärder beskrivna i Underbilaga 1 som Leverantören vidtar, uppfyller Leverantörens åtaganden enligt punkten4.3(c).