PARTER
Personuppgiftsbiträdesavtal för Securitas kunder
PARTER
Detta personuppgiftsbiträdesavtal ("PUB-avtal") har träffats mellan:
1. Securitas Sverige AB, org. nr. 556108-6082, Box 12516, 102 29 Stockholm ("Securitas"), och
2. , org. nr. , (nedan "Kund"),
Företagsnamn org. nr. Adress
var och en "Part" och gemensamt "Parterna". Securitas är personuppgiftsbiträde och Kunden personuppgiftsansvarig.
DET/DE AVTAL MELLAN SECURITAS OCH KUND SOM REGLERAR TJÄNSTERNA OCH OMFATTAS AV DETTA PUB- AVTAL (”HUVUDAVTALET”)
Samtliga avtalsnamn inkl. avtalsnr/datum:
KUNDENS KONTAKTPERSON OCH KONTAKTUPPGIFTER
Namn & titel:
E-post, telefonnr & övrig kontaktinformation:
SECURITAS KONTAKTPERSON OCH KONTAKTUPPGIFTER
Namn & titel:
E-post, telefonnr & övrig kontaktinformation:
För meddelande till Securitas enl. Bilaga Särskilda avtalsvillkor för PUB-avtal p. 3 Dokumentation och efterlevnad, p. 6 Stöd till den personuppgifts- ansvarige och p. 7 Anmälan om personuppgiftsincidenter i, ska utöver kontaktperson även kopia (cc) skickas till xxxxxxxxxxxxx@xxxxxxxxx.xx
INGÅENDE DOKUMENT
Detta PUB-avtal består av följande avtalsdokument:
1. Detta dokument Personuppgiftsbiträdesavtal för Securitas kunder, som fyller ut Bilaga I till Standardavtalsklausulerna;
2. Instruktioner för behandling av personuppgifter, som utgör Bilaga II till Standardavtalsklausulerna;
3. Åtgärder för informationssäkerhet och dataskydd, som utgör Bilaga III till Standardavtalsklausulerna;
4. Särskilda avtalsvillkor för PUB-avtal; och
5. EU-kommissionens standardavtalsklausuler enligt EU-kommissionens genomförandebeslut (EU) 2021/915 av den 4 juni 2021 om standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden enligt artikel 28.7 i GDPR, ("Standardavtalsklausulerna"), som finns tillgängliga i EUR-lex xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxx- tent/SV/TXT/?uri=CELEX%3A32021D0915&locale-en.
Avseende Bilaga IV till Standardavtalsklausulerna, hänvisas till listan under punkten Underbiträden i Instruktioner för behandling av personuppgifter i detta PUB-avtal. Om innehållet är motstridiga ska dokumenten tolkas enligt företrädesordningen angiven ovan, med högsta prioritet till den första punkten.
DEFINITIONER
Följande definierade begrepp används i detta PUB-avtal, som ska äga företräde framför eventuella motsvarande definitioner i Huvudavtalet. I övrigt gäller klausul 3 i Standardavtalsklausulerna.
Definition | Betydelse |
"GDPR" | betyder Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning); |
"Instruktion" | betyder dokumenterade instruktioner som Xxxxxx lämnar som anger föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registre- rade och eventuella särskilda krav som gäller för behandlingen, inklusive Instruktioner för be- handling av personuppgifter i detta PUB-avtal; |
"Tillämplig dataskyddslagstiftning" | betyder GDPR och all gällande dataskyddslagstiftning och förordningar, inklusive föreskrifter från berörda tillsynsmyndigheter, avseende skydd för fysiska personers grundläggande rättigheter och friheter vid behandling av deras personuppgifter som gäller för Parterna. |
INLEDNING
Securitas kommer i samband med tillhandahållande av tjänsterna enligt Huvudavtalet ("Tjänsterna") att behandla personuppgifter som ett personuppgiftsbiträde på uppdrag av Xxxxxx. För sådan behandling av personuppgifter gäller bestämmelserna i detta PUB-avtal. PUB-avtalet utgör en integrerad del av Huvudavtalet.
Syftet med PUB-avtalet är att säkerställa att det finns tillräckliga garantier för skydd av personuppgifter i enlighet med artikel 28 i GDPR när Securitas behandlar personuppgifter på uppdrag av Kunden i samband med tillhandahållande av tjänsterna enligt Huvudavtalet.
Vid konflikt mellan en bestämmelse i detta PUB-avtal och en bestämmelse i Huvudavtalet gäller bestämmelsen i detta PUB-avtal.
Securitas äger inte rätt till någon särskild ersättning för att uppfylla sina åtaganden som personuppgiftsbiträde enligt detta PUB- avtal om inte annat följer av detta PUB-avtal.
Detta PUB-avtal ersätter mellan Parterna tidigare ingångna PUB-avtal som avser behandling av personuppgifter som omfattas av detta PUB-avtal, dock med undantag för eventuella i förhållande till Instruktioner för behandling av personuppgifter komplette- rande eller särskilda Instruktioner som omfattas av sådant tidigare ingånget PUB-avtal, vilka också ska anses utgöra ytterligare Instruktioner för behandling av personuppgifter enligt detta PUB-avtal.
* * * * * *
Detta PUB-avtal har upprättats i två exemplar av vilka vardera Xxxxxx tagit var sitt. Parterna är överens om att såväl elektroniska signaturer som egenhändigt undertecknade signaturer som har skannats in och konverterats till en bild (såsom PDF eller JPG) är giltiga och bindande.
SECURITAS SVERIGE AB | KUND |
Ort och datum: | Ort och datum: |
Undertecknande: | Undertecknande: |
Namn och titel: | Namn och titel: |
SÄRSKILDA AVTALSVILLKOR FÖR PUB-AVTAL
PARTERNAS SKYLDIGHETER
1. Dockningsklausul
Parterna är överens om att dockningsklausulen i klausul 5 i Standar- davtalsklausulerna inte ska gälla mellan Parterna. Om således en part vill tillträda PUB-avtalet krävs båda Parters på förhand lämnade samtycke, samt att ett tilläggsavtal till detta PUB-avtal ingås mellan berörda parter.
2. Instruktioner
Kundens eventuella ytterligare Instruktioner för behandling av per- sonuppgifter ska lämnas till Securitas genom möte mellan Parterna om inget annat överenskommits, samt även per e-post till Securitas kontaktperson.
Om Securitas saknar Instruktion för hur personuppgifter som omfat- tas av detta PUB-avtal får behandlas eller om Securitas anser att en Instruktion strider mot Tillämplig dataskyddslagstiftning ska Securitas underrätta Kunden om detta skriftligen till Kundens till Kundens kon- taktperson och invänta Kundens Instruktion
Om Xxxxxx lämnar ytterligare Instruktioner som går utöver vad som följer av Tillämplig dataskyddslagstiftning eller som inte följer av Hu- vudavtalet ska Securitas, om Kunden vidhåller Instruktionen, ha rätt till skälig ersättning för den ytterligare kostnad som Instruktionen in- nebär för Securitas eller annars enligt separat överenskommelse mellan Parterna.
3. Dokumentation och efterlevnad
En begäran om granskning eller inspektion som genomförs av Kun- den (eller av Kunden utsedd oberoende revisor) enligt klausul 7.6 i Standardavtalsklausulerna ska lämnas till Securitas genom e-post till Securitas kontaktperson. För undvikande av tvivel inkluderar gransk- ning eller inspektion även skriftliga granskningsunderlag och fråge- formulär. Kunden ska lämna Securitas skäligt varsel om åtminstone en (1) månad avseende en begäran om granskning eller inspektion för att ge Parterna möjlighet att planera granskningen eller inspekt- ionen.
För att undvika missförstånd ska en granskning eller inspektion ske i den mån tillämpliga lagar och föreskrifter tillåter. En granskning eller inspektion ska ske under normal kontorstid och så långt som möjligt utan att det stör pågående verksamhet. Sådan granskning eller in- spektion ska endast omfatta sådan information som är nödvändig för att Kunden ska kunna bedöma om Securitas har uppfyllt sina skyl- digheter enligt PUB-avtalet och Tillämplig dataskyddslagstiftning och ska således inte omfatta någon information som saknar betydelse för Securitas behandling av personuppgifter enligt detta PUB-avtal, in- klusive information om Securitas andra kunder eller annan informat- ion. Securitas har rutiner för att hantera granskning eller inspektion enligt denna punkt 3 som Securitas följer vid en sådan begäran från Kunden. Det kan bl.a. innebära att Securitas kan komma att tillhan- dahålla viss känslig eller konfidentiell information på plats i Securitas lokaler, eller på annat sätt överenskommet av Parterna.
Kunden står för egna och oberoende revisors kostnader och ska er- sätta Securitas för skälig kostnad som belastar Securitas för resurser som går åt för att ledsaga revisor i lokal och tillhandahålla revisorn med efterfrågat material. I övrigt står vardera Parten sin egen kost- nad för genomförande av granskning eller en inspektion, om inte an- nat framgår av denna punkt 3. Om en granskning utvisar att Securitas har brustit i sina åtaganden enligt detta PUB-avtal eller Tillämplig dataskyddslagstiftning ska Securitas utan dröjsmål åtgärda sådan brist på egen bekostnad.
På Securitas begäran ska Kundens personal och eventuell obero- ende revisor som Kund utsett och bemyndigat för att genomföra en granskning eller inspektion ingå en sekretessförbindelse med Secu- ritas avseende den information som sådana personer får del av i samband med granskningen eller inspektionen.
Partnerna är överens om att Securitas bedriver verksamhet av sä- kerhetskänslig natur. Securitas har därför rätt att erbjuda Kunden al- ternativ till en granskning eller inspektion enligt denna punkt 3, ex- empelvis rapport eller annan dokumentation från en genomförd granskning som Securitas låtit en tredje part genomföra för att kon- trollera att Securitas implementerat tillräckliga tekniska och organisa- toriska åtgärder för att uppfylla sina skyldigheter enligt Tillämplig dataskyddslagstiftning. Med hänsyn till Securitas särskilda verksam- het kan en oberoende revisor som Xxxxxx utsett behöva godkännas av Länsstyrelsen innan revisorn påbörjar granskningen eller inspekt- ionen. Kunden ansvarar för eventuell kostnad för sådant godkän- nande.
4. Användning av underleverantörer
Parterna är överens om att alternativ 2 i klausul 7.7 i Standardavtals- klausulerna ska tillämpas.
Securitas ska informera Kunden om eventuella ändringar till listan genom att underbiträde läggs till eller byts ut åtminstone en vecka i förväg genom e-post till Kundens kontaktperson, via prenumeration eller fakturaunderlag eller på annat sätt Securitas finner lämpligt.
Om Xxxxxx inte invänder mot ändringen äger Securitas rätt att anlita det aktuella underbiträden för att behandla personuppgifter på upp- drag av Xxxxxx. Om Xxxxxx vill utöva sin rätt att invända mot ett nytt underbiträde ska Kunden skriftligen underrätta Securitas om detta inom en vecka från informationsgivning. Sådan skriftlig underrättelse ska lämnas till Securitas genom e-post till Securitas kontaktperson.
Om Xxxxxx invänder mot anlitandet av ett underbiträde enligt ovan ska Parterna diskutera en lösning som båda Parter kan acceptera. Om Parterna inte kommer överens om en lösning inom en vecka (el- ler den längre period som Parterna skriftligen kommer överens om) räknat från Kundens skriftliga invändning så är Kunden införstådd att det innebär att Securitas förhindras att fullgöra sina avtalsenliga för- pliktelser i den utsträckning det relaterar till underbiträdet i fråga. Åsi- dosättandet att fullgöra sådana förpliktelser utgör inte avtalsbrott och begränsar inte andra skyldigheter enligt Xxxxxxx och Xxxxxx ska fort- satt ersätta Securitas som om fullt fullgörande av Tjänsten i enlighet med Avtalet skett.
5. Internationella överföringar
Under förutsättning att Securitas iakttar bestämmelserna i klausul 7.8 i Standardavtalsklausulerna får Securitas härmed ett generellt sam- tycke av Kunden till att överföra personuppgifter till tredje land som är nödvändigt för Securitas att tillhandahålla Tjänsterna förutsatt att det följer Tillämplig dataskyddslagstiftning och sker i enlighet med kapitel 5 GDPR.
6. Stöd till den personuppgiftsansvarige
Information och begäran enligt klausul 8 i Standardavtalsklausulerna ska lämnas genom e-post till respektive Parts kontaktperson. Secu- ritas äger rätt till skälig ersättning för den kostnad som biståndet till Kunden medför för Securitas eller annars enligt överenskommelse mellan Parterna.
7. Anmälan av personuppgiftsincidenter
En underrättelse till Xxxxxx om en personuppgiftsincident som rör Kundens personuppgifter enligt klausul 9 i Standardavtalsklausu- lerna ska lämnas till Kunden via e-post till Kundens kontaktperson.
Kunden åtar sig att hålla affärshemligheter eller konfidentiell inform- ation som Xxxxxx erhåller från Securitas avseende en inträffad per- sonuppgiftsincident strikt konfidentiell. Detta ska inte förhindra Kun- den från att lämna ut sådan information till berörd tillsynsmyndighet. Kunden ska dock vid tillgängliggörandet av sådan information till till- synsmyndigheten begära att sådan information omfattas av sekre- tess.
SLUTBESTÄMMELSER
8. Sekretess för personuppgifter
Utan att det påverkar tillämpningen av sekretessåtaganden i Huvud- avtalet ska Securitas ej hålla alla personuppgifter som omfattas av PUB-avtalet och som Securitas behandlar som personuppgiftsbi- träde för Kundens räkning med mindre säkerhet än så som Securitas tillämpar för sin egen konfidentiella information.
9. Avtalstid och uppsägning
Detta PUB-avtal gäller under samma avtalstid som Huvudavtalet och för sådan ytterligare tid som Securitas (eller ett anlitat underbiträde) behandlar personuppgifter på uppdrag av Xxxxxx.
Om någon av Parterna säger upp detta PUB-avtal med omedelbar verkan av något av de skäl som anges i klausul 10 i Standardavtals- klausulerna ska också Huvudavtalet upphöra med omedelbar ver- kan.
10. Upphörande av behandlingen av personuppgifter
Med hänvisning till klausul 10 (d) i Standardavtalsklausulerna ska Kunden genom e-post till Securitas kontaktperson lämna anvisning om Xxxxxx vill att de personuppgifter som Securitas (eller underbi- träde) behandlar på uppdrag av Kunden ska: (i) raderas; eller (ii) åter- lämnas till Kunden.
11. Bestämmelser som gäller efter avtalets upphörande
Punkten 8 (Sekretess för personuppgifter), punkten 10 (Upphörande av behandlingen av personuppgifter), punkten 12 (Ansvar) och punk- ten 13 (Övrigt) ska gälla efter PUB-avtalets upphörande oavsett an- ledning därtill.
12. Ansvar
Respektive Part ska vara ansvarig för administrativa sanktionsavgif- ter som har påförts Parten i fråga på grund av att Parten inte har uppfyllt sina skyldigheter enligt detta PUB-avtal eller Tillämplig data- skyddslagstiftning eller har behandlat personuppgifter i strid med Till- lämplig dataskyddslagstiftning.
Vad gäller ansvar för krav på skadestånd från berörda registrerade gäller artikel 82 i GDPR. Utan att det påverkar ovanstående ska an- svarsbegränsningen i Huvudavtalet gälla.
13. Övrigt
Ändringar. För det fall ändringar i tillämplig lag, lagakraftvunnen dom som rör tolkningen av tillämplig lag eller om Tjänsterna förändras på ett sätt som kräver förändring till detta PUB-avtal ska Parterna sam- råda om detta och i god anda samarbeta för att göra nödvändiga ändringar till PUB-avtalet.
Hela avtalet. PUB-avtalet utgör hela avtalet mellan Parterna avse- ende alla frågor som PUB-avtalet berör.
Överlåtelse. Ingen av Parterna ska äga rätt att helt eller delvis över- låta sina rättigheter eller skyldigheter enligt detta PUB-avtal utan den andra Partens skriftliga samtycke.
Tillämplig lag. På detta PUB-avtal ska svensk lag tillämpas utan be- aktande av bestämmelser om motstridiga regler om lagval.
Tvist. Bestämmelsen om tvistelösning i Huvudavtalet ska gälla för eventuella tvister och anspråk som uppstår till följd av eller i samband med PUB-avtalet, eller brott mot, uppsägning eller ogiltigförklaring av det.
INSTRUKTIONER FÖR BEHANDLING AV PERSONUPPGIFTER
Denna bilaga, som utgör en integrerad del av PUB-avtalet, anger Kundens Instruktioner för Securitas (och dess anlitade underbiträdens) behandling av personuppgifter i samband med tillhandahållandet av Tjänsterna enligt Huvudavtalet.
För Securitas Digitala tjänster (i det fall det är tillämpligt för ditt tjänsteavtal) gäller en separat instruktion från denna bilaga, vilket finns tillgänglig genom följande länk: xxxxx://xxx.xxxxxxxxx.xxx/xxxxxxxxx-xxxxxxx-xxxxxxxx--xxxxx-xxxxxxxxx
BESKRIVNING AV BEHANDLINGEN
Securitas behandlar personuppgifter för Kundens räkning för att tillhandahålla Tjänsterna enligt Huvudavtalet och för att uppfylla sina skyldigheter enligt PUB-avtalet. Nedan beskrivs närmare den behandling av personuppgifter som Securitas utför som personuppgiftsbiträde på uppdrag av Kunden i förhållande till de tjänster som Securitas tillhandahåller. Vilken behandling av personuppgifter som Securitas utför för Kundens räkning beror på vilka tjänster som ingår i Huvudavtalet.
Bevakningstjänster
Behandlingens ändamål och art: Personuppgifter behandlas av Securitas för Kundens räkning för att hantera bevakningstjänst, inklusive för att upprätthålla kontaktpersonlistor och instruktioner, genomföra behörighetskontroller, samt för att upprätta och dela kundrapporter. | |
Kategorier av personuppgifter: • Kontaktuppgifter • Iakttagelser och åtgärder • Identifieringsuppgifter • Lokaliseringsuppgifter | Kategorier av registrerade: • Kundens anställda och andra anlitade personer • Övriga personer som vistas behörigt eller obehörigt inom Kundens bevaknings- område |
Brandskydd
Behandlingens ändamål och art: Personuppgifter behandlas av Securitas för Kundens räkning för att hantera brandskydd och för att genomföra utbildningar, inklusive för att upp- rätthålla kontaktpersonlistor och instruktioner, hantera deltagarlistor för utbildningar och utbildningsresultat samt för att upprätta och dela kundrap- porter. | |
Kategorier av personuppgifter: • Kontaktuppgifter • Iakttagelser och åtgärder • Identifieringsuppgifter • Utbildningsuppgifter | Kategorier av registrerade: • Kundens anställda och andra anlitade personer • Deltagare i utbildningar |
Larmcentraltjänster, Personlarm och Fastighetsjour
Behandlingens ändamål och art: Personuppgifter behandlas av Securitas för Kundens ändamål för att tillhandahålla larmcentraltjänster/personlarm/fastighetsjour, inklusive för att hantera larmmottagning, förmedla larm, upprätthålla kontaktpersonlistor och instruktioner, genomföra behörighetskontroller, samt för att upprätta och dela kundrapporter. | |
Kategorier av personuppgifter: • Kontaktuppgifter • Iakttagelser och åtgärder • Bild- och ljudmaterial • Identifieringsuppgifter • Lokaliseringsuppgifter • Teknisk användaridentifikation & användargenere- rad data (Xxxxx.xxx) | Kategorier av registrerade: • Kundens anställda och andra anlitade personer • Övriga personer som vistas behörigt eller obehörigt inom Kundens bevaknings- område, inklusive lägenhetsinnehavarare. |
Parkeringsservice
Behandlingens ändamål och art: Personuppgifter behandlas av Securitas för att hantera parkeringsservice, inklusive för att hantera parkeringstillstånd, elektroniska nycklar, ut- färda och hantera kontrollavgifter eller parkeringsanmärkningar samt administrera bortförande av felparkerade fordon. | |
Kategorier av personuppgifter: • Kontaktuppgifter • Fordonsuppgifter • Identifieringsuppgifter • Bild • Fordonsrelaterade skulder (vid bortförande fordon) • Lokaliseringsuppgifter | Kategorier av registrerade: • Kundens anställda och andra anlitade personer • Parkör |
UNDERBITRÄDEN OCH LAGRINGSTID
För information om vilka underbiträden som Securitas anlitar för att tillhandahålla Tjänsterna samt lagringstid för personuppgifterna, se följande länk: xxxxx://xxx.xxxxxxxxx.xx/xx-xxx/xxxx-xxxxxxxxxxxxxxxxx-xxxx/xxx-xxxxx/. Information om ändringar av underbiträden kan även tillhandahållas på andra sätt som föreskrivet i punkt 4.
KATEGORIER AV PERSONUPPGIFTER
I tabellen nedan anges vilka typer av uppgifter som omfattas av respektive kategori av personuppgifter som används i denna Instruktion.
Kategori av personuppgifter | Exempel på typer av personuppgifter |
Bild- och ljudmaterial | Bilder och/eller ljudupptagning där personuppgifter förekommer. |
Fordonsuppgifter | Registreringsnummer, beskrivning av fordon, ägaruppgifter, fordons- relaterade skulder (vid tjänsten bortförande av fordon). |
Iakttagelser och åtgärder | Beskrivning av iakttagelse och eventuell vidtagen åtgärd. Kan innehålla beskrivning av signalement på en person, Fordonsupp- gifter och Identifieringsuppgifter. |
Identifieringsuppgifter | Namn, personnummer, födelsedatum, samordningsnummer, anställ- ningsnummer eller personlig kod. Vid iakttagelser kan åtgärden vara att göra en behörighetskontroll där det kan det föreligga behov av att identifiera och säkerställa identitet av personen på platsen. Vid Larmcentralenstjänster kan det föreligga behov av att identifiera en person via personlig kod. För parkerings- service kan det föreligga behov av att identifiera ägare till fordon eller nyttjande av elektroniska nycklar. För Xxxxxxxxxxxxx finns behov av att säkerställa identitet för vissa utbildningar och diplomeringar. |
Kontaktuppgifter | Namn, adress, e-post, telefonnummer, titel (tex säkerhetschef) och/el- ler befogenhet (tex nyckelansvarig). |
Lokaliseringsuppgifter | Uppgift om plats eller position, GPS-positioner eller andra tekniska lo- kaliseringsuppgifter. |
Teknisk användaridentifikation & användargenererad data | IT-relaterad information såsom IP-adress, användardata, uppgifter från cookies, navigationsuppgift på hemsida. Information för personalisering, såsom enhetsbeskrivning, lokalstor- lek, systemkonfiguration, sensornamn, apparater eller andra enheter som övervakas av Xxxxx.xxx, kontoinformation, schema, läge, auto- mationsinställningar och enhetsinställningar. Användningsdata, såsom prestanda för säkerhetsenhet som överva- kas av Xxxxx.xxx, elanvändning eller förbrukning, information om värme och kyla, ljus- eller andra armaturinställningar samt använd- nings- och varningsloggar. Uppgifter som genereras genom användning och interaktion med Alarm.com-tjänster, såsom aktivering/avaktivering, dörröppning, på- och avslagning av ljus. |
Utbildningsuppgifter | Namn, uppgift om resultat på genomförd utbildning, datum för genom- förd utbildning i vissa fall Identifieringsuppgifter. |