Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Detta Personuppgiftsbiträdesavtal (”PUB-avtal”) har ingåtts mellan Kunden (som anges i Tjänsteavtalet)

(”Personuppgiftsansvarig”); och Populum AB, org. nr. 559035-7678, Xxxxx Xxxxxxxx 0, 000 00 Xxxxxxxxx,

(”Populum” eller ”Personuppgiftsbiträde”); xxxxx kallad var för sig som en ”Part” och tillsammans som ”Parterna”.

1. BAKGRUND

1.1. Personuppgiftsansvarig har ingått ett avtal (”Tjänsteavtalet”) med Personuppgiftsbiträdet angående tillhandahållande av en molnbaserad webbtjänst för att genomföra medarbetarundersökningar för att öka medarbetarnas engagemang.

1.2. Tjänsteavtalet innebär att Populum, i egenskap av Personuppgiftsbiträde, behandlar Personuppgifter för vilka Kunden är Personuppgiftsansvarig enligt förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter samt om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (”GDPR”). Detta PUB-avtal reglerar Personuppgiftbiträdets behandling av Personuppgifter på uppdrag av Personuppgiftsansvarig, samt integritetsnivån som ska bibehållas under behandlingen.

1.3. I fråga om behandling av Personuppgifter ska detta PUB-avtal ha företräde framför Tjänsteavtalet och dess bilagor, om inte annat uttryckligen anges nedan.

2. DEFINITIONER

Följande termer som används i detta PUB-avtal har följande innebörd:

"Dataskyddslagar" - avser allmänna dataskyddsförordningen (EU) 2016/679 ("GDPR"), samt bindande beslut och föreskrifter från relevanta tillsynsmyndigheter, liksom ytterligare lokala anpassningar och föreskrifter om dataskydd i det tillämpliga medlemslandet.

"Tillämplig utländsk lag" - avser utländsk lagstiftning och regler om behandling av personuppgifter som gäller för företag och anställda som är bosatta utanför EU och EEA.

"Svarsinformation" - avser den registrerades svar på frågor som ställs av Kunden med hjälp av Tjänsten. Även om de lagras separat, förblir Svarsinformation kopplad till en registrerad via deras konto hos Personuppgiftsbiträdet. Därför klassificeras Svarsinformation som personuppgifter tills den antingen raderas från den registrerades konto eller länken mellan Svarsinformation och kontot tas bort. Efter dessa åtgärder blir Svarsinformation anonym och förlorar sin status som personuppgifter.

"Dotterbolag" - avser alla företag som från tid till annan ingår i Personuppgiftsansvariges organisation.

"Personuppgiftsansvarig" - avser den enhet som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

"Registrerad" - avser den identifierade eller identifierbara fysiska person till vilken personuppgifter hör.

"GDPR" - avser EU-förordning 2016/679 om skydd av fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter samt upphävandet av direktiv 95/46/EG.

"Personuppgifter" - avser all information som rör en Registrerad, där den Registrerade identifieras direkt eller indirekt med hänvisning till en identifierare såsom namn, kön, e-postadress, telefonnummer, IP-adress, arbetsroll, ägandeskap av arbetsgrupp eller annan identifierbar information som Personuppgiftsansvarig tillhandahåller Personuppgiftsbiträdet om den Registrerade.

"Behandling" - avser varje åtgärd eller serie av åtgärder som utförs på personuppgifter, oavsett om det sker automatiskt, såsom insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, hämtning, konsultation, användning, avslöjande genom överföring, spridning eller på annat sätt tillgängliggörande,

justering eller kombination, blockering, radering eller förstöring ("Behandling", "Behandlingar" och "Behandlad" ska ha samma innebörd).

"Tjänster" - avser alla pågående tjänster som omfattas av Tjänsteavtalet.

"Underbiträde" - avser den underleverantör som anlitas av Personuppgiftsbiträdet eller av någon av Personuppgiftsbiträdets Underbiträden och som samtycker till att ta emot personuppgifter från Personuppgiftsbiträdet eller från någon av Personuppgiftsbiträdets Underbiträden med det enda syftet att behandla personuppgifterna efter överföringen på uppdrag av Personuppgiftsansvarige i enlighet med Personuppgiftsansvariges instruktioner, villkoren i detta PUB-avtal och villkoren i ett skriftligt Avtal med Underbiträdet.

"Tekniska och organisatoriska säkerhetsåtgärder" - avser åtgärder som är utformade för att skydda personuppgifter mot oavsiktlig eller olaglig radering, oavsiktlig förlust, ändring, obehörig avslöjande eller obehörig åtkomst, särskilt när behandlingen innebär överföring av data över nätverk, och mot alla andra former av olaglig behandling.

"Dataskyddsmyndighet" - avser Integritetsskyddsmyndigheten (IMY)

3. BEHANDLING AV PERSONUPPGIFTER

3.1. För att uppfylla Parternas Tjänsteavtal godkänner och instruerar Personuppgiftsansvarig Personuppgiftsbiträdet att behandla på dess vägnar:

a) Personuppgifter som rör Personuppgiftsansvariges och/eller Personuppgiftsansvariges Dotterbolags anställda.

b) Kategorier av Personuppgifter som kan behandlas inkluderar (men är inte begränsade till): namn, e- postadress, telefonnummer, chefs namn, organisatorisk tillhörighet inom Personuppgiftsansvariges organisation (såsom grupp, projekt och funktionell tillhörighet), födelsedatum/ålder, kön, geografisk plats och anställningsdatum hos Personuppgiftsansvarige.

c) Personuppgiftsbiträdet kommer i huvudsak att inte behandla några särskilda kategorier av personuppgifter (som definieras enligt GDPR) eller annan känsligare information än de som nämns ovan.

3.2. Personuppgiftsbiträdet ska behandla Personuppgifter endast för följande ändamål:

a) i enlighet med Parternas Tjänsteavtal och detta PUB-avtal för att tillhandahålla Tjänsten enligt Tjänsteavtalet, inklusive eventuella ytterligare tjänster;

b) i enlighet med Personuppgiftsansvariges vid var tid gällande dokumenterade instruktioner;

c) för att kommunicera med de Registrerade som kontaktar Personuppgiftsbiträdet samt för fullgörande av leverans av Tjänsten;

d) för att administrera Parternas Tjänsteavtal och fakturering;

e) i enlighet med tillämplig dataskyddslagstiftning, och

f) för att följa Xxxxxxxxxx utländsk lag, men ska i så fall informera Personuppgiftsansvarige om sådana krav innan behandlingen av data.

3.3. Personuppgiftsbiträdet åtar sig att följa de krav som artikel 28 i GDPR ålägger en Personuppgiftsansvarig, inklusive kravet på att hålla ordentlig dokumentation och register över sin behandling av Personuppgifter enligt detta PUB-avtal. Sådan dokumentation ska lämnas till Personuppgiftsansvarige på begäran.

3.4. Personuppgiftsbiträdet får inte överföra Personuppgifter till ett tredje land om det inte är tillåtet enligt avsnitt 5 nedan.

3.5. Personuppgiftsbiträdet ska rätta, blockera, radera, ändra eller ta bort Personuppgifter i enlighet med Personuppgiftsansvariges instruktioner. Om Personuppgiftsansvarige har markerat att Personuppgifter ska raderas måste sådan radering göras senast 60 dagar därefter.

3.6. Personuppgiftsbiträdet ska, på begäran, snabbt bistå Personuppgiftsansvarige med att uppfylla Personuppgiftsansvariges ansvar avseende den Registrerades rätt till tillgång och rättelse enligt artikel 15 och 16 i GDPR, rätten att begära radering enligt artikel 17 i GDPR samt rätten att invända mot och begränsa behandling enligt artikel 18 i GDPR.

3.7. Personuppgifter ska raderas (utplånas) så snart det ändamål för vilket de samlades in har uppnåtts, om inte andra lagliga krav föreskriver att data måste sparas under en viss tidsperiod. Personuppgiftsbiträdet har emellertid rätt att behålla och använda anonymiserad Svarsinformation som grund för affärsutveckling och metodutveckling samt statistik.

3.8. Personuppgiftsbiträdet får inte tillhandahålla Personuppgiftsansvarige Svarsinformation i annat än anonymiserad form.

4. UNDERBITRÄDEN

4.1. Personuppgiftsbiträdet får använda eller en eller flera Underbiträden för behandling av Personuppgifter enligt detta PUB-avtal om Personuppgiftsbiträdet har ingått ett skriftligt avtal med Underbiträdet för behandling av Personuppgifter, där Underbiträdet åläggs i alla väsentliga avseenden liknande skyldigheter som Personuppgiftsbiträdet enligt detta PUB-avtal.

4.2. Personuppgiftsbiträdet ska se till att Personuppgiftsansvarige är medveten om vilka Underbiträden som behandlar Personuppgifter genom att, utan dröjsmål på Personuppgiftsansvarigs begäran, tillhandahålla korrekt och uppdaterad information om alla Underbiträden, där följande information anges för varje Underbiträde:

a) definition av Underbiträdet, inklusive dess kontaktinformation, företagsform och geografisk plats;

b) vilken typ av tjänst Underbiträdet utför; och

c) var Underbiträdet behandlar de Personuppgifter som omfattas av detta PUB-avtal.

4.3. Personuppgiftsbiträdet får inte använda ett Underbiträde om det innebär att Personuppgifter överförs till ett tredje land om inte bestämmelserna i avsnitt 5 är uppfyllda.

4.4. Personuppgiftsbiträdet är fullt ansvarig för Underbiträdets behandling av Personuppgifter i förhållande till Personuppgiftsansvarige.

4.5. När Personuppgiftsbiträdet avser att anlita ett nytt Underbiträde eller byta ut en befintlig sådan ska Personuppgiftsbiträdet verifiera Underbiträdets kapacitet och förmåga att uppfylla sina skyldigheter enligt dataskyddslagstiftningen. Personuppgiftsbiträdet ska skriftligen meddela Personuppgiftsansvarige:

a) Underbiträdets namn, organisationsnummer och huvudkontor (adress och land), vilken typ av data och kategorier av Registrerade som behandlas och

b) var Personuppgifterna kommer att behandlas.

4.6. Personuppgiftsansvarige har rätt att inom trettio (30) dagar efter meddelandet enligt punkt 4.5 invända mot Personuppgiftsbiträdets anlitande av en nytt Underbiträde och, på grund av sådan invändning, säga upp Avtalet enligt bestämmelserna i punkt 4.7 i Avtalet.

4.7. Om Personuppgiftsansvarige invänder mot att Personuppgiftsbiträdet använder ett nytt Underbiträde, enligt punkt 4.6 i detta Avtal, har Personuppgiftsansvarige rätt att omedelbart säga upp Avtalet.

4.8. Underbiträden listas i "Lista över Underbiträden” som finns tillgänglig på xxxxxxx.xx/xxxxx/xxx-xxxxxxxxxx.

5. ÖVERFÖRING TILL TREDJELAND

5.1. Om Personuppgiftsbiträdet och/eller Underbiträden överför personuppgifter till en plats utanför EU/EES ska Personuppgiftsbiträdet och/eller Underbiträdet säkerställa att sådan överföring följer tillämpliga

dataskyddsregler. Enligt villkoren i detta DPA ska sådana krav i förhållande till vissa länder, om det är lämpligt, uppfyllas genom att ingå EU:s standardavtalsklausuler för överföring av personuppgifter till personuppgiftsbiträden etablerade i tredjeland (EU kommissionens genomförandebeslut (EU) 2021/914 av den 4 juni 2021) eller andra tillämpliga säkerhetsmekanismer enligt GDPR artikel 44 för att säkra överföringen. Personuppgiftsbiträdet är skyldigt att hålla Personuppgiftsansvarige informerad om grunderna för överföringen.

6. SÄKERHET

6.1. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig att följa säkerhetskraven för behandling genom att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, som föreskrivs i Artikel 32 till 36 i GDPR.

6.2. Personuppgifterna ska skyddas av Personuppgiftsbiträdet mot förstörelse, ändring, olaglig offentliggörande och obehörig åtkomst. Personuppgiftsbiträdet ska på begäran från Personuppgiftsansvarig informera Personuppgiftsansvarig om de tekniska och organisatoriska åtgärder som vidtagits för att skydda de personuppgifter som behandlas på uppdrag av Personuppgiftsansvarig.

6.3. Personuppgiftsbiträdet ska tillhandahålla och genomföra tekniska och praktiska lösningar för att undersöka misstankar om att någon obehörig har behandlat eller haft obehörig åtkomst till personuppgifterna. Vid en personuppgiftsincident ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om händelsen utan oskäligt dröjsmål efter att ha blivit medveten om en sådan incident.

6.4. Om Personuppgiftsbiträdet saknar instruktioner från Personuppgiftsansvarig som Personuppgiftsbiträdet anser nödvändiga för att utföra behandlingen av personuppgifter eller anser att Personuppgiftsansvarigs instruktioner helt eller delvis är i strid med de lagar, regler och rekommendationer som Personuppgiftsbiträdet ska följa enligt detta PUB-avtal, ska Personuppgiftsbiträdet utan oskäligt dröjsmål meddela Personuppgiftsansvarig sin åsikt och avvakta de instruktioner som Personuppgiftsansvarig anser nödvändiga. Om Personuppgiftsansvarig inte lämnar nya instruktioner inom skälig tid har Personuppgiftsbiträdet rätt att vidta rimliga och nödvändiga säkerhetsåtgärder för att följa dataskyddsreglerna, på Personuppgiftsansvarigs bekostnad.

6.5. Personuppgiftsbiträdet har rätt till ersättning för rimliga, välgrundade och direkta merkostnader som uppstår till följd av ändrade eller ytterligare instruktioner enligt punkt 6.1 och 6.4 ovan. En sådan rätt till ersättning ska dock inte gälla för ändrade säkerhetskrav som Personuppgiftsbiträdet ska uppfylla utan rätt till ersättning enligt tjänsteavtalet.

7. REVISION OCH ÖVERVAKNING

7.1. Personuppgiftsansvarig har rätt att, i eget namn och på Personuppgiftsansvarigs bekostnad eller genom en tredje part som utsetts av Personuppgiftsansvarig (som inte får vara en konkurrent till Personuppgiftsbiträdet), följa upp att Personuppgiftsbiträdet uppfyller Personuppgiftsansvarigs krav för behandlingen. I en sådan uppföljning ska Personuppgiftsbiträdet bistå Personuppgiftsansvarig eller den tredje part som utför granskningen med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som är nödvändiga för att följa upp Personuppgiftsbiträdets efterlevnad av detta PUB-avtal, förutsatt dock att sådan tillgång inte äventyrar eller rimligen kan antas äventyra en individs anonymitet eller integritet. Personuppgiftsbiträdet har rätt att erbjuda alternativa uppföljningsförfaranden, såsom en revision utförd av en oberoende tredje part. I sådant fall har Personuppgiftsansvarig rätt att, men inte skyldighet att, använda detta alternativa uppföljningsförfarande. Om revisioner äger rum mer än en gång per kalenderår har Personuppgiftsbiträdet rätt till ersättning för sina rimliga kostnader för att bistå med en sådan revision.

7.2. Personuppgiftsbiträdet ska också bereda möjlighet för Integritetsskyddsmyndigheten eller annan myndighet som är eller kan vara av betydelse för behandlingen av personuppgifter att genomföra samråd och tillsyn på plats.

7.3. Om Datainspektionen eller annan myndighet inleder granskning av Personuppgiftsansvarigs behandling av personuppgifter eller om en enskild person överklagar mot Personuppgiftsansvarig eller

Personuppgiftsbiträdet i fråga om sådan behandling och ärendet rör behandling som rimligen kan antas ha utförts av Personuppgiftsbiträdet, ska Personuppgiftsbiträdet, i rimlig utsträckning och mot ersättning för uppkomna kostnader, bistå Personuppgiftsansvarig med dokumentation och annan information om behandlingen för att möjliggöra för Personuppgiftsansvarig att tillmötesgå myndigheternas revision och svara på deras krav.

8. INFORMATIONSLÄMNANDE

8.1. Om en registrerad, Integritetsskyddsmyndigheten, annan tillsynsmyndighet eller tredje part begär information från Personuppgiftsbiträdet om Personuppgiftsansvarigs behandling av personuppgifter ska Personuppgiftsbiträdet hänvisa till Personuppgiftsansvarig. Personuppgiftsbiträdet får inte lämna ut personuppgifter eller annan information om Personuppgiftsansvarigs behandling av personuppgifter utan Personuppgiftsansvarigs förhands skriftliga samtycke. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig om en registrerad begär tillgång till information som är registrerad om honom/henne i form av personuppgifter eller begär rättelse av sådan information.

8.2. Personuppgiftsbiträdet ska, utan dröjsmål, skriftligen underrätta Personuppgiftsansvarig om alla kontakter från Integritetsskyddsmyndigheten eller annan tillsynsmyndighet som rör eller kan vara av betydelse för behandlingen av personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera på Personuppgiftsansvarigs vägnar gentemot Integritetsskyddsmyndigheten eller någon annan tillsynsmyndighet som rör eller kan vara av betydelse för behandlingen av personuppgifter. Om Personuppgiftsbiträdet enligt lag eller myndighetsbeslut är skyldig att lämna ut personuppgifter gäller vad som föreskrivs om sekretess i klausul 9.2.

9. KONFIDENTIALITET

9.1. Personuppgiftsbiträdet och de personer som arbetar under dess ledning ska, vid behandlingen av personuppgifter, ingå sedvanliga sekretessåtaganden eller omfattas av en lämplig lagstadgad yrkesmässig tystnadsplikt.

9.2. Personuppgiftsbiträdet får lämna ut personuppgifter eller information om sin behandling utan att detta utgör ett brott mot detta avtal om Personuppgiftsbiträdet enligt lag, föreskrifter eller myndighetsbeslut är skyldig att lämna ut personuppgifter. I sådant fall ska Personuppgiftsbiträdet omedelbart skriftligen meddela Personuppgiftsansvarig härom och, om möjligt, begära att de begärda personuppgifterna omfattas av sekretess vid utlämnandet.

10. AVTALETS GILTIGHETSTID, FÖRHÅLLANDE TILL ANDRA AVTAL OCH ÄNDRINGAR

10.1. Detta PUB-avtal är giltigt mellan Parterna så länge som Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning. Vid upphörandet av Tjänsteavtalet ska Personuppgiftsbiträdet säkerställa att alla personuppgifter raderas senast 60 dagar därefter.

10.2. Personuppgiftsbiträdet åtar sig att radera alla personuppgifter efter det att Personuppgiftsbiträdets skyldigheter enligt detta PUB-avtal har avslutats och att radera alla kopior, om inte lagkrav kräver lagring av personuppgifter enligt 10.1 ovan.

10.3. Om det underliggande Tjänsteavtalet som innebär att Personuppgiftsbiträdet behandlar personuppgifter avslutas och ett nytt sådant avtal ingås utan att ett nytt PUB-avtal har ingåtts, ska detta PUB-avtal också gälla det nya avtalet.

10.4. Om dataskyddsreglerna ändras under giltighetstiden för detta PUB-avtal, eller om Tillsynsmyndigheten utfärdar riktlinjer, beslut eller föreskrifter om tillämpningen av dataskyddsreglerna som leder till att detta PUB-avtal inte längre uppfyller kraven för ett PUB-avtal, ska parterna göra nödvändiga ändringar i detta PUB-avtal för att uppfylla sådana nya eller ytterligare krav. Sådana ändringar träder i kraft senast trettio (30)

dagar efter det att part skickat ett meddelande om ändring till den andra parten eller annars senast vad som föreskrivs i tillsynsmyndighetens dataskyddsregler, riktlinjer, beslut eller föreskrifter.

10.5. Personuppgiftsbiträdet förbehåller sig rätten att från tid till annan ändra detta PUB-avtal om ändring av detta PUB-avtal med trettio (30) dagars varsel till den Personuppgiftsansvarige om sådana ändringar. Om den Personuppgiftsansvarige skriftligen invänder mot ändringen inom ändringsmeddelandeperioden ska avtalet fortsätta enligt de tidigare villkoren. I detta fall förbehåller sig Personuppgiftsansvarige rätten att säga upp avtalet med omedelbar verkan.

11. TILLÄMPLIG LAG OCH TVIST

11.1. Svensk lag ska tillämpas på Tjänsteavtalet innefattande dessa Allmänna villkor för Tjänsten och Personuppgiftsbiträdesavtalet.

11.2. Tvist, kontrovers eller påstående som uppstår i samband med detta PUB-avtal, eller dess brott, upphörande eller ogiltighet, ska slutgiltigt avgöras genom skiljeförfarande som administreras av Skiljedomsinstitutet vid Stockholms Handelskammare. Språket som ska användas i skiljeförfarandet ska vara svenska.