Personuppgiftsbiträde (nedan kallad ”Unikum”)
för unikums molntjänster
Personuppgiftsbiträde (nedan kallad ”Unikum”)
Namn | Vitec Unikum Datasystem AB (“Unikum”) |
Adress | Xxxxxxxxxxxx 00, 000 00 Xxxx |
Organisationsnummer | 556223-4798 |
Telefonnummer | 000-0000000 |
E-post i personuppgiftsfrågor | |
Kontaktperson personuppgiftsfrågor | Xxxxxxxxx Xxxxxxxx |
Godkända underbiträden |
System/Tjänster som Kunden köper från Unikum
1. Inledning, tjänster, abonnemangsavtal och biträdesavtal
Detta avtal skall gälla mellan Unikum och Kund som abonnerar på någon av Unikums molntjänster i Pyramid-familjen, Nova Office eller Business Studio som SaaS-tjänst (Software as a Service), i före- kommande fall med överenskomna tilläggstjänster (i det följande gemensamt benämnda ”Tjänsterna”).
Tjänsterna tillhandahålls via ett standard-webbgränssnitt. Parterna har ingått avtal (”Abonne- mangsavtalet”) enligt vilket Unikum under avtalstiden skall tillhandahålla Kunden Tjänsterna på abonnemangsbasis.
Unikum är Personuppgiftsansvarig för uppgifter om Kundens kontaktpersoner, inloggningsuppgifter och dylikt som Unikum behandlar för sin administration av Tjänsterna.
Kundens data, bland annat personuppgifter hänförliga till Kundens verksamhet, kommer att lagras och behandlas på andra sätt i Tjänsterna när Kunden använder dessa.
Unikum behandlar därmed personuppgifter för Kundens räkning som en del av tillhandahållandet av Tjänsterna och är enligt Tillämplig Dataskyddslagstiftning så kallat ”Personuppgiftsbiträde” (PUB) åt Xxxxxx, som är ”Personuppgiftsansvarig” (PUA) för behandlingen.
Unikum anlitar koncernbolaget Vitec IT-Drift för driften av servermiljön där Tjänsterna körs och personuppgifter i Tjänsterna lagras. Vitec IT-Drift är därmed ”underbiträde” till Unikum för sin behandling av personuppgifter som ingår i Kundens data. Xxxxxx lämnar genom sin underskrift av detta avtal ett särskilt godkännande för Vitec IT-Drift AB som underbiträde till Unikum avseende driften av servermiljön.
Beroende på Abonnemangsavtalet kan Tjänsterna driftas/hanteras av Unikum eller av en återförsäljare (”ÅF”). Den part som driftar Tjänsterna är personuppgiftbiträde för sin behandling av personuppgifter för Kundens räkning.
Enligt GDPR ska ett personuppgiftsbiträdesavtal (”PUB-avtal”) avseende sådan behandling upprättas mellan parterna med bl.a. de instruktioner som ska gälla för behandlingen. Mellan PUB och eventuellt underpersonuppgiftsbiträde skall motsvarande avtal ingås.
I huvudsak gäller att Kunden hanterar all data som lagras i Tjänsterna och ansvarar för att all behandling av personuppgifter och annan data sker i enlighet med lag. Detta innefattar att det ska finnas laglig grund för behandlingen, att de registrerade informeras om behandlingen och sina rättigheter, att behandlingen utförs så att uppgifterna skyddas från obehörig åtkomst, förändring och förstöring.
Behandling av personuppgifter skall begränsas till vad som är nödvändigt med tanke på ändamålen, t ex skall uppgifterna gallras regelbundet så att de inte behandlas (t ex sparas) längre tid än vad som motiveras av ändamålen med behandlingen.
Unikum skall tillse att Tjänsterna håller en adekvat nivå av dataskydd och skall endast befatta sig med persondata som behandlas inom ramen för Tjänsterna i den utsträckning som är nödvändig för att tillhandahålla Tjänsterna, t ex support.
2. Definitioner
Dataskyddsförordningen (GDPR) innehåller definitioner av relevanta begrepp. Vi har här tagit med några centrala begrepp.
Med personuppgift avses varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en ”registrerad”), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som namn, identifikationsnummer, lokaliseringsuppgifter eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Med behandling avses en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,
Med ”Tillämplig Dataskyddslagstiftning” avses alla tillämpliga (av behöriga instanser i Sverige eller inom EU/EES utfärdade eller beslutade) lagar, förordningar samt relevant domstolspraxis och myndighetsföreskrifter, allmänna råd, riktlinjer och beslut som rör behandlingen av personuppgifter inom ramen för Biträdesavtalet.
Övriga begrepp i Biträdesavtalet ska tolkas i enlighet med Tillämplig Dataskyddslagstiftning.
3. Bilagor
Beskrivning med dokumenterade instruktioner för den eller de system/tjänster som Kunden köper från Unikum, avseende behandlingen av personuppgifter. Vid förändringar, såsom köp av ytterligare tjänster eller förändringar i tjänsterna skall bilagor läggas till eller uppdateras så att de överens- stämmer med Unikums vid var tid aktuella beskrivningar för respektive Tjänst. | Bilaga 1 |
Godkända underbiträden | Se bilaga 2 och förteckning på Unikums hemsida |
4. Personuppgiftsbehandlingens ändamål ochomfattning
Det övergripande syftet med Unikums behandling av Kundens personuppgifter är att tillhandahålla Tjänsterna som Kunden köper från Unikum. Tjänsterna utgör ett system som kan användas av Kunden för att lagra och bearbeta data för sin verksamhet, däribland personuppgifter.
Behandlingens karaktär och ändamål, kategorier av personuppgifter som skall behandlas och kategorier av registrerade personer mm framgår mer detaljerat av Bilaga 1 till Biträdesavtalet.
5. Den personuppgiftsansvariges skyldigheter
Kunden ska i egenskap av ”Personuppgiftsansvarig” etablera rutiner i den egna verksamheten för att bland annat:
• säkerställa att det finns laglig grund enligt Tillämplig Dataskyddslagstiftning för att personuppgifterna behandlas för de ändamål som anges i detta avtal med bilagor;
• tillvarata de registrerades rätt till information och insyn, rätt till radering m.m.;
• anmäla personuppgiftsincidenter till tillsynsmyndigheten (Integritetsskyddsmyndigheten/IMY, tidigare Datainspektionen);
• säkerställa att varje fysisk person som utför arbete under dennes överinseende och som får tillgång till personuppgifterna, endast behandlar dessa i enlighet med givna instruktioner, om inte annat åläggs personen enligt lag.
• säkerställa, genom lämpliga organisatoriska och tekniska åtgärder, styrdokument, utbildning av personal och kontroller, att personuppgifter skyddas från obehörig åtkomst, förstöring eller förvanskning, samt
• säkerställa att berörd personal har tillräckliga kunskaper för att organisationen skall kunna leva upp till lagstiftningens krav.
Den Personuppgiftsansvarige ska i så god tid som möjligt i det enskilda fallet anmäla till Unikum alla förhållanden som kan medföra behov av förändringar i det sätt som Unikum (eller Vitec IT-Drift AB) behandlar personuppgifterna.
Kunden skall i förekommande fall ingå personuppgiftsbiträdesavtal även med andra parter som behandlar personuppgifter för Kundens räkning i samband med Tjänsterna, t ex med den av Unikums återförsäljare som Kunden arbetar med.
Om Kunden köper tilläggstjänster från tredje part som medför att den tredje parten behandlar person- uppgifter för Kundens räkning skall Kunden ingå personuppgiftsbiträdesavtal även med sådan tredje part.
6. Personuppgiftsbiträdets skyldigheter
6.1Säkerhetsåtgärder
Unikum är, i egenskap av ”Personuppgiftsbiträde”, skyldigt att fullgöra sina rättsliga förpliktelser avseende informationssäkerhet under Tillämplig Dataskyddslagstiftning och ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, inklusive att uppfylla krav på
inbyggt dataskydd och dataskydd som standard vid utformningen av Tjänsterna. Unikum skall ha en etablerad process för att testa och bedöma effektiviteten i dessa åtgärder.
De närmare informationssäkerhetskrav som gäller för Unikums behandling av personuppgifter enligt Biträdesavtalet anges i Bilaga 1. Abonnemangsavtalet kan precisera ytterligare informations- säkerhetskrav.
6.2 Instruktioner
Unikum får endast behandla personuppgifterna för ändamål som framgår av punkten 4 ovan, i enlighet med de instruktioner som Kunden gett Unikum i Abonnemangsavtalet och i Bilaga 1 till Biträdesavtalet, och endast i syfte att utföra sitt uppdrag enligt Abonnemangsavtalet.
Alla ändringar av Kundens instruktioner ska dokumenteras skriftligt i Bilaga 1 och undertecknas (eller bekräftas på annat lämpligt sätt som parterna överenskommer) av båda parterna. Detta gäller inte sådana ändrade instruktioner som Kunden är tvungen att lämna på grund av ändringar i Tillämplig Dataskyddslagstiftning. I sådana fall har Xxxxxx ensidig rätt att uppdatera Bilaga 1 och underrätta Unikum om ändringarna.
Unikum ska säkerställa att alla fysiska personer som utför arbete under dennes överinseende och som får tillgång till personuppgifterna, på motsvarande sätt endast behandlar dessa i enlighet med givna instruktioner, om inte annat åläggs personen enligt lag.
Om Unikum bedömer att Kundens instruktioner är otillräckliga eller kan stå i strid med Tillämplig Dataskyddslagstiftning, ska Unikum underrätta Kunden om detta via den kontaktinformation som anges i Abonnemangsavtalets inledning.
6.3Utlämnande av personuppgifter och användningen av underleverantörer
Unikum får inte, utöver vad som är nödvändigt för tillhandahållande av Tjänsterna (samt i förekommande fall tilläggstjänster som Kunden köper från tredje part), överföra eller ge åtkomst till personuppgifterna till en extern part utan Kundens medgivande, om det inte föreligger en lagstadgad skyldighet för Unikum att göra det.
Om en registrerad person begär information från Unikum om behandlingen av personuppgifter ska Unikum utan onödigt dröjsmål hänskjuta sådan begäran till Kunden.
Unikum får anlita underleverantörer för att utföra hela eller delar av behandlingen av personuppgifter utan att Kunden på förhand har lämnat sitt skriftliga godkännande. Ett särskilt god- kännande ges härmed för den eller de underleverantörer som framgår av Bilaga 2 till Biträdes- avtalet eller av den förteckning som publiceras på Unikums hemsida.
Unikum ska ingå ett skriftligt avtal med eventuella underleverantörer (”Underbiträden”) som, i frågor som rör skyddet för personuppgifter, binder underleverantören vid minst lika omfattande skyldigheter som Unikum har gentemot Kunden. Unikum ansvarar fullt ut gentemot Kunden för hur underleverantörerna behandlar personuppgifterna, inklusive deras säkerhetsåtgärder. Det innebär bland annat att Unikum ska utge ekonomisk kompensation till Kunden för en underleverantörs brott mot Tillämplig Dataskyddslagstiftning, Abonnemangsavtalet eller Biträdesavtalet, på samma sätt som om denne själv begått avtalsbrottet eller handlat i strid med Tillämplig Dataskyddslagstiftning.
6.4 Krav på lokalisering och överföring av personuppgifter till tredjeland
Unikum ska tillse att personuppgifterna lagras inom Sverige eller EU/EES om inte parterna skriftligen kommer överens om något annat. Detsamma gäller åtkomst till personuppgifterna för exempelvis service, support, underhåll, utveckling, drift eller liknande hantering.
6.5 Krav på tystnadsplikt och begränsning av personals åtkomst till personuppgifter
Unikum ska säkerställa att Unikums anställda som behandlar personuppgifterna omfattas av lagstadgad tystnadsplikt eller har åtagit sig tystnadsplikt i ett bindande avtal.
Tystnadsplikten ska gälla utan begränsning i tiden, även efter det att Biträdesavtalet har upphört gälla. Åtkomst till personuppgifterna skall begränsas till sådana anställda som behöver dem för att kunna utföra sina arbetsuppgifter med anledning av Abonnemangsavtalet.
6.6 Rapportering av personuppgiftsincident
Unikum ska underrätta Kunden utan onödigt dröjsmål om en personuppgiftsincident, d v s en händelse som har medfört eller riskerar att medföra oavsiktlig eller olovlig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till personuppgifterna. Alla sådana incidenter ska dokumenteras av Unikum och dokumentationen ska överlämnas till Kunden i samband med att Kunden underrättas om Personuppgiftsincidenten.
I de fall en incident ska rapporternas till tillsynsmyndigheten är Xxxxxx skyldig att göra det skyndsamt, normalt sett inom 72 timmar från kännedom om incidenten men om möjligt inom 36 timmar. Unikum skall därför bistå Kunden med all information som efterfrågas och samarbeta med Kunden och tillsynsmyndigheten, så skyndsamt så att incidentrapportering kan utföras inom lagstadgad tid.
6.7 Bistånd för att fullgöra skyldigheter gentemot de registrerade mm
Unikum ska, i den utsträckning som krävs enligt Tillämplig Dataskyddslagstiftning och enligt Xxxxxxx instruktioner i varje enskilt fall, bistå Xxxxxx vid fullgörandet av dennes skyldigheter enligt Xxxxxxxxxx Dataskyddslagstiftning. Detta innefattar bland annat att bistå registrerade med information om vilka uppgifter som finns registrerade om denne, samt att tillmötesgå individens rätt till rättelse, begränsning, radering och dataportabilitet, som gäller i vissa fall. Detta ska ske utan oskäligt dröjsmål.
6.8 Radering av personuppgifter
När Abonnemangsavtalet har avslutats ska Unikum, enligt Xxxxxxx anvisningar lämna tillbaka och/eller radera eller förstöra alla personuppgifter som omfattats av Abonnemangsavtalet på det sätt som parterna kommer överens om vid det tillfället. Detta ska ske så snart som möjligt och senast inom 30 dagar efter Xxxxxxx meddelande härom, om inte fortsatt lagring av personuppgifterna krävs enligt Tillämplig Dataskyddslagstiftning eller för att kunna uppfylla avtalade åtaganden gentemot Xxxxxx.
Unikum ska på begäran från Kunden skicka en skriftlig bekräftelse på att radering/förstöring har skett inom 30 dagar efter radering, via de kontaktuppgifter till Kunden som framgår av Abonnemangsavtalet.
6.9 Revision
Unikum ska tillse att Xxxxxx har möjlighet att vidta erforderliga åtgärder för att verifiera att Unikum och eventuella Underbiträden fullgör sina skyldigheter enligt Biträdesavtalet, Abonnemangsavtalet och Tillämplig Dataskyddslagstiftning, samt att Unikum faktiskt har vidtagit de säkerhetsåtgärder som krävs för att skydda personuppgifterna. Unikum skall ha processer för att arbeta löpande med dessa frågor.
Unikum förbinder sig att tillhandahålla Xxxxxx all information som krävs för att visa att de skyldigheter som anges i Biträdesavtalet efterlevs, samt att möjliggöra för och medverka till sådan granskning, inklusive kontroll på plats, som genomförs av Kunden eller annan granskare som utsetts av denne.
Granskaren får inte vara en konkurrent till Unikum.
7. Ansvar
Om någon av Parterna skulle bli skadeståndsansvarig mot tredje man med stöd av Tillämplig Dataskyddslagstiftning och har skadan helt eller delvis orsakats av den andra Partens brott mot lag eller detta avtal, skall sistnämnda Part ersätta den Skadeståndsskyldige med skäligt belopp sett till dennes medverkan och omständigheterna i övrigt.
De ansvarsbegränsningar som anges i Abonnemangsavtalet ska tillämpas även för ansvar under Biträdesavtalet. Unikums skadeståndsansvar i förhållande till Kunden enligt detta avtal skall i inget fall överstiga den ersättning som Kunden under ett kalenderår betalar till Unikum för berörd Tjänst.
Administrativa sanktionsavgifter ådöms den part som har brutit mot sina förpliktelser och följaktligen skall ingen av parterna bära den andra partens administrativa sanktionsavgifter.
8. Lagval och jurisdiktion
Detta personuppgiftsbiträdesavtal ska tolkas enligt svensk lagstiftning. Tvister enligt Biträdes-avtalet ska avgöras av svensk allmän domstol om inte parterna kommer överens om annat.
9. Avtalstid
Detta personuppgiftsbiträdesavtal gäller så länge Unikum behandlar personuppgifter för Kundens räkning. När Abonnemangsavtalet upphör ska även Biträdesavtalet upphöra. Villkor i Biträdesavtalet som är avsedda att överleva avtalets upphörande ska dock inte påverkas utan fortsätta gälla parterna emellan (till exempel punkt 6.5 och punkt 6.8).
10.Ersättning
Personuppgiftsbiträdet har rätt till skälig ersättning för sina kostnader för att utföra särskilda åtgärder för Kundens räkning enligt detta avtal oavsett om åtgärden görs på Kundens uttryckliga begäran eller för att uppfylla krav enligt avtal med Kunden eller enligt Tillämplig Dataskyddslagstiftning, dock endast i den mån inte annat framgår uttryckligen av Abonnemangsavtalet.
Drift/administration, support
och felavhjälpning
PUB-avtal, Bilaga 1
Övergripande ändamål med behandlingen
Det övergripande syftet med behandlingen är tillhandahålla Kunden ett verksamhetssystem (ERP-system) online via ett standard-webbgränssnitt. Kunden bestämmer ändamål och inriktning på sin användning av Tjänsterna. Kunden för över, lagrar och behandlar sin information på andra sätt i Tjänsterna. Unikums behandling av Kundens personuppgifter är begränsad till vad som är nödvändigt för att tillhandahålla Tjänsterna, och för att lämna support och rätta eventuella fel.
Serverdrift/värdmiljö
Tjänsterna körs i en servermiljö som administreras av Vitec IT-Drift AB, på uppdrag av Unikum. Vitec IT- Drift AB ansvarar för servermiljöns funktion och säkerhet.
Lagring drift/administration av Tjänsterna
Tjänsterna som sådana kan, beroende på avtalet i det enskilda fallet, driftas/administreras antingen av Unikum eller av ÅF. Kunden hanterar i grunden sin data själv och styr när och hur data läggs in, hur länge den lagras, hur uppgifterna används och när och hur de raderas. Den part som ansvarar för drift av Tjän- sten har eller kan ha åtkomst till Kundens data generellt, för att kunna implementera Tjänsterna, sätta upp användarkonton göra anpassningar och i övrigt bistå Kunden.
Support
Unikum tillhandahåller kundsupport för Tjänsterna och behandlar uppgifter om supportärenden, t ex kontaktpersons namn, kontaktuppgifter och företag, för att administrera sin support.
Support lämnas primärt vis FAQ, e-post eller telefon. Om det behövs för att lösa ett supportärende finns även möjlighet för Kunden att, efter godkännande i varje enskilt fall, bevilja supportpersonalen fjärr- åtkomst till Tjänsterna. Supportpersonalen kan i sådant fall komma att få del av personuppgifter eller annan information som den supportsökande behandlar i Tjänsterna. Informationen skall behandlas kon- fidentiellt och får inte användas för något annat ändamål än att tillhandahålla support.
Felavhjälpning
På begäran av Xxxxxx i det enskilda fallet kan Unikum ges åtkomst till Kundens Tjänster eller bakomliggande databas för att lösa uppkomna problem. Informationen skall behandlas konfidentiellt och får inte användas för något annat ändamål än att tillhandahålla felavhjälpning.
Kategorier av registrerade personer
Anställda, underentreprenörer (inkl anställda), kunder, kontaktpersoner för kunder och underleverantörer, Unikum-anställda (kontaktpersoner).
Kategorier av personuppgifter som behandlas
Namn, adressuppgifter, telefonnummer, e-post, yrkestitel/position, organisatorisk tillhörighet, anställningsnummer, uppgifter om utfört supportärende.
Vitec Unikum Datasystem AB | xxxx.xxxxxx@xxxxxxxxxxxxx.xxx 7(9)
Säkerhetskrav
Den Personuppgiftsansvarige ansvarar för säkerheten i sin egen tekniska miljö, t ex att hålla programvara uppdaterad, att använda brandväggar och annat skydd mot skadlig kod och obehörig åtkomst och för den organisatoriska säkerheten i sin organisation vad gäller säker hantering av lösenord och tilldelning av åtkomst och behörigheter till Tjänsterna.
Personuppgiftsbiträdet och ev. underbiträden ska, vidta tekniska, administrativa och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen. Personuppgiftsbiträdet tillhandahåller lösenordsskydd och åtkomstbegränsning, krypterad informationsöverföring (https). Möjlighet till fjärr-radering av data på mobila enheter. Servrar i säkerhetsklassad serverhall. Backup i separat säkerhetsklassad serverhall i Sverige.
Gallringstid (om möjligt, såvitt kan förutses)
Om inte annat avtalats särskilt gallras uppgifterna av den personuppgiftsansvarige, manuellt eller i förekommande fall genom inställningar i Tjänsterna. Information som ej gallrats av den personuppgifts- ansvarige skall raderas avtalad tid efter Abonnemangsavtalet upphörande om inte längre lagring krävs för viss uppgift enligt lag.
Lista över godkända underbiträden
Bilaga 2
Namn | Org.nummer | Adress | Kontakt | Funktion |
Vitec IT-Drift AB | 556459-9347 | Xxxxxxxxxxx 00 x, 000 00 Xxxx | 000-00 00 00 | Ansvarar för drift av servermiljön som Tjänsterna driftas i och där all data som rör Tjänsterna lagras. Anlitas av UNIKUM och är underbiträde till UNIKUM för sin behandling av Kundens personuppgifter. |
ZTL Payment Solutions AS | 920 970 931 | Xxxxxxxx XXx xxxx 00, Xxxx, Xxxxx | Tillhandahåller betalningslösningar (tillval) och är personuppgiftsbiträde till Kund för eventuell behandling av Kundens personuppgifter. | |
Scrive AB | 556816-6804 | Xxxx Xxxxxxxxx 00X, 000 00 Xxxxxxxxx | xxxxx://xxx.x xxxxx.xxx/ | Tillhandahåller e-signering (tillval) och är personuppgiftsbiträde till Kund för eventuell behandling av Kundens personuppgifter. |
InExchange Factorum AB | 556700-9971 | Box 133, 541 23 Skövde | xxxxx://xxxxxx xxxx.xx/ | Tillhandahåller e-fakturor (tillval) och är personuppgiftsbiträde till Kund för eventuell behandling av Kundens personuppgifter |
Telenor Sverige AB | 556421-0309 | Säte Stockholm | xxxxx://xxx.x xxxxxx.xx/ | Tillhandahåller SMS-tjänst (tillval) och är personuppgiftsbiträde till Kund för eventuell behandling av Kundens personuppgifter |
Creditsafe i Sverige AB | 556514-4408 | Xxxxxxxxxxxx 0, Xxxxx Fabriker, 412 50 Göteborg | xxxxx://xxx.x xxxxxxxxx.xxx/ se/sv.html | Tillhandahåller kreditupplysningar (tillval) och är personuppgiftsbiträde till Kund för eventuell behandling av Kundens personuppgifter |
Om längre texter behöver fyllas i, finns möjlighet att bifoga ett dokument som egen bilaga.