TILLÄGGSAVTAL AVSEENDE PERSONUPPGIFTSBITRÄDE TILL ALLMÄNNA VILLKOR

TILLÄGGSAVTAL AVSEENDE PERSONUPPGIFTSBITRÄDE TILL ALLMÄNNA VILLKOR

TILLHÖRANDE TJÄNSTEAVTAL ”SPI-SaaS -12 (Software as a Service)”

Personuppgiftsbiträdesavtal framtaget av föreningen Swedish Software (SweS)

Personuppgiftsbiträdesavtal mellan 4Retail Sweden AB/ipool med xxx.xx: 556480-3715, nedan benämnd Personuppgiftsbiträde och Xxxxxx (xxxxx xxxxxxx Personuppgiftsansvarig)

1. Bakgrund och syfte

1.1. Mellan parterna har ingåtts avtal om tillhandahållande av tjänster (”Tjänsteavtalet”). Som ett led i Tjänsteavtalet kommer personuppgiftsbiträdet att självt och/eller genom annat anlitat personuppgiftsbiträde, behandla personuppgifter för den personuppgiftsansvariges räkning.

1.2. Syftet med detta Avtal är att tillse att personuppgifter behandlas i enlighet med den personuppgiftsansvariges instruktioner och tillämpliga lagar och förordningar.

1.3. I händelse av motstridig lydelse mellan bestämmelserna i detta Avtal och Tjänsteavtalet, ska bestämmelserna i detta Avtal äga företräde om inte parterna uttryckligen angett annat.

2. Definitioner

2.1. Med ”behandling” avses varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättning av personuppgifter, oberoende av om de utförs automatiserat eller ej, så som insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

2.2. Med ”personuppgifter” avses varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

2.3. Med ”personuppgiftsincident” avses säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

2.4. Med ”register” avses en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

2.5. Med ”registrerad” avses en identifierad eller identifierbar fysisk person.

2.6. Med ”känsliga personuppgifter” avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa samt uppgifter om en fysisk persons sexualliv eller sexuella läggning.

2.7. ”Systemadministratör” avser den person hos den Personuppgiftsansvarige som genomför

registrering av fysisk eller juridisk person hos Personuppgiftsbiträdet i samband med Tjänsteavtalets ingående och uppstart av tjänsterna.

2.8. Ovan definierade begrepp samt övriga begrepp och termer som används i detta Avtal skall ha den betydelse som motsvarande begrepp och termer har enligt Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 (”Dataskyddsförordningen”).

3. Personuppgiftsbiträdets skyldigheter

3.1. Behandling av personuppgifter

3.1.1. Personuppgiftsbiträdet skall för den personuppgiftsansvariges räkning behandla personuppgifter av den art, på de sätt, för de ändamål, med den varaktighet och typ av personuppgifter samt avseende de kategorier av registrerade som anges i detta Avtal.

3.1.2. Personuppgiftsbiträdet får endast behandla personuppgifter i enlighet med dokumenterade instruktioner från den personuppgiftsansvarige såvida inte skyldighet följer av tillämplig dataskyddslagstiftning. Föreligger sådan skyldighet för personuppgiftsbiträdet ska denne innan personuppgifterna behandlas informera den personuppgiftsansvarige om detta rättsliga krav, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt sådan dataskyddslagstiftning.

3.1.3. Den Personuppgiftsansvarige bekräftar att Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal, inklusive Bilaga 1, utgör de fullständiga instruktioner som ska följas av Personuppgiftsbiträdet. Alla ändringar i den Personuppgiftsansvariges instruktioner ska dokumenteras skriftligt och undertecknas av båda Parter. Den Personuppgiftsansvarige är skyldigt att inte, utan sådan skriftlig överenskommelse, låta Personuppgiftsbiträdet behandla andra kategorier av personuppgifter, eller behandla personuppgifter om andra kategorier av registrerade, än vad som anges i Bilaga 1.

3.1.4. Om personuppgiftsbiträdet anser att en instruktion från den personuppgiftsansvarige strider mot Dataskyddsförordningen eller annan tillämplig dataskyddslagstiftning, ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige härom.

3.1.5. Om personuppgiftsbiträdet saknar instruktioner som denne bedömer är nödvändiga för att genomföra behandlingen av personuppgifter, ska personuppgiftsbiträdet utan dröjsmål informera den personuppgiftsansvarige om detta och invänta de instruktioner som den personuppgiftsansvarige bedömer erfordras och meddelar personuppgiftsbiträdet.

3.1.6. Den Personuppgiftsansvarige bekräftar att en Systemadministratör har rätt att, för den Personuppgiftsansvariges räkning, lämna sådana instruktioner till Personuppgiftsbiträdet avseende Personuppgiftsbiträdets personuppgiftbehandlingar som är nödvändiga för att Systemadministratören och Personuppgiftsbiträdet ska kunna fullgöra sina respektive förpliktelser mot den Personuppgiftsansvarige.

3.1.7. Om den Personuppgiftsansvarige, till följd av avtal med en tredje part om att en sådan part ska tillhandahålla tjänster till den Personuppgiftsansvarige som ska integreras med Tjänsterna, aktiverar och godkänner sådan integration bekräftar härmed parterna att Personuppgiftsbiträdet är skyldigt, samt berättigat, att till sådan tredje part lämna ut och motta de personuppgifter som är nödvändiga för Personuppgiftsbiträdet att lämna ut respektive motta, för att sådan tredje part och Personuppgiftsbiträdet, ska kunna fullgöra sina respektive förpliktelser mot den Personuppgiftsansvarige.

3.2. Datasäkerhet och sekretess

3.2.1. Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder så att behandling av personuppgifter uppfyller kraven i Dataskyddsförordningen och Avtalet, samt i övrigt säkerställa att registrerades rättigheter skyddas.

3.2.2. Personuppgiftsbiträdet får ändra dessa säkerhetsåtgärder utan föregående medgivande från den personuppgiftsansvarige under förutsättning att ändringen inte står i strid mot Dataskyddsförordningen. Personuppgiftsbiträdet ska säkerställa att personer med behörighet att behandla personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av lagstadgad tystnadsplikt samt endast behandlar dessa i enlighet med dokumenterade instruktioner från den personuppgiftsansvarige, såvida personerna ifråga inte är skyldiga att göra det enligt tillämplig dataskyddslagstiftning.

3.3. Anlitande av underbiträden

3.3.1. Den personuppgiftsansvarige lämnar härmed personuppgiftsbiträdet tillstånd att anlita annat personuppgiftsbiträde för behandling av personuppgifter för den personuppgiftsansvariges räkning förutsatt att Personuppgiftsbiträdet upprätthåller en aktuell lista över anlitade Underbiträden på xxxxx://xxx.xxxxx.xx/xxxx. Personuppgiftsbiträdet ska informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådan förändring. Sådan invändning ska ske skriftligen utan oskäligt dröjsmål från det att den personuppgiftsansvarige fått informationen.

3.3.2. Om personuppgiftsbiträdet anlitar annat personuppgiftsbiträde för behandling av personuppgifter för den personuppgiftsansvariges räkning ska personuppgiftsbiträdet genom avtal ålägga det andra personuppgiftsbiträdet samma skyldigheter ifråga om dataskydd som gäller för personuppgiftsbiträdet enligt detta Avtal samt ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen.

3.4. Information till den personuppgiftsansvarige

3.4.1. Personuppgiftsbiträdet ska, med hänsyn till behandlingens art, hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån

detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med Dataskyddsförordningen.

3.4.2. Personuppgiftsbiträdet ska med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå, bistå den personuppgiftsansvarige med nödvändig information för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter att genomföra konsekvensbedömning och förhandssamråd med tillsynsmyndigheten avseende behandling av personuppgifter under detta Avtal.

3.4.3. Personuppgiftsbiträdet skall ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som anges i detta Avtal har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av denne utsedd tredje part.

3.5. Personuppgiftsincident

3.5.1. Om en personuppgiftsincident inträffar skall personuppgiftsbiträdet utan dröjsmål underrätta den personuppgiftsansvarige härom efter det att incidenten kom till personuppgiftsbiträdets kännedom.

3.5.2. Personuppgiftsbiträdet skall omgående efter att en personuppgiftsincident har inträffat utreda incidentens omfattning, art och sannolika konsekvenser, vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa incidentens negativa effekter samt på begäran samråda med den personuppgiftsansvarige för att avgöra om denne är skyldig att anmäla incidenten till berörd tillsynsmyndighet. Snarast efter avslutad undersökning ska personuppgiftsbiträdet tillhandahålla följande information avseende personuppgiftsincidenten:

a) Beskrivning av personuppgiftsincidentens art, inklusive där så är möjligt kategorier av och det ungefärliga antalet registrerade som berörs, samt de kategorier av och det ungefärliga antalet personuppgiftposter som berörs,

b) De sannolika konsekvenserna av personuppgiftsincidenten, och

c) De åtgärder som personuppgiftsbiträdet vidtagit eller avser vidta för att åtgärda personuppgiftsincidenten och för att begränsa personuppgiftsincidentens eventuella negativa effekter.

3.5.3. Personuppgiftsbiträdet skall på begäran tillhandahålla den personuppgiftsansvarige samlad dokumentation av alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits.

3.6. Återlämnande av personuppgifter

Vid Avtalets upphörande ska i enlighet med den personuppgiftsansvariges instruktion

personuppgiftsbiträdet återlämna alla personuppgifter till personuppgiftsansvarig alternativt radera personuppgifterna. Har sådan instruktion inte lämnats senast 30 dagar efter Xxxxxxxx upphörande äger personuppgiftsbiträdet rätt att radera samtliga personuppgifter, såvida inte lagring av personuppgifterna krävs enligt tillämplig dataskyddslagstiftning.

3.7. Register

3.7.1. Personuppgiftsbiträdet ska föra ett register i elektronisk form över all behandling av personuppgifter som utförts för den personuppgiftsansvariges räkning.

4. Vid begäran om information

4.1. För det fall att registrerad eller annan tredje part, tillsynsmyndighet, domstol eller annan myndighet begär information från personuppgiftsbiträdet som rör behandling av personuppgifter eller innehållet i sådana uppgifter, ska personuppgiftsbiträdet hänvisa till den personuppgiftsansvarige, om inte annat följer av personuppgiftsbiträdets skyldigheter enligt detta Avtal eller tillämplig dataskyddslagstiftning.

4.2. Personuppgiftsbiträdet ska utan dröjsmål informera den personuppgiftsansvarige om begäran av information eller andra kontakter enligt punkt 4.1 ovan, som rör eller kan vara av betydelse för behandlingen av personuppgifterna.

5. Granskning, inspektion och revision

5.1. För att den personuppgiftsansvarige ska kunna kontrollera att behandlingen av personuppgifter uppfyller kraven enligt detta Avtal och Dataskyddsförordningen, ska personuppgiftsbiträdet även möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av revisor eller annan personal som bemyndigats av den personuppgiftsansvarige.

5.2. Personuppgiftbiträdet ska medge den personuppgiftsansvarige att själv eller genom anlitande av annan genomföra revision avseende personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. Revision ska bland annat kunna ske avseende behörighetsadministration, säkerhetsrutin, loggar, logguppföljning och spårbarhet för behandlingen av personuppgifter som personuppgiftsbiträdet ska ha enligt detta Avtal och Dataskyddsförordningen. Personuppgiftsbiträdet ska lämna den personuppgiftsansvarige det tillträde och assistans som är nödvändigt för genomförandet av sådan revision.

5.3. Personuppgiftsbiträdet ska medge den personuppgiftsansvarige rätt att i förekommande fall på lämpligt sätt och i skälig omfattning utreda obehörig åtkomst till personuppgifterna.

6. Form av överföring av personuppgifter

6.1. Överföring av personuppgifter mellan parterna ska ske på mellan parterna överenskommet medium.

6.2. Om en registrerad lämnat begäran om åtgärder i elektronisk form, ska personuppgiftsombudet om möjligt tillhandahålla informationen i elektronisk form.

7. Rättigheter och behörigheter

7.1. Personuppgiftsbiträdet ansvarar fullt ut för att denne har samtliga rättigheter som krävs för dennes ingående och fullgörande av personuppgiftsbiträdesavtalet. Således ska personuppgiftsbiträdet bland annat tillse att denne innehar samtliga sådana rättigheter som krävs för dennes fullgörande av sina åtaganden och tillse att dennes fullgörande av åtagandena inte utgör intrång i tredje mans rätt.

7.2. Personuppgiftsbiträdet har inte rätt att företräda den personuppgiftsansvarige eller på annat sätt agera för dennes räkning utan att särskild överenskommelse härom har träffats med denne.

7.3. Personuppgiftsbiträdet erhåller inga rättigheter till de personuppgifter som behandlas enligt detta personuppgiftsbiträdesavtal eller till resultatet av sådan behandling.

8. Behandling av personuppgifter i annat land

8.1. Personuppgiftsbiträdet eller av denne anlitat personuppgiftsbiträde får endast överföra personuppgifter till ett tredje land om villkoren i Kapitel V Dataskyddsförordningen är uppfyllda. Personuppgiftsbiträdet skall på den personuppgiftsansvariges begäran tillhandahålla en skriftlig beskrivning av hur nämnda villkor uppfylls.

9. Den personuppgiftsansvariges skyldigheter

9.1. Den personuppgiftsansvarige ansvarar för att den behandling av personuppgifter som denne uppdrar åt personuppgiftsbiträdet att svara för är lagligt grundad och nödvändig för det eller de ändamål som ligger till grund för behandlingen och i övrigt är tillåten enligt Dataskyddsförordningen och annan tillämplig dataskyddslagstiftning.

9.2. Den personuppgiftsansvarige ansvarar fullt ut för att denne har samtliga rättigheter som krävs för dennes ingående och fullgörande av personuppgiftsbiträdesavtalet. Således ska den personuppgiftsansvarige bland annat tillse att denne innehar samtliga sådana tillstånd och samtycken samt uppfyller alla andra krav som gäller för dennes rättsenliga fullgörande av detta Avtal samt att fullgörandet härav inte utgör intrång i tredje mans rätt.

9.3. Den personuppgiftsansvarige ska tillhandahålla personuppgiftsbiträdet sådana instruktioner avseende personuppgifter som är erforderliga för att personuppgiftsbiträdet ska kunna

uppfylla sina skyldigheter enligt detta Avtal samt Dataskyddsförordningen.

9.4. Den personuppgiftsansvarige ska informera personuppgiftsbiträdet om arten av de personuppgifter som denne ska behandla för den personuppgiftsansvariges räkning och särskilt om personuppgifterna kan anses utgöra känsliga personuppgifter. I sådant fall är den personuppgiftsansvarige skyldig att identifiera de säkerhetsåtgärder som kan komma att krävas vid behandling av sådana personuppgifter samt att inte låta personuppgiftsbiträdet behandla uppgifterna innan sådana säkerhetsåtgärder vidtagits.

9.5. Den personuppgiftsansvarige ska utan dröjsmål informera personuppgiftsbiträdet om sådana förhållanden som den personuppgiftsansvarige får kännedom om och som rimligen kan antas ha betydelse för personuppgiftsbiträdets uppfyllande av sina skyldigheter enligt detta Avtal.

9.6. Den personuppgiftsansvarige äger inte rätt att företräda personuppgiftsbiträdet eller på annat sätt agera för dennes räkning utan föregående särskild överenskommelse med denne.

10. Ansvar vid behandling av personuppgifter

10.1. Personuppgiftsbiträdet ska hålla den personuppgiftsansvarige skadelös för ersättningskrav, sanktionsavgift eller andra anspråk riktade mot den personuppgiftsansvarige på grund av brott mot detta Avtal eller mot Dataskyddsförordningen med den begränsning för ansvar som följer av Tjänsteavtalet.

10.2. Personuppgiftsbiträdet svarar dock aldrig för skada som den personuppgiftsansvarige drabbas av som är hänförlig till att personuppgiftsbiträdet agerat i enlighet med instruktioner meddelade av den personuppgiftsansvarige. Den personuppgiftsansvarige ska hålla personuppgiftsbiträdet skadelös för ersättningskrav, sanktionsavgift eller andra anspråk riktade mot personuppgiftsbiträdet på grund av agerande i enlighet med sådana meddelade instruktioner.

10.3. Innan part inleder förhandling, ingår förlikning eller träffar annat avtal med registrerad, myndighet eller annan tredje part med anledning av i denna punkt 10 ovan angivna anspråk ska parten informera den andre parten härom och ge denne möjlighet att biträda parten eller på annat lämpligt sätt tillvarata sina intressen.

11. Tvister

11.1. Tvist rörande tolkning och eller tillämpning av detta Avtal ska avgöras enligt svensk lag med undantag för internationella privaträttsliga regler.

11.2. Tvist ska avgöras av allmän domstol där personuppgiftsbiträdet har sitt säte.

11.3. Uppstår meningsskiljaktighet mellan parterna angående fråga rörande detta Avtal kan part

hänskjuta frågan till avgörande av föreningen Swedish Software särskilt utsedd nämnd för medling. Om fråga har hänskjutits till nämnden av någon av parterna, är parterna förhindrade att under en tid av två (2) månader från hänskjutandet pröva fråga i annan ordning. Kostnaderna för medling ska delas lika mellan parterna.

Bilaga 1

INSTRUKTION FÖR BEHANDLINGEN AV PERSONUPPGIFTER SOM OMFATTAS AV PERSONUPPGIFTSBITRÄDESAVTALET

Denna Bilaga 1 ska anses utgöra en integrerad del av Personuppgiftsbiträdesavtalet och innehåller en beskrivning av Behandlingen i enlighet med artikel 28.3 i Dataskyddsförordningen.

Föremålet för Behandlingen och Behandlingens varaktighet

Föremålet för Behandlingen anges i Tjänsteavtalet och i denna Bilaga 2. Personuppgifter Behandlas under den tid som Personuppgiftbiträdet tillhandahåller Tjänsterna enligt Tjänsteavtalet, eller för den kortare tid som den Personuppgiftsansvarige meddelar (se även bevarandetid nedan).

Ändamålet med Behandlingen

Personuppgiftsbiträdet kommer att Behandla Personuppgifter för att tillhandahålla Tjänsterna enligt Tjänsteavtalet och för att fullgöra sina skyldigheter enligt Personuppgiftsbiträdesavtalet.

Kategorier av Personuppgifter

Personuppgifter som kommer att Behandlas under Tjänsteavtalet är:

Grundtjänst ipool

Anställningsnummer, Användarnamn, Namn, Mobilnummer, Hemtelefon, E-postadress, Gatuadress , Postnummer, Postadress, Kontaktuppgifter upp till två närmast anhöriga som Namn och Telefon, Profilbild, Födelsedag (måndag och dag), IP-nummer vid inloggning, Anställningstimmar/vecka, LAS-fält (turordningsinfo), Kommentarsfält.

Övriga uppgifter som lagras:

Anställningar (vilka butiker), Kompetensprofiler, Schematider, Frånvaro (sjukdom, semester etc), Kan arbeta, Bokade tider, Byten, Tidrapporter, SMS, iMail-konversationer, Inloggningar, Tillfälliga anställningsbevis, Tidrapporter

Tilläggstjänst ipool Time för tidregistrering

Tidregistrering genom in och utstämpling, rättade tider, personnummer för personalliggare

Tilläggstjänst Lönsespecifikationer Lönespecifikationer

Kategorier av Registrerade

De kategorier av Registrerade som berörs är:

• Anställda/Personal hos personuppgiftsansvarig

Personuppgiftsansvariges rättigheter och skyldigheter

Den Personuppgiftsansvariges rättigheter och skyldigheter anges i Tjänsteavtalet och i Personupp- giftsbiträdesavtalet.

Bevarandetid (gallring)

4Retail Sweden AB behandlar personuppgifter för kundens räkning under tjänsteavtalets giltighetstid. Personuppgifter gallras efter 2 år eller när någon person tas bort i applikationen samt när tjänsteavtalet med kunden upphör.