PERSONUPPGIFTSBITRÄDESAVTAL

16 april 2019

Bilaga 2

PERSONUPPGIFTSBITRÄDESAVTAL

("Personuppgiftsbiträdesavtalet")

MELLAN:

(1) AFA TRYGGHETSFÖRSÄKRINGSAKTIEBOLAG, 516401-8615, Klara Xxxxx Xxxxxxxxx 00, 000 00 Xxxxxxxxx ("Personuppgiftsbiträdet"); och

(2) DET/DE ANVÄNDARFÖRETAG/ORGANISATION SOM INGÅTT ANSLUTNINGSAVTALET, (den "Personuppgiftsansvarige");

Personuppgiftsbiträdet och den Personuppgiftsansvarige benämns individuellt som "Part" och gemensamt som "Parterna".

BAKGRUND:

A Personuppgiftsbiträdet och den Personuppgiftsansvarige har ingått ett avtal om anslutning till IA-företagens informationssystem om arbetsmiljö, inkluderande bilagorna Allmänna villkor (bilaga 1), Informationsspridningsbilaga (bilaga 3), Säkerhetsbilaga (bilaga 4) ("Anslutningsavtalet"). Detta Avtal utgör bilaga 2 till Anslutningsavtalet.

B Inom ramen för Personuppgiftsbiträdets tillhandahållande av Tjänster enligt Anslutningsavtalet kommer Personuppgiftsbiträdet att Behandla Personuppgifter för vilka den Personuppgiftsansvarige ansvarar för, enligt vad som närmare framgår av Bilaga 2.1. Detta Personuppgiftsbiträdesavtal reglerar hur Personuppgiftsbiträdet ska Behandla Personuppgifter för den Personuppgiftsansvariges räkning.

C Vid konflikt mellan en bestämmelse i detta Personuppgiftsbiträdesavtal och en bestämmelse i Anslutningsavtalet gäller bestämmelserna i detta Personuppgiftsbiträdesavtal i den utsträckning bestämmelsen i detta Personuppgiftsbiträdesavtal innebär ett bättre skydd för de Personuppgifter som Behandlas.

1. DEFINITIONER

I detta Personuppgiftsbiträdesavtal ska följande definitioner ha den betydelse som anges ne- dan:

"Behandling", "Personuppgiftsansvarig", "Personuppgifter", "Personuppgiftsbiträde", Personuppgiftsincident", samt "Registrerad" ska ha samma innebörd som i Europaparla- mentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska per- soner med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ("Data- skyddsförordningen");

"Personuppgiftsbiträdesavtal" betyder detta Personuppgiftsbiträdesavtal jämte samtliga här- till hörande bilagor;

"Tillämplig Lagstiftning" betyder från tid till annan gällande lagstiftning, förordningar och föreskrifter i EU och i relevanta medlemsstater som är tillämplig på Personuppgiftsbiträdet och den Personuppgiftsansvarige; samt

"Tillämplig Personuppgiftslagstiftning" betyder från tid till annan gällande lagstiftning, för- ordningar och föreskrifter, inklusive föreskrifter som meddelats av berörda tillsynsmyndig- heter, avseende skydd för fysiska personers grundläggande rättigheter och friheter och särskilt rätt till skydd av deras Personuppgifter vid Behandling av Personuppgifter som är tillämplig på Personuppgiftsbiträdet och den Personuppgiftsansvarige, inklusive lagstiftning, förordningar och föreskrifter som genomför direktiv 95/46/EG och, från och med den 25 maj 2018, Dataskyddsförordningen; samt

"Tredje Land" betyder en stat som inte ingår i Europeiska unionen (EU) eller är ansluten till det Europeiska ekonomiska samarbetsområdet (EES).

2. PERSONUPPGIFTSANSVAR

2.1 Den Personuppgiftsansvarige bestämmer över ändamålen med och medlen för Behandlingen av Personuppgifterna och är därför ansvarig för Behandlingen. Personuppgiftsbiträdet behandlar Personuppgifterna för den Personuppgiftsansvariges räkning och är därmed att se som personuppgiftsbiträde.

2.2 Den Personuppgiftsansvariges ansvar innefattar bl.a. att Behandlingen av Personuppgifterna sker i enlighet med Tillämplig lagstiftning och att de Registrerade informeras om Behandlingen.

2.3 Personuppgiftsbiträdet har ingen skyldighet eller teknisk möjlighet att kontrollera riktigheten av, eller skicket på de Personuppgifter som förs in i IA-systemet. Denna skyldighet ligger helt på den Personuppgiftsansvarige.

3. PERSONUPPGIFTSBITRÄDETS SKYLDIGHETER

3.1 Personuppgiftsbiträdet åtar sig att endast Behandla Personuppgifter i enlighet med den Personuppgiftsansvariges dokumenterade instruktioner och bestämmelserna i detta Personuppgiftsbiträdesavtal och i Anslutningsavtalet. Personuppgiftsbiträdet ska inte Behandla Personuppgifter för vilka den Personuppgiftsansvarige är Personuppgiftsansvarig, för några andra ändamål.

3.2 För det fall den Personuppgiftsansvarige inkommer med nya instruktioner som går utöver vad som följer av detta Personuppgiftsbiträdesavtal eller Anslutningsavtalet, ska Personuppgiftsbiträdet ha rätt till ersättning i enlighet med Personuppgiftsbiträdets vid var tid gällande prislista eller enligt överenskommelse mellan Xxxxxxxx.

3.3 Oaktat vad som anges i punkten 3.1 ovan har Personuppgiftsbiträdet rätt att Behandla Personuppgifter i den utsträckning som det krävs för att Personuppgiftsbiträdet ska kunna uppfylla skyldigheter som åvilar Personuppgiftsbiträdet och som följer av från tid till annan Tillämplig Lagstiftning. Det ankommer dock på Personuppgiftsbiträdet att informera den Personuppgiftsansvarige om den rättsliga skyldigheten, såvida inte Personuppgiftsbiträdet är förhindrad enligt Tillämplig Lagstiftning att lämna sådan information.

3.4 Oaktat bestämmelser om lagval enligt Anslutningsavtalet ska Tillämplig Personupp- giftslagstiftning gälla för Behandlingen av Personuppgifter som omfattas av detta Personupp- giftsbiträdesavtal.

3.5 Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om Personuppgiftsbiträdet inte kan uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal eller om

Personuppgiftsbiträdet anser att en instruktion som den Personuppgiftsansvarige har lämnat avseende Behandlingen av Personuppgifter skulle stå i strid med Tillämplig Personuppgiftslagstiftning, såvida inte Personuppgiftsbiträdet är förhindrad att lämna sådan information till den Personuppgiftsansvarige enligt Tillämplig Lagstiftning.

3.6 Personuppgiftsbiträdet ska utan dröjsmål informera den Personuppgiftsansvarige i de fall tillsynsmyndigheten inleder en granskning hos Personuppgiftsbiträdet avseende den behandling som Personuppgiftsbiträdet utför för den Personuppgiftsansvariges räkning.

4. SÄKERHETSÅTGÄRDER

4.1 Skyldighet att vidta tekniska och organisatoriska åtgärder för att skydda Personuppgif- ter

4.1.1 Personuppgiftsbiträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att de Personuppgifter som Behandlas ska vara skyddade mot Personuppgiftsincidenter. Åtgärderna ska åtminstone uppnå den säkerhetsnivå som följer av Tillämplig Personuppgiftslagstiftning, berörda tillsynsmyndigheters tillämpliga föreskrifter och riktlinjer avseende säkerhet för Personuppgifter.

4.1.2 Personuppgiftsbiträdet ska vidare, på begäran, bistå den Personuppgiftsansvarige med nödvändig information för att den Personuppgiftsansvarige, i förekommande fall, ska kunna uppfylla sina skyldigheter att genomföra konsekvensbedömning och förhandssamråd med berörda tillsynsmyndigheter avseende den Behandling av Personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal. Om den Personuppgiftsansvarige begär assistans från Personuppgiftsbiträdet att bistå vid en konsekvensbedömning trots att skyldighet att genomföra konsekvensbedömning enligt Tillämplig Personuppgiftslagstiftning inte föreligger, har Personuppgiftsbiträdet rätt till ersättning enligt vid var tid gällande prislista.

4.1.3 Parterna är ense om att minst de tekniska och organisatoriska åtgärder som följer av Anslutningsavtalets Bilaga 4 (Säkerhetsbilaga IA-systemet) ska tillämpas.

4.2 Personuppgiftsincident

4.2.1 För det fall en Personuppgiftsincident inträffar ska Personuppgiftsbiträdet skriftligen underrätta den Personuppgiftsansvarige om detta utan onödigt dröjsmål från det att Personuppgiftsincidenten kom till Personuppgiftsbiträdets kännedom.

4.2.2 Om det inte är osannolikt att en Personuppgiftsincident medför någon risk för den personliga integriteten hos de Registrerade, ska Personuppgiftsbiträdet omedelbart efter att Personuppgiftsincidenten kommit till Personuppgiftsbiträdets kännedom vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa Person- uppgiftsincidentens potentiella negativa effekter.

4.2.3 På begäran från den Personuppgiftsansvarige ska Personuppgiftsbiträdet tillhandahålla:

4.2.3.1 en beskrivning av Personuppgiftsincidentens art, kategorier av och antalet Registrerade som berörs, samt kategorier av och antalet per- sonuppgiftsposter som berörs;

4.2.3.2 de sannolika konsekvenserna av Personuppgiftsincidenten; samt

4.2.3.3 en beskrivning av de åtgärder som Personuppgiftsbiträdet, i förekommande fall, redan har vidtagit eller avser att vidta för att åtgärda Personuppgiftsincidenten och/eller för att begränsa Personuppgiftsincidentens eventuella negativa effekter.

Om och i den utsträckning det inte är möjligt för Personuppgiftsbiträdet att tillhandahålla informationen samtidigt får informationen lämnas i omgångar utan onödigt ytterligare dröjsmål. Personuppgiftsbiträdet har rätt till ersättning för de eventuella kostnader som uppstår till följd av att Personuppgiftsbiträdet tillhandahåller information enligt denna punkt 4.2.3.

4.3 Tillgång till Personuppgifter m.m.

4.3.1 Personuppgiftsbiträdet dokumenterar löpande de åtgärder som Personuppgiftsbiträdet har vidtagit för att uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal. Den Personuppgiftsansvarige har rätt att på begäran ta del av en kopia på den senaste versionen av sådan dokumentation.

4.3.2 Personuppgiftsbiträdet ska ge den Personuppgiftsansvarige tillgång till all information som krävs för att visa att Personuppgiftsbiträdet fullgjort sina skyldigheter enligt artikel 28 i Dataskyddsförordningen. Vidare ska Personuppgiftsbiträdet möjliggöra och bidra till granskningar, inbegripet inspektioner som genomförs av den Personuppgiftsansvarige. För undvikande av missförstånd ska en sådan inspektion endast omfatta information som är absolut nödvändig för att den Personuppgiftsansvarige ska kunna bedöma huruvida Personuppgiftsbiträdet har fullgjort sina skyldigheter enligt artikel 28 i Dataskyddsförordningen och ska under inga omständigheter omfatta någon annan information rörande Personuppgiftsbiträdets affärsverksamhet, vilken saknar betydelse i förhållande till Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning. Parterna är överens om att om en inspektion ska genomföras av en tredje part ska denne godkännas av båda Parter och att kostnaden för sådan inspektion ska bäras av den Personuppgiftsansvarige. Den Personuppgiftsansvarige ska säkerställa att en sådan tredje part är bunden av sekretess i förhållande till all information som den tredje parten tar del av inom ramen för inspektionen, samt att ett sådant sekretessåtagande inte är mindre restriktivt än det sekretessåtagande som följer av avsnitt 5.6 nedan.

4.3.3 Ingen av Parterna har rätt att företräda den andra Parten inför Datainspektionen eller annan tredje part.

4.3.4 Parterna ska, i skälig utsträckning, tillhandahålla information till den andra Parten som kan vara användbar inom ramen för ett tillsynsärende eller domstolsförfarande som initierats mot den andra Parten.

5. ANLITANDE AV UNDERBITRÄDEN

5.1 Personuppgiftsbiträdet har rätt att anlita underleverantörer, underkonsulter eller andra tredje parter för att Behandla Personuppgifter för den Personuppgiftsansvariges räkning ("Underbiträden").

5.2 Om Personuppgiftsbiträdet anlitar ett Underbiträde godkänner den Personuppgiftsansvarige att Personuppgiftsbiträdet ingår ett personuppgiftsbiträdesavtal direkt med Underbiträdet. Ett sådant personuppgiftsbiträdesavtal med Underbiträdet ska innehålla skyldigheter motsvarande och inte mindre restriktiva än vad som följer av detta Personuppgiftsbiträdesavtal. Den Personuppgiftsansvarige accepterar att Personuppgiftsbiträdet och Underbiträdet, när omständigheterna så kräver, ingår Underbiträdets standardavtal för behandling av personuppgifter, under förutsättning att ett sådant standardavtal efterlever de krav som ställs i Tillämplig Personuppgiftslagstiftning.

5.3 Personuppgiftsbiträdet ska för det fall Personuppgiftsbiträdet anlitar ett Underbiträde utan onödigt dröjsmål skriftligen informera den Personuppgiftsansvarige om följande:

5.3.1 Underbiträdets identitet (inklusive uppgift om fullständigt firmanamn, organisationsnummer och adress);

5.3.2 vilken typ av tjänst som Underbiträdet utför; samt

5.3.3 på vilken plats Underbiträdet kommer att Behandla Personuppgifter för den Personuppgiftsansvariges räkning.

5.4 Den Personuppgiftsansvarige har i förhållande till anlitande av nya Underbiträden möjlighet att göra invändningar mot anlitande av Underbiträdet.

5.5 Personuppgiftsbiträdet ska på den Personuppgiftsansvariges begäran, utöver den information som anges i punkten 5.3 ovan, tillhandahålla en kopia på det personuppgiftsbiträdesavtal som Personuppgiftsbiträdet ingått med Underbiträdet i enlighet med punkten 5.2 ovan.

5.6 Personuppgiftsbiträdet ansvarar gentemot den Personuppgiftsansvarige för Underbiträdens Behandling av Personuppgifter såsom för egen räkning.

6. SEKRETESS

6.1 Utan att det påverkar tillämpningen av eventuella sekretessåtaganden i Anslutningsavtalet ska Personuppgiftsbiträdet hålla alla Personuppgifter som Behandlas för den Personuppgiftsansvariges räkning strikt konfidentiella. Personuppgiftsbiträdet ska således inte, direkt eller indirekt, utlämna några Personuppgifter till tredje part om inte den Personuppgiftsansvarige skriftligen på förhand godkänt detta, såvida inte Personuppgiftsbiträdet är skyldigt enligt Tillämplig Lagstiftning eller beslut av domstol eller myndighet att lämna ut Personuppgifterna, eller om det är nödvändigt för fullgörandet av Anslutningsavtalet eller detta Personuppgiftsbiträdesavtal. Vid utlämning av Personuppgifter till tredje part ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om utlämningen av Personuppgifter såvida hinder inte föreligger enligt Tillämplig Lagstiftning eller beslut av domstol eller myndighet.

6.2 Personuppgiftsbiträdet accepterar att sekretessåtagandet enligt punkt 6.1 ska fortsätta att gälla även efter att detta Personuppgiftsbiträdesavtal upphört och till dess att alla Personuppgifter har återlämnats till den Personuppgiftsansvarige eller efter den Personuppgiftsansvariges skriftliga begäran på ett säkert och oåterkalleligt sätt förstörts eller avidentifierats enligt punkten 9 nedan.

6.3 Den Personuppgiftsansvarige förbinder sig att hålla all information som den Personuppgiftsansvarige erhåller avseende Personuppgiftsbiträdets säkerhetsåtgärder, rutiner,

IT-system eller som annars är av konfidentiell karaktär strikt konfidentiellt och att inte till någon utomstående röja konfidentiell information som härrör från Personuppgiftsbiträdet eller dess Underbiträden. Den Personuppgiftsansvarige har endast rätt att röja sådan information som den Personuppgiftsansvarige är skyldig att röja enligt Tillämplig Lagstiftning eller enligt Anslutningsavtalet eller detta Personuppgiftsbiträdesavtal. Den Personuppgiftsansvarige accepterar att detta sekretessåtagande ska fortsätta att gälla även efter att det att detta Personuppgiftsbiträdesavtal har upphört att gälla.

6.4 Personuppgiftsbiträdets sekretessåtagande enligt denna punkt 6 omfattar både tystnadsplikt och handlingssekretess. Personuppgiftsbiträdet åtar sig att tillse att all personal hos Personuppgiftsbiträdet som bereds tillgång till personuppgifter är bundna av denna sekretess. Detsamma gäller i de fall Personuppgiftsbiträdet anlitar underbiträden för behandling av personuppgifter.

6.5 För det fall den Personuppgiftsansvarige utgör en myndighet, kommun eller annan organisation bunden av offentlighet- och sekretesslagen ska punkt 6.3 tillämpas mellan Parterna på så sätt att punkten inte hindrar den Personuppgiftsansvariges sedvanliga tillämpning av reglerna om offentlighetsprincipen. Vid en begäran om tillgång till handlingar med stöd av offentlighetsprincipen ska dock den Personuppgiftsansvarige beakta Personuppgiftsbiträdets ståndpunkt om att all informationen är strikt konfidentiell.

7. ANSVAR

7.1 Parterna är solidariskt ansvariga i förhållande till krav från registrerade hänförliga till behandlingen av den registrerades personuppgifter. Den Part som ersätter en registrerad ska ha rätt till regress i enlighet med bestämmelserna i artikel 82 Dataskyddsförordningen. Personuppgiftsbiträdets ansvar enligt denna punkt är dock begränsat till maximalt ersättningsbelopp enligt Tjänsteavtalet.

7.2 Parterna är överens om att ingen Part ska vara skyldig att ersätta den andra Parten för administrativa sanktionsavgifter påförda av en tillsynsmyndighet eller domstol enligt Tillämplig Personuppgiftslagstiftning.

8. REGISTRERADES RÄTTIGHETER

Personuppgiftsbiträdet ska i den mån det är möjligt bistå den Personuppgiftsansvarige genom att vidta de tekniska och organisatoriska åtgärder som är nödvändiga för att den Personuppgiftsansvarige ska kunna fullgöra sin skyldighet att svara på en begäran om utö- vande av en Registrerads rättighet som tillkommer en Registrerad enligt Tillämplig Person- uppgiftslagstiftning. Personuppgiftsbiträdet har rätt till ersättning för sådan assistans i enlighet med vid var tid gällande prislista.

9. ÅTERLÄMNANDE AV PERSONUPPGIFTER

Vid Anslutningsavtalets upphörande ska den Personuppgiftsansvarige skriftligen instruera Personuppgiftsbiträdet om de Personuppgifter som Personuppgiftsbiträdet Behandlat för den Personuppgiftsansvariges räkning inom ramen för detta Personuppgiftsbiträdesavtal ska (i) återlämnas till den Personuppgiftsansvarige eller (ii) oåterkalleligt raderas. Om den Personuppgiftsansvarige inte inkommer med sådan instruktion inom trettio (30) dagar från att Anslutningsavtalet har upphört att gälla, ska Personuppgiftsbiträdet oåterkalleligt radera Personuppgifterna utan onödigt dröjsmål.

10. ÖVERFÖRING TILL OCH BEHANDLING AV PERSONUPPGIFTER I TREDJE LAND

10.1 Personuppgiftsbiträdet får inte överföra Personuppgifter som tillhör den Personuppgiftsansvarige till ett Tredje Land utan den Personuppgiftsansvariges på förhand lämnande tillstånd.

10.2 För det fall den Personuppgiftsansvariges filialer eller koncernbolag utanför EU/EES får tillgång till Personuppgifter i IA-systemet i enlighet med Anslutningsavtalet eller om den Personuppgiftsansvarige på annat sätt bereder sig tillgång till Personuppgifterna i ett Tredje Land, är den Personuppgiftsansvarige införstådd med att den Personuppgiftsansvarige överför Personuppgifterna till Tredje Land. Den Personuppgiftsansvarige ska därför, i sådant fall, säkerställa adekvat skyddsnivå genom att t.ex. ingå standardiserade dataskyddsbestämmelser som antagits av Europeiska Kommissionen tillsammans med mottagande part. För undvikande av missförstånd, Personuppgiftsbiträdet har inget ansvar för att överföringen enligt denna punkt 10.2 är tillåten enligt Tillämplig Personuppgiftslagstiftning.

11. AVTALSPERIOD OCH UPPHÖRANDE

11.1 Detta Personuppgiftsbiträdesavtal träder i kraft vid undertecknandet och ska därefter gälla under Anslutningsavtalets löptid eller under den längre period som Personuppgiftsbiträdet Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.

11.2 Personuppgiftsbiträdesavtal ska gälla även om Anslutningsavtalet upphör och tillsvidare till dess att Personuppgiftsbiträdet (och Underbiträden anlitade av Personuppgiftsbiträdet) upphör med att Behandla Personuppgifter för den Personuppgiftsansvariges räkning.

12. ÖVERLÅTELSE

Ingen av Parterna ska äga rätt att helt eller delvis överlåta sina rättigheter eller skyldigheter en- ligt detta Avtal utan den andra Partens skriftliga samtycke.

13. ÄNDRINGAR OCH TILLÄGG

De bestämmelser avseende ändringar och tillägg enligt Anslutningsavtalet ska äga motsvarande tillämpning på detta Personuppgiftsbiträdesavtal.

14. TILLÄMPLIG LAG OCH TVIST

De bestämmelser avseende tillämplig lag och tvist enligt Anslutningsavtalet ska äga motsvarande tillämpning på detta Personuppgiftsbiträdesavtal.

Bilaga 2.1

BESKRIVNING AV BEHANDLINGEN AV PERSONUPPGIFTER SOM OMFATTAS AV PERSONUPPGIFTSBITRÄDESAVTALET

Denna Bilaga 2.1 utgör en integrerad del av Personuppgiftsbiträdesavtalet.

Kategorier av Registrerade	Följande kategorier av Registrerade berörs av Behandlingen av Personuppgifter som omfattas av Personuppgiftsbiträdesavtalet: • Personer med arbetsskador • Kontaktpersoner • Användare av tjänsten
Kategorier av Personuppgifter	Följande kategorier av Personuppgifter kan komma att Behandlas: • Personnummer tillhörande person med arbetsskada • Kontaktuppgifter till person med arbetsskada, kontaktperson och användare • Information om arbetsskadehändelsen
Ändamål med Behandlingen	Personuppgifterna Behandlas för följande ändamål: • för att tillhandahålla Tjänsterna enligt Anslutningsavtalet; • för att fullgöra övriga skyldigheter som åvilar Personuppgiftsbiträdet enligt Anslutningsavtalet och detta Personuppgiftsbiträdesavtal
Behandlingar av Personuppgifter	Personuppgifterna kommer på uppdrag av den personuppgiftsansvarige att Behandlas på följande sätt: • Insamling • Lagring • Utlämning genom överföring till Försäkringskassan (LAF-anmälan) • Utlämning genom överföring till Arbetsmiljöverket (LAF-anmälan, 3:3a) • Utlämning genom överföring till AFA Försäkring (TFA-anmälan) • Radering
Bevarande av Personuppgifter	Personuppgifterna kommer att bevaras enligt de tidsinställningar som Personuppgiftsadministratören anger i tjänsten