Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

1. Parter

Detta avtal utgör personuppgiftsbiträdesavtal (”Biträdesavtalet”) mellan Pre Greeting AB

(”Personuppgiftsbiträdet”) med organisationsnummer 556727-2645, med adress Xxxxxxxxxxxx 00, 000 00 Xxxxxxxx och Kunden (”Personuppgiftsansvarig”).

Biträdesavtalet ska utgöra en integrerad del av tjänsteavtalet för Minivoice Premium (”Avtalet”) mellan Personuppgiftsansvarig och Personuppgiftsbiträdet.

Tillsammans refereras Personuppgiftsansvarig och Personuppgiftsbiträdet till som ”Parterna” och var för sig som ”Part”.

2. Bakgrund

2.1. Parterna har ingått Avtalet under vilket Personuppgiftsbiträdet skall tillhandahålla tjänster till Personuppgiftsansvarig. Personuppgiftsbiträdet behandlar personuppgifter på Personuppgiftsansvarigs uppdrag endast i syfte att tillhandahålla de tjänster som specificeras i Avtalet.

2.2. Parterna har ingått Biträdesavtalet i syfte att (1) uppfylla kravet på ett ingånget avtal mellan personuppgiftsansvarig och personuppgiftsbiträde när personuppgifter behandlas; (2) säkerställa att Personuppgiftsbiträdets behandling av personuppgifter på Personuppgiftsansvarigs uppdrag följer lagkrav, myndighetsbeslut och instruktioner från Personuppgiftsansvarig. Lagkraven beskrivs i Tillämplig dataskyddslagstiftning.

2.3. Utöver Avtalet skall följande gälla vid all behandling av personuppgifter av Personuppgiftsbiträdet å Personuppgiftsansvarigs vägnar.

3. Definitioner

3.1. “Tillämplig dataskyddslagstiftning” betyder all nationellt och internationellt bindande dataskyddslagstiftning eller regleringar som är applicerbara från tid till annan under avtalstiden för Biträdesavtalet för Personuppgiftsansvarig och/eller Personuppgiftsbiträdet, inklusive Allmänna Dataskyddsförordningen (”GDPR”) (EU) (2016/679).

3.2. Termer och uttryck relaterade till personuppgifter och behandling av personuppgifter ska ges samma betydelse och definition som i Tillämplig dataskyddslagstiftning, inklusive ”personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”registrerad”, ”personuppgift”, ”personuppgiftsincident”, ”behandling”, ”underbiträde”, ”lämpliga tekniska och organisatoriska åtgärder”, ”tredje land” och ”tredje part”.

3.3. “Datainspektionen” betyder Datainspektionen i Sverige, ansvarig tillsynsmyndighet i relation till Tillämplig dataskyddslagstiftning.

4. Ansvar och Instruktion

4.1. Personuppgiftsbiträdet får endast behandla personuppgifter enligt de dokumenterade instruktioner som Personuppgiftsansvarig tillahandahåller från tid till annan. Instruktionerna från Personuppgiftsansvarig beskrivs i detta Biträdesavtal i Bilaga 1 – Instruktioner.

4.2. När Personuppgiftsbiträdet behandlar personuppgifter under detta Biträdesavtal skall all behandling ske enligt Tillämplig dataskyddslagstiftning, rekommendationer från Datainspektionen och instruktioner från Personuppgiftsansvarig.

4.3. Personuppiftsbiträdet skall omedelbart informera Personuppgiftsansvarig ifall instruktionerna som Personuppgiftsansvarig tillhandahåller är otillräckliga eller, enligt Personuppgiftsbiträdets uppfattning, bryter mot Tillämplig dataskyddslagstiftning.

4.4. Personuppgiftsbiträdet skall bistå Personuppgiftsansvarig på det sätt som krävs för att Personuppgiftsansvarig skall kunna uppfylla lagkrav och skyldigheter enligt Tillämplig dataskyddslagstiftning i relation till behandling av personuppgifter som Personuppgiftsbiträdet utför på Personuppgiftsansvarigs uppdrag. Personuppgiftsbiträdet skall inte genom sitt handlande, eller brist på handlande, försätta Personuppgiftsansvarig i en situation där Personuppgiftsansvarig bryter mot Tillämplig dataskyddslagstiftning.

4.5. Alla frågor eller krav som förs fram till Personuppgiftsbiträdet i relation till behandling av persondata som täcks av detta Biträdesavtal skall skickas till Personuppgiftsansvarig så snart de kommer till Personuppgiftsbiträdets kännedom. Personuppgiftsbiträdet får inte överföra persondata till någon tredje part, förutom de som eventuellt specificeras i Avtalet eller i detta Biträdesavtal, utan att detta först skriftligen godkänns av Personuppgiftsansvarig förutom när detta krävs i lagstiftning eller regleringar.

4.6. Personuppgiftsansvarig är ansvarig för att informera den registrerade om hans/hennes rättigheter under Tillämplig dataskyddslagstiftning i relation till de tjänster Personuppgiftsbiträdet tillhandahåller under Avtalet. Personuppgiftsansvarig skall säkerställa att det finns en laglig grund för all behandling av personuppgifter som sker av Personuppgiftsbiträdet under detta Biträdesavtal.

4.7. Parterna förbinder sig att acceptera ändringar eller tillägg till detta Biträdsavtal som krävs under Tillämplig dataskyddslagstiftning.

5. Säkerhet

5.1. Personuppgiftsbiträdet skall säkerställa att lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter finns på plats. Personuppgiftsbiträdet skall åtminstone uppfylla de minimikrav som tillhandahålls av Personuppgiftsansvarig vid varje givet tillfälle. Minimikraven beskrivs i Bilaga 2 – Säkerhetsåtgärder.

5.2. Åtgärderna skall åtminstone resultera i en lämplig säkerhetsnivå med följande i åtanke:

(i) existerande tekniska möjligheter

(ii) kostnaderna för att implementera åtgärderna

(iii) de risker som finns i relation till behandling av personuppgifter

(iv) känsligheten av de personuppgifter som behandlas

5.3. Personuppgiftsbiträdet skall omedelbart informera Personuppgiftsansvarig ifall någon obehörig fått tillgång till personuppgifter eller en säkerhetsincident relaterat till personuppgifter (personuppgiftsincident) inträffat, eller om det finns misstanke därom. Personuppgiftsbiträdet skall delge Personuppgiftsansvarig informationen utan dröjsmål och skall åtminstone:

(i) beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,

(ii) förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,

(iii) beskriva de sannolika konsekvenserna av personuppgiftsincidenten,

(iv) beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter, och

(v) inkludera all annan information tillgänglig för Personuppgiftsbiträdet som Personuppgiftsansvarig behöver för att kunna anmäla personuppgiftsincidenten till Datainspektionen och/eller informerade registrerade vars personuppgifter berörts av incidenten.

Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

Om Personuppgiftsansvarig begär detta skall Personuppgiftsbiträdet bistå Personuppgiftsansvarig med att utreda personuppgiftsincidenten och hjälpa Personuppgiftsansvarig med att anmäla incidenten till Datainspektionen och/eller informera registrerade i enlighet med Tillämplig dataskyddslag i den omfattning som kan anses skälig.

6. Underbiträden

6.1. De underbiträden som listas i Bilaga 1 – Instruktioner är anlitade eller kommer anlitas för att behandla personuppgifter åt Personuppgiftsbiträdet som en del av Personuppgiftsbiträdes leverans av tjänster enligt Avtalet. Personuppgiftsbiträdet skall säkerställa att samtliga underbiträden som behandlar personuppgifter gör detta i enlighet med regler och villkor som motsvarar de som beskrivs i detta Biträdesavtal.

6.2. Personuppgiftsbiträdet får anlita andra underbiträden än de som listas i Bilaga 1 – Instruktioner under förutsättning att Personuppgiftsansvarig informeras. På Personuppgiftsansvarigs begäran skall Personuppgiftsbiträdet lämna ut en kopia på ingånget personuppgiftsbiträdesavtal mellan Personuppgiftsbiträdet och underbiträdet. Om Personuppgiftsansvarig invänder mot anlitandet av underbiträdet skall Personuppgiftsbiträdet ha rätt att säga upp Avtalet med tre månaders uppsägningstid utan rätt till kompensation från Personuppgiftsansvarig.

6.3. På begäran av Personuppgiftsansvarig ska Personuppgiftsbiträdet överlämna en lista över alla underbiträden som behandlar personuppgifter å Personuppgiftsansvarigs vägnar. För varje underbiträde skall åtminstone följande information tillhandahållas:

(i) företagsnamn, kontaktinformation och geografisk adress till underbiträdet,

(ii) den typ av tjänster underbiträdet tillhandahåller till Personuppgiftsbiträdet i relation till behandling av personuppgifter,

(iii) avtal eller andra dokument som visar efterlevnad av de krav och skyldigheter som beskrivs i detta Biträdesavtal, samt

(iv) var personuppgifter lagras och behandlas å Personuppgiftsansvarigs vägnar.

6.4. Ifall Personuppgiftsbiträdet vill anlita ett underbiträde som inte finns listat i Bilaga 1 – Instruktioner skall Personuppgiftsbiträdet utan onödigt dröjsmål, och senast åtta (8) veckor innan några personuppgifter överförs till underbiträdet, informera Personuppgiftsansvarig skriftligen. Informationen skall bestå åtminstone av det tilltänkta underbiträdets namn, syftet med att underbiträdet anlitas samt

underbiträdets adress. Personuppgiftsbiträdet skall helt bära ansvaret gentemot Personuppgiftsansvarig för de behandlingar som underbiträdet gör av personupgifter å Personuppgiftsansvarigs vägnar.

7. Överföring till tredje land

7.1. Personuppgiftsbiträdet får överföra personuppgifter till tredje land om och endast om sådan överföring sker i enliget med Tillämplig dataskyddslagstiftning.

7.2. Om överföring av personuppgifter till tredje land kräver att ett avtal igås skall, på begäran av Personuppgiftsansvarig, en kopia av det ingånga avtalet lämnas till Personuppgiftsansvarig.

8. Rätt till revision

8.1. I syfte att säkra efterlevnad av de krav och skyldigheter som beskrivs i Biträdesavtalet skall Personuppgiftsansvarig ha rätt att genomföra revision (”Revision”) av Personuppgiftsbiträdet. Personuppgiftsbiträdet skall tillhandahålla alla relevanta dokument och all relevant information som behövs för Revisionen.

8.2. Revision får utföras av en tredje part och får genomföras kostnadsfritt maximalt en gång per år. Revision får innefatta inspektion av Personuppgiftsbiträdets lokaler.

9. Ersättning och skadestånd

9.1. Personuppgiftsbiträdet har rätt till ersättning för sådan behandling av personuppgifter och därtill hörande åtgärder, som inte uttryckligen har överenskommits av Parterna vid Avtalets ingående.

9.2. Skadestånd under detta Biträdesavtal skall regleras i enlighet med Avtalet.

10. Avtalstid

10.1. Detta Biträdesavtal skall gälla så länge personuppgifter lagras och/eller behandlas av Personuppgiftsbiträdet å Personuppgiftsansvarigs vägnar.

11. Kommunikation

11.1. All kommunikation från en Part till en annan Part under detta Biträdesavtal ska ske i enlighet med Avtalet om kommunikation regleras där. Ifall kommunikation inte regleras i Avtalet skall kommunikation under detta Biträdsavtal ske enligt de normala rutiner som existerar mellan Parterna.

12. Ersättning

12.1. Alla kostnader för Revision, förutom för den första Revision som sker varje år, skall fullt ut ersättas av Personuppgiftsansvarig.

12.2. Förutom ersättning enligt 12.1 ovan skall ingen ersättning utgå till Personuppgiftsbiträdet, utöver vad som anges i Avtalet, för att fullgöra de skyldigheter som följer av Biträdesavtalet.

13. Biträdesavtalets upphörande

13.1. När detta Biträdesavtal upphör skall Personuppgiftsbiträdet förstöra eller återlämna alla personuppgifter och kopior av personuppgifter som behandlats och/eller lagrats å Personuppgiftsansvarigs vägnar. Vidare skall Personuppgiftsbiträdet säkerställa att alla underbiträden till Personuppgiftsbiträdet som behandlar och/eller lagrar personuppgifter å Personuppgifsansvarigs vägnar gör likadant.

Bilaga 1 – Instruktion

Tjänsten som tillhandahålls enligt Avtalet är Minivoice Premium som tar emot samtal dygnet runt och läser upp ett välkomstmeddelande. Menystyrning är skräddarsydd för ert företag – anpassat till dag och klockslag. Samtalen distribueras till anknytningar/grupper i er växel eller till valfria gruppmedlemmar. På xxxxxxxxx.xx administreras inställningar som direkt ger önskad förändring i Minivoice Premium. Minivoice Premium är en modern moln- och modulbaserad abonnemangstjänst anpassad till företag med en mix av abonnemangsformer och från olika operatörer. Tjänsten ger er en trygg samtalsdistribution, support och användarstöd.

Typ av personuppgifter

Personuppgiftsbiträdet behandlar personnamn, telefonnummer, mejladresser, samt röstbrevlådemeddelanden.

Typ av behandling Personuppgiftsbiträdet skall:

• Ta emot samtal från abonnentens operatör

• Hantera samtalet i enlighet med de inställningar som gjorts av Personuppgiftsansvarig på xxxxxxxxx.xx eller som specialanpassats på Personuppgiftsansvarigs uppdrag.

• Koppla abonnenten vidare till anknytningar/grupper i Personuppgiftsansvarigs växel eller abonnemang i enlighet med knappval eller annan input från abonnenten samt inställningar som administreras eller beställs av Personuppgiftsansvarig.

Syfte med och föremål för behandlingen

Personuppgiftsbiträdet skall behandla personuppgifter å Personuppgiftsansvarigs vägnar i syfte att tillhandahålla tjänsterna som beskrivs i Avtalet. Personuppgiftsbiträdet skall även behandla personuppgifter i syfte att ge support och användarstöd, upplysa om användning eller nya möjligheter i plattformen samt för att detektera och stävja missbruk av tjänsten.

Kategorier av registrerade

Personuppgifter för följande kategorier av registrerade behandlas av Personuppgiftsbiträdet: Kunds anställda och Kunds kunder.

Fysisk plats för behandling

Alla personuppgifter behandlas i Sverige. Underbiträden

• Viatel Sweden AB, tillhandahåller telefoniplattformen som används för Minivoice, behandling sker i Sverige

• Svar Direkt AB, hanterar kundsamtal när Personuppgiftsbiträdet inte hinner svara, behandling sker i Sverige

• Lunda Logik AB, tillhandahåller ett webbaserat kundregister, behandling sker i Sverige

• FS Data, hostar Personuppgiftsbiträdets mejl, behandling sker i Sverige

Bilaga 2 – Säkerhetsåtgärder

Dessa tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå utgör en integrerad del av Avtalet och ska följas av Personuppgiftsbiträdet vid utförande av behandling av personuppgifter.

a) Fysisk säkerhet. Personuppgiftsbärande system ska skyddas mot elavbrott och andra störningar orsakade i tekniska försörjningsystem. Utrymmen där personuppgifter förvaras, så som serverhallar, ska skyddas genom lämpliga tillträdeskontroller för att säkerställa att endast behörig personal får tillträde. Det ska också finnas ett tillfredställande skydd mot stöld och händelser som kan förstöra IT- system och lagringsmedia.

b) Åtkomstskydd. När datorutrustning och löstagbara datamedier hos Personuppgiftsbiträdet som innehåller eller kan ge tillgång till personuppgifter som Personuppgiftsbiträdet behandlar för Personuppgiftsansvarigs räkning, inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall ska personuppgifterna krypteras. För det fall eventuella bärbara datorer används vid behandlingar ska personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade.

c) Säkerhetskopia. Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas efter en störning. Personuppgiftsbiträdet ska ha en dokumenterad rutin för säkerhetskopiering och återläsning av säkerhetskopior, samt för test av återläsning.

d) Behörighetskontroll. Ett tekniskt system för behörighetskontroll ska styra åtkomsten till personuppgifterna för Personuppgiftsbiträdet. Det ska finnas rutiner för tilldelning och borttagande av behörigheter.

e) Datakommunikation. Anslutning för extern datakommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig.

f) Utplåning. När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre ska användas för sitt ändamål ska personuppgifterna raderas på sådant sätt att de inte kan återskapas.

g) Personuppgiftsincident. Personuppgiftsbiträdet ska ha rutiner för att omgående underrätta Personuppgiftsansvarig vid upptäckt av obehörig åtkomst, förstörelse eller liknande integritetsincidenter. Därutöver ska Personuppgiftsbiträdet ha rutiner för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

h) Pseudonymisering. Personuppgifterna ska i möjligaste mån pseudonymiseras.

i) Insyn. Personuppgiftsansvarig ska ha rätt att utreda obehörig åtkomst, förstörelse, ändring av personuppgifter eller liknande personuppgiftsincidenter, samt försök därtill, hos Personuppgiftsbiträdet.