PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
mellan
KUNDEN [NAMN]
ORGANISATIONSNUMMER [ORGANISATIONSNUMMER] [ADRESS] [POSTNUMMER OCH ORT]
härefter ”den personuppgiftsansvariga”
och Vitec MV
Organisationsnummer 15 31 44 00
Xxxxxxxxxx 0, 0000 Xxxxxx C
härefter ”personuppgiftsbiträde”
som var för sig är en ”part” och tillsammans utgör ”parterna”
HAR AVTALAT följande standardkontraktsbestämmelser (Bestämmelserna) i enlighet med dataskyddsförordningen och för att säkerställa privatlivets integritet och fysiska personers grundläggande rättigheter och friheter
1. Innehåll
3. Den personuppgiftsansvarigas rättigheter och skyldigheter 3
4. Personuppgiftsbiträdet agerar enligt instruktioner 4
6. Säkerhet vid databehandling 4
7. Användning av underbiträden 5
8. Överföring till tredjeländer eller internationella organisationer 6
9. Bistånd till personuppgiftsansvarig 7
10. Information till den registrerade om en personuppgiftsincident. 8
11. Borttagning och återlämnande av uppgifter 8
12. Granskning, inbegripet inspektion. 9
13. Parternas avtal om andra frågor 9
14. Ikraftträdande och upphörande 9
15. Kontaktpersoner hos den personuppgiftsansvariga och personuppgiftsbiträdet. 10
Bilaga A Information om behandlingen 11
Bilaga C Instruktioner avseende behandling av personuppgifter 15
Bilaga D Parternas reglering av andra frågor 18
2. Ingress
1. Dessa Bestämmelser fastställer personuppgiftsbiträdets rättigheter och skyldigheter när denne utför behandling av personuppgifter på den personuppgiftsansvarigas vägnar.
2. Dessa Bestämmelser är utformade i enlighet med att parterna respekterar artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen).
3. I samband med leveransen av tjänsten enligt Huvudkontraktet av [datum] samt eventuella senare tillägg behandlar personuppgiftsbiträdet personuppgifter på den personuppgiftsansvarigas vägnar i förenlighet med dessa Bestämmelser.
4. Bestämmelserna har företräde i relation till eventuella motsvarande bestämmelser i andra avtal mellan parterna.
5. Det hör fyra bilagor till dessa Bestämmelser. Bilagorna utgör en integrerad del av Bestämmelserna.
6. Bilaga A innehåller närmare information om behandlingen av personuppgifter, inbegripet om behandlingens syfte och natur, typen av personuppgifter, kategorierna av registrerade och behandlingens varaktighet.
7. Bilaga B innehåller den personuppgiftsansvarigas villkor för personuppgiftsbiträdets användning av underbiträden och en lista över underbiträden som den personuppgiftsansvariga har godkänt för användning.
8. Bilaga C innehåller den personuppgiftsansvarigas instruktioner för så vitt angår personuppgiftsbiträdets behandling av personuppgifter, en beskrivning av de säkerhetsåtgärderna som den personuppgiftsansvariga som minst ska vidta och hur tillsyn av personuppgiftsbiträdet och eventuella underbiträden utförs.
9. Bilaga D innehåller bestämmelser avseende andra aktiviteter som inte är omfattade av Bestämmelserna.
10. Bestämmelserna med tillhörande bilagor ska lagras skriftligt, inbegripet elektroniskt, av bägge parter.
11. Dessa Bestämmelser befriar inte personuppgiftsbiträdet från förpliktelser som personuppgiftsbiträdet är pålagd enligt dataskyddsförordningen eller annan lagstiftning.
3. Den personuppgiftsansvarigas rättigheter och skyldigheter
1. Den personuppgiftsansvariga ansvarar för att säkerställa att behandlingen av personuppgifter sker i förenlighet med dataskyddsförordningen (se förordningens artikel 24), dataskyddsbestämmelser i annan unionsrätt eller medlemsstaternas1 nationella rätt och dessa Bestämmelser.
1 Hänvisningar till ”medlemsstat” i dessa bestämmelser ska förstås som en hänvisning till ”EES-medlemsstater”.
3. Den personuppgiftsansvariga ansvarar för, bland annat, att säkerställa att det finns en grund för den behandling av personuppgifter som personuppgiftsbiträdet instruerats att utföra.
4. Personuppgiftsbiträdet agerar enligt instruktioner
1. Personuppgiftsbiträdet får endast behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvariga, med mindre det krävs av unionsrätt eller av medlemsstaternas nationella rätt som den personuppgiftsansvariga är underlagd. Dessa instruktioner ska vara specificerade i bilaga A och C. Efterföljande instruktioner kan också ges av den personuppgiftsansvariga under tiden personuppgifter behandlas, men instruktionerna ska alltid vara dokumenterade och lagras skriftligt, inbegripet elektroniskt, tillsammans med dessa Bestämmelser.
2. Personuppgiftsbiträdet informerar omgående den personuppgiftsansvariga om en instruktion i dennes åsikt står i strid med denna förordning eller dataskyddsbestämmelser i annan unionsrätt eller medlemsstaternas nationella rätt.
5. Sekretess
1. Personuppgiftsbiträdet får endast ge åtkomst till personuppgifter som behandlas på den personuppgiftsansvarigas vägnar till personer som är underlagda personuppgiftsbiträdets instruktionsbefogenhet, som är sekretessbundna eller är underlagda en lämplig lagstadgad tystnadsplikt, och endast i nödvändigt omfång. Listan över personer som har tilldelats åtkomst ska gås igenom löpande. Baserat på denna genomgång kan åtkomsten till personuppgifterna tas bort om åtkomsten inte längre är nödvändig och personuppgifterna ska därefter inte längre vara tillgängliga för dessa personer.
2. Personuppgiftsbiträdet ska efter förfrågan från den personuppgiftsansvariga kunna bevisa att personerna i fråga, som är underlagda personuppgiftsbiträdets instruktionsbefogenhet, är underlagda ovan nämnda tystnadsplikt.
6. Säkerhet vid databehandling
1. Dataskyddsförordningen artikel 32 slår fast att den personuppgiftsansvariga och personuppgiftsbiträdet, med hänsyn till aktuell teknisk nivå, omkostnader för implementering och den aktuella behandlingens natur, omfång, sammanhang och syfte, samt riskerna av varierande sannolikhetsgrad och allvar för fysiska personers rättigheter och friheter, genomför lämpliga tekniska och organisatoriska åtgärder för att säkerställa att skyddsnivån passar till dessa risker.
Den personuppgiftsansvariga ska utvärdera de risker som behandlingen utgör för fysiska personers rättigheter och friheter, och genomföra åtgärder för att bemöta dessa risker. Beroende på deras relevans kan det omfatta:
a. Pseudonymisering och kryptering av personuppgifter,
b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och -tjänsterna,
c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i skälig tid vid en fysisk eller teknisk incident,
d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
2. I enlighet med dataskyddsförordningen artikel 32 ska personuppgiftsbiträdet – oberoende av den personuppgiftsansvariga – även utvärdera de risker för fysiska personers rättigheter som behandlingen utgör och vidta åtgärder för att bemöta dessa risker. I enlighet med denna utvärdering ska den personuppgiftsansvariga göra den nödvändiga informationen tillgänglig för personuppgiftsbiträdet som gör det möjligt för personen att identifiera och utvärdera sådana risker.
3. Därutöver ska personuppgiftsbiträdet bistå den personuppgiftsansvariga i dennes efterlevnad av den personuppgiftsansvarigas åtagande enligt förordningens artikel 32, genom att bland annat göra all nödvändig information tillgänglig för den personuppgiftsansvariga avseende de tekniska och organisatoriska säkerhetsåtgärder som personuppgiftsbiträdet redan har genomfört i enlighet till förordningens artikel 32, och all annan information som är nödvändig för att den personuppgiftsansvariga ska kunna uppfylla sitt åtagande enligt förordningens artikel 32.
Om åtgärderna för att bemöta de identifierade riskerna – enligt den personuppgiftsansvarigas bedömning – kräver att ytterligare åtgärder vidtas utöver de åtgärder som personuppgiftsbiträdet redan har vidtagit, ska den personuppgiftsansvariga i bilaga C ange vilka ytterligare åtgärder som ska vidtas.
7. Användning av underbiträden
1. Personuppgiftsbiträdet ska uppfylla de villkor som omfattas av dataskyddsförordningens artikel 28.2 och
28.4 för att använda sig av ett annat personuppgiftsbiträde (ett underbiträde).
2. Personuppgiftsbiträdet får således inte använda sig av ett underbiträde för att uppfylla dessa Bestämmelser utan ett föregående generellt skriftligt godkännande från den personuppgiftsansvariga.
3. Personuppgiftsbiträdet har den personuppgiftsansvariga generella godkännande att använda underbiträden. Personuppgiftsbiträdet ska skriftligt underrätta den personuppgiftsansvariga om eventuella planerade ändringar avseende tillägg eller utbyte av underbiträden med minst 30 dagars varning och med det ge den personuppgiftsansvariga möjligheten att invända mot sådana ändringar innan de aktuella underbiträdena används. Längre varningstid för underrättning i förbindelse med specifika behandlingsaktiviteter kan anges i bilaga B. Listan över underbiträden, som redan godkänts av den personuppgiftsansvariga, framgår av bilaga B.
Personuppgiftsbiträdesavtal maj 2021
Personuppgiftsbiträdet ansvarar därför för att kräva att underbiträdet minst är i överensstämmelse med personuppgiftsbiträdets skyldigheter enligt dessa Bestämmelser och dataskyddsförordningen.
5. Underbiträdesavtal och eventuella senare ändringar i detta skickas – efter förfrågan härom från den personuppgiftsansvariga – i kopia till den personuppgiftsansvariga, som därmed har möjlighet att försäkra sig om att underbiträdet har fått i uppgift att utföra de motsvarande åtaganden för skydd av personuppgifter som kommer av dessa Bestämmelser. Bestämmelser om kommersiella villkor, som inte påverkar det dataskyddsrättsliga innehållet i underbiträdesavtalet ska inte skickas till den personuppgiftsansvariga.
6. Om underbiträdet inte uppfyller sina åtaganden för skydd av personuppgifter, förblir personuppgiftsbiträdet fullt ansvarig att uppfylla underbiträdets skyldigheter gentemot den personuppgiftsansvariga. Detta påverkar inte de registrerades rättigheter som kommer från dataskyddsförordningen, inbegripet framför allt förordningens artikel 79 och 82, gentemot den personuppgiftsansvariga och personuppgiftsbiträdet, inbegripet underbiträdet.
8. Överföring till tredjeländer eller internationella organisationer
1. Varenda överföring av personuppgifter till tredjeländer eller internationella organisationer får endast utföras av personuppgiftsbiträdet på bakgrund av dokumenterade instruktioner om detta som lämnats av den personuppgiftsansvariga och ska alltid ske i förenlighet med dataskyddsförordningens kapitel V.
2. Om det krävs en överföring av personuppgifter till tredjeländer eller internationella organisationer, som den personuppgiftsansvariga inte instruerat personuppgiftsbiträdet att genomföra, och/eller krävs enligt unionsrätt eller medlemsstaternas nationella rätt, som personuppgiftsbiträdet är underlagd, ska personuppgiftsbiträdet underrätta den personuppgiftsansvariga om detta rättsliga krav innan behandlingen, med mindre att den aktuella lagstiftningen förbjuder en sådan underrättning av hänsyn till viktiga samhällsintressen.
3. Utan dokumenterade instruktioner från den personuppgiftsansvariga kan personuppgiftsbiträdet således inte inom dessa Bestämmelsers ramar:
a. överföra personuppgifter till en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett tredjeland eller en internationell organisation,
b. överlåta behandling av personuppgifter till ett underbiträde i ett tredjeland,
c. behandla personuppgifterna i ett tredjeland.
Personuppgiftsbiträdesavtal maj 2021
5. Dessa Bestämmelser ska inte förväxlas med standardkontraktsbestämmelser som omfattas av dataskyddsförordningens artikel 46.2 c och d, och dessa Bestämmelser kan inte utgöra grund för överföring av personuppgifter som omfattas av dataskyddsförordningens kapitel V.
9. Bistånd till den personuppgiftsansvariga
1. Personuppgiftsbiträdet bistår, med hänsyn tagen till behandlingens natur, så vitt det är möjligt den personuppgiftsansvariga med hjälp av lämpliga tekniska och organisatoriska åtgärder med att fullgöra den personuppgiftsansvarigas förpliktelse att besvara förfrågningar om utövandet av de registrerades rättigheter som fastlagt i dataskyddsförordningen kapitel III.
Detta innebär att personuppgiftsbiträdet så vitt som möjligt ska bistå den personuppgiftsansvariga i förbindelse med att den personuppgiftsansvariga säkrar fullgörandet av:
a. plikten avseende information som ska tillhandahållas om personuppgifterna samlas in från den registrerade,
b. plikten avseende information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade,
c. den registrerades rätt till tillgång,
d. rätten till rättelse,
e. rätten till radering (”rätten att bli bortglömd”),
f. rätten till begränsning av behandling,
g. anmälningsskyldigheten avseende rättelse eller radering av personuppgifter och begränsning av behandling,
h. rätten till dataportabilitet,
i. rätten att göra invändningar,
j. rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripen profilering,
2. Utöver personuppgiftsbiträdets förpliktelse att bistå den personuppgiftsansvariga enligt Bestämmelse 6.3 bistår personuppgiftsbiträdet vidare, med hänsyn till behandlingens natur och de uppgifter som är tillgängliga förpersonuppgiftsbiträdet, den personuppgiftsansvariga med:
a. den personuppgiftsansvarigas förpliktelse att utan otillbörlig försening och om möjligt senast 72 timmar efter att denna fått kännedom om det, att anmäla brott mot personuppgiftssäkerheten till behörig tillsynsmyndighet, Integritetsskyddsmyndigheten IMY, med mindre det är osannolikt att personuppgiftsincidenten innebär en risk för fysiska personers rättigheter eller friheter,
b. den personuppgiftsansvarigas förpliktelse till att utan otillbörlig försening underrätta den registrerade om en personuppgiftsincident när incidenten sannolikt medför en hög risk för fysiska personers rättigheter och friheter,
Personuppgiftsbiträdesavtal maj 2021
av personuppgifter (en konsekvensanalys),
d. den personuppgiftsansvarigas förpliktelse att samråda med behörig tillsynsmyndighet, Integritetsskyddsmyndigheten IMY innan behandling om en konsekvensanalys avseende personuppgiftsskydd visar att behandlingen kommer leda till en höjd risk för brist på åtgärder vidtagna av den personuppgiftsansvariga för att begränsa riskerna.
3. Parterna ska i bilaga C ange de nödvändiga tekniska och organisatoriska åtgärder med vilka personuppgiftsbiträdet ska bistå den personuppgiftsansvariga samt i vilket omfång och vilken utsträckning. Det gäller för de skyldigheter som kommer av Bestämmelse 9.1. och 9.2.
10. Anmälan av en personuppgiftsincident
1. Personuppgiftsbiträdet underrättar utan otillbörlig försening den personuppgiftsansvariga efter att ha fått vetskap om att det skett en personuppgiftsincident.
2. Personuppgiftsbiträdets ska underrätta den personuppgiftsansvariga om möjligt senast 24 timmar efter att denna fått kännedom om personuppgiftsincidenten, så att den personuppgiftsansvariga kan fullgöra sin förpliktelse att anmäla personuppgiftsincidenter till behörig tillsynsmyndighet, jfr. dataskyddsförordningens artikel 33.
3. I förenlighet med Bestämmelse 9.2 a ska personuppgiftsbiträdet bistå den personuppgiftsansvariga med anmälan av en personuppgiftsincident till behörig tillsynsmyndighet. Det innebär att personuppgiftsbiträdet ska bistå med att tillhandahålla nedanstående information, som enligt artikel 33.3 ska framgå av den personuppgiftsansvariga anmälan av en personuppgiftsincident till behörig tillsynsmyndighet:
a. personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorierna av och det ungefärliga antalet personuppgiftsposter som berörs,
b. de sannolika konsekvenserna av personuppgiftsincidenten,
c. de åtgärder som den personuppgiftsansvariga har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
4. Parterna ska i bilaga C ange den information som personuppgiftsbiträdet ska tillhandahålla i samband med sitt bistånd till den personuppgiftsansvariga i dennes förpliktelse att anmäla personuppgiftsincidenten till behörig tillsynsmyndighet.
11. Radering och återlämnande av uppgifter
1. Då tjänsterna avseende behandling av personuppgifter upphör är personuppgiftsbiträdet förpliktigad att radera alla personuppgifter som har behandlats på den personuppgiftsansvarigas vägnar och bekräfta för den personuppgiftsansvariga, att
Personuppgiftsbiträdesavtal maj 2021
12. Granskning, inbegripen inspektion
1. Personuppgiftsbiträdet tillhandahåller alla uppgifter som är nödvändiga för att bevisa efterlevnaden av dataskyddsförordningens artikel 28 och dessa Bestämmelser för den personuppgiftsansvariga och ger möjlighet för och bidrar till granskningar, inbegripet inspektioner som utförs av den personuppgiftsansvariga eller en annan revisor som är bemyndigad av den personuppgiftsansvariga.
2. Förfarande för den personuppgiftsansvarigas granskningar, inbegripet inspektioner med personuppgiftsbiträdet och underbiträden, är närmare angivet i Bilaga C.7 och C.8.
3. Personuppgiftsbiträdet är förpliktigad att ge tillsynsmyndigheterna som i enlighet med gällande lagstiftning får tillgång till den personuppgiftsansvarigas eller personuppgiftsbiträdets fysiska faciliteter mot behörig legitimation.
13. Parternas avtal om andra frågor
1. Parterna kan avtala andra bestämmelser gällande tjänsten avseende behandling av personuppgifter om till exempel ersättningsansvar så länge som dessa andra bestämmelser inte direkt eller indirekt strider mot Bestämmelserna eller försämrar den registrerades grundläggande rättigheter och friheter som kommer av dataskyddsförordningen.
14. Ikraftträdande och upphörande
1. Bestämmelserna träder i kraft det datum båda parterna signerar dem.
2. Båda parterna kan kräva att Bestämmelserna omförhandlas om lagändringar eller olägenheter i Bestämmelserna ger anledning till det.
3. Bestämmelserna är gällande så länge som tjänsten med avseende behandling av personuppgifter varar. Under denna period kan Bestämmelserna inte sägas upp, med mindre andra bestämmelser, som reglerar leveransen av tjänsten avseende behandling av personuppgifter, avtalas mellan parterna.
4. Om leverans av tjänsterna avseende behandling av personuppgifter upphör och personuppgifterna raderas eller återlämnas till den personuppgiftsansvariga i förenlighet med Bestämmelse 11.1 och Bilaga C.4, kan Bestämmelserna sägas upp med en skriftlig varning till båda parter.
5. Underskrift
För den personuppgiftsansvariga
Namn [NAMN] Titel [TITEL] Telefonnummer [TELEFONNUMMER] Personuppgiftsbiträdesavtal maj 2021
Underskrift
För personuppgiftsbiträdet
Xxxx Xxxx-Xxxx Xxxxx
Titel CEO Telefonnummer x00 00 00 00 00
E-post: xxxx-xxxx.xxxxx@xxxxxxxxxxxxx.xxx
Underskrift
15. Kontaktpersoner hos den personuppgiftsansvariga och personuppgiftsbiträdet
1. Parterna kan kontakta varandra via nedanstående kontaktpersoner.
2. Parterna är förpliktigade att löpande orientera varandra om ändringar avseende kontaktpersoner.
Namn [NAMN] Titel [TITEL] Telefonnummer [TELEFONNUMMER] E-post [E-POST]
Namn [NAMN] Titel [TITEL] Telefonnummer [TELEFONNUMMER] E-post [E-POST]
Personuppgiftsbiträdesavtal maj 2021
Bilaga A Information om behandlingen
Personuppgiftsbiträdet tillhandahåller som ett led i uppfyllandet av Huvudkontraktet följande digitala hjälpmedel/mjukvaruprodukter till den personuppgiftsansvariga:
□ CD-ORD
□ IntoWords
Personuppgiftsbiträdets mjukvara stöttar och förenklar ”textbehandling” för en given användare. Textbehandling ska förstås som följande processer:
□ Textförståelse: Produkten hjälper användaren att förstå skriven text med hjälp av tekniker som uppläsning och markering av text för användaren,
□ Framtagning av text: Användaren stöttas med ordförslag och hjälp med stavningen,
□ Intalning – Tal till Text: Text genereras baserat på intalning. Konvertering av tal till text sker genom API- samtal till en tredjepartstjänst.
A.1 Syftet med personuppgiftsbiträdets behandling av personuppgifter på den personuppgiftsansvarigas vägnar
Produkttjänster:
Syftet med att behandla personuppgifter i samband med användandet av personuppgiftsbiträdets produkter är att erbjuda den avtalade tjänsten samt att optimera produkternas prestanda, inbegripet att skapa det bästa inlärnings-, läse-, och skrivstöd för produkternas/tjänsternas användare, som därmed erhåller stöd att ”läsa och förstå en text”, ”skriva en text” samt ”läsa upp en text”.
För att produkterna ska kunna erbjuda användaren stöd i ovan nämnda, ska det därför för varje användare upprättas en konto-/användarinloggning. Denna inloggning/registrering av användaren medverkar till att produkten tar fram statistik för den aktuella användaren. Detta sker genom att produkterna/tjänsterna när de används registrerar användarens handlingar, inbegripet hur många ordförslag användaren ges, att textuppläsning sker samt att bilder konverteras till text. Vilka ord och bilder det handlar om registreras dock inte. Det är således funktionen som registreras, men inte funktionernas innehåll som registreras.
Slutanvändarstatistik:
Vid användning av tjänsterna sker ytterligare behandling av användarens persondata i syftet att skapa en slutanvändarstatistik. Statistik kopplad till slutanvändaren är endast baserad på antalet tillfällen som tjänsterna (inbegripet antalet ordförslag som ges samt antalet gånger text läses upp). Produkterna registrerar inte innehåll eller typ av text som föreslås/läses upp. Slutanvändaren har möjligheten att se sin egen statistik.
Statistik till användning för att förbättra produkterna:
Till personuppgiftsbiträdets interna utvärdering av produkterna samlas statistik in kumulerat från alla användarna i personuppgiftsbiträdets system. Denna statistik är anonymiserad och helt frånkopplad slutanvändaren. Personuppgiftsbiträdet kan utifrån statistiken utläsa hur många ordförslag som givits en specifik dag eller tidpunkt på dygnet, men inte i relation till den enskilda användaren.
Specifikt om Intalning – Tal till Text
Konvertering av tal till text sker med hjälp av Microsoft Azure, som tillhandahålles av Microsoft. När personuppgiftsbiträdet mottar ljudfilen med användarens intalning, skickar personuppgiftsbiträdet ljudfilen,
tillsammans med andra användares ljudfiler, till Microsoft i Holland via ett API för att konverteras till text. Ljudfilen raderas ögonblickligen efter att Microsoft har konverterat den.
Det skickas inte andra uppgifter tillsammans med ljudfilen, och Microsoft har således ingen möjlighet att koppla samman ljudfilen med den användare som talat in ljudfilen, och därmed heller ingen möjlighet att identifiera den aktuella användaren. När ljudfilen är i Microsofts innehav är det således inte att tala om en uppgift som kan härledas till en viss person, och det är därmed inte heller att tala om behandling av en personuppgift. Microsoft behandlar således inte vid någon tidpunkt användarens personuppgifter och är därmed inte underbiträde för personuppgiftsbiträdet.
A.2 Personuppgiftsbiträdets hantering av personuppgifter på den personuppgiftsansvarigas vägnar handlar primärt om (behandlingens art)
Personuppgiftsbiträdets produkter samlar in och registrerar data om användaren när inloggnings-
/användarkonto upprättas samt vid användning av produkten/tjänsten för att leverera den avtalade tjänsten.
För Företags- och Privatkunder registreras användarens namn och e-post för att upprätta ett användarkonto. Data lagras så länge som användarkontot är aktivt. Härefter anonymiseras och raderas data.
För Kommunkunder är data pseudonymiserad. Användarens namn och e-post registreras tillfälligt vid inloggningsprocessen. Dessa data lagras så länge som användarkontot är aktivt, det vill säga den aktiva användarsessionen, exempelvis 30 minuter. Användarens inloggnings-hash från idP sparas permanent, men dock bara så länge som användaren är kopplad till personuppgiftsbiträdets inloggning eller det underliggande kontraktet är aktivt. Statistiskdata är pseudonymiserad och redan endast kopplad till inloggnings-hash från idP. Dessa data raderas automatiskt när avtalet upphör.
Vid bruk av personuppgiftsbiträdets tjänster registreras användarens användning av produkttjänsterna till slutanvändarstatistiken. Det registreras således antalet ordförslag som ges samt antal textuppläsningar med mera. Det registreras inte vad för innehåll eller texttyp som föreslås eller läses upp för användaren.
Ytterligare gällande inloggning
För att använda personuppgiftsbiträdets tjänster krävs att en giltig inloggning upprättas. Inloggning kan ske antingen med en så kallad federerad login via en identity provider (idP) eller direkt via personuppgiftsbiträdets användaradministration. I det sistnämnda fallet fungerar personuppgiftsbiträdet som både login och idP.
Oftast använder Kommun- och Företagskunder federerad login och Privatanvändare använder personuppgiftsbiträdets användaradministration. Gemensamt för federerad logins är att personuppgiftshanteraren aldrig tar ut mer data än nödvändigt vid inloggning för att leverera läs- och skrivhjälpmedel till kunderna. Oftast sparas endast användarens interna hash-värde. Det innebär att användare i personuppgiftsbiträdets program blir pseudonymiserade vid vanlig användning och att personuppgiftsbiträdet endast känner till användarens inloggning. Det är inte möjligt för personuppgiftsbiträdet att spåra data till en specifik person, utan en avsevärd insats. Om inte exempelvis en elev vid en viss skola som använder personuppgiftsbiträdets tjänster flyttar till en annan kommun kommer det vara omöjligt för personuppgiftsbiträdet att avgöra vilken person som den pseudonymiserade inloggningen har tillhört utan att samköra data från UNI-C.
Gemensamt för alla data som inte är inloggning/hash är att den endast kortvarigt lagras hos personuppgiftsbiträdet i samband med inloggning.
A.3. Behandlingen omfattar följande slags personuppgifter om de registrerade
Gemensamt för alla slags kunder är att personuppgiftsbiträdet endast hanterar vanliga personuppgifter, jfr. dataskyddsförordningen artikel 6, och således inte personkänsliga personuppgifter, jfr. dataskyddsförordningen artikel 9.
Kommunkunder
Alla kommunkunder i Danmark använder UNI-C, i Norge används Feide, i Sverige används Skolfederation och i Holland används Entree. Vid inloggning via dessa idP:er görs vissa personuppgifter tillgängliga för personuppgiftsbiträdet. Dock används dessa data inte och data sparas inte i personuppgiftsbiträdets system. För offentliga kunder som använder Google idP eller Microsoft idP, i dessa fall visas endast tenant ID och root domain. Dessa uppgifter är likställda med Skolkod.
Data om användare som behövs / ställs till rådighet för personuppgiftsbiträdet vid inloggning och tjänsteanvändning består av följande:
Data sparas / används vid inloggning
Roll Ja Namn Nej Adress Nej
Telefonnummer Nej E-postadress Nej Företags-ID Nej Kommunkod Nej
Skolkod (Institutionsnummer) Ja Klassbeteckning Ja
Login / Hash Ja
Företagskunder
I detta fall fungerar inloggningen på samma sätt som vid ovan, men det är helt upp till kunden vilka data som följer med vid inloggning.
Data om användare som behövs / ställs till rådighet för personuppgiftsbiträdet vid inloggning består av följande:
Data sparas / används vid inloggning
Roll Ja Namn Nej Adress Nej
Telefonnummer Nej E-postadress Ja Företags-ID Ja Kommunkod Nej
Skolkod (Institutionsnummer) Nej Klassbeteckning Nej
Login / Hash Ja
Privatkunder
När kunden använder personuppgiftsbiträdets tjänster är det nödvändigt att spara personuppgifter direkt i personuppgiftsbiträdets eget inloggningssystem.
Data om användare som behövs / ställs till rådighet för personuppgiftsbiträdet vid inloggning består av följande:
Data sparas / används vid inloggning
Roll Nej Namn Ja Adress Ja
Telefonnummer Ja E-postadress Ja Företags-ID Nej Kommunkod Nej
Skolkod (Institutionsnummer) Nej Klassbeteckning Nej
Login / Hash Ja
A.4 Behandlingen omfattar följande kategorier av registrerade
Anställda knutna till personuppgiftsansvarig Xxxxxx xxxxxx till personuppgiftsansvarig Kunder
Barn i åldrarna 6–17 år. Kunder / privata användare
A.5 Personuppgiftsbiträdets behandling av personuppgifter på den personuppgiftsansvarigas vägnar kan påbörjas efter dessa Bestämmelsers ikraftträdande. Behandlingen har följande varaktighet
Personuppgiftsbiträdets behandling av personuppgifter på den personuppgiftsansvarigas vägnar påbörjas vid Huvudkontraktets ikraftträdande och varar till senast 30 dagar efter Huvudkontraktets upphörande, vid vilken tidpunkt personuppgiftsbiträdet har raderat alla personuppgiftsansvarigas personuppgifter.
Data för Privatkunder raderas automatiskt när användarkontot slängs ner av användaren/kunden själv. Alla annan data rörande en användarinloggning är efemeriddata och lagras endast hos personuppgiftsbiträdet så länge som användaren är inloggad.
Bilaga B Underbiträden
B.1 Godkända underbiträden
I samband med Bestämmelsernas ikraftträdande har den personuppgiftsansvariga godkänt användningen av följande underbiträden:
Amazon Web Services | Dublin, Irland Serverhosting Greenhills Road, Tymon North, Dublin, Irland |
Vitec Software Group, Koncern IT | Göteborg, Sverige Serverhosting |
NAMN ORGANISATIONSNUMMER ADRESS BESKRIVNING AV BEHANDLING
I samband med Bestämmelsernas ikraftträdande har den personuppgiftsansvariga godkänt användningen av följande underbiträden för den beskrivna behandlingen: Personuppgiftsbiträdet får inte – utan den personuppgiftsansvarigas skriftliga samtycke – använda sig av ett underbiträde till annan behandling än den beskrivna och avtalade eller använda sig av ett annat underbiträde till denna behandling.
Bilaga C Instruktioner avseende behandling av personuppgifter
C.1 Behandlingens föremål/instruktioner
Personuppgiftsbiträdets behandling av personuppgifter på den personuppgiftsansvarigas vägnar sker genom att personuppgiftsbiträdet utför följande:
Personuppgiftsbiträdet föranleder att personuppgiftsansvarig/personuppgiftsansvarigas användare kan upprätta ett användarkonto/inloggning i enlighet med att denna användare kan utnyttja de tjänster som personuppgiftsbiträdets produkter/tjänster erbjuder, jfr. beskrivningen i Bilaga A, inbegripet att personuppgiftsbiträdet registrerar personuppgiftsansvarigas/användares bruk av tjänsten/produkten för slutanvändarstatistik.
C.2 Säkerhet vid databehandling Sekretessnivån ska återspegla:
Behandlingen av personuppgifter är uteslutande i förhållande till personuppgifter av allmän art, jfr. dataskyddsförordningen artikel 6. Således behandlas inga personkänsliga uppgifter, jfr. dataskyddsförordningen artikel 9. Behandlingens omfattar dock en stor mängd personuppgifter från användare, inbegripet uppgifter från barn under 16 år.
Personuppgiftsbiträdet är härefter berättigad och förpliktigad att ta beslut om vilka tekniska och organisatoriska säkerhetsåtgärder som ska vidtas för att etablera den nödvändiga säkerhetsnivån.
Personuppgiftsbiträdet ska dock – under alla omständigheter som minst – vidta följande åtgärder, vilka är avtalade med den personuppgiftsansvariga:
□ Tillgång till alla personuppgiftsbiträdets system är säkerställd med MFA och alla personuppgiftsbiträdets medarbetare med åtkomst till driftsmiljön har skrivit under ett utvidgat sekretessavtal.
□ Som primär driftsmiljö används AWS i Irland, där data hostas och där AWS:s inbyggda CloudTail är aktiverad. Det innebär att alla personuppgiftsbiträdets medarbetares inloggning och handlingar utförda i driftsmiljön blir loggade i 90 dagar. Audit-loggen är löpande övervakad.
□ Produkterna använder både kryptering ”in transit” och ”at rest”. Det innebär bland annat att alla förbindelser till ”backend” är krypterade med TLS v1.3 ”in transit”. Kryptering ”at rest” är avhängig av mediet, men AES256 används oftast.
□ Utlämning av krypteringsnycklar och certifikat sker via Let’s Encrypt, AWS KMS eller ACM,
□ Personuppgiftsbiträdet utför löpande driftövervakning av IT-systemen,
□ Åtkomst till personuppgiftsbiträdets nätverk säkerställs bland annat genom bruk av brandvägg, VPN- klient och skyddat WiFi.
C.3 Bistånd till den personuppgiftsansvariga
Personuppgiftsbiträdet ska så vitt som möjligt – inom nedanstående omfång och utsträckning – bistå den personuppgiftsansvariga i förenlighet med Bestämmelse 9.1 och 9.2 genom att vidta följande tekniska och organisatoriska åtgärder:
På förfrågan från personuppgiftsansvarig kan personuppgiftsbiträdet radera och ta fram alla statistiska data kopplade till slutanvändaren. För Företags- och Kommunkunder förutsätter detta bistånd att uppgifter från idP levereras av personuppgiftsansvarig, eftersom personuppgiftsbiträdet inte har direkt data som kan härledas till en viss person för dessa användare.
För att radera data på den personuppgiftsansvarigas vägnar krävs ett antal tekniska handlingar beroende på användartypen:
Kommunkunder
Som utgångspunkt kan en specifik användare inte identifieras i personuppgiftsbiträdets system, eftersom det inte går att lagra direkta uppgifter som kan härledas till en viss person på en användarinloggning. Det är därför nödvändigt att exempelvis Skolfederation kan lämnas ut av den personuppgiftsansvariga för den specifika användarens inloggning / hash, således kan personuppgiftsbiträdet söka fram denna i statistikdatabasen.
Företagskunder
Användaren kan identifieras med hjälp av till exempel e-postadress och kan raderas/hittas baserat på dessa uppgifter.
Privatkunder
Användaren kan identifieras med hjälp av till exempel e-postadress och kan raderas/hittas baserat på dessa uppgifter.
C.4 Lagringstid/raderingsrutin
Personuppgifter lagras till dess ett användarkonto slängs eller under perioden fram till att Huvudkontraktet upphör och senast 30 dagar därefter. Privatkunder kan själva ta bort sitt eget användarkonto.
C.5 Lokalitet för behandling
Behandling av de av Bestämmelserna omfattade personuppgifterna kan inte utan den personuppgiftsansvarigas föregående skriftliga samtycke äga rum på andra lokaliteter än följande:
Behandlingen av de av Bestämmelserna omfattade personuppgifterna lagras på följande lokaliteter av följande underbiträden som hostar data på personuppgiftsbiträdets vägnar:
□ AWS-datacenter
Greenhills Road, Tymon North, Dublin, Ireland
□ Vitec software Group, Göteborg, Sverige
C.6 Instruktioner avseende överföring av personuppgifter till tredjeländer
Om den personuppgiftsansvariga inte i dessa Bestämmelser eller i efterföljande ger dokumenterade instruktioner avseende överföring av personuppgifter till ett tredjeland, är personuppgiftsbiträdet inte berättigad att inom ramarna för dessa Bestämmelser genomföra sådana överföringar.
Personuppgiftsbiträdet förpliktar sig att uteslutande använda underbiträden som befinner sig i EU eller säkra tredjeländer.
C.7 Förfaranden för den personuppgiftsansvarigas granskningar, inbegripet inspektioner, med behandlingens av personuppgifter som är överlåten till personuppgiftsbiträdet
Personuppgiftsbiträdet ska varje år för egen räkning inhämta en revisionsförklaring från en oberoende tredjepart avseende personuppgiftsbiträdets efterlevnad av dataskyddsförordningen, dataskyddsbestämmelser i annan unionsrätt eller medlemsstaternas nationella rätt och dessa Bestämmelser.
Där är enighet mellan parterna om att följande slags revisionsförklaringar kan användas i enlighet med dessa Bestämmelser:
ISAE 3000 eller liknande.
Baserat på resultaten av förklaringen är den personuppgiftsansvariga berättigad till att anmoda om att ytterligare åtgärder vidtas i enlighet med efterlevandet av dataskyddsförordningen, dataskyddsbestämmelser i annan unionsrätt eller medlemsstaternas nationella rätt och dessa Bestämmelser.
Den personuppgiftsansvariga eller en representant för den personuppgiftsansvariga har härutöver möjlighet att genomföra inspektioner, inbegripet fysiska inspektioner av lokaliteterna varifrån personuppgiftsbiträdet genomför behandling av personuppgifterna, inbegripet fysiska lokaliteter och system som används till eller i förbindelse med behandlingen. Sådana inspektioner kan genomföras när den personuppgiftsansvariga finner det nödvändigt.
Förfrågan om fysisk inspektion ska ske med minst 30 dagars varsel. Den personuppgiftsansvarigas eventuella utgifter i samband med en fysisk inspektion står den personuppgiftsansvariga själv för. Personuppgiftsbiträdet är förpliktigad att sätta av den tid som är nödvändig för att den personuppgiftsansvariga ska kunna genomföra sin inspektion. Den personuppgiftsansvariga faktureras för personuppgiftsbiträdets använda tid och omkostnader i förbindelse med sådan tillsyn, jfr. timarvoden angivna i bilaga D.
C.7 Förfaranden för granskningar, inbegripet inspektioner, av behandling av personuppgifter som är överlåtna till underbiträden
Personuppgiftsbiträdet ska regelbundet för egen räkning hos underbiträde inhämta rapporter om förklaringar eller liknande rörande underbiträdets efterlevnad av dataskyddsförordningen, dataskyddsbestämmelser i annan unionsrätt eller i medlemsstaternas nationella rätt och dessa Bestämmelser.
Bilaga D Parternas reglering av andra frågor
Vederlag och omkostnader
Personuppgiftsbiträdet har krav på betalning, baserat på tidsåtgång för tjänster som utförs av personuppgiftsbiträdet inom ramen för Bestämmelserna och den personuppgiftsansvarigas förfrågan. Tjänsterna kan omfatta, men är inte begränsade till, ändringar av instruktioner, assistans vid anmälning av personuppgiftsincident, utlämning och radering av uppgifter, bistånd vid revision, bistånd vid upphörande, samarbete med tillsynsmyndigheter och hjälp att efterleva förfrågningar från registrerade. Tjänsterna kan också omfatta bistånd till ändringar som följer av nya riskvärderingar.
Personuppgiftsbiträdets bistånd räknas således ut: Konsulenttimpris: SEK 1 500 exklusive moms
Priserna regleras i förhållande till utvecklingen i nettoprisindex.
Ansvar och ansvarsbegränsningar
Parternas ansvar för alla kumulerade krav enligt Bestämmelserna är begränsat till de samlade betalningarna enligt Huvudkontraktet för den 12-måndersperiod som direkt föregår den skadegörande handlingen. Om Bestämmelserna inte har varit i kraft i 12 månader räknas beloppet ut för den avtalade betalningen för tjänster i enlighet med Huvudkontraktet i den period som Bestämmelserna har varit i kraft delat med antalet
månader Bestämmelserna har varit i kraft och därefter multiplicerat med 12.
Force Majeure
Personuppgiftsbiträdet kan inte hållas ansvarig för förhållanden som vanligtvis betecknas som force majeure, inbegripet men inte begränsat till krig, upplopp, terror, uppror, strejk, eldsvåda, naturkatastrofer, valutarestriktioner, import- eller exportrestriktioner, trafikstörningar, avbrott i eller instabil elförsörjning, offentliga dataanläggningar och kommunikationssystem, virus samt förekomst av force majeure hos underleverantörer. Force majeure kan högst gälla de antal arbetsdagar som force majeure-situationen varar.
Sekretess
Information avseende innehållet i dessa bestämmelser, det underliggande Huvudkontraktet, den andra Partens företag som antingen i samband med överlämnandet till den mottagande Parten angetts som konfidentiell information, eller som grundat sin natur eller i övrigt måste uppfattas som konfidentiell, ska behandlas konfidentiellt och med minst samma omsorg och diskretion som Partens egen förtroliga information. Data, inbegripet persondata, utgör alltid konfidentiell information.
Sekretesskyldigheten gäller dock inte information som är eller blir offentligt tillgänglig utan att det är resultatet av ett brott mot sekretesskyldigheten hos ena Parten eller information som redan är i den mottagande Partens innehav utan motsvarande sekretesskyldighet eller information som självständigt utvecklats av den mottagande Parten.
Tvistelösning
Regleringen av tvistelösning, som det framgår av Huvudkontraktet, gäller också vid dessa Bestämmelser, som om Bestämmelserna vore en integrerad del av Huvudkontraktet.