Bilaga 3 - Personuppgiftsbiträdesavtal Infobric Construction
Bilaga 3 - Personuppgiftsbiträdesavtal Infobric Construction
1. ALLMÄNT
1.1 Kunden är personuppgiftsansvarig för all personupp- giftsbehandling som sker med hjälp av Xxxxxxxxx, om inte annat anges i detta Avtal. Leverantören kommer inom ramen för Tjänsterna behandla personuppgifter på uppdrag av Kunden i egenskap av personupp- giftsbiträde. Föremålet för behandlingen, behand- lingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade som berörs av behandlingen beskrivs närmare i Bilaga - Beskrivning av behandlingen av personuppgifter i Tjänsterna. Kunden ansvarar för att all sådan person- uppgiftsbehandling äger rum i enlighet med från tid till annan tillämplig personuppgiftslagstiftning, inbegripet dataskyddsförordningen (EU 2016/679) ("Tillämplig Lagstiftning").
1.2 Punkten 1.2 gäller enbart när Kundens verksamhet
som gett upphov till personuppgiftsbehandlingen bedrivs i Sverige. När Xxxxxx, genom att tillhandahålla Leverantörens utrustning på en arbets- plats, uppmanar underentreprenörer att använda Leverantörens utrustning för att fullgöra sin skyldighet att registrera sig i personalliggare är unde- rentreprenören personuppgiftsansvarig för sin Personals uppgifter i Tjänsterna. Kunden är person- uppgiftsbiträde för underentreprenörens person- uppgiftsbehandling och ett personuppgiftsbiträdes- avtal ska därför ingås mellan underentreprenören och Kunden med innehåll som motsvarar detta personuppgiftsbiträdesavtal. På motsvarande sätt är Kunden, för det fall att Xxxxxx tillhandahåller utrustning på uppdrag av en byggherre, person- uppgiftsbiträde för byggherrens personuppgifts- behandling och har att ingå ett personuppgifts- biträdesavtal med byggherren. Leverantören har i förhållande till underentreprenören och byggherren rollen som underbiträde till Kunden. Kunden ansvarar för att från underentreprenör och byggherre inhämta instruktion för Leverantörens behandling av personuppgifter såsom underbiträde och Kunden ska i övrigt fungera som kontaktpunkt vid fullgörande av Leverantörens skyldigheter enligt Tillämplig Lagstiftning gentemot underentreprenör och byggherre. Vad som följer av Avtalet gällande Leverantörens roll som personuppgiftsbiträde ska också gälla rollen som personuppgiftsunderbiträde.
2. LEVERANTÖRENS ALLMÄNNA SKYLDIGHETER
2.1 Leverantören ska i egenskap av personuppgifts- biträde bara behandla personuppgifter i enlighet med Kundens skriftliga instruktioner enligt detta Avtal, samt de ytterligare dokumenterade instruktioner som Xxxxxx från tid till annan ger. Ytterligare
instruktioner kan lämnas till Leverantören via e-post eller på särskild blankett. Instruktionen bör innehålla motsvarande information som framgår av bilagan till detta personuppgiftsbiträdesavtal.
2.2 Om Leverantören saknar instruktioner som Leverantören bedömer vara nödvändiga för att genomföra sitt uppdrag ska Leverantören utan dröjsmål informera Xxxxxx och invänta ytterligare instruktioner. För det fall Leverantören finner att en instruktion strider mot Xxxxxxxxxx Lagstiftning ska Leverantören informera Xxxxxx om detta utan oskäligt dröjsmål. Om Kunden i sådant fall underlåter att lämna ytterligare instruktioner till Leverantören ska Leverantören bortse från instruktionen och meddela detta till Kunden. För det fall Xxxxxx vidhåller den lagstridiga instruktionen har Leverantören rätt att säga upp Avtalet i förtid enligt vad som framgår av de Allmänna Villkoren.
2.3 Oaktat vad som anges i punkt 2.1 ovan har Leverantören rätt att behandla personuppgifter i den utsträckning som det krävs för att Leverantören ska kunna uppfylla skyldigheter som åvilar Leverantören enligt från tid till annan Tillämplig lagstiftning, såsom exempelvis att efterkomma förelägganden från myndigheter. Det ankommer dock på Leverantören att innan sådan behandling genomförs informera Xxxxxx om den rättsliga skyldigheten, såvida inte tvingande lagstiftning förhindrar Leverantören från att lämna sådan information.
2.4 Om någon begär information från Leverantören som rör Kundens behandling av personuppgifter ska Leverantören hänvisa till Xxxxxx genom att underrätta Kundens Systemförvaltare via e-post. Leverantören får inte lämna ut personuppgifter eller annan information om behandlingen av person- uppgifter utan skriftlig instruktion från Kunden. Leverantören har inte rätt att företräda Xxxxxx eller agera för Kundens räkning gentemot någon tredje part, inklusive tillsynsmyndigheten.
3. TEKNISKA OCH ORGANISATORISKA ÅT- GÄRDER
3.1 Leverantören ska vidta de tekniska och organisatoriska åtgärder som krävs enligt Tillämplig Lagstiftning för att skydda de personuppgifter som behandlas i Tjänsterna och åtminstone de tekniska och organisatoriska åtgärder som framgår av säkerhetsbilagan till detta Avtal. Kundens på förhand lämnande godkännande krävs för det fall Leveran- tören vill genomföra förändringar såvitt avser de tek- niska och organisatoriska åtgärder som vidtas som skulle innebära att säkerhetsnivån försämras. Parterna är överens att de tekniska och organisa- toriska åtgärder som vidtas ska vara föremål för regelbunden uppföljning för att säkerställa att åtgärderna är lämpliga med hänsyn till riskerna med
(v 2021:2)
behandlingen av personuppgifter.
3.2 Leverantören ska på Kundens begäran bistå Kunden med nödvändig information som Leverantören har att tillgå för att Kunden, i förekommande fall, ska kunna uppfylla sina skyldigheter att genomföra konsekvens- bedömning och förhandssamråd med berörda tillsynsmyndigheter avseende den behandling som Leverantören utför för Kundens räkning inom ramen för Tjänsterna. Leverantören har upprättat en konsekvensbedömning avseende behandlingen av personuppgifter som Leverantören utför på Kundens uppdrag som Kunden kan få del av på begäran.
3.3 Leverantören ska, i den mån det är möjligt, bistå Xxxxxx genom att vidta lämpliga tekniska och organisatoriska åtgärder för att Xxxxxx ska kunna fullgöra sin skyldighet att svara på en begäran om utövande av en registrerads rättighet som tillkommer den registrerade enligt Tillämplig Lagstiftning. Xxxxxxxxx har utformats för att bistå Kunden i detta avseende och genom särskild funktionalitet kan Xxxxxx själv hantera förfrågningar från registrerade om utövande av sina rättigheter enligt Tillämplig Lagstiftning.
3.4 Leverantören ska säkerställa att tillgången till personuppgifter är begränsad till endast personal hos Leverantören som behöver tillgång för att Leverantören ska kunna uppfylla sina åtaganden gentemot Kunden. Vidare ska Leverantören tillse att sådan behörig personal iakttar sekretess motsvarande den sekretess som följer av punkt 8 nedan genom enskilda sekretessavtal.
4. PERSONUPPGIFTSINCIDENTER
4.1 För det fall en personuppgiftsincident (såsom definierat i Tillämplig Lagstiftning) inträffar ska Leverantören skriftligen meddela Xxxxxx genom Kundens Systemförvaltare utan oskäligt dröjsmål från att Leverantören fått kännedom om incidenten och senast inom tjugofyra (24) timmar i enlighet med Leverantörens från tid till annan gällande rutiner. Meddelandet ska innehålla information om incidentens art, kategorier av och antal registrerade och personuppgiftsposter som berörs, de sannolika konsekvenserna av incidenten, samt en beskrivning av vilka åtgärder Leverantören (i förekommande fall) vidtagit för att begränsa incidentens eventuella negativa effekter för att göra det möjligt för Xxxxxx att uppfylla sin eventuella skyldighet att anmäla personuppgiftsincidenten till berörd tillsynsmyndig- het. Om det inte är möjligt behöver inte all information lämnas vid ett och samma tillfälle, utan Leverantören ska då lämna informationen till Xxxxxx så snart den blir tillgänglig för Leverantören.
4.2 Om det är sannolikt att en personuppgiftsincident medför risk för de registrerades personliga integritet ska Leverantören, i den mån det är möjligt, omedelbart efter att personuppgiftsincidenten kommit till Leverantörens kännedom vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa
personuppgiftsincidentens eventuella negativa effekter.
5. TILLGÅNG TILL INFORMATION M.M.
5.1 Leverantören dokumenterar löpande vilka åtgärder Leverantören vidtagit för att uppfylla sina skyldig- heter enligt detta personuppgiftsbiträdesavtal. Xxxxxx har på begäran rätt att få del av den senaste versionen av sådan dokumentation. För information om behandlingen av personuppgifter som sker inom ramen för Tjänsterna, se bilagan till detta person- uppgiftsbiträdesavtal.
5.2 Vidare ska Leverantören möjliggöra och bidra till att Kunden, eller av Kunden utsedd tredje part, genomför en granskning, inbegripet inspektion, av de tekniska och organisatoriska åtgärder som Leverantören vidtar för att uppfylla sina skyldigheter enligt detta personuppgiftsbiträdesavtal. Leverantören ska skriftligen meddelas om en sådan granskning minst trettio (30) dagar i förväg. Samtliga kostnader för granskningen ska bäras av Kunden, inklusive Leverantörens eventuella kostnader för medverkan i granskningen. Kunden ska säkerställa att eventuell tredje part som genomför granskningen för Kundens räkning ska iaktta sekretess som inte är mindre restriktiv än vad som följer av punkt 8 nedan. Motsvarande bestämmelser gäller vid Kunds begäran om granskning av ett Underbiträde som Leverantören anlitat i samband med Tjänsterna, se punkten 6 nedan.
6. ANLITANDE AV UNDERBITRÄDEN
6.1 Kunden godkänner härmed att de av Leverantören anlitade underleverantörerna som framgår på av Leverantören från tid till annan angiven webbsida får behandla personuppgifter för Kundens räkning i samband med Tjänsterna ("Underbiträden"). De underbiträden som Leverantören anlitar vid tidpunkten för detta Avtals ingående framgår även av bilagan till detta personuppgiftsbiträdesavtal. Kunden lämnar vidare ett allmänt förhandsgodkänn- ande till Leverantören för anlitande av nya Underbiträden under förutsättning att Leverantören säkerställer att Underbiträdet lämnar tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen uppfyller kraven i Tillämplig Lagstift- ning.
6.2 Leverantören ska ingå ett personuppgiftsbiträ- desavtal med Underbiträdet. Ett sådant person- uppgiftsbiträdesavtal ska innehålla bestämmelser som motsvarar vad som följer av denna bilaga och Tillämplig Lagstiftning.
6.3 För det fall Leverantören avser att anlita ett nytt Underbiträde ska Leverantören informera Xxxxxx om detta genom e-post till Kundens Avtalsansvarig. Leverantören ska därvid lämna information om Underbiträdets identitet (inbegripet fullständig firma,
(v 2021:2)
organisationsnummer och adress), på vilken plats (geografiskt) Underbiträdet kommer att behandla personuppgifter, vilken typ av tjänst som Under- biträdet utför, samt vilka skyddsåtgärder som kommer att vidtas av Underbiträdet för att skydda de personuppgifter som behandlas. Kunden har rätt att inom två (2) veckor räknat från meddelandet invända mot att Leverantören anlitar Underbiträdet för att be- handla personuppgifter på uppdrag av Xxxxxx, varvid Leverantören och Kunden gemensamt ska söka en samförståndslösning och i annat fall kan Avtalet sägas upp i förtid enligt vad som framgår av de Allmänna Villkoren.
7. ÖVERFÖRING TILL OCH BEHANDLING AV PERSONUPPGIFTER UTANFÖR EU/EES- OMRÅDET
7.1 Kunden lämnar härmed sitt godkännande till att Leverantören i förekommande fall för över Kundens personuppgifter utanför EU/EES-området. Sådan överföring får dock endast ske om (i) landet har adekvat skyddsnivå för personuppgifter enligt beslut meddelat av EU-kommissionen som omfattar behandlingen av personuppgifter, (ii) om Leverantören säkerställer att det finns lämpliga skyddsåtgärder på plats, såsom standardiserade dataskyddsbestämmelser, som antagits av EU- kommissionen, i ljuset av mottagarlandets lagstiftning eller (iii) om något annat undantag i Tillgänglig Lagstiftning möjliggör överföringen.
7.2 För det fall Leverantören överför personuppgifter utanför EU/EES med stöd av standardiserade dataskyddsbestämmelser ger Kunden härmed fullmakt till Leverantören att ingå sådana standardavtalsklausuler för den personupp- giftsansvariges räkning.
8. SEKRETESS
8.1 Utan att det påverkar sekretessåtagandet i punkten 17 i Xxxxxxx ska även följande gälla.
8.2 Leverantören ska hålla personuppgifter som behandlas för Kundens räkning strikt konfidentiella. Leverantören ska således inte, direkt eller indirekt, utlämna några personuppgifter till tredje part om inte Kunden skriftligen godkänt detta, såvida inte Leverantören är skyldigt enligt lag att lämna ut personuppgifter eller om det är nödvändigt för fullgö- randet av Xxxxxxx. Leverantören accepterar att detta sekretessåtagande ska fortsätta att gälla även efter att Xxxxxxx har upphört.
8.3 Kunden förbinder sig att hålla all information som
Kunden erhåller avseende Leverantörens säkerhetsåtgärder, rutiner, IT-system eller som annars är av konfidentiell karaktär, strikt konfidentiell och förbinder sig vidare att inte till någon utomstående röja konfidentiell information som härrör från Leverantören eller dess Underbiträden. Kunden har dock rätt att röja sådan
information som Xxxxxx är skyldig att röja enligt lag eller enligt Avtalet. Xxxxxx accepterar att detta sekretessåtagande ska fortsätta att gälla även efter att Xxxxxxx har upphört.
9. ANSVAR
9.1 Kunden ska i händelse av att Leverantören åsamkas skada eller erhåller krav som en följd av Leverantörens behandling av personuppgifter i enlighet med Kundens instruktioner eller som en följd av att Kunden brutit mot punkten 1.2, hålla Leverantören skadeslöst för den skada som uppkommer som en följd därav. Leverantören ansvarar dock för utförandet av Underbiträdens skyldigheter gentemot Kunden om Underbiträdet inte uppfyller sina skyldigheter. Någon an- svarsbegränsning enligt detta Avtal ska inte tillämpas i förhållande till Xxxxxxx ansvar enligt denna bilaga.
9.2 Om Kundens ytterligare dokumenterade instruktioner avseende behandlingen av personuppgifter inte stöds av Tjänsterna eller följer av Leverantörens åtaganden enligt Xxxxxxx i övrigt och som Leverantören inte skäligen har bort räkna med och dessa krav medför att Leverantören åsamkas extra kostnader, har Leverantören rätt att välja mellan att säga upp avtalet till omedelbart upphörande alternativt få ersättning från Kunden för dessa kostnader.
10. AVTALETS UPPHÖRANDE
10.1 Vid Avtalets upphörande ska Leverantören enligt Xxxxxxx val antingen återlämna eller radera samtliga personuppgifter som Leverantören har behandlat för Kundens räkning. Om Xxxxxx inte inkommer med någon sådan begäran inom fjorton (14) dagar från att behandlingen avslutats, ska Leverantören på ett säkert sätt radera personuppgifterna. Har Kunden be- gärt backup i enlighet med punkt 18.5 i de Allmänna Villkoren, ska Leverantören dock lagra backuper under den tid som anges däri, med iakttagande av be- stämmelserna i detta Avtal. När den tidsfrist som anges i punkt 18.5 i de Allmänna Villkoren löpt ut ska Leverantören på ett säkert sätt radera backuperna, om inte annat överenskommits med Xxxxxx.
(v 2021:2)
Bilaga - Beskrivning av behandlingen av personuppgifter i Tjänsterna
Denna bilaga ska anses utgöra en integrerad del av personuppgiftsbiträdesavtalet.
Personuppgifterna behandlas för följande ändamål:
• För att tillhandahålla Tjänsterna och support av Tjänsterna; samt
• För att fullgöra Kundens eller Kundens underentreprenörers eventuella ytterligare från tid till annan lämnade dokumenterade instruktioner
2. Platser där personuppgifter kommer att behandlas
Personuppgifterna behandlas av Leverantören. För information om vilka Underbiträden som Leverantören anlitat och var de behandlar Kundens personuppgifter se av Leverantören från tid till annan anvisad webbsida.
3. Bevarande av personuppgifter
Kunden kan själv välja hur länge personuppgifter lagras i Tjänsterna. Om Avtalet upphör bevaras uppgifterna till dess att Leverantören i enlighet med bestämmelserna i personuppgiftsbiträdesavtalet återlämnat eller raderat Kundens personuppgifter. Se även nedan i punkten 4 för närmare information om hur länge personuppgifter bevaras inom ramen för varje deltjänst.
4. Närmare beskrivning av behandlingen av personuppgifter i Tjänsterna i förhållande till respektive deltjänst
Nedan beskrivs den behandling av personuppgifter som förekommer i Tjänsterna i förhållande till respektive deltjänst.
I deltjänsten Arbetsplats ingår x.xx. personalhantering, åtkomststyrning, närvaroregistrering och kompetenshantering.
Följande kategorier av registrerade kan omfattas av behandlingen:
• Kundens anställda och annan av Xxxxxxx inhyrd eller på annat sätt anlitad personal
• Kundens underentreprenörers anställda, inhyrd eller på annat sätt anlitad personal
• Annan person som besöker en arbetsplats där Mjukvaran används
Följande kategorier av personuppgifter kan behandlas beroende på vilka uppgifter som registreras av Kundens användare:
• Identitetsuppgifter (t.ex. namn, anställningsnummer, tillämpligt ID-nummer1, fotografi och fingeravtryck (om Kunden ansluter sådan utrustning till Xxxxxxxxx och aktiverar funktionen))
• Kontaktuppgifter (t.ex. adress, telefon (arbete, hem, mobiltelefon), telefax, e-postadress (arbete/privat))
• Organisatoriska uppgifter (t.ex. titel, arbetsgivare, arbetsplats (där personen är tillagd), företag som personen är verksam för (om annan än arbetsgivare), rättighetsgrupp för inpassering)
• Kortuppgifter (t.ex. kortnummer, PIN-kod och kortläsningar)
• Kompentens- och intygsuppgifter (t.ex. utbildning och certifikat utifrån skydds- och arbetsmiljöregler, intyg om skattskyldighet)
• Logguppgifter (t.ex. in- och utregistreringar på arbetsplatser)
• Platsinformation (t.ex. GPS-position vid in- och utregistreringar på arbetsplatser via Appen)
• Uppgift om kontaktperson vid olycka (ICE)
• Ytterligare kategorier av personuppgifter som följer av Xxxxxxx från tid till annan lämnade instruktioner
Behandlingar av personuppgifter
Exempelvis följande behandlingar av personuppgifter ingår i deltjänsten:
• Insamling genom registrering i samband med skapande av användarprofil och vid användning av kort, t.ex. kortläsning och in/utcheckning
• Överföring av personuppgifter från registreringsbox, Controlbox, Machine Controller eller annan hårdvara och Appen till Programvaran
• Tillgång för visning och redigering av personuppgifter genom Programvaran
• Åtkomst för den registrerade till logguppgifter som avser den registrerade i samband med dennes användande av Xxxxxxxxx
• Utlämnande av personuppgifter till underentreprenör, begränsat till personuppgifter om underentreprenörens egna anställda, inhyrda, konsulter eller övrig personal som kan likställas med anställda
• Framtagande av rapporter för uppföljning och underlag
Om inte Xxxxxx aktivt lämnar en annan instruktion är instruktionen till Leverantören att bevara uppgifterna under tre (3) år från registreringen.
I deltjänsten Personalliggare/Manskapslista ingår x.xx. hantering av personalliggare och manskapslista för arbetsplatser.
Följande kategorier av registrerade kan omfattas av behandlingen:
• Kundens anställda och annan av Xxxxxxx inhyrd eller på annat sätt anlitad personal
• Kundens underentreprenörers anställda, inhyrd eller på annat sätt anlitad personal
• Annan person som besöker en arbetsplats där Mjukvaran används
1 För Sverige personnummer, samordningsnummer eller motsvarande utländskt nummer, för Norge HMS-kortnummer, för Finland skattenummer, samt för Storbritannien CSCS/IPAF-nummer.
Följande kategorier av personuppgifter kan behandlas beroende på vilka uppgifter som registreras av Kundens användare:
• Identitetsuppgifter (t.ex. namn och tillämpligt ID-nummer2)
• Demografiska uppgifter (t.ex. födelsedatum (i tillämpliga länder))
• Organisatoriska uppgifter (t.ex. arbetsgivare, arbetsplats (där personen är tillagd), företag som personen är verksam för (om annan än arbetsgivare))
• Logguppgifter (t.ex. tidpunkt för påbörjat och avslutat arbetspass eller dag person utför arbete på arbetsplats)
Behandlingar av personuppgifter
Exempelvis följande behandlingar av personuppgifter ingår i deltjänsten:
• Utlämnande av personuppgifter genom rapport till behöriga mottagare (t.ex. arbetsgivare, skyddsombud och myndighet)
• Utlämnande av personuppgifter till underentreprenör, begränsat till personuppgifter om underentreprenörens egna anställda, inhyrda, konsulter eller övrig personal som kan likställas med anställda
• Framtagande av rapporter för uppföljning
Sverige: Uppgifterna bevaras till utgången av innevarande kalenderår samt tre (3) år därefter räknat från registreringen.
Norge: Uppgifterna bevaras sex månader efter att bygg- eller anläggningsplatsen är avslutad.
I deltjänsten Företag ingår x.xx. företagshantering för de företag som finns registrerade i Mjukvaran, hantering av personalregister och hantering av föranmälan till arbetsplatser.
Följande kategorier av registrerade kan omfattas av behandlingen:
• Kundens anställda och annan av Xxxxxxx inhyrd eller på annat sätt anlitad personal
• Användare av Appen
Följande kategorier personuppgifter kan behandlas beroende på vilka uppgifter som registreras av Kundens användare:
• Identitetsuppgifter (t.ex. namn, anställningsnummer, tillämpligt ID-nummer3 och fotografi)
• Kontaktuppgifter (t.ex. adress, telefon (arbete, hem, mobiltelefon), telefax, e-postadress (arbete/privat))
2 För Sverige personnummer, samordningsnummer eller motsvarande utländskt nummer, för Norge HMS-kortnummer, för Finland skattenummer, samt för Storbritannien CSCS/IPAF-nummer.
3 För Sverige personnummer, samordningsnummer eller motsvarande utländskt nummer, för Norge HMS-kortnummer, för Finland skattenummer, samt för Storbritannien CSCS/IPAF-nummer.
• Organisatoriska uppgifter (t.ex. titel, arbetsgivare, arbetsplats (där personen är tillagd), företag som personen är verksam för (om annan än arbetsgivare), rättighetsgrupp för inpassering)
• Kortuppgifter (t.ex. kortnummer, kortläsningar och PIN-kod)
• Kompentens- och intygsuppgifter (t.ex. utbildning och certifikat utifrån skydds- och arbetsmiljöregler, intyg om skattskyldighet)
• Uppgift om kontaktperson vid olycka (ICE)
• Ytterligare kategorier av personuppgifter som följer av Personuppgiftsansvarigs från tid till annan lämnade instruktioner
Behandlingar av personuppgifter
Exempelvis följande behandlingar av personuppgifter ingår i deltjänsten:
• Insamling genom registrering av uppgifter
• Överföring av personuppgifter från registreringsbox, Controlbox, Machine Controller eller annan hårdvara och Appen till Programvaran
• Tillgång för visning och redigering av personuppgifter genom Programvaran
• Överföring av personuppgifter för att samla in och säkerställa uppdaterade och korrekta uppgifter
• Åtkomst för den registrerade till uppgift som avser den registrerade i samband med dennes användande av Xxxxxxxxx
• Framtagande av rapporter för uppföljning och underlag
Om inte Xxxxxx aktivt lämnar en annan instruktion är instruktionen till Leverantören att bevara uppgifterna under tre (3) år från senaste åtgärd.
I deltjänsten Systemadministration ingår x.xx. användarhantering och administration av tjänster.
Följande kategorier av registrerade kan omfattas av behandlingen:
• Systemanvändare
• Systemförvaltare
• Avtalstecknare
• Användare av Appen
Följande kategorier av personuppgifter kan behandlas beroende på vilka uppgifter som registreras av Kundens användare:
• Identitetsuppgifter (t.ex. användarnamn)
• Kontaktuppgifter (t.ex. telefonnummer och e-postadress)
• Organisatoriska uppgifter (t.ex. arbetsgivare)
• Användarkontouppgifter (t.ex. tillgänglighet (publikt eller inte), systembehörigheter, språkinställningar, inställningar av påminnelser)
• Ytterligare kategorier av personuppgifter som följer av Personuppgiftsansvarigs från tid till annan lämnade instruktioner
Behandlingar av personuppgifter
Exempelvis följande behandlingar av personuppgifter ingår i deltjänsten:
• Tillgång för visning och redigering av användarkonton
• Tillgång för visning och redigering av systembehörigheter
• Hantering av GDPR-ärenden
Personuppgifter kopplade till användarkonton bevaras så länge användarkontot är aktivt och för en tid om tre (3) månader därefter.
I deltjänsten Analys ingår x.xx. leverantörsuppföljning och framtagande av rapporter.
Följande kategorier av registrerade kan omfattas av behandlingen:
• Ställföreträdare (t.ex. styrelseledamot och styrelsesuppleant) för leverantörer verksamma på Kundens arbetsplats
• Innehavare
Följande kategorier av personuppgifter behandlas beroende på vilka uppgifter som registreras av Kundens användare:
• Identitetsuppgifter (t.ex. namn och personnummer)
• Kontaktuppgifter (t.ex. adress)
• Organisatoriska uppgifter (t.ex. befattning)
• Demografiska uppgifter (t.ex. civilstånd)
• Uppgift om finansiell status och risk (t.ex. inkomstuppgifter, kreditengagemang, samt betalningsanmärkningar)
• Ytterligare kategorier av personuppgifter som följer av Personuppgiftsansvarigs från tid till annan lämnade instruktioner
Behandlingar av personuppgifter
Exempelvis följande behandlingar ingår i deltjänsten:
• Insamling av kreditupplysning från kreditupplysningsföretag
• Analys av insamlade uppgifter och presentation av resultatet i Mjukvaran
• Bevarande av uppgifter för att möjliggöra uppföljning över tid
• Framtagande av rapporter för uppföljning
Kreditupplysningar bevaras under en period om tre månader räknat från tidpunkten från insamlingen.
Uppgift om status bevaras under en period om 12 månader räknat från tidpunkten för när uppföljningen genomfördes för att möjliggöra uppföljning över tid.
Manuell status bevaras tillsvidare eller till den tidigare tidpunkt ny uppföljning genomförs. Uppgift om status bevaras även under en period om 12 månader räknat från tidpunkten för status för att möjliggöra uppföljning över tid.
Följande Underbiträden anlitas av Leverantören för att tillhandahålla Tjänsterna vid tidpunkten för Avtalets ingående.
Identitet | Plats för behandling | Tjänst |
Sigma AB, 556347-5440 Dockplatsen 1, 211 19 Malmö | Sverige och Ukraina | Support och utveckling |
Axians AB, 556590-7069 Xxxxxxxxxxxx 0, 000 00 Solna | Sverige | IT-drift |
Microsoft | EU | Lagring av dokumentation |
Bilaga - Tekniska och organisatoriska säkerhetsåtgärder
Följande tekniska och organisatoriska åtgärder vidtar Leverantören och Underbiträden för att skydda de Personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal:
• Åtgärder för åtkomstkontroll, t.ex. rutiner för lösenordshantering och autentisering (genom tvåfaktorautentisering), loggning, behörighetsstyrning för användare och tillgång till driftlokaler.
• Åtgärder för att säkerställa konfidentialitet, t.ex. kryptering vid överföring.
• Åtgärder för att säkerställa tillgänglighet, t.ex. säkerhetskopiering, brandväggar, antivirussystem, loggning och oavbruten strömförsörjning (UPS).
I övrigt har Leverantören rutiner för att hantera säkerhetsincidenter, personalen omfattas av sekretess och penetrationstester genomförs på regelbunden basis.