BuildSafe Personuppgiftsbiträdesavtal
BuildSafe Personuppgiftsbiträdesavtal
1. Parter:
1) Kund enligt Avtalet (”Kund” eller “Personuppgiftsansvarig”)
2) BuildSafe Sweden AB, organisationsnummer 559001-9179 (”BuildSafe” eller “Personuppgiftsbiträde”)
Var och en av Kund respektive BuildSafe kan hädanefter även komma att benämnas ”Part” eller gemensamt ”Parterna”.
2. Bakgrund
(A) Detta personuppgiftsbiträdesavtal ("Biträdesavtalet") reglerar BuildSafes behandling av personuppgifter för Kundens räkning i enlighet med det avtal avseende tillhandahållande av BuildSafes tjänst som träffats mellan Xxxxxx och BuildSafe ("Avtalet").
(B) Genom att teckna Avtalet blir Kunden och BuildSafe bundna av detta Biträdesavtal vilket utgör en integrerad del av Avtalet.
(C) Kunden bestämmer ändamålen och medlen för behandlingen av Personuppgifterna. I enlighet med Tillämplig dataskyddsreglering (enligt definition nedan) är Kunden därför personuppgiftsansvarig för behandlingen.
(D) Vid tillhandahållandet av tjänster enligt Avtalet kan BuildSafe komma att behandla Personuppgifter för Kundens räkning. BuildSafe är därför i enlighet med Tillämplig dataskyddsreglering personuppgiftsbiträde för behandlingen.
(E) I Tillämplig dataskyddsreglering uppställs krav på att personuppgiftsbiträde och personuppgiftsansvarig ingår skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I syfte att efterkomma denna skyldighet ingår Parterna detta Biträdesavtal i enlighet med Tillämplig dataskyddsreglering.
3. Dataskyddsförordningen
Den 27 april 2016 antogs Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (”Dataskyddsförordningen”). Dataskyddsförordningen kommer att ersätta de nationella datasyddslagstiftningarna i samtliga EU-länder och tillämpas likvärdigt i alla EU-länder med undantag för mindre särreglering. Reglerna i Dataskyddsförordningen skiljer sig inte nämnvärt från dagens regler gällande behandling av personuppgifter enligt personuppgiftslagen (1998:204), med undantag för att det införs mer omfattande skyldigheter för personuppgiftsbiträden och att det införs högre sanktionsavgifter för brott mot Dataskyddsförordningen. Enligt beslutet gäller Dataskyddsförordningen från och med den 25 maj 2018. Bestämmelserna i detta Biträdesavtal är ämnade att reflektera bestämmelserna i Dataskyddsförordningen.
4. Definitioner
I detta Biträdesavtal ska följande termer ha den innebörd som framgår nedan: "Avtalsdagen" är den dag då Avtalet godkänts av Kunden.
"Behandling" är varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte. Exempel på Behandling är insamling, lagring, bearbetning, ändring, utlämnande genom översändande eller tillgängliggörande, sammanställning eller samkörning, blockering och radering.
"Personuppgifter" avser personuppgifter såsom det definieras enligt Tillämplig dataskyddsreglering och vilka Personuppgiftsbiträdet, eller av denne anlitade underleverantörer, behandlar för den Personuppgiftsansvariges räkning. ”Registrerade” de fysiska personer som Personuppgifter hänför sig till.
”Tillämplig dataskyddsreglering” avser tillämplig nationell lagstiftning som genomför direktiv 95/46/EG och annan tillämplig nationell lagstiftning, direkt i eller förordning som justerar, ersätter eller på annat sätt förändrar sådant direkt, inklusive Dataskyddsförordningen.
Övriga begrepp i detta Biträdesavtal ska, om inte annat anges, ha samma betydelse som i Avtalet eller, om tillämpligt, tolkas i enlighet med Tillämplig dataskyddsreglering.
5. Personuppgiftsbiträdets ansvar för behandlingen enligt Biträdesavtalet
5.1 Personuppgiftsbiträdet åtar sig att endast behandla Personuppgifter i enlighet med den Personuppgiftsansvariges instruktioner enligt detta Biträdesavtal, Personuppgiftsbiträdets vid var tid gällande policys gällande behandling av personuppgifter samt skriftligt givna instruktioner från den Personuppgiftsansvarige, såvida inte sådan behandling är nödvändigt enligt tillämplig lag, varvid Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om det rättsliga kravet innan behandlingen vidtas (förutsatt att sådan information inte är förbjuden enligt tillämplig lagstiftning).
5.2 Personuppgiftsbiträdet åtar sig att behandla Personuppgifter i enlighet med vid var tid Tillämplig dataskyddsreglering, samt att snarast efterkomma beslut och domar meddelade av Datainspektionen, annan behörig myndighet, domstol eller, i förekommande fall, skiljenämnd avseende Personuppgifterna.
5.3 Personuppgiftsbiträdet förbinder sig även att:
a) inte utan föregående skriftligt godkännande från den Personuppgiftsansvarige överföra eller tillgängliggöra Personuppgifter till tredje part;
b) hålla samtliga Personuppgifter strikt konfidentiella och tillse att de personer som har behörighet att behandla Personuppgifter har åtagit sig att iaktta konfidentialitet;
c) föra register över Personuppgiftsbiträdets behandling av Personuppgifter i enlighet med de krav som ställs i Tillämplig Dataskyddsreglering; samt
d) på den Personuppgiftsansvariges begäran tillhandahålla relevant information och dokumentation som anger vilka åtgärder Personuppgiftsbiträdet tagit för att uppfylla i Biträdesavtalet föreskrivna åtgärder.
5.4 Skulle Personuppgiftsbiträdet anse att instruktioner från den Personuppgiftsansvarige strider mot Tillämplig dataskyddsreglering, ska Personuppgiftsbiträdet omedelbart upphöra med behandlingen av Personuppgifter baserat på instruktionerna och meddela den Personuppgiftsansvarige om detta, för att därefter invänta vidare instruktioner.
5.5 Personuppgiftsbiträdet ska snarast informera den Personuppgiftsansvarige vid misstanke om obehörig, oavsiktlig eller olaglig åtkomst, förstörelse eller ändring av Personuppgifter hos Personuppgiftsbiträdet, samt informera om övriga omständigheter i samband med Personuppgiftsbiträdets behandling av
Personuppgifterna som kan antas vara av väsentlig betydelse för den Personuppgiftsansvarige.
6. Underbiträden
6.1 Personuppgiftsbiträdet har rätt att anlita underbiträden för att utföra Behandling av Personuppgifter för den Personuppgiftsansvariges räkning.
6.2 Skulle Personuppgiftsbiträdet anlita underbiträde ska Personuppgiftsbiträdet ingå ett skriftligt avtal med underbiträdet som innehåller skyldigheter som motsvarar, eller är minst lika långtgående som Personuppgiftsbiträdets åtaganden enligt detta Biträdesavtal samt vid var tid gällande instruktioner och policys gällande behandling av personuppgifter från den Personuppgiftsansvarige.
7. Personuppgiftsbiträdets ansvar gentemot Personuppgiftsansvarig
7.1 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige i den utsträckning som krävs för att den Personuppgiftsansvarige ska kunna uppfylla den Registrerades rättigheter enligt Tillämplig dataskyddsreglering, så som att rätta, radera och begränsa behandling av Personuppgifter och lämna registerutdrag till den Registrerade.
7.2 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige i den utsträckning som krävs för att den Personuppgiftsansvarige ska kunna uppfylla sina skyldigheter att bland annat rapportera personuppgiftsincidenter till tillsynsmyndigheten och den Registrerade, utföra konsekvensbedömningar avseende dataskydd och samråda med tillsynsmyndigheten, i enlighet med Tillämplig dataskyddsreglering.
8. Överföring av Personuppgifter utanför EU och EES
8.1 Personuppgiftsbiträdet får överföra Personuppgifter utanför EU/EES förutsatt att överföringen sker i enlighet med Tillämplig dataskyddsreglering och att Personuppgiftsbiträdet vidtar alla nödvändiga åtgärder för att sådan överföring ska anses tillåten enligt Tillämplig dataskyddsreglering, t.ex. genom undertecknande av Kommissionens standardavtalsklausuler (SCC). Personuppgiftsbiträdet ska ha rätt att ingå sådana standardavtalsklausuler för den Personuppgiftsansvariges räkning.
8.2 Vid meddelande om nytt underbiträde enligt punkten 6.3 har den Personuppgiftsansvarige rätt att motsätta sig eventuell förändring avseende underbiträde vilken innebär en överföring av Personuppgifter utanför EU/EES i de fall det är befogat med hänsyn till Tillämplig dataskyddsreglering eller annan bindande rättslig reglering som den Personuppgiftsansvarige är bunden av. Skulle den Personuppgiftsansvarige motsätta sig sådan överföring av Personuppgifter till land utanför EU/EES och Parterna inte kan enas om en lösning, ska den Personuppgiftsansvarige ha rätt att skriftligen säga upp Avtalet med trettio (30) dagars uppsägningstid.
9. Utlämnande av Personuppgifter
9.1 Skulle den Registrerade begära tillgång till eller uppgifter om sina Personuppgifter som Personuppgiftsbiträdet behandlar, ska Personuppgiftsbiträdet vidarebefordra en sådan förfrågan till den Personuppgiftsansvarige.
9.2 Personuppgiftsbiträdet äger inte rätt att utlämna eller bereda tillgång till de Registrerades Personuppgifter till tredje part. Skulle en förfrågan om ett sådant utlämnande riktas mot Personuppgiftsbiträdet ska Personuppgiftsbiträdet vidarebefordra denna förfrågan till Personuppgiftsansvarig. Skulle förfrågan komma från myndighet, domstol eller liknande tredje part som Personuppgiftsbiträdet har en skyldighet att utlämna Personuppgifterna till, ska Personuppgiftsbiträdet inte vara skyldig att informera den Personuppgiftsansvarige om en sådan förfrågan, utlämnande eller tillträde.
10. Rätten till granskning och inspektioner
10.1 Den Personuppgiftsansvarige har rätt att efter begäran och utan extra kostnad, få en skriftlig rapport från Personuppgiftsbiträdet som specificerar vilka åtgärder Personuppgiftsbiträdet har vidtagit för att uppfylla i Biträdesavtalet föreskrivna åtaganden.
10.3 Vardera part ska stå sina egna kostnader för revision enligt punkt 10.2.
11. Tekniska och organisatoriska åtgärder
11.1 Personuppgiftsbiträdet åtar sig att upprätta och vidmakthålla lämpliga tekniska och organisatoriska åtgärder i syfte att skydda de Personuppgifter som behandlas mot obehörig, oavsiktlig eller olaglig åtkomst, spridning, förlust, förstörelse eller skada på sådana Personuppgifter. Sådana åtgärder ska vidtas med beaktande av (i) de tekniska möjligheter som finns, (ii) kostnader för att genomföra åtgärderna, (iii) de särskilda risker som finns med behandlingen, och (iv) graden av känslighet de behandlade Personuppgifterna har. Sådana åtgärder inkluderar men är inte begränsade till att föra loggar över uppgifterna, att inneha av en säkerhetspolicy, en säker IT-miljö samt fysiska säkerhetsåtgärder och säkerhetsrutiner.
11.2 Personuppgiftsbiträdet åtar sig att endast medge tillgång till Personuppgifter till sådana anställda eller andra personer vilka ett avslöjande är nödvändigt för att Personuppgiftsbiträdet ska kunna fullgöra sina förpliktelser enligt Avtalet. Personuppgiftsbiträdet åtar sig vidare att tillse att samtliga av Personuppgiftsbiträdets anställda och andra personer som får tillgång till Personuppgifter förbinder sig att följa bestämmelserna i detta Biträdesavtal. Personuppgiftsbiträdet ska vidare tillse att uppgifter om all åtkomst till Personuppgifterna registreras genom loggar i sådan utsträckning och på sådant sätt att det utan dröjsmål, på inrådan av den Personuppgiftsansvarige, kan kontrolleras om någon obehörig, och i sådant fall vem, fått eller berett sig tillgång till Personuppgifterna.
11.3 Ovan nämnda tekniska och organisatoriska åtgärder ska innefatta, men inte vara begränsade till:
• antagande av en företagsomfattande säkerhetspolicy och instruktioner för behandling av Personuppgifter inom Personuppgiftsbiträdets organisation.
• återkommande utbildning av anställda och annan personal involverade i behandlingen av Personuppgifterna, avseende såväl säkerhetspolicyn, instruktioner som annan Tillämplig dataskyddsreglering.
• inrättande av en säker IT-miljö, innefattande bland annat erforderliga säkerhetsrutiner, krypteringssystem, användarauktorisation samt back-up rutiner, innefattande lagring av back-up kopior.
• införande av erforderliga fysiska säkerhetsåtgärder, så som inpasseringskontrollsystem, brand-, vatten-, och inbrottslarm mm.
12. Ansvarsbegränsning
Personuppgiftsbiträdets skadeståndsansvar enligt detta Avtal är begränsat i omfattning och belopp som framgår av de Allmänna Villkoren, om inget annat framgår av Avtalet.
13. Ersättning
Parterna är ense om att den eller de avgifter som den Personuppgiftsansvarige erlägger till Personuppgiftsbiträdet enligt Avtalet innefattar kompensation för Personuppgiftsbiträdets åtaganden enligt Biträdesavtalet. Skulle den Personuppgiftsansvarige efterfråga åtgärder utöver detta Biträdesavtal ska ytterligare ersättning för detta utgå.
14. Biträdesavtalets ikraftträdande och upphörande
14.1 Biträdesavtalet träder i kraft på Avtalsdagen och ska ha samma giltighetstid som Avtalet. Förtida upphörande av Avtalet innebär att detta Biträdesavtal automatiskt upphör att gälla.
14.2 Personuppgiftsbiträdet ska vid Avtalets upphörande och i enlighet med Personuppgiftsansvariges instruktioner utan dröjsmål återlämna, eller för det fall den Personuppgiftsansvarige så begär, förstöra om samtliga Personuppgifter (inklusive kopior därav) som omfattas av Avtalet. Återlämnandet, eller förstörandet i tillämpliga fall, ska ske på sådant sätt att Personuppgiftsbiträdet därefter inte har tillgång till sådana Personuppgifter. Personuppgiftsbiträdet ska därefter till den Personuppgiftsansvarige skriftligen intyga att återlämnade eller förstörelse skett.
15. Avtalsdokument och ändringar
15.1 Ändringar av och tillägg till Biträdesavtalet ska vara skriftliga och undertecknade av båda Parter för att vara bindande.
15.2 Vid bristande överensstämmelse mellan andra dokument inom Avtalet och Biträdesavtalet avseende Behandling av Personuppgifter, ska bestämmelserna i detta Biträdesavtal äga företräde.
15.3 Detta Biträdesavtal utgör hela avtalet mellan Parterna avseende de frågor som Biträdesavtalet berör och ersätter alla tidigare skriftliga eller muntliga åtaganden.
16. Lagval och tvistlösning
Tvister som uppstår i anledning av Biträdesavtalet ska slutligt avgöras genom skiljedom enligt Xxxxxx för Förenklat Skiljeförfarande för Stockholms Handelskammares Skiljedomsinstitut. Skiljeförfarandets säte ska vara Stockholm, språket för förfarandet ska vara svenska, om inte Parterna kommit överens om något annat. Svensk lag ska tillämpas på tvisten och på innehållet i Biträdesavtalet.
Bilaga 1
1. Kategorier av Registrerade
Instruktion
Personuppgiftsbiträdet ska behandla följande Personuppgifter om följande kategorier av Registrerade för den Personuppgiftsansvariges räkning:
(i) Användare av tjänsterna,
(ii) Kontaktpersoner hos kund, och
(iii) Personer som arbetar eller befinner sig på kundens arbetsplats.
2. Kategorier av Personuppgifter
Personuppgiftsbiträdet ska behandla följande kategorier av Personuppgifter för den Personuppgiftsansvariges räkning:
(i) namn,
(ii) e-postadress,
(iii) roll i projektet,
(iv) användarnamn,
(v) telefonnummer,
(vi) arbetsgivare/uppdragsgivare,
(vii) bild,
(viii) avvikelser/observationer/olyckor/incidenter som personen eventuellt är med om eller involverad i (kan inkludera uppgifter om hälsa),
(ix) olika typer av ansvar för åtgärder och mått av prestationer på arbetsplatsen,
(x) teknisk data, vilket kan inkludera det URL genom vilket du får åtkomst till Hemsidan, din IP-adress, unique device ID, språk, och
(xi) lokaliseringsuppgifter.
3. Ändamål med Behandlingen
Personuppgiftsbiträdet ska behandla Personuppgifter för följande ändamål för den Personuppgiftsansvariges räkning:
(i) namn, för att kunna identifiera ansvarsområden och sammanställa kontaktuppgifter,
(ii) e-postadress, för att vi ska kunna skicka en inbjudan till Tjänsten, för att skicka meddelanden och notifieringar och för att informera om uppdateringar,
(iii) roll i projektet, för att informera övriga användare om formella ansvarsområden och behörigheter i Tjänsten,
(iv) användarnamn, för att säkerställa att obehöriga inte får tillgång till Tjänsten,
(v) telefonnummer, för att kunna möta krav på fullständiga kontaktuppgifter vid dokumentation av inspektioner, och för att kunna kommunicera med formellt ansvariga vid nödberedskap,
(vi) arbetsgivare för att kunna identifiera kontaktperson för aktiva bolag på arbetsplatsen, sortera respektive organisations ansvarsområden samt följa upp på respektive leverantörs arbete,
(vii) bild för att kunna identifiera specifik person ute på arbetsplatsen, i egenskap av formell roll eller i samband med nödberedskap,
(viii) bild av personer som befinner sig på byggarbetsplats i syfte att hantera anmälningar och rapporter relaterade till arbetsplatsen,
(ix) teknisk data för att förbättra och utveckla Tjänsten, och nya tjänster och produkter, samt att analysera din användning av Tjänsten, för att säkerställa de tekniska funktionerna hos Tjänsten och för att förhindra användning av Tjänsterna i strid med Xxxxxxx, och
(x) lokaliseringsuppgifter för språkinställningar, tidszon, att kunna identifiera plats för rapporterade risker samt och identifiera närliggande projekt
4. Underbiträden
Vid ingåendet av detta Biträdesavtal anlitar Personuppgiftsbiträdet följande underbiträden i syfte att Behandla Personuppgifter för den Personuppgiftsansvariges räkning:
(i) BuildSafe Tech LLC
(ii) Intercom, Inc
(iii) Mixpanel, Inc
(iv) Pipefy, Inc
(v) Amazon Web Services Inc
(vi) Lilikoi Data Inc (Amity), och (vii)Toyger Soft LLC (Kaiten)
(viii) Pipedrive OÜ
(ix) Branch Metrics, Inc