PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
Kunden och
Destiny Sweden AB
W/10427897/v1
1 PARTER
1.1 Xxxxxx, hädanefter den “Personuppgiftsansvarige”; och
1.2 Destiny Sweden AB, org. nr. 556377-2317, Xxxxxxxxxxxxxx 00, 000 00 Xxxxxxxxx, xxxxxxxxxx “Personuppgiftsbiträdet”.
De ovan listade parterna benämns var och en som “Part” och gemensamt som
“Parterna”.
2 BAKGRUND
2.1 Parterna har ingått avtal rörande vissa mobil- och telekommunikationstjänster (hädanefter “Huvudavtalet”) enligt vilket Personuppgiftsbiträdet kommer att behandla Personuppgifter på uppdrag av den Personuppgiftsansvarige.
2.2 Parterna har ingått detta Personuppgiftsbiträdesavtal (inklusive bilagor) (hädanefter “Avtalet”) för att säkerställa tillräckliga skyddsåtgärder avseende skyddet för privatlivet och de grundläggande rättigheterna och friheterna för individer för den Behandling av Personuppgifter som Personuppgiftsbiträdet vidtar på uppdrag av den Personuppgiftsansvarige.
3 DEFINITIONER
Följande begrepp som används i detta Avtal ska ha den innebörd som anges nedan:
“Tillämplig lagstiftning” | betyder från tid till annan tillämplig svensk lagstiftning avseende Behandling av Personuppgifter eller de gemensamma EU-reglerna avseende dataskydd, framförallt Dataskyddsförordningen (EU) 2016/679 (GDPR); och |
“Tredjeland” | betyder ett land eller territorium utanför det Europeiska ekonomiska samarbetsområdet (“EES”). |
De specifika koncept och begrepp som avser Behandling av Personuppgifter och vilka inte definieras i Avtalet ska ha samma innebörd som i Tillämplig lagstiftning.
4 Personuppgiftsansvariges skyldigheter
4.1 Den personuppgiftsansvarige ska säkerställa att Behandlingen av Personuppgifter, inklusive instruktioner till Personuppgiftsbiträdet, genomförs i enlighet med Tillämplig lagstiftning (inklusive att säkra alla nödvändiga meddelanden och erhålla
alla nödvändiga samtycken och/eller tillstånd, eller på annat sätt säkerställa en laglig grund för Behandlingen enligt Tillämplig lagstiftning).
4.2 Genom ingåendet av detta Avtal bekräftar den Personuppgiftsansvarige att de tekniska och organisatoriska åtgärderna som beskrivs i Bilaga 1 är lämpliga för skyddet av Personuppgifter inom ramen för detta avtal och att Personuppgiftsbiträdet därav har lämnat tillräckliga garantier i enlighet med art.
28.1 GDPR.
5 Personuppgiftsbiträdets skyldigheter
5.1 Den Personuppgiftsansvarige instruerar Personuppgiftsbiträdet att enbart Behandla Personuppgifter i enlighet med den Personuppgiftsansvariges lagenliga instruktioner som har beskrivits i Bilaga 1 (instruktioner till Personuppgiftsbiträdet). Det är den Personuppgiftsansvariges ansvar att säkerställa att instruktionerna inte strider mot Tillämplig lagstiftning.
5.2 Utöver vad som annars följer av avtalet, åtar sig Personuppgiftsbiträdet att:
a) bistå den Personuppgiftsansvarige med att säkerställa efterlevnad av skyldigheterna som följer av Tillämplig lagstiftning, med beaktande av Behandlingens natur och den information som är tillgänglig för Personuppgiftsbiträdet;
b) omgående informera den Personuppgiftsansvarige om en instruktion enligt Personuppgiftbiträders uppfattning står i strid med Tillämplig lagstiftning. Personuppgiftsbiträdet är inte skyldig att utföra Behandlingen förrän Parterna har bestämt hur de ska lösa situationen eller till dess en tillsynsmyndighet meddelar att instruktionen är lagligenlig;
c) implementera lämpliga tekniska och organisatoriska åtgärder i enlighet med Bilaga 1 i syfte att garantera skydd för de Personuppgifter som Behandlas mot Personuppgiftsincidenter (Personuppgiftsbiträdet får ändra de tekniska och organisatoriska åtgärderna från tid till annan förutsatt att de ändrade tekniska och organisatoriska åtgärderna inte innebär ett mindre effektivt skydd för Personuppgifter än de som anges i Bilaga 1);
d) föra ett register över alla kategorier av Behandlingar som utförts på uppdrag av den Personuppgiftsansvarige, inklusive namn och kontaktuppgifter och, i förekommande fall, överföringar av Personuppgifter till ett Tredjeland eller en internationell organisation och, när det är möjligt, en allmän beskrivning av de tekniska och organisatoriska skyddsåtgärderna;
e) säkerställa att endast behöriga individer kan Behandla Personuppgifterna, samt säkerställa att dessa har åtagit sig att iaktta konfidentialitet eller omfattas av lämplig lagstadgad tystnadsplikt;
f) utan onödigt dröjsmål hänvisa tredje part som begär information om Personuppgifterna till den Personuppgiftsansvarige, såvida inte sådan hänvisning är förbjuden i enlighet med straffrättsliga bestämmelser (t.ex. för att bevara sekretessen i en brottsutredning), och på begäran samarbeta med relevant tillsynsmyndighet i utförande av sina uppgifter och utan onödigt dröjsmål informera den Personuppgiftsansvarige om detta;
g) bistå den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt, så att den Personuppgiftsansvarige kan fullgöra sina skyldigheter att besvara förfrågningar från registrerade om utövande av den registrerades rättigheter enligt Tillämplig lagstiftning;
h) på begäran av den Personuppgiftsansvarige, med beaktande av typen av Behandling och den information som är tillgänglig för Personuppgiftsbiträdet, bistå den Personuppgiftsansvarige med att säkerställa att skyldigheten att utföra en konsekvensbedömning avseende dataskydd samt genomföra förhandssamråd med ansvarig tillsynsmyndighet uppfylls i enlighet med Tillämplig lagstiftning;
i) överföra Personuppgifter som tillhör den Personuppgiftsansvarige till ett Tredjeland, förutsatt att: (a) Tredjelandet, i enlighet med ett beslut från EU- kommissionen, tillhandahåller en adekvat skyddsnivå för Personuppgifter som omfattar Behandlingen av Personuppgifter; (b) Personuppgiftsbiträdet säkerställer att lämpliga skyddsåtgärder föreligger i enlighet med Tillämplig lagstiftning, till exempel EU-kommissionens standardavtalsklausuler som antagits i enlighet med Tillämplig lagstiftning och som omfattar överföringen och Behandlingen av Personuppgifter; eller (c) det finns andra undantag i Tillämplig lagstiftning som omfattar Behandlingen av Personuppgifter; och
j) på begäran av den Personuppgiftsansvarige, förse den Personuppgiftsansvarige med information i syfte att demonstrera efterlevnad av skyldigheterna för Personuppgiftsbiträdet enligt art. 28 GDPR. Granskningen ska göras av den Personuppgiftsansvarige eller en oberoende tredje part utsedd av den Personuppgiftsansvarige (som inte är en konkurrent till Personuppgiftsbiträdet), förutsatt att denna bunden av ett sekretessåtagande (som Personuppgiftsbiträdet enligt sin rimliga åsikt anser vara godtagbar). Den Personuppgiftsansvarige ska bära alla kostnader som uppstår till följd av eller i samband med en granskning.
6 Underleverantörer
6.1 Personuppgiftsbiträdet har rätt att anlita eller ersätta tredje parter som underleverantörer för att Behandla Personuppgifter i enlighet med detta Avtal (“Underbiträde”) under förutsättning att Personuppgiftsbiträdet och Underbiträdet ingår ett skriftligt avtal som innehåller skyldigheter för Underbiträdet som är minst lika långtgående som Personuppgiftsbiträdets skyldigheter enligt detta Avtal och enligt Tillämplig lagstiftning. I syfte att säkerställa lagenlig överföring av Personuppgifter till Tredjeland (när sådan överföring har godkänts av den
Personuppgiftsansvarige enligt villkoren i detta Avtal) bemyndigar den Personuppgiftsansvarige Personuppgiftsbiträdet att i varje enskilt fall ingå standardavtalsklausuler gällande skydd för Personuppgifter (xxxxx://xx.xxxxxx.xx/xxxx/xxx/xxx-xxxxx/xxxx-xxxxxxxxxx/xxxxxxxxxxxxx-xxxxxxxxx- data-protection/standard-contractual-clauses-scc/standard-contractual-clauses- international-transfers_en) med Underbiträden, i den Personuppgiftsansvariges namn och på dennes och Personuppgiftsbiträdes vägnar. Personuppgiftsbiträdet ska vidare informera den Personuppgiftsansvarige om anlitandet eller ersättande av Underbiträden och ge den Personuppgiftsansvarige möjlighet att invända mot en ändring av Underbiträden.
6.2 Personuppgiftsbiträdet ska föra register över Underbiträden som Behandlar Personuppgifter och ska på rimlig begäran av den Personuppgiftsansvarige tillhandahålla en lista över dessa.
6.3 Personuppgiftsbiträdet kommer förbli ansvarig för eventuella Underbiträden som Personuppgiftsbiträdet har anlitat vid Behandlingen av Personuppgifter för den Personuppgiftsansvariges räkning.
7 Skyldigheter vid uppsägning
7.1 Parterna är överens om att följande ska gälla vid uppsägning av Huvudavtalet. Personuppgiftsbiträdet ska (och, när tillämpligt, säkerställa att Underbiträdet ska) förstöra alla Personuppgifter, såvida inte Personuppgiftsbiträdet är skyldig att spara Personuppgifterna enligt EU-rätt eller nationell lagstiftning eller den Personuppgiftsansvarige instruerar Personuppgiftsbiträdet att återsända alla Personuppgifter (om så är fallet, ska Personuppgiftsbiträdet förstöra alla existerande kopior av sådan data, om denne inte är skyldig att spara Personuppgifterna enligt EU-rätt eller nationell rätt).
8 Avtalstid och uppsägning
8.1 Avtalet ska börja gälla det datum då det har signerats av båda Parter och fortsätta gälla så länge Behandling av Personuppgifter utförs av Personuppgiftsbiträdet på uppdrag av den Personuppgiftsansvarige.
8.2 Part har rätt att säga upp detta Avtal med omedelbar verkan om den andra Parten i väsentligt avseende åsidosätter sina skyldigheter enlig Avtalet och rättelse inte sker inom trettio (30) dagar efter begäran därom av den andra Parten. Instruktioner till Personuppgiftsbiträdet som står i strid med Tillämplig lagstiftning ska alltid anses utgöra ett väsentlig åsidosättande av skyldigheterna i Xxxxxxx och Huvudavtalet.
8.3 Uppsägning av detta Avtal ska inte påverka Parternas rättigheter och skyldigheter gentemot den andra Parten som kan ha uppkommit fram till dagen för sådan uppsägning.
9 Hantering och anmälan av personuppgiftsincidenter till tillsynsmyndigheten
9.1 Personuppgiftsbiträdet ska omedelbart efter att ha fått kännedom om en Personuppgiftsincident anmäla detta till utsedd kontaktperson hos den Personuppgiftsansvarige. Om och i den utsträckning det inte är möjligt att tillhandahålla all information vid samma tillfälle får Personuppgiftsbiträdet utan ytterligare dröjsmål tillhandahålla informationen till den Personuppgiftsansvarige i omgångar.
9.2 Personuppgiftsbiträdet ska utan onödigt dröjsmål undersöka en uppkommen Personuppgiftsincident och vidta åtgärder för att lindra möjliga negativa effekter av Personuppgiftsincidenten, identifiera dess orsak(er) och förebygga liknande Personuppgiftsincidenter. Personuppgiftsbiträdet ska samarbeta med den Personuppgiftsansvarige för att skydda registrerade fysiska personers rättigheter och friheter. Parterna åtar sig att samordna avhjälpande och förmildrande åtgärder som genomförs och planeras.
10 Förhållande till huvudavtalet
10.1 Om inte annat uttryckligen anges ska villkoren (inklusive, men inte begränsat till, bestämmelser om ansvarsbegränsningar) enligt Huvudavtalet även tillämpas på detta Avtal.
11 Tillägg och ändringar
Avtalet får inte ändras på annat sätt än genom ett skriftligt dokument upprättat och signerat av båda Parter.
Detta Avtal har upprättats i två (2) original, varav Parterna mottagit var sitt.
Bilaga 1
Instruktioner till Personuppgiftsbiträdet
1 SYFTET MED BEHANDLINGEN
Syftet med Behandlingen är att säkerställa att Destiny kan leverera, stödja och fullgöra sina skyldigheter som er kommunikationsleverantör.
2 Behandlingen
Den Behandling som Personuppgiftsbiträdet kommer utföra enligt Huvudavtalet är
• Tillhandahållande av tjänster till den Personuppgiftsansvarige
• Teknisk support inklusive felkorrigering i enlighet med avtal om servicenivåer (SLA)
/ underhåll- och supportavtal (M&S)
• Applikationsunderhåll
• Applikationsutveckling
• Testverksamhet
• Analys och statistisk verksamhet
• Marknadsföring på den Personuppgiftsansvariges vägnar (vid uttrycklig överenskommelse med den Personuppgiftsansvarige)
• Rensning av data, korrigering av felaktig data
3 Kategorier av registrerade
De kategorier av registrerade som berörs är
• Den Personuppgiftsansvariges anställda och konsulter samt den Personuppgiftsansvariges representanter.
4 Kategorier av personuppgifter som är föremål för behandling
De personuppgifter som kan blir föremål för Behandling är
• Namn
• Användar-ID
• Lösenord
• E-postadresser
• Telefonnummer
• IP-adresser
• Användargenererat innehåll (såsom samtalslistor etc.)
• Användarens beteende (felsökningar, kraschrapporter etc.)
• Faktureringsinformation
Dessutom kan användare också ladda upp personuppgifter i form av profilbilder, jobbtitel, adress, ytterligare kontaktuppgifter etc.
5 Känsliga personuppgifter
Känsliga Personuppgifter som kan Behandlas är
• Chattkonversationer om kundens användare använder den funktionen/tjänsten.
• Inspelning av samtal om samtalsinspelningar är en del av Personuppgiftsbiträdets uppdrag.
6 Personnummer
Information innehållande personnummer är föremål för Behandling vid portering av telefonnummer, där telefonnumret som överförs tillhör slutanvändaren och inte kunden.
7 Säkerhet
Organisatorisk säkerhet
• All personal får regelbundet utbildning i hantering av personuppgifter och best practice rekommendationer för säkerhet i samarbete med Dataskyddsombudet.
• Bakgrundskontroller genomförs inför varje nyanställning av personal.
• Skriftliga sekretessavtal föreligger mellan Personuppgiftsbiträdet och dennes anställda.
Systemsäkerhet
• När tillämpligt har OWASP 2017 riktlinjer efterföljts i syfte att säkerställa http- gränssnitt för att skydda mot högriskproblemområden.
• Brandväggssäkerhet.
• Övervakningssystem.
• Autentiseringssystem för säker åtkomst.
• Granskningssystem för loggfiler med säkert lagrad information.
• Policy för datalagring och system som tillgodoser att när en användare tas bort så tas även dennes personuppgifter bort.
• Endast kryptering TLS 1.2 är tillåten för HTTPS och SIP/TLS.
• Säkrade backuper för förebyggande av dataförlust.
Fysisk säkerhet
• Begränsad och loggad åtkomst till fysiska anläggningar där personuppgifter lagras.
• Larmsystem på fysiska anläggningar som där personuppgifter lagras.
• Kameraövervakning och/eller fysisk övervakning vid anläggningar där personuppgifter lagras.
8 Tillgång till registret
Personuppgiftsbiträdes personal för support, försäljning, backoffice, leverans och teknisk drift.
9 Underbiträden
Personuppgiftsbiträdet har ett allmänt tillstånd från den Personuppgiftsansvarige att ingå avtal med de Underbiträden som är nödvändiga för fullgörande av de uppgifter som den Personuppgiftsansvarige har efterfrågat.
Personuppgiftsbiträdet bekräftar att de Underbiträden som används har signerat ett underbiträdesavtal på villkor som motsvarar bestämmelserna i detta Avtal.
De Underbiträden som används av Personuppgiftsbiträdet listas i Bilaga 2.
10 Plats för behandling
Personuppgifterna behandlas inom Sverige hos lokala datacenter och i molntjänster inom EES gränser. Personuppgiftsbiträdet kan på begäran tillhandahålla en detaljerad lista över geografiska platser.
11 Överföring till tredjeländer
Överföring av personuppgifter utanför EES till ett land som inte har tilldelats beslut om adekvat skyddsnivå av Europeiska kommissionen ska omfattas av lämpliga skyddsåtgärder i enlighet med kapitel V GDPR.
12 Datalagring
Personuppgifter kommer lagras så länge det är nödvändigt för att tillhandahålla tjänsten enligt Huvudavtalet
Efter uppsägning av tjänsterna fasas data ut inom 6 månader för: Tillhandahållande av tjänster till den Personuppgiftsansvarige, Applikationsunderhåll,
Applikationsutveckling,
Teknisk support (inkl. korrigering av felaktigheter i enlighet med avtal för servicenivåer), Testverksamhet,
Inom 24 månader:
Analys och statistisk verksamhet,
Marknadsföringsaktiviteter (vid uttrycklig överenskommelse med den Personuppgiftsansvarige),
13 Granskning
Den Personuppgiftsansvarige kan en gång per år genomföra en granskning för att säkerställa att Personuppgiftsbiträdet efterlever GDPR i praktiken.
Den Personuppgiftsansvarige måste lämna in en skriftlig begäran senast 4 veckor innan den Personuppgiftsansvarige önskar att genomföra en granskning.
Personuppgiftsbiträdet har rätt att neka begäran för det fall det kan föreligga sekretess- eller säkerhetsrisker.
Bilaga 2
Lista över Underbiträden
Uppdaterad 2022-04-05
Name | Type of Service | Country |
Amazon S3 | Storage | Germany |
Advantops AB (fd Voiceprovider AB | Contact center | Sweden |
Apsis Group AB | Newsletters etc. | Sweden |
Aurora Innovation AB | Call booking | Sweden |
Destiny Analytics | Statistics provider | Ireland |
Destiny for Service Providers AB | Technology provider | Sweden |
Dustin Group AB | Network consultants | Sweden |
Emvico AB | Software development | Sweden |
Fortnox AB | Customer billing | Sweden |
Generic Mobile | Sweden | |
GTT | International numbers | Sweden |
ID-Kollen i Sverige | Identification service | Sweden |
IT Consultants AB | IT Consultants | Sweden |
Xxxxxxxx data AB | Technology provider | Sweden |
Line Carrier | International numbers provider | Finland |
Microsoft Office 365 | Email correspondence, Documents | Ireland, The Netherlands |
Promobility AB | Hardware distributor | Sweden |
Puzzel AB | Contact center | Sweden, Norway |
Relation & Brand AB | Customer Delivery system | Sweden |
Responda AB | Answering service | Sweden |
Setera | International numbers | Sweden |
Svenska Coegi AB | IT Consultants | Sweden |
Tele2 AB | Internet service provider | Sweden |
Telenor Sverige AB | Service Provider | Sweden |
Upsales Nordic | Customer registry | Sweden |
Westcon AB | Hardware distributor | Sweden |
Zendesk Inc. | Ticketing system | Ireland, Germany |
Zisson AB | Contact center | Sweden |