Contract

Mellan Företaget, i egenskap av personuppgiftsansvarig, och Andfrankly Pulse AB, i egenskap av personuppgiftsbiträde (nedan kallat ”Personuppgiftsbiträdet”), har som en integrerad del av mellan parterna träffat Tjänsteavtal ingåtts följande

Personuppgiftsbiträdesavtal

1 Bakgrund och Ändamål

1.1 Personuppgiftsbiträdet ska enligt avtal med Företaget (”Tjänsteavtalet”) tillhandahålla Företaget en mobil- och webbaserad tjänst för medarbetarundersökningar (”Tjänsten”) samt (om Företaget väljer att använda den) visselblåsarfunktioner, vilken innefattar behandling av personuppgifter. Med ”Medarbetare” avses anställda vid Företaget och andra av Företaget utvalda fysiska personer anställda vid andra företag som ingår i den koncern Företaget tillhör eller vid företag som samarbetar med eller utför tjänster åt Företaget. Med ”Medarbetare” avses även andra personer som väljer att använda visselblåsarfunktionen för att göra visselblåsaranmälningar. Tjänsten avser att under den tid Tjänsteavtalet är gällande och med de medel som Företaget bestämt (i) ge Medarbetare möjlighet att frivilligt och löpande på Företagets frågor tillhandahålla detsamma information innefattande personuppgifter om sin arbetssituation, (ii) ge Företaget tillgång till avidentifierade sammanställningar av Medarbetares svarsinformation avseende arbetssituationen och (iii) (om Företaget valt att använda funktionen) hantera visselblåsaranmälningar. Företagets ändamål för vilket det valt att använda Tjänsten är att öka Medarbetarnas inflytande och engagemang och därigenom åstadkomma förbättringar av Företagets arbetsförhållanden och verksamhet (”Ändamålet”).

1.2 Parterna har med anledning av ovannämnda bakgrund kommit överens om att ingå detta personuppgiftbiträdesavtal (”Avtalet”), enligt vilket följande villkor ska gälla (utöver vad som anges i inledningen och punkt 1.1 ovan).

2 Definitioner

2.1 Nedanstående benämningar ska ha den innebörd som anges nedan i såväl bestämd som obestämd form och i såväl i singular som plural form.

2.2 Benämningar som rör personuppgifter såsom ”registrerad”, ”personuppgift”, ”behandling” etc. ska ha den däremot svarande innebörd som anges i tillämpliga Dataskyddsregler. Med ”registrerad” avses den Medarbetare som personuppgift enligt Avtalet avser.

2.3 Med ”Svarsinformation” avses registrerades svar på Företagets frågor ställda vid Företagets användande av Tjänsten. Svarsinformation lagras separat från resterande personuppgifter, men länkas till en enskild registrerad via dennes konto hos Personuppgiftsbiträdet. Svarsinformation faller således in under definitionen personuppgifter, fram till dess att den registrerades konto, eller Svarsinformationens länk till kontot, tas bort. Då detta skett är svarsinformationen anonymiserad och inte längre personuppgifter.

2.4 Med ”Dataskyddsregler” avses Dataskyddsförordningen, GDPR (EU) 2016/679, (”Dataskyddsförordningen”), samt berörd tillsynsmyndighets bindande beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd i aktuellt medlemskapsland.

2.5 Med ”Tillämplig utländsk lag” avses den utländska lag och de regler avseende behandling av personuppgifter som gäller för företag och Medarbetare med hemvist utanför EU och Europeiska Ekonomiska Samarbetsområdet (EES).

3 Personuppgiftsbiträdets åtaganden

3.1 Personuppgiftsbiträdet ska iaktta Företagets skriftliga instruktioner avseende behandling av personuppgifter och åtar sig att följa för Personuppgiftsbiträdet tillämpliga Dataskyddsregler.

3.2 Personuppgiftsbiträdet får bara behandla personuppgifter för Ändamålet och Tjänsten i enlighet med Företagets skriftliga instruktioner och på de villkor som anges i Avtalet. Detta inbegripet när det gäller överföringar av personuppgifter till ett tredje land eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Personuppgiftsbiträdet omfattas av, och i så fall ska Personuppgiftbiträdet informera Företaget om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt. Personuppgiftsbiträdet ska omedelbart informera Företaget om Personuppgiftsbiträdet anser att en instruktion strider mot tillämpliga Dataskyddsregler eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser.

3.3 För det fall att registrerad eller annan tredje man (t.ex. berörd tillsynsmyndighet) begär information från Personuppgiftsbiträdet som rör behandling av personuppgifter ska Personuppgiftsbiträdet utan dröjsmål hänvisa vederbörande till Företaget. Av punkt 3.2 ovan och punkt 3.5 nedan följer bland annat att Personuppgiftsbiträdet inte får lämna ut personuppgifter eller annan information om behandling av personuppgifter till tredje man utan att ha fått skriftlig instruktion om att göra det från Företaget. Personuppgiftsbiträdet äger rätt att använda och lämna ut anonymiserad Svarsinformation som underlag för affärs- och metodutveckling och statistik.

3.4 Personuppgiftsbiträdet ska utan dröjsmål informera Företaget om eventuella kontakter från tredje man (t.ex. berörd tillsynsmyndighet) som rör behandling av personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda Företaget eller agera för Företagets räkning gentemot tredje man.

3.5 Personuppgiftsbiträdet ska vidta de tekniska och organisatoriska åtgärder som erfordras enligt tillämpliga Dataskyddsregler och därvid vidta alla åtgärder avseende säkerhet i samband med behandlingen enligt artikel 32 i Dataskyddsförordningen. Personuppgiftsbiträdet ska vidare (i) bistå Företaget med att tillse att Företagets skyldigheter enligt artiklarna 32-36 i Dataskyddsförordningen fullgörs, med beaktande av typen av behandling och den information Personuppgiftsbiträdet har att tillgå samt (ii) med tanke på behandlingens art, hjälpa Företaget genom tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Företaget kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen.

3.6 Personuppgiftsbiträdet ska ge Företaget tillgång till all information som krävs för att visa att Personuppgiftsbiträdets skyldigheter som anges i artikel 28 i Dataskyddsförordningen har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Företaget eller av en revisor som bemyndigats av Företaget. Personuppgiftsbiträdet ska tillse att Företaget kan uppfylla eventuell skyldighet att möjliggöra dataportabilitet avseende personuppgifter som Personuppgiftsbiträdet behandlar för Företagets räkning.

3.7 Personuppgiftsbiträdet får inte tillhandahålla Företaget Svarsinformation annat än i anonymiserad och avidentifierad form. Personuppgiftsbiträdet ska, när detta Avtal upphör att gälla och inom skälig tid efter Företaget begärt det, återlämna eller radera, beroende på vad Företaget väljer, alla personuppgifter samt Svarsinformation med anonymiserade personuppgifter på av Företaget angivet vedertaget medium och med följande undantag se till att personuppgifter inte längre behandlas av Personuppgiftsbiträdet samt radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstats nationella rätt. Personuppgiftsbiträdet äger dock rätt att behålla, använda och lämna ut anonymiserad Svarsinformation som underlag för affärs- och metodutveckling och statistik.

3.8 Personuppgiftsbiträdet får anlita andra personuppgiftsbiträden. (”underbiträden”) för tillhandahållande av Tjänsten eller del därav, Personuppgiftsbiträdet anlitar underbiträde(-n) enligt xxxxx://xxx.xxxxxxxxxx.xxx/xx/xxxx-xxxxxxxxxxxxx, vilket/vilka underbiträde(-n) inklusive dess underbiträde(-n) Företaget härigenom godtar. Personuppgiftsbiträdet åtar sig att informera Företaget om eventuella planer på att anlita nya underbiträden eller ersätta underbiträden genom att med email lämna Företaget information härom minst 30 dagar innan ett nytt underbiträde avses tillträda. Företaget har rätt att motsätta sig nytt underbiträde genom att inom 90 dagar från det att Företaget sålunda informerats om planen att anlita nytt underbiträde säga upp Tjänsteavtalet inklusive Avtalet till omedelbart upphörande, utan annan rätt i anledning härav. I det fall Personuppgiftsbiträdet anlitar ett underbiträde ska underbiträdet genom ett skriftligt avtal åläggas samma skyldigheter i fråga om dataskydd som Personuppgiftsbiträdet har gentemot Företaget och därvid framför allt ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder så att behandlingen av personuppgifter uppfyller kraven i tillämpliga Dataskyddsregler. Om det anlitade underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska Personuppgiftsbiträdet vara fullt ansvarig gentemot Företaget för utförandet av underbiträdets skyldigheter, dock i enlighet med de begränsningar som följer av punkt 3.9 nedan. Personuppgiftsbiträdet ska, på Företagets begäran, tillhandahålla Företaget med en korrekt och uppdaterad lista utvisande vilka underbiträden som anlitats för behandlingen av personuppgifter, kontaktuppgifter till dessa samt den geografiska placeringen för sådan behandling.

3.9 Personuppgiftsbiträdet ska ersätta Företaget för krav på sådan betalning som Företaget måste utge till tredje man, inklusive registrerade och berörda tillsynsmyndigheter, till följd av Personuppgiftsbiträdets behandling av personuppgifter i strid med dess åtaganden enligt Avtalet (detta Personuppgiftsbiträdesavtal). Personuppgiftsbiträdet kan dock aldrig hållas ansvarigt för Företagets förlorade eller uteblivna affärer eller för någon form av indirekt skada.

3.10Om Företaget väljer att använda visselblåsarfunktionen kommer Personuppgiftsbiträdet göra det möjligt för personer som känner till adressen till visselblåsarfunktionen hos Företaget att göra visselblåsaranmälningar. En visselblåsare kan välja att ange namn och kontaktuppgifter, eller att vara anonyma. Anmälan kan därför innehålla personuppgifter om visselblåsaren. Själva anmälan är ett fritextfält, och det kan innebära registrering och lagring av personuppgifter, även om andra än anmälaren, dvs. berörda tredje parter. Personuppgiftsbiträdet ansvarar för att innehåll i visselblåsarärenden permanent raderas på begäran av Företaget eller senast två år efter att Företaget avslutat det aktuella ärendet i visselblåsarfunktionen.

4 Företagets åtaganden

4.1 Företaget, i egenskap av Personuppgiftsansvarig är ansvarigt för:

a) att iaktta dess skyldigheter enligt tillämpliga Dataskyddsregler och, i förekommande fall, Tillämplig utländsk lag; och

b) innehållet i frågor som Företaget ställer samt innehållet i Svarsinformation och att därvid särskilt avstå från frågor som rör, och resulterar i Svarinformation om, personuppgifter som det inte är tillåtet att behandla.

4.2 Företaget godkänner överföring utanför EU/EES av sådana personuppgifter som krävs för Tjänsten förutsatt att det sker i enlighet med Dataskyddsförordningens villkor för sådan överföring.

4.3 Om Företaget avser att använda Tjänsten avseende Medarbetare anställda vid andra företag ska Företaget på egen hand inhämta företagens tillstånd till behandling av personuppgifter av berörda Medarbetare. Om det avser företag och Medarbetare med hemvist utanför EU/EES, ska Företaget på egen hand tillse och svara för att legala krav enligt Xxxxxxxxxx utländsk lag följs.

4.4 Företaget ska utge särskild överenskommen ersättning till Personuppgiftsbiträdet för sådana instruktioner (inklusive funktioner, åtgärder och anpassningar) som går utöver de som erbjuds enligt standard i tjänsten.

4.5 Företaget ska ersätta Personuppgiftsbiträdet för krav på sådan betalning som Personuppgiftsbiträdet måste utge till tredje man, inklusive registrerade och berörd tillsynsmyndighet, till följd av Företagets agerande i strid med dess åtaganden enligt Xxxxxxx. Företagets ansvar enligt Avtalet gentemot Personuppgiftsbiträdet för skada ska vara begränsad till sådan ersättningsskyldighet.

4.6 Om Företaget väljer att använda visselblåsarfunktionen ansvarar Företaget för att meddelandena behandlas och lagras i enlighet med gällande regler, det vill säga både de nationella anmälningsreglerna (visselblåsarlagen) och dataskyddsförordningen ("GDPR"). Det innebär bland annat ansvar för att radera personuppgifter som inte är relevanta för anmälan. Sådan radering bör utföras av administratör och ska ske kontinuerligt och utan onödigt dröjsmål.

5 Sekretess

5.1 Personuppgiftsbiträdet förbinder sig att under avtalstiden och därefter inte till tredje man lämna ut eller röja personuppgifter utan medgivande av den som berörs. Detta åtagande gäller dock inte information som Personuppgiftsbiträdet föreläggs att utge till myndighet eller enligt Dataskyddsregler eller annan lagstadgad skyldighet enligt unionsrätten eller enligt en medlemsstats nationella rätt som Personuppgiftsbiträdet omfattas av. Personuppgiftsbiträdet åtar sig att säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta sekretess avseende desamma. Personuppgiftsbiträdet äger rätt att använda och lämna ut anonymiserad och avidentifierad Svarsinformation som underlag för affärs- och metodutveckling och statistik. Sekretess avseende annan information som Personuppgiftsbiträdet vid tillhandahållandet av Tjänsten erhållit av Företaget regleras i Allmänna villkor för Tjänsten.

6 Avtalstid

6.1 Avtalet gäller från i inledningen i Avtalet angivet datum och så länge som Personuppgiftsbiträdet behandlar personuppgifter enligt Tjänsteavtalet.