BITRÄDESBESTÄMMELSER

FÖR KOMPETENSFÖRETAGENS MEDLEMSFÖRETAG VID BEHANDLING AV PERSONUPPGIFTER FÖR KUNDENS RÄKNING

Om Leverantören är personuppgiftsbiträde för behandlingen av personuppgifter inom ramen för det uppdrag som Leverantören ska utföra enligt Avtalet ska Biträdesavtalet tillämpas på behandlingen av personuppgifter. Kunden är i Biträdesavtalet personuppgiftsansvarig och Leverantören personuppgiftsbiträde.

Dessa biträdesbestämmelser beaktar endast situationer där Kompetensföretagens allmänna bestämmelser anger att Leverantören ska anses vara personuppgiftsbiträde. Biträdesbestämmelserna ska inte användas vid uthyrning av personal och endast i undantagsfall vid rekrytering och omställning.

Om det förekommer motstridiga uppgifter i Biträdesavtalet och i Avtalet ingående allmänna bestämmelser ska Biträdesavtalet ha företräde. Om det förekommer motstridiga uppgifter i Biträdesavtalet och Avtalet i övrigt, ska det som angivits i avtalskappan för Biträdesavtalet ha företräde och därefter vad som anges i Avtalet. Biträdesavtalet är en bilaga till Avtalet.

Parterna ska senast i samband med att Biträdesavtalet ingås säkerställa att Bilagan ”Specifikation över behandlingen av personuppgifter” är korrekt ifylld.

1 DEFINITIONER Avtalet

Det avtal med bilagor som träffats mellan Leverantör och Xxxxxx om ett uppdrag om rekrytering eller omställning. I avtalet ingår att Leverantören, för Kundens räkning, lagrar de personuppgifter som behandlats inom ramen för Uppdraget i upp till två år från det att Uppdraget slutförts.

Biträdesavtalet

Dessa biträdesbestämmelser, dess avtalskappa och Bilagan ”Specifikation över behandlingen av personuppgifter” och de eventuella andra ändringar av dessa som följer specifikt av Avtalet.

Dataskyddsförordningen

Se nedan under Tillämplig Dataskyddslagstiftning.

Kundens Utrustning

Datorer och annan utrustning som ägs, hyrs eller leasas av Xxxxxx eller dennes driftsleverantör.

Leverantörens Utrustning

Datorer och annan utrustning som ägs, hyrs eller leasas av Leverantören eller dennes underleverantör.

Tillämplig Dataskyddslagstiftning

Med Tillämplig Dataskyddslagstiftning avses, om annat inte överenskommits särskilt, dataskyddsförordningen (Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 förordning, ”Dataskyddsförordningen”), dataskyddslagen i Sverige och ansvarig tillsynsmyndighets bindande föreskrifter och beslut som är tillämpliga på behandlingen av

personuppgifter inom ramen för Biträdesavtalet.

Uppdraget

Det uppdrag Leverantören ska utföra enligt Avtalet.

Övriga begrepp

Övriga begrepp i dessa biträdesbestämmelser ska tolkas i enlighet med Tillämplig Dataskyddslagstiftning.

2 INSTRUKTIONER FÖR BEHANDLING AV PERSONUPPGIFTER

Kunden är inom ramen för Uppdraget i egenskap av personuppgiftsansvarig ansvarig för att behandling av personuppgifter sker i enlighet med Tillämplig Dataskyddslagstiftning. Kunden ansvarar för att Leverantören inte ska behandla andra kategorier av personuppgifter än sådana som anges i Bilaga ”Specifikation över behandlingen av personuppgifter” och i däri angiven omfattning.

Leverantören åtar sig att endast behandla personuppgifter i enlighet med Kundens dokumenterade instruktioner, såvida inte Leverantören har en skyldighet enligt svensk eller europeisk lagstiftning att behandla personuppgifterna. I sådana fall ska Leverantören informera Kunden om detta innan behandlingen påbörjas, eller så snart skyldigheten uppkommer under pågående behandling, i den mån det är tillåtet enligt aktuell reglering.

Med undantag för det som framgår av punkten 2.2 ovan, får Leverantören inte behandla personuppgifter för egna ändamål eller andra ändamål än de som framgår av Xxxxxxx. Leverantören ska ha rätt att behandla personuppgifter i syfte att tillhandahålla det uppdrag som

Leverantören ska utföra enligt Avtalet och Biträdesavtalet. Part ska säkerställa att den andra parten har rätt att behandla kontaktuppgifter och eventuellt andra personuppgifter till den första partens anställda om och i den utsträckning det behövs för att underlätta utförandet av för det uppdrag som Leverantören ska utföra enligt Xxxxxxx.

Biträdesavtalet, inklusive Bilaga ”Specifikation över behandlingen av personuppgifter”, utgör Kundens samtliga instruktioner för behandlingen av personuppgifter enligt Biträdesavtalet, med undantag för de eventuella skriftliga instruktioner som Kunden under avtalstiden är skyldig att lämna för att kunna uppfylla Tillämplig Dataskyddslagstiftning. Andra eventuella ändringar ska överenskommas separat. Alla ändringar som innebär en ändring av Bilaga ”Specifikation över behandlingen av personuppgifter” ska dokumenteras. Leverantören ska ha rätt till skälig ersättning vid ändrade skriftliga instruktioner.

3 SÄKERHETSÅTGÄRDER ‌

Om Leverantören inom ramen för Biträdesavtalet ska behandla personuppgifter på Leverantörens Utrustning, ska Leverantören implementera de organisatoriska och tekniska åtgärder som krävs enligt Tillämplig Dataskyddslagstiftning och som framgår av Bilaga ”Specifikation över behandlingen av personuppgifter” samt i övrigt kan framgå av Avtalet eller Biträdesavtalet för att skydda de personuppgifter som behandlas mot personuppgiftsincidenter (”säkerhetsåtgärder”). Kunden ansvarar för att implementera nödvändiga säkerhetsåtgärder om Leverantören inom ramen för Biträdesavtalet ska behandla personuppgifter på Kundens Utrustning.

Om Leverantören ska behandla personuppgifter på Leverantörens Utrustning svarar Kunden för att de i punkt

3.1 avtalade säkerhetsåtgärderna uppfyller Kundens skyldigheter enligt Tillämplig Dataskyddslagstiftning om krav på säkerhet för de personuppgifter som behandlas. Om Xxxxxx begär ändring av säkerhetsåtgärderna gäller för sådan begäran samma bestämmelser som gäller för Kundens ändring av Kundens instruktioner enligt punkt 2.4.

Om Leverantören upptäcker att avtalade säkerhetsåtgärder enligt punkt 3.1 helt eller delvis strider mot Tillämplig Dataskyddslagstiftning ska Leverantören inom skälig tid skriftligen meddela Xxxxxx om sin inställning. Om Xxxxxx trots uppmaning inte lämnar nya instruktioner inom skälig tid ska Leverantören ha rätt att på Xxxxxxx bekostnad vidta skäliga och

nödvändiga säkerhetsåtgärder för att uppfylla Tillämplig Dataskyddslagstiftning.

4 RAPPORTERING AV PERSONUPPGIFTSINCIDENTER

Leverantören ska utan onödigt dröjsmål underrätta Xxxxxx efter att ha fått vetskap om en personuppgiftsincident.

En sådan underrättelse ska åtminstone, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå:

beskriva personuppgiftsincidentens art, och, om möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,

beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och

beskriva de åtgärder som har vidtagits eller bör vidtas för att åtgärda personuppgiftsincidenten eller mildra dess potentiella negativa effekter.

Om ansvarig tillsynsmyndighet förelägger Leverantören att informera den registrerade om en personuppgiftsincident, ska kunden ersätta Leverantören enligt punkt 9.

5 SEKRETESS OCH UTLÄMNANDE AV PERSONUPPGIFTER ‌

Om parterna inte kommit överens om annat förbinder sig Leverantören att hålla personuppgifterna konfidentiella så länge Leverantören behandlar personuppgifter för Kundens räkning.

Leverantören ska tillse att varje person som är behörig att utföra arbete för dess räkning endast behandlar personuppgifter enligt Kundens dokumenterade instruktioner och är bunden av en sekretessförbindelse med innebörden att denne har tystnadsplikt avseende personuppgifterna som behandlas enligt Avtalet.

Leverantören ska inte utan Kundens föregående godkännande till registrerad eller tredje part lämna ut eller annars röja personuppgifter som omfattas av Biträdesavtalet, om annat inte följer av Avtalet eller av lag, domstols- eller myndighetsbeslut. I de fall Leverantören måste lämna ut sådan information på grund av lag, domstols- eller myndighetsbeslut ska Leverantören, såvida detta inte är förbjudet enligt aktuell lag, domstols- eller myndighetsbeslut, meddela Kunden detta.

6 UNDERBITRÄDEN OCH ÖVERFÖRINGAR TILL TREDJE LAND

Leverantören har, om annat inte framgår av Avtalet eller Biträdesavtalet, rätt att anlita underbiträden inom EU/EES för behandlingen av personuppgifter. Leverantören ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem samma skyldigheter vid behandlingen av personuppgifter som de skyldigheter som gäller enligt Biträdesavtalet. Om underbiträdet inte uppfyller de skyldigheter som följer av Biträdesavtalet, ska Leverantören vara fullt ansvarig gentemot Kunden för utförandet av underbiträdets skyldigheter. Kunden godkänner genom Biträdesavtalet att personuppgifter kan komma att behandlas av de underbiträden som specificeras i Bilaga ”Specifikation över behandlingen av personuppgifter”.

Leverantören ska vara skyldig att informera Xxxxxx om Leverantören behöver ersätta eller anlita ett nytt underbiträde. Kunden ska ha rätt att skriftligen invända mot sådana förändringar inom 30 dagar från att Leverantören har informerat om detta. Om Leverantören trots Xxxxxxx obefogade invändning ändå vill ersätta eller anlita ett nytt underbiträde ska Kunden ha rätt att säga upp Avtalet med iakttagande av skälig uppsägningstid, varvid Xxxxxx ska betala för den tid Leverantören har lagt ned på Uppdraget fram till och med uppsägningstidens utgång.

7 SKYLDIGHET ATT BISTÅ KUNDEN

I den mån det är möjligt och i den utsträckning som behandlingens art kräver det ska Leverantören, utöver vad som följer av punkt 3 (Säkerhetsåtgärder), implementera lämpliga tekniska och organisatoriska åtgärder för att på Kundens skriftliga begäran assistera Xxxxxx i uppfyllandet av de registrerades rättigheter enligt kapitel III i Dataskyddsförordningen.

Leverantören ska, med beaktande av typen av behandling och den information som Leverantören har att tillgå, därutöver vara skyldig att på Kundens skriftliga begäran bistå Kunden så att denne kan fullgöra de skyldigheter som Xxxxxx har avseende säkerhet, personuppgiftsincidenter, konsekvensbedömningar och förhandssamråd enligt Tillämplig Dataskyddslagstiftning.

Om Leverantören är skyldig att bistå Kunden enligt punkt 7.1 eller 7.2, ska Leverantören ha rätt till skälig ersättning enligt punkt 9 för det bistånd som Leverantören tillhandahåller Kunden.

8 GRANSKNING ‌

Leverantören ska ge Xxxxxx tillgång till all information inom ramen för Uppdraget som krävs för att visa att de skyldigheter som

följer av Tillämplig Dataskyddslagstiftnings krav på personuppgiftsbiträden har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av Kunden utsedd revisor. Om annat inte följer av Xxxxxxx, får inspektion endast genomföras om krav på granskning enligt Tillämplig Dataskyddslagstiftning inte kan fullgöras genom Leverantörens tillhandahållande av information. I det fall Xxxxxx önskar genomföra en inspektion ska Xxxxxx informera Leverantören om detta i skälig tid i förväg och samtidigt specificera inspektionens innehåll och omfattning. Leverantören ska ha rätt till ersättning för skäliga kostnader som uppkommit i samband med granskningen.

Leverantören ska omedelbart informera Xxxxxx om Leverantören anser att information, inbegripet inspektioner, enligt punkt 8.1 inte krävs eller strider mot Tillämplig Dataskyddslagstiftning.

En granskning enligt punkt 8.1 förutsätter att Kunden, eller av Kunden utsedd revisor, har träffat nödvändiga sekretessåtaganden och följer Leverantörens

säkerhetsbestämmelser på platsen där inspektionen ska genomföras samt att inspektionen genomförs utan att den riskerar att hindra Leverantörens verksamhet eller skyddet för andra kunders information. Information som samlas in som en del av granskningen ska raderas efter fullgjord granskning eller när den inte längre behövs för ändamålet med granskningen.

9 ERSÄTTNING FÖR UTFÖRT ARBETE ‌

Utöver vad som annars följer av Biträdesavtalet ska Leverantören ha rätt till skälig ersättning för att följa Kundens skriftliga instruktioner om den begärda åtgärden inte specifikt framgår av Xxxxxxx i övrigt.

10 ANSVAR ENLIGT TILLÄMPLIG DATASKYDDSLAGSTIFTNING ‌

Vid krav på skadestånd från registrerade ska den part som blivit skadeståndsskyldig ha rätt att regressvis återkräva den del av skadeståndet som enligt Tillämplig Dataskyddslagstiftning är att hänföra till den andra partens medverkan vid behandlingen. Skadeståndsskyldigheten innefattar även skälig andel av rättegångskostnaderna i målet med de registrerade.

Part som blir föremål för krav från registrerade ska inom skälig tid skriftligen underrätta den andra parten om framförda krav när det står sannolikt för parten att krav mot andra parten enligt punkt 10.1 kan komma att framställas, låta den andra parten få insyn i den registrerades och partens handlingar i sådant mål och låta den andra parten lämna synpunkter på detta. Part ska vidare framställa krav på

skadestånd till motparten för skadeståndskrav enligt punkt 10 senast inom 6 månader från det att part blivit skadeståndsansvarig till registrerade.

Parts ansvar för andra typer av skador än de som uttryckligen regleras i punkt 10 regleras uteslutande av Avtalet.