Personuppgiftsbiträdesavtal
11 oktober 2020
Bilaga 2
Personuppgiftsbiträdesavtal
(”Personuppgifsbiträdesavtalet”)
Mellan:
(1) AFA TRYGGHETSFÖRSÄKRINGSAKTIEBOLAG, 516401-8615, Klara Xxxxx Xxxxxxxxx 00, 000 00 Xxxxxxxxx ("Personuppgiftsbiträdet"); och
(2) DET/DE ANVÄNDARFÖRETAG/ORGANISATION SOM INGÅTT ANSLUTNINGSAVTALET ;
(den ”Personuppgiftsansvariga”);
Personuppgiftsbiträdet och den Personuppgiftsansvarige benämns individuellt som "Part" och gemensamt som "Parterna".
Bakgrund:
A Personuppgiftsbiträdet och den Personuppgiftsansvarige har ingått ett avtal om anslutning till IA-företagens informationssystem om arbetsmiljö, inkluderande bilagorna Allmänna villkor (bilaga 1) och Säkerhetsbilaga (bilaga 3) ("Anslutningsavtalet"). Detta Avtal utgör bilaga 2 till Anslutningsavtalet.
B Inom ramen för Personuppgiftsbiträdets tillhandahållande av Tjänster enligt Anslutningsavtalet kommer Personuppgiftsbiträdet att Behandla Personuppgifter för vilka den Personuppgiftsansvarige ansvarar för, enligt vad som närmare framgår av Bilaga 2.1. Detta Personuppgiftsbiträdesavtal reglerar hur Personuppgiftsbiträdet ska Behandla Personuppgifter för den Personuppgiftsansvariges räkning.
C Vid konflikt mellan en bestämmelse i detta Personuppgiftsbiträdesavtal och en bestämmelse i Anslutningsavtalet gäller bestämmelserna i detta Personuppgiftsbiträdesavtal i den utsträckning bestämmelsen i detta Personuppgiftsbiträdesavtal innebär ett bättre skydd för de Personuppgifter som Behandlas.
1. Definitioner
I detta Personuppgiftsbiträdesavtal ska följande definitioner ha den betydelse som anges ne- dan:
"Behandling", "Personuppgiftsansvarig", "Personuppgifter", "Personuppgiftsbiträde", Personuppgiftsincident", samt "Registrerad" ska ha samma innebörd som i Europaparla- mentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska per- soner med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ("Data- skyddsförordningen");
"Personuppgiftsbiträdesavtal" betyder detta Personuppgiftsbiträdesavtal jämte samtliga härtill hörande bilagor;
"Tillämplig Lagstiftning" betyder från tid till annan gällande lagstiftning, förordningar och föreskrifter i EU och i relevanta medlemsstater som är tillämplig på Personuppgiftsbiträdet och den Personuppgiftsansvarige; samt
"Tillämplig Personuppgiftslagstiftning" betyder från tid till annan gällande lagstiftning, för- ordningar och föreskrifter, inklusive föreskrifter som meddelats av berörda tillsynsmyndigheter, avseende skydd för fysiska personers grundläggande rättigheter och friheter och särskilt rätt till skydd av deras Personuppgifter vid Behandling av Personuppgifter som är tillämplig på Personuppgiftsbiträdet och den Personuppgiftsansvarige, inklusive Dataskyddsförordningen; samt
"Tredje Land" betyder en stat som inte ingår i Europeiska unionen (EU) eller är ansluten till det Europeiska ekonomiska samarbetsområdet (EES).
2. Personuppgiftsansvar
2.1 Den Personuppgiftsansvarige bestämmer över ändamålen med och medlen för Behandlingen av Personuppgifterna och är därför ansvarig för Behandlingen. Personuppgiftsbiträdet behandlar Personuppgifterna för den Personuppgiftsansvariges räkning och är därmed att se som personuppgiftsbiträde.
2.2 Den Personuppgiftsansvariges ansvar innefattar bl.a. att Behandlingen av Personuppgifterna sker i enlighet med Tillämplig lagstiftning och att de Registrerade informeras om Behandlingen.
2.3 Personuppgiftsbiträdet har ingen skyldighet eller teknisk möjlighet att kontrollera riktigheten av, eller skicket på de Personuppgifter som förs in i IA-systemet. Denna skyldighet ligger helt på den Personuppgiftsansvarige.
3. Personuppgiftsbiträdets skyldigheter
3.1 Personuppgiftsbiträdet åtar sig att endast Behandla Personuppgifter i enlighet med den Personuppgiftsansvariges dokumenterade instruktioner och bestämmelserna i detta Personuppgiftsbiträdesavtal och i Anslutningsavtalet. Personuppgiftsbiträdet ska inte Behandla Personuppgifter för vilka den Personuppgiftsansvarige är Personuppgiftsansvarig, för några andra ändamål.
3.2 För det fall den Personuppgiftsansvarige inkommer med nya instruktioner som går utöver vad som följer av detta Personuppgiftsbiträdesavtal eller Anslutningsavtalet, ska Personuppgiftsbiträdet ha rätt till ersättning i enlighet med Personuppgiftsbiträdets vid var tid gällande prislista eller enligt överenskommelse mellan Xxxxxxxx.
3.3 Oaktat vad som anges i punkten 3.1 ovan har Personuppgiftsbiträdet rätt att Behandla Personuppgifter i den utsträckning som det krävs för att Personuppgiftsbiträdet ska kunna uppfylla skyldigheter som åvilar Personuppgiftsbiträdet och som följer av från tid till annan Tillämplig Lagstiftning. Det ankommer dock på Personuppgiftsbiträdet att informera den Personuppgiftsansvarige om den rättsliga skyldigheten, såvida inte Personuppgiftsbiträdet är förhindrad enligt Tillämplig Lagstiftning att lämna sådan information.
3.4 Oaktat bestämmelser om lagval enligt Anslutningsavtalet ska Tillämplig Personupp- giftslagstiftning gälla för Behandlingen av Personuppgifter som omfattas av detta Personupp- giftsbiträdesavtal.
3.5 Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om Personuppgiftsbiträdet inte kan uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal eller om
Personuppgiftsbiträdet anser att en instruktion som den Personuppgiftsansvarige har lämnat avseende Behandlingen av Personuppgifter skulle stå i strid med Tillämplig Personuppgiftslagstiftning, såvida inte Personuppgiftsbiträdet är förhindrad att lämna sådan in- formation till den Personuppgiftsansvarige enligt Tillämplig Lagstiftning.
3.6 Personuppgiftsbiträdet ska utan dröjsmål informera den Personuppgiftsansvarige i de fall tillsynsmyndigheten inleder en granskning hos Personuppgiftsbiträdet avseende den behandling som Personuppgiftsbiträdet utför för den Personuppgiftsansvariges räkning.
4. Säkerhetsåtgärder
4.1 Skyldighet att vidta tekniska och organisatoriska åtgärder för att skydda Personuppgifter
4.1.1 Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att de Personuppgifter som Behandlas ska vara skyddade mot Personuppgiftsincidenter. Åtgärderna ska åtminstone uppnå den säkerhetsnivå som följer av Tillämplig Person- uppgiftslagstiftning, berörda tillsynsmyndigheters tillämpliga föreskrifter och riktlinjer avseende säkerhet för Personuppgifter.
4.1.2 Personuppgiftsbiträdet ska vidare, på begäran, bistå den Personuppgiftsansvarige med nödvändig information för att den Personuppgiftsansvarige, i förekommande fall, ska kunna uppfylla sina skyldigheter att genomföra konsekvensbedömning och för- handssamråd med berörda tillsynsmyndigheter avseende den Behandling av Per- sonuppgifter som omfattas av detta Personuppgiftsbiträdesavtal. Om den Personuppgiftsansvarige begär assistans från Personuppgiftsbiträdet att bistå vid en konsekvensbedömning trots att skyldighet att genomföra konsekvensbedömning enligt Tillämplig Personuppgiftslagstiftning inte föreligger, har Personuppgiftsbiträdet rätt till ersättning enligt vid var tid gällande prislista.
4.1.3 Parterna är ense om att minst de tekniska och organisatoriska åtgärder som följer av Anslutningsavtalets Bilaga 4 (Säkerhetsbilaga IA-systemet) ska tillämpas.
5. Personuppgiftsincident
5.1 Om en Personuppgiftsincident inträffar ska Personuppgiftsbiträdet skriftligen underrätta den Personuppgiftsansvarige om detta utan onödigt dröjsmål från det att Personuppgiftsincidenten kom till Personuppgiftsbiträdets kännedom.
5.2 Om det inte är osannolikt att en Personuppgiftsincident medför någon risk för den personliga integriteten hos de Registrerade, ska Personuppgiftsbiträdet omedelbart efter att Personuppgiftsincidenten kommit till Personuppgiftsbiträdets kännedom vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa Personuppgiftsincidentens potentiella negativa effekter.
5.3 På begäran från den Personuppgiftsansvarige ska Personuppgiftsbiträdet tillhandahålla:
5.3.1 en beskrivning av Personuppgiftsincidentens art, kategorier av och antalet Registrerade som berörs, samt kategorier av och antalet personuppgiftsposter som berörs;
5.3.2 de sannolika konsekvenserna av Personuppgiftsincidenten; samt
5.3.3 en beskrivning av de åtgärder som Personuppgiftsbiträdet, i förekommande fall, redan har vidtagit eller avser att vidta för att åtgärda Personuppgiftsincidenten och/eller för att begränsa Personuppgiftsincidentens eventuella negativa effekter.
Om och i den utsträckning det inte är möjligt för Personuppgiftsbiträdet att tillhandahålla informationen samtidigt får informationen lämnas i omgångar utan onödigt ytterligare dröjsmål. Personuppgiftsbiträdet har rätt till ersättning för de eventuella kostnader som uppstår till följd av att Personuppgiftsbiträdet tillhandahåller information enligt denna punkt 5.3.
6. Tillgång till information och rätt till revision
6.1 Personuppgiftsbiträdet dokumenterar löpande de åtgärder som Personuppgiftsbiträdet har vidtagit för att uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal. Den Personuppgiftsansvarige har rätt att på begäran ta del av en kopia på den senaste versionen av sådan dokumentation.
6.2 Personuppgiftsbiträdet ska ge den Personuppgiftsansvarige tillgång till all information som krävs för att visa att Personuppgiftsbiträdet fullgjort sina skyldigheter enligt artikel 28 i Dataskyddsförordningen. Vidare ska Personuppgiftsbiträdet möjliggöra och bidra till granskningar, inbegripet inspektioner som genomförs av den Personuppgiftsansvarige. För undvikande av missförstånd ska en sådan inspektion endast omfatta information som är absolut nödvändig för att den Personuppgiftsansvarige ska kunna bedöma huruvida Personuppgiftsbiträdet har fullgjort sina skyldigheter enligt artikel 28 i Dataskyddsförordningen och ska under inga omständigheter omfatta någon annan information rörande Personuppgiftsbiträdets affärsverksamhet, vilken saknar betydelse i förhållande till Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning. Parterna är överens om att om en inspektion ska genomföras av en tredje part ska denne godkännas av båda Parter och att kostnaden för sådan inspektion ska bäras av den Personuppgiftsansvarige. Den Personuppgiftsansvarige ska säkerställa att en sådan tredje part är bunden av sekretess i förhållande till all information som den tredje parten tar del av inom ramen för inspektionen, samt att ett sådant sekretessåtagande inte är mindre restriktivt än det sekretessåtagande som följer av avsnitt 7.6 nedan.
6.3 Ingen av Parterna har rätt att företräda den andra Parten inför Datainspektionen eller annan tredje part.
6.4 Parterna ska, i skälig utsträckning, tillhandahålla information till den andra Parten som kan vara användbar inom ramen för ett tillsynsärende eller domstolsförfarande som initierats mot den andra Parten.
7. Anlitande av underbiträden
7.1 Personuppgiftsbiträdet har rätt att anlita underbiträden för att Behandla Personuppgifter för den Personuppgiftsansvariges räkning ("Underbiträden").
7.2 Om Personuppgiftsbiträdet anlitar ett Underbiträde godkänner den Personuppgiftsansvarige att Personuppgiftsbiträdet ingår ett personuppgiftsbiträdesavtal direkt med Underbiträdet. Ett sådant personuppgiftsbiträdesavtal med Underbiträdet ska innehålla skyldigheter motsvarande och inte mindre restriktiva än vad som följer av detta Personuppgiftsbiträdesavtal. Den Personuppgiftsansvarige accepterar att Personuppgiftsbiträdet och Underbiträdet, när omständigheterna så kräver, ingår Underbiträdets standardavtal för behandling av personuppgifter, under förutsättning att ett sådant standardavtal efterlever de krav som ställs i Tillämplig Personuppgiftslagstiftning.
7.3 De Underbiträden som Behandlar Personuppgifter för den Personuppgiftansvariges räkning ska vid var tid framgå av xxxxx://xxx.xxxxxxxxxxxxx.xx/xx/xxxxxxxxxxxxx
7.4 Om Personuppgiftsbiträdet avser att anlita ett nytt Underbiträde, ska Personuppgiftsbiträdet utan onödigt dröjsmål skriftligen informera den Personuppgiftsansvarige om detta.
7.5 Den Personuppgiftsansvarige har i förhållande till anlitande av nya Underbiträden möjlighet att göra invändningar mot anlitande av Underbiträdet.
7.6 Personuppgiftsbiträdet ansvarar gentemot den Personuppgiftsansvarige för Underbiträdens Behandling av Personuppgifter såsom för egen räkning.
8. Sekretess
8.1 Utan att det påverkar tillämpningen av eventuella sekretessåtaganden i Anslutningsavtalet ska Personuppgiftsbiträdet hålla alla Personuppgifter som Behandlas för den Personuppgiftsansvariges räkning strikt konfidentiella. Personuppgiftsbiträdet ska således inte, direkt eller indirekt, utlämna några Personuppgifter till tredje part om inte den Personuppgiftsansvarige skriftligen på förhand godkänt detta, såvida inte Personuppgiftsbiträdet är skyldigt enligt Tillämplig Lagstiftning eller beslut av domstol eller myndighet att lämna ut Personuppgifterna, eller om det är nödvändigt för fullgörandet av Anslutningsavtalet eller detta Personuppgiftsbiträdesavtal. Vid utlämning av Personuppgifter till tredje part ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om utlämningen av Personuppgifter såvida hinder inte föreligger enligt Tillämplig Lagstiftning eller beslut av domstol eller myndighet.
8.2 Personuppgiftsbiträdet accepterar att sekretessåtagandet enligt punkt 8.1 ska fortsätta att gälla även efter att detta Personuppgiftsbiträdesavtal upphört och till dess att alla Personuppgifter har återlämnats till den Personuppgiftsansvarige eller efter den Personuppgiftsansvariges skriftliga begäran på ett säkert och oåterkalleligt sätt förstörts eller avidentifierats enligt punkten 11 nedan.
8.3 Den Personuppgiftsansvarige förbinder sig att hålla all information som den Personuppgiftsansvarige erhåller avseende Personuppgiftsbiträdets säkerhetsåtgärder, rutiner, IT-system eller som annars är av konfidentiell karaktär strikt konfidentiellt och att inte till någon utomstående röja konfidentiell information som härrör från Personuppgiftsbiträdet eller dess Underbiträden. Den Personuppgiftsansvarige har endast rätt att röja sådan information som den Personuppgiftsansvarige är skyldig att röja enligt Tillämplig Lagstiftning eller enligt Anslutningsavtalet eller detta Personuppgiftsbiträdesavtal. Den Personuppgiftsansvarige accepterar att detta sekretessåtagande ska fortsätta att gälla även efter att det att detta Personuppgiftsbiträdesavtal har upphört att gälla.
8.4 Personuppgiftsbiträdets sekretessåtagande enligt denna punkt 8 omfattar både tystnadsplikt och handlingssekretess. Personuppgiftsbiträdet åtar sig att tillse att all personal hos Personuppgiftsbiträdet som bereds tillgång till personuppgifter är bundna av denna sekretess. Detsamma gäller i de fall Personuppgiftsbiträdet anlitar underbiträden för behandling av personuppgifter.
8.5 För det fall den Personuppgiftsansvarige utgör en myndighet, kommun eller annan organisation bunden av offentlighet- och sekretesslagen ska punkt 8.3 tillämpas mellan Parterna på så sätt att punkten inte hindrar den Personuppgiftsansvariges sedvanliga tillämpning av reglerna om offentlighetsprincipen. Vid en begäran om tillgång till handlingar med stöd av offentlighetsprincipen ska dock den Personuppgiftsansvarige beakta Personuppgiftsbiträdets ståndpunkt om att all informationen är strikt konfidentiell.
9. Ansvar
9.1 Parterna är solidariskt ansvariga i förhållande till krav från registrerade hänförliga till behandlingen av den registrerades personuppgifter. Den Part som ersätter en registrerad ska ha rätt till regress i enlighet med bestämmelserna i artikel 82 Dataskyddsförordningen. Personuppgiftsbiträdets ansvar enligt denna punkt är dock begränsat till maximalt ersättningsbelopp enligt Anslutningsavtalet.
9.2 Parterna är överens om att ingen Part ska vara skyldig att ersätta den andra Parten för administrativa sanktionsavgifter påförda av en tillsynsmyndighet eller domstol enligt Tillämplig Personuppgiftslagstiftning.
10. Registrerades rättigheter
Personuppgiftsbiträdet ska i den mån det är möjligt bistå den Personuppgiftsansvarige genom att vidta de tekniska och organisatoriska åtgärder som är nödvändiga för att den Personuppgiftsansvarige ska kunna fullgöra sin skyldighet att svara på en begäran om utö- vande av en Registrerads rättighet som tillkommer en Registrerad enligt Tillämplig Person- uppgiftslagstiftning. Personuppgiftsbiträdet har rätt till ersättning för sådan assistans i enlighet med vid var tid gällande prislista.
11. Återlämnande av Personuppgifter
Vid Anslutningsavtalets upphörande ska den Personuppgiftsansvarige skriftligen instruera Personuppgiftsbiträdet om de Personuppgifter som Personuppgiftsbiträdet Behandlat för den Personuppgiftsansvariges räkning inom ramen för detta Personuppgiftsbiträdesavtal ska (i) återlämnas till den Personuppgiftsansvarige eller (ii) oåterkalleligt raderas. Om den Personuppgiftsansvarige inte inkommer med sådan instruktion inom trettio (30) dagar från att Anslutningsavtalet har upphört att gälla, ska Personuppgiftsbiträdet oåterkalleligt radera Personuppgifterna utan onödigt dröjsmål.
12. Överföring till och behandling av Personuppgifter i Tredje Land
12.1 Personuppgiftsbiträdet har rätt att överföra Personuppgifter som tillhör den Personuppgiftsansvarige till ett Tredje Land endast om någon av följande förutsättningar är uppfyllda:
12.1.1 det Tredje Landet säkerställer en adekvat skyddsnivå för Personuppgifter enligt ett beslut meddelat av EU-kommissionen;
12.1.2 det finns lämpliga skyddsåtgärder på plats enligt Tillämplig Personuppgiftslagstiftning, t.ex. standardiserade dataskyddsbestämmelser som antagits av EU-kommissionen, som omfattar överföringen och Behandling av Personuppgifterna samt övriga nödvändiga skyddsåtgärder som krävs i det enskilda fallet; eller
12.1.3 det enligt Personuppgiftsbiträdets uppfattning är möjligt att förlita sig på ett annat undantag enligt Tillämplig Personuppgiftslagstiftning för överföringen av Personuppgifter.
12.2 Till undvikande av tvivel får Personuppgifter inte överföras till eller Behandlas i Tredje Land om ingen av förutsättningarna i punkten 12.1 ovan föreligger. I den mån en överföring av uppgifter sker med stöd av punkt 12.1.3 får Personuppgifterna endast överföras till det Tredje Landet i den utsträckning som det aktuella undantaget omfattar överföringen och Behandlingen av Personuppgifter.
12.3 Om Personuppgiftsbiträdet avser att överföra Personuppgifter till tredjeland ska Personuppgiftsbiträdet, innan sådan överföring sker, informera den Personuppgiftsansvarige om detta.
12.4 För det fall den Personuppgiftsansvariges filialer eller koncernbolag utanför EU/EES får tillgång till Personuppgifter i IA-systemet i enlighet med Anslutningsavtalet eller om den Personuppgiftsansvarige på annat sätt bereder sig tillgång till Personuppgifterna i ett Tredje Land, är den Personuppgiftsansvarige införstådd med att den Personuppgiftsansvarige överför Personuppgifterna till Tredje Land. Den Personuppgiftsansvarige ska därför, i sådant fall, säkerställa adekvat skyddsnivå genom att t.ex. ingå standardiserade dataskyddsbestämmelser som antagits av Europeiska Kommissionen tillsammans med mottagande part. För undvikande av missförstånd, Personuppgiftsbiträdet har inget ansvar för att överföringen enligt denna punkt
12.3 är tillåten enligt Tillämplig Personuppgiftslagstiftning.
13. Avtalsperiod och upphörande
13.1 Detta Personuppgiftsbiträdesavtal träder i kraft vid undertecknandet av Anslutningsavtalet och ska därefter gälla under Anslutningsavtalets löptid eller under den längre period som Personuppgiftsbiträdet Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.
13.2 Personuppgiftsbiträdesavtal ska gälla även om Anslutningsavtalet upphör och tillsvidare till dess att Personuppgiftsbiträdet (och Underbiträden anlitade av Personuppgiftsbiträdet) upphör med att Behandla Personuppgifter för den Personuppgiftsansvariges räkning.
14. Överlåtelse
Ingen av Parterna äger rätt att helt eller delvis överlåta sina rättigheter eller skyldigheter enligt detta Personuppgiftsavtal utan den andra Partens skriftliga samtycke.
15. Ändringar och tillägg
De bestämmelser avseende ändringar och tillägg enligt Anslutningsavtalet ska äga motsvarande tillämpning på detta Personuppgiftsbiträdesavtal.
16. Tillämplig lag och tvist
De bestämmelser avseende tillämplig lag och tvist enligt Anslutningsavtalet ska äga motsvarande tillämpning på detta Personuppgiftsbiträdesavtal.
Bilaga 2.1
Beskrivning av behandling av Personuppgifter som omfattas om Personuppgiftsbiträdesavtalet
Denna Bilaga 2.1 utgör en integrerad del av Personuppgiftsbiträdesavtalet.
Kategorier av Registrerade | Följande kategorier av Registrerade berörs av Behandlingen av Personuppgifter som omfattas av Personuppgiftsbiträdesavtalet: • Personer med arbetsskador • Kontaktpersoner • Användare av tjänsten |
Kategorier av Personuppgifter | Följande kategorier av Personuppgifter kan komma att Behandlas: • Personnummer tillhörande person med arbetsskada • Kontaktuppgifter till person med arbetsskada, kontaktperson och användare • Information om arbetsskadehändelsen |
Ändamål med Behandlingen | Personuppgifterna Behandlas för följande ändamål: • för att tillhandahålla Tjänsterna enligt Anslutningsavtalet; • för att fullgöra övriga skyldigheter som åvilar Personuppgiftsbiträdet enligt Anslutningsavtalet och detta Personuppgiftsbiträdesavtal |
Behandlingar av Personuppgifter | Personuppgifterna kommer på uppdrag av den personuppgiftsansvarige att Behandlas på följande sätt: • Insamling • Lagring • Utlämning genom överföring till Försäkringskassan (LAF-anmälan) • Utlämning genom överföring till Arbetsmiljöverket (LAF-anmälan, 3:3a) • Utlämning genom överföring till AFA Försäkring (TFA-anmälan) • Radering |
Bevarande av Personuppgifter | Personuppgifterna kommer att bevaras enligt de tidsinställningar som den Personuppgiftsansvariga anger i tjänsten |