TimeApp Personuppgiftsbiträdesavtal
TimeApp Personuppgiftsbiträdesavtal
1. Parter
1.1 Detta avtal (nedan benämnt Biträdesavtal) träffas mellan P&K TimeApp AB, xxx.xx 556460-3669 (nedan kallad Personuppgiftsbiträde) och Xxxxxx (nedan kallad Personuppgiftsansvarig).
2. Definitioner
2.1 Behandling av personuppgifter
Åtgärder som vidtas i fråga om behandling av personuppgifter oavsett dess form och gränssnitt.
2.2 Personuppgiftsansvarig
Den som ensam eller tillsammans med andra bestämmer ändamål, metod och medel för behandlingen av personuppgifter.
2.3 Personuppgiftsbiträde
Den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
2.4 Om annat inte framgår av detta Biträdesavtal, ska begrepp som används i detta Biträdesavtal tolkas i enlighet med tillämplig dataskyddslagstiftning.
3. Syfte
3.1 Parterna har träffat ett avtal avseende Personuppgiftsbiträdets tillhandahållande av tjänster till Personuppgiftsansvarig (”Huvudavtalet”). De tjänster som tillhandahålls enligt Huvudavtalet kommer att innebära att Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.
3.2 Syftet med detta Biträdesavtal är att tillse att Personuppgiftsbiträdets behandling av personuppgifter för Personuppgiftsansvariges räkning sker i enlighet med Dataskyddsförordningens krav (GDPR, eller Europaparlamentets och -rådets förordning EU 2016/679) och enligt vad som överenskommits i detta Biträdesavtal.
4. Instruktioner
4.1 Personuppgiftsbiträdet får endast behandla den Personuppgiftsansvariges personuppgifter i enlighet med den Personuppgiftsansvariges skriftliga
instruktioner, såvida inte annat följer av tillämplig dataskyddslagstiftning.
4.2 Den Personuppgiftsansvariges ursprungliga instruktioner till Personuppgiftsbiträdet om behandlingens form och varaktighet, behandlingens karaktär och ändamål, typ av personuppgifter och kategorier av registrerade uppgifter anges i detta Biträdesavtal och i Bilaga 1 - Instruktioner för behandling av personuppgifter.
4.3 För det fall Personuppgiftsbiträdet saknar instruktioner, som denne bedömer är nödvändiga för att genomföra sina åtaganden, ska Personuppgiftsbiträdet, utan dröjsmål, informera Personuppgiftsansvarig om detta och invänta instruktioner.
5. Personuppgiftsbiträdets åtagande
5.1 Personuppgiftsbiträdet åtar sig att tillämpa gällande svensk lagstiftning och förekommande EU-direktiv vid personuppgiftsbehandlingen.
5.2 Personuppgiftsbiträdet åtar sig att endast lämna ut personuppgifterna till de inom sin egen organisation som behöver tillgång till uppgifterna, för att kunna utföra sina arbetsuppgifter.
5.3 Personuppgiftsbiträdet får inte lämna ut personuppgifterna eller annan information om personuppgiftsbehandlingen till tredje man annat än efter Personuppgiftsansvariges i förväg lämnade skriftliga samtycke, med undantag för när sådant utlämnande kan krävas enligt lag.
5.4 För det fall myndighet eller annan tredje man begär ut information från Personuppgiftsbiträdet som rör personuppgiftsbehandlingen ska Personuppgiftsbiträdet utan dröjsmål vidarebefordra sådan framställan till Personuppgiftsansvarig, om inte annat följer av svensk eller europeisk lag, myndighetsbeslut eller domstols dom eller beslut. Personuppgiftsbiträdet ska vid behov assistera Personuppgiftsansvarig med att ta fram information som begärts av tredje man.
5.5 Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarigs räkning gentemot tredje man, om ej annat skriftligt överenskommits.
5.6 Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt tillämplig dataskyddslagstiftning och enligt den Personuppgiftsansvariges skriftliga instruktioner i varje enskilt fall, bistå den Personuppgiftsansvarige vid fullgörandet av dennes skyldigheter enligt tillämplig dataskyddslagstiftning.
6. Säkerhet
6.1 Personuppgiftsbiträdet ska vidta erforderliga säkerhetsåtgärder enligt gällande lag och tillämplig praxis, för att skydda personuppgifter.
6.2 Personuppgiftsbiträdet intygar att dennes verksamhet i alla delar sköts på ett sätt som säkerställer efterlevnad av personuppgiftslagens krav på adekvat säkerhetsnivå. Personuppgiftsbiträdet åtar sig att följa myndighetsbeslut gällande säkerhetsåtgärder för personuppgiftshanteringen.
6.3 Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarig vid upptäckt av eller misstanke om obehörig åtkomst av personuppgifterna.
6.4 För att kunna säkerställa att Personuppgiftsbiträdet vidtar tillräckliga säkerhetsåtgärder har Personuppgiftsansvarig rätt till nödvändig insyn i Personuppgiftsbiträdets verksamhet, system och personuppgiftshantering. Personuppgiftsbiträdet åtar sig att utan dröjsmål, på Personuppgiftsansvariges begäran, tillhandahålla Personuppgiftsansvarig med den information denne behöver, för att kunna utöva sin insyn under förutsättning att de personer som utför granskningen ingår lämpliga sekretessavtal.
6.5 Personuppgiftsbiträdet är skyldigt att säkerställa att endast sådan personal som behöver ha tillgång till personuppgifterna för att kunna fullgöra Personuppgiftsbiträdets skyldigheter enligt Huvudavtalet och detta Biträdesavtal får tillgång till sådana uppgifter. Personuppgiftsbiträdet ska säkerställa att sådan personal omfattas av en lämplig sekretessförbindelse.
7. Underbiträden och tredjelandsöverföringar
7.1 Godkända underbiträden när detta Avtal upprättades, finns listade i Bilaga 2
- På förhand godkända underbiträden.
7.2 Om Personuppgiftsbiträdet avser anlita nya underbiträden, är Personuppgiftsbiträdet skyldig att informera Xxxxxx om detta, för att ge Xxxxxx möjlighet att inkomma med eventuella invändningar.
7.3 Personuppgiftsbiträdet ska vid anlitande av nya underbiträden, tillhandahålla Personuppgiftsansvarig med information, som den Personuppgiftsansvarige anser nödvändig angående underleverantören inklusive, men inte begränsat till:
- Underleverantörens bolagsnamn.
- Vilket land underleverantören kommer att behandla Personuppgiftsansvariges personuppgifter i.
- Vilken typ av tjänst underleverantören kommer att utföra.
7.4 Personuppgiftsbiträdet ska säkerställa att underbiträden är bundna av skriftliga avtal som ålägger dem samma skyldigheter i fråga om dataskydd som de som gäller enligt detta Biträdesavtal.
7.5 Personuppgiftsbiträdet åtar sig att informera Personuppgiftsansvarige om beslut att upphöra att använda sig av en underleverantör.
7.6 Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet överför personuppgifter utanför EU/EES. Om personuppgifter överförs till, eller om åtkomst möjliggörs från, plats utanför EU/EES, ska Personuppgiftsbiträdet säkerställa att det finns en laglig grund för överföringen enligt tillämplig dataskyddslagstiftning och att överföringen omfattas av lämpliga skyddsåtgärder, såsom EU-kommissionens modellklausuler.
8. Personuppgiftsincidenter
8.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige efter att ha fått vetskap om en personuppgiftsincident.
8.2 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med den information som rimligen kan krävas för att uppfylla dennes skyldighet att anmäla personuppgiftsincidenter.
9. Rättelse och radering av personuppgifter
9.1 Personuppgiftsbiträdet åtar sig att utan dröjsmål rätta felaktiga eller ofullständiga personuppgifter efter instruktioner från Personuppgiftsansvarig.
9.2 Efter det att Personuppgiftsansvarig skriftligen begärt radering av personuppgifter får Personuppgiftsbiträdet endast behandla personuppgifterna, som ett led i raderingsprocessen och åtar sig att radera personuppgifterna utan dröjsmål, men senast inom etthundratjugo (120) dagar.
9.3 Vid avtalets upphörande ska Personuppgiftsbiträdet, på begäran av Personuppgiftsansvarig, radera eller återlämna personuppgifterna. För det fall Personuppgiftsansvarig inte begär radering sparar Personuppgiftsbiträdet all data, inkl personuppgifter, relaterat till Kundens konto i upp till 12 månader, varpå kontot raderas permanent. Detta för att Kundens konto ska kunna återaktiveras i upp till ett år efter avslutat abonnemang.
10. Ansvarsbegränsning
10.1 De ansvarsbegränsningar som anges i Huvudavtalet ska tillämpas för Personuppgiftsbiträdets ansvar enligt detta Biträdesavtal.
11. Överlåtelse
11.1 Detta avtal får inte överlåtas utan andra parts godkännande. Överlåtelser ska utgöra ett skriftligt komplement till detta avtal.
12. Avtalstid
12.1 Bestämmelserna i detta Biträdesavtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter, för vilka den Personuppgiftsansvarige är personuppgiftsansvarig.
13. Tvistelösning
13.1 Tvister som uppstår i anledning av detta Biträdesavtal ska slutligt avgöras i enlighet med bestämmelserna om tvistlösning i Huvudavtalet.
Bilaga 1
Instruktioner för behandling av personuppgifter
Ändamål
Ändamål för vilka personuppgifterna ska behandlas av Personuppgiftsbiträdet.
• Fullgöra sina skyldigheter enligt Avtalet samt detta Biträdesavtal
• Fullgöra Personuppgiftsbiträdets skyldigheter enligt tillämplig dataskyddslagstiftning som är tillämpliga för Personuppgiftsbiträdet vid dennes behandling av personuppgifter enligt Avtalet och detta Biträdesavtal.
Kategorier av uppgifter
Personuppgifter som behandlas av Personuppgiftsbiträdet.
Vilka kategorier av personuppgifter som ska behandlas varierar beroende på vilka av Tjänstens funktioner, som används av den Personuppgiftsansvarige. Exempel på personuppgifter som ska behandlas i samband med Tjänsten är:
• Kontaktuppgifter, såsom till exempel namn, e-postadress och adress mm.
• Faktureringsinformation, såsom till exempel kundnummer, adress och referens mm.
• Personaluppgifter, såsom personnummer och bankkontonummer samt personuppgifter om hälsa såsom sjukfrånvaro mm.
Kategorier av registrerade
Kategorier av registrerade som Personuppgiftsbiträdet på uppdrag av Personuppgiftsansvarig kommer att behandla personuppgifter om.
• Användare, inkluderat Huvudanvändaren för den Personuppgiftsansvarige.
• Den Personuppgiftsansvarige, om denne är en enskild firma.
• Den Personuppgiftsansvariges anställda, kunder och leverantörer samt andra kategorier av registrerade vars personuppgifter den Personuppgiftsansvarige beslutar.
• Beroende på vilken verksamhet som den Personuppgiftsansvarige väljer att använda Tjänsten inom kan Personuppgiftsbiträdet eventuellt och undantagsvis komma att behandla personuppgifter om minderåriga.
Behandlingsaktiviteter
Behandlingsaktiviteter som kommer att utföras av Personuppgiftsbiträdet.
• Organisering, strukturering, lagring och insamling av personuppgifterna i form av filimport.
• Överföring av personuppgifterna, för att fullgöra Personuppgiftsbiträdets skyldigheter i enlighet med punkt 4 i Biträdesavtalet.
• Bearbetning eller ändring, kopiering, justering eller sammanförande och radering av personuppgifterna, för att på begäran av den Personuppgiftsansvarige fullgöra Personuppgiftsbiträdets skyldigheter enligt punkt 5 i Personuppgiftsbiträdesavtalet.
Plats för behandling av personuppgifterna
Alla platser där personuppgifter kommer att behandlas av Personuppgiftsbiträdet.
• Plats för behandlingen varierar beroende på vilka av Tjänsterna och funktionerna som används av den Personuppgiftsansvarige. En fullständig översikt avseende platser för respektive behandling finns i Bilaga 2 - På förhand godkända underbiträden.
• Personuppgifterna lagras i en datahall i Sverige med full redundans i alla led. Säkerhetstester sker kontinuerligt, för att kontrollera efterlevnaden av säkerheten. Personuppgiftsbiträdet har att implementera tillräckliga processer och rutiner för behandlingen av personuppgifter.
Bilaga 2
På förhand godkända underbiträden
Leverantör | Syfte | Plats |
GleSYS AB | Tillhandahåller IT-infrastruktur (servrar). | Sverige |
Swedbank Pay | Tillhandahåller betalväxel för P&K TimeApp AB. | Sverige |
Fortnox AB | Tillhandahåller mjukvara för fakturahantering och hanterar fakturering för P&K TimeApp AB. | Sverige |
Zendesk, Inc | Tillhandahåller mjukvara för kundsupport. | Tyskland |
Amazon Web Services, Inc | Tillhandahåller IT-infrastruktur för utskick av nyhetsbrev. | Sverige |
Amazon Web Services, Inc | Tillhandahåller IT-infrastruktur för lagring av backup. | Sverige |
Google, LLC | Tillhandahåller mjukvara för hantering av e-post. | EU |
Google, LLC | Tillhandahåller utskick av transaktionella e- postmeddelanden. | EU |
P&K TimeApp AB har gällande personuppgiftsbiträdesavtal med samtliga underbiträden.