Contract
1 PARTER
Den som beställer och använder våra tjänster, och därmed bekräftar att de accepterar våra Allmänna villkor och detta därtill hörande Personuppgiftsbiträdesavtal, och därmed innehar personuppgiftsansvaret enligt detta avtal (nedan kallat “Personuppgiftsansvarig”),
OCH
InTime International AB (nedan kallat “Personuppgiftsbiträdet”) med organisationsnummer 556649-1527 och adress Xxxxxxxxxx 00, 000 00 Xxxxx
(gemensamt ”Parterna”)
enas om följande personuppgiftsbiträdesavtal (”Avtalet”).
2 BAKGRUND
2.1 Parterna har träffat ett avtal om tjänsten (”Tjänsteavtalet”) där Personuppgiftsbiträdet på uppdrag av Personuppgiftsansvarig ska förmedla meddelanden via de elektroniska tjänster som ingår i Tjänsteavtalet. Med anledning av Tjänsteavtalet kommer Personuppgiftsbiträdet behandla personuppgifter för Personuppgiftsansvarigs räkning.
2.2 Enligt Tillämplig dataskyddslag, se punkt 3.1 nedan, ska behandling av personuppgifter utförd av ett personuppgiftsbiträde för en personuppgiftsansvarigs räkning regleras i avtal. Med anledning därav har Parterna ingått Avtalet.
2.3 Syftet med Avtalet är att tillse att Personuppgiftsbiträdets behandling av personuppgifter för Personuppgiftsansvarigs räkning sker i enlighet med Tillämplig dataskyddslag, myndighetsbeslut och Personuppgiftsansvarigs instruktioner.
2.4 Avtalet utgör bilaga till Tjänsteavtalet. Vid händelse av motstridiga bestämmelser ska Avtalet ges företräde.
3 DEFINITIONER
3.1 ”Tillämplig dataskyddslag” avser Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) med tillhörande genomförandeförfattningar samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på den personuppgiftsbehandling som sker under Avtalet, såsom denna kan komma att förändras över tid. Xxxxxxx och uttryck som rör personuppgifter och personuppgiftsbehandling och som inleds med gemen, t.ex. ”personuppgiftsansvarig”, ”personuppgift”, ”behandling”, ”personuppgiftsbiträde”, ”tredjeland” etc., ska ges den betydelse som anges i Tillämplig dataskyddslag.
4 ANSVAR OCH INSTRUKTION
4.1 Personuppgiftsbiträdet ska utföra all behandling av personuppgifter i enlighet med Avtalet och Tillämplig dataskyddslag.
4.2 Personuppgiftsbiträdet får endast behandla personuppgifter i enlighet med Personuppgiftsansvarigs dokumenterade instruktioner och övriga anvisningar avseende ändamålet, omfattningen, arten och varaktigheten av behandling av personuppgifter samt kategorier av registrerade i den utsträckning som är nödvändig för att Personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt Avtalet och Tillämplig dataskyddslag. Sådana instruktioner framgår av Bilaga 1.
4.3 Personuppgiftsbiträdet har inte rätt att behandla personuppgifter för något annat ändamål än vad som framgår av Avtalet, med mindre än att Personuppgiftsansvarig skriftligen godkänt det i varje enskilt fall.
4.4 Har Personuppgiftsbiträdet otillräckliga eller felaktiga instruktioner ska denne utan dröjsmål påtala detta för Personuppgiftsansvarig, och därefter invänta vidare instruktioner från Personuppgiftsansvarig.
5 SÄKERHET OCH SEKRETESS
5.1 Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet till oavsiktlig eller olaglig förstöring, förlust eller ändring eller från obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlas. Om personuppgifterna som behandlas utgör känsliga personuppgifter ska Personuppgiftsbiträdet vidta eventuella ytterligare sådana åtgärder som är lämpliga för skydd av dessa.
5.2 För att skydda de personuppgifter som behandlas ska Personuppgiftsbiträdet, som miniminivå, vidta sådana tekniska och organisatoriska åtgärder som anges i Bilaga 2. Därutöver ansvarar Personuppgiftsbiträdet för att följa myndighetsbeslut om säkerhetsåtgärder för behandlingen av personuppgifter.
5.3 Personuppgiftsbiträdet ska behandla personuppgifterna med sekretess. Personuppgiftsbiträdet är ansvarigt för att personer hos Personuppgiftsbiträdet med behörighet att behandla personuppgifterna ska ingå särskild sekretessförbindelse eller upplysas om att tystnadsplikt föreligger enligt lag eller avtal. Personuppgiftsbiträdets sekretessåtagande gäller även efter att Avtalet upphört att gälla.
6 UNDERBITRÄDEN
6.1 Personuppgiftsbiträdet har rätt att anlita ett annat personuppgiftsbiträde (”Underbiträde”) för fullgörandet av Personuppgiftsbiträdets åtaganden enligt Avtalet, förutsatt att (i) Personuppgiftsbiträdet informerar Personuppgiftsansvarig om sina avsikter att använda eller byta ut ett Underbiträde varpå Personuppgiftsansvarig har rätt att göra invändningar mot en sådan förändring, (ii) sådant Underbiträde ingår ett skriftligt så kallat underbiträdesavtal med Personuppgiftsbiträdet med villkor som motsvarar villkoren i Avtalet, och då särskilt för att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder för att uppfylla kraven i Tillämplig dataskyddslag. En kopia på ingånget underbiträdesavtal ska på begäran av Personuppgiftsansvarig skickas till Personuppgiftsansvarig.
Om Personuppgiftsansvarig nyttjar sin rätt att invända mot Personuppgiftsbiträdets anlitande av Underbiträde har Personuppgiftsbiträdet rätt att säga upp Tjänsteavtalet med tre (3) månaders uppsägningstid utan rätt för Personuppgiftsansvarig att begära ersättning för eventuell skada som har uppkommit i samband med en förtida uppsägning.
6.2 Personuppgiftsbiträdet ska säkerställa att Personuppgiftsansvarig har kännedom om vilka Underbiträden som behandlar personuppgifter genom att utan dröjsmål, på begäran av Personuppgiftsansvarig, tillhandahålla Personuppgiftsansvarig fullständig, korrekt och uppdaterad information om samtliga Underbiträden, där följande information specificeras för varje enskilt Underbiträde: (i) definition av Underbiträdet, inklusive dess kontaktinformation, bolagsform och geografisk placering, (ii) vilken typ av tjänst som Underbiträdet utför, (iii) garantier som uppställs för att kraven i Tillämplig dataskyddslag kommer att följas, samt (iv) var Underbiträdet behandlar personuppgifter som omfattas av Avtalet.
6.3 Om Underbiträdet inte fullgör sina skyldigheter ska Personuppgiftsbiträdet vara fullt ansvarigt gentemot Personuppgiftsansvarig för utförandet av Underbiträdets skyldigheter.
6.4 Teleoperatörerna har proklamerat att de inte är underbiträden utan personuppgiftsansvariga för sina abonnenter. Teleoperatörerna omfattas även av annan lagstiftning om hur, var och länge data lagras. Detta Avtal omfattar således inte dem.
7 ÖVERFÖRING TILL TREDJELAND
7.1 Personuppgiftsbiträdet får överföra personuppgifter till tredjeland om sådan överföring sker i överenstämmelse med Tillämplig dataskyddslag.
7.2 Om överföring till tredjeland kräver att särskilt avtal ingås ska Personuppgiftsbiträdet, oavsett om det är Personuppgiftsbiträdet eller ett Underbiträde som ska ingå avtalet, presentera sådant avtal för Personuppgiftsansvarig på Personuppgiftsansvarigs begäran.
8 SAMVERKAN
8.1 Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder assistera Personuppgiftsansvarig vid en begäran från en registrerad, om utlämning, rättelse, radering, blockering eller överföring av personuppgifter som behandlas av Personuppgiftsbiträdet på uppdrag av Personuppgiftsansvarig, inklusive tillhandahålla all relevant information och dokumentation, i den mån och utsträckning detta krävs under Tillämplig dataskyddslag.
8.2 Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarig, i relation till personuppgifterna som behandlas på uppdrag av Personuppgiftsansvarig, om en misstanke om eller konstaterad personuppgiftsincident och assistera Personuppgiftsansvarig i framtagandet av information till registrerade och anmälan till behörig tillsynsmyndighet, i den mån och utsträckning detta krävs under Tillämplig dataskyddslag. Informationen som ska lämnas till Personuppgiftsansvarig ska åtminstone:
a) beskriva personuppgiftsincidentens art, inbegripet, när så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet poster av personuppgifter som berörs,
b) förmedla namnet på och kontaktuppgifterna för kontaktpunkter där mer information kan erhållas,
c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten, samt
d) beskriva de åtgärder som Personuppgiftsbiträdet har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten inbegripet när så är lämpligt åtgärder för att mildra dess potentiella negativa effekter.
8.3 Personuppgiftsbiträdet ska assistera Personuppgiftsansvarig, i relation till personuppgifterna som behandlas på uppdrag av Personuppgiftsansvarig, med genomförande av konsekvensbedömningar avseende dataskydd, förhandssamråd med behörig tillsynsmyndighet, samt utformning av lämpliga tekniska och organisatoriska åtgärder, i den mån detta krävs under Tillämplig dataskyddslag.
9 UTLÄMNANDE AV UPPGIFTER
9.1 Personuppgiftsbiträdet har inte rätt att, utan skriftligt godkännande från Personuppgiftsansvarig, lämna ut personuppgifter eller annan information om behandlingen av personuppgifter till tredje man, annat än då sådant utlämnande krävs enligt lag.
9.2 Om begäran om sådant utlämnande framställs av myndighet, en registrerad eller annan tredje part, ska Personuppgiftsbiträdet utan dröjsmål vidarebefordra sådan framställan till Personuppgiftsansvarig.
9.3 Om Personuppgiftsansvarig skriftligen godkänt visst utelämnande, ska Personuppgiftsbiträdet utföra utlämnandet enligt instruktion från Personuppgiftsansvarig samt begärda åtgärder i anslutning till utlämnandet.
10 INSYN OCH UPPFÖLJNING
10.1 Personuppgiftsansvarig äger rätt att själv eller genom tredje man, under förutsättning att de personer som utför granskningen ingår lämpliga sekretessavtal och att de inte representerar en konkurrent till Personuppgiftsbiträdet, genomföra revision gentemot Personuppgiftsbiträdet eller på annat sätt kontrollera Personuppgiftsbiträdets efterlevnad av de åtaganden som beskrivits i Avtalet. Vid sådan uppföljning har Personuppgiftsansvarig rätt att begära ut dokumentation över Personuppgiftsbiträdets vidtagna åtgärder i syfte att uppnå efterlevnad av de åtaganden som beskrivits i Xxxxxxx. Samtliga kostnader som uppstår för Personuppgiftsbiträdet i samband med revision eller kontroll av efterlevnad av Avtalet enligt ovan skall bäras av Personuppgiftsansvarig, Personuppgiftsbiträdets tid tillkommer och debiteras med, vid tidpunkten, aktuellt arvode.
10.2 Personuppgiftsbiträdet ska på begäran av Personuppgiftsansvarig tillhandahålla all tillgänglig information avseende behandlingen av personuppgifter för att Personuppgiftsansvarig ska kunna uppfylla sina skyldigheter som personuppgiftsansvarig enligt Tillämplig dataskyddslag.
10.3 Personuppgiftsbiträdet ska tillåta de inspektioner som behörig tillsynsmyndighet under Tillämplig dataskyddslag kan kräva för säkerställandet av en korrekt behandling av personuppgifter. Personuppgiftsbiträdet ska följa av behörig tillsynsmyndighets fattade beslut om åtgärder för att uppfylla kraven i Tillämplig dataskyddslag.
11 UPPHÖRANDE AV PERSONUPPGIFTSBEHANDLING
11.1 Vid Avtalets upphörande ska all information, personuppgifter och andra data tillhörande Personuppgiftsansvarig, av Personuppgiftsbiträdet raderas eller återlämnas enligt Personuppgiftsansvarigs närmare instruktioner. Om detta inte är möjligt ska Personuppgiftsbiträdet hantera alla personuppgifter med sekretess och inte aktivt behandla personuppgifterna.
11.2 Personuppgiftsbiträdet ska verka för att störningar i Personuppgiftsansvarigs verksamhet minimeras, vilket inkluderar skyldighet att bistå vid eventuell överflyttning till annat personuppgiftsbiträde.
12 ERSÄTTNING
12.1 Personuppgiftsbiträdet har rätt till ersättning för sådan behandling av personuppgifter och därtill hörande åtgärder, som inte uttryckligen har överenskommits av Parterna vid Avtalets ingående.
13 ANSVAR FÖR SKADA
13.1 Personuppgiftsbiträdet ska hålla Personuppgiftsansvarig skadelös avseende sådan skada som uppkommit till följd av behandling av personuppgifter i strid med Avtalet, instruktioner från Personuppgiftsansvarig, myndighetsbeslut eller Tillämplig dataskyddslag.
13.2 Personuppgiftsbiträdet ska utan oskäligt dröjsmål informera Personuppgiftsansvarig om sådan skadeståndsprocess inleds som har anknytning till behandling av personuppgifter enligt Xxxxxxx. Personuppgiftsbiträdet är skyldig att vidta skäliga åtgärder för att begränsa skadeverkningarna av det inträffade.
14 ÄNDRINGAR AV AVTALET
14.1 Ändringar av och tillägg till Avtalet ska för att vara bindande vara skriftligen avfattade och behörigen undertecknade av Parterna.
15 AVTALSTID
15.1 Avtalet träder i kraft vid beställning och användande av de tillhandahållna tjänsterna och gäller så länge Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning eller till dess Avtalet ersätts av ett annat personuppgiftsbiträdesavtal.
16 TILLÄMPLIG LAG OCH TVIST
16.1 Avtalet ska tolkas och tillämpas i enlighet med svensk rätt. Tvist med anledning av Xxxxxxx avgörs enligt vad som överenskommits i Tjänsteavtalet.
INSTRUKTIONER
Dessa instruktioner utgör en integrerad del av Avtalet och ska följas av Personuppgiftsbiträdet vid utförande av behandling av personuppgifter.
FÖREMÅL FÖR BEHANDLING
Personuppgifter som Personuppgiftsbiträdet behandlar i samband med att tillhandahålla tjänster enligt Tjänsteavtalet.
TYP AV BEHANDLING
● Insamling, lagring, bearbetning, radering.
● Överföring av personuppgifterna för att fullgöra Personuppgiftsbiträdets skyldigheter i enlighet med punkt 4 i Personuppgiftsbiträdesavtalet.
ÄNDAMÅL MED BEHANDLINGEN
Fullgöra Personuppgiftsbiträdets skyldigheter enligt Tjänsteavtalet, eventuella tjänstespecifika villkor och detta Personuppgiftsbiträdesavtal. Fullgöra Personuppgiftsbiträdets skyldigheter enligt tillämplig dataskyddslagstiftning som är tillämpliga för Personuppgiftsbiträdet i dennes egenskap av personuppgiftsbiträde vid Personuppgiftsbiträdets behandling av personuppgifter enligt Tjänsteavtalet och detta Personuppgiftsbiträdesavtal.
TYP AV PERSONUPPGIFTER
Vilka kategorier av personuppgifter som ska behandlas varierar beroende på vilka av Tjänsterna som används av den Personuppgiftsansvarige. Exempel på personuppgifter som kan behandlas med Tjänsterna är:
● Kontaktuppgifter, såsom till exempel namn, e-postadress, telefonnummer och adress.
● Personaluppgifter, såsom personnummer, information om hälso- och sjukfrånvaro.
● Känsliga personuppgifter såsom till exempel uppgifter som avslöjar religiös övertygelse, politiska åsikter och medlemskap i fackförening kan behandlas av Personuppgiftsbiträdet beroende på vilken verksamhet som den Personuppgiftsansvarige väljer att använda Tjänsterna inom.
KATEGORIER AV REGISTRERADE
● Användare.
● Den Personuppgiftsansvarige, om denne är en enskild firma.
● Den Personuppgiftsansvariges anställda, kunder, medlemmar och leverantörer samt andra kategorier av registrerade vars personuppgifter som den Personuppgiftsansvarige beslutar.
● Beroende på vilken verksamhet som den Personuppgiftsansvarige väljer att använda Tjänsterna inom kan Personuppgiftsbiträdet komma att behandla personuppgifter om minderåriga.
FYSISK PLATS DÄR BEHANDLINGEN UTFÖRS
Plats för behandlingen varierar beroende på vilka av Tjänsterna och funktionerna som används av den Personuppgiftsansvarige.
VARAKTIGHET AV BEHANDLINGEN
Den tid som krävs för Personuppgiftsbiträdet att fullgöra sina skyldigheter enligt Tjänsteavtalet, eventuella tjänstespecifika villkor och detta Personuppgiftsbiträdesavtal.
UNDERBITRÄDEN
Aktuell lista över Underbiträden finns tillgänglig via inloggning till Tjänsten.
SÄKERHETSÅTGÄRDER
Dessa tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå utgör en integrerad del av Avtalet och ska följas av Personuppgiftsbiträdet vid utförande av behandling av personuppgifter.
a) Fysisk säkerhet. Personuppgiftsbärande system ska skyddas mot elavbrott och andra störningar orsakade i tekniska försörjningsystem. Utrymmen där personuppgifter förvaras, så som serverhallar, ska skyddas genom lämpliga tillträdeskontroller för att säkerställa att endast behörig personal får tillträde. Det ska också finnas ett tillfredställande skydd mot stöld och händelser som kan förstöra IT- system och lagringsmedia.
b) Åtkomstskydd. När datorutrustning och löstagbara datamedier hos Personuppgiftsbiträdet som innehåller eller kan ge tillgång till personuppgifter som Personuppgiftsbiträdet behandlar för Personuppgiftsansvarigs räkning, inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall ska personuppgifterna krypteras. För det fall eventuella bärbara datorer används vid behandlingar ska personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade.
c) Skydd mot skadlig kod. Personuppgiftsbärande system ska vara skyddade mot virus, trojaner och andra former av digitala intrång.
d) Säkerhetskopia. Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas efter en störning. Personuppgiftsbiträdet ska ha en dokumenterad rutin för säkerhetskopiering och återläsning av säkerhetskopior, samt för test av återläsning.
e) Behörighetskontroll. Ett tekniskt system för behörighetskontroll ska styra åtkomsten till personuppgifterna för Personuppgiftsbiträdet. Behörigheten ska begränsas till dem som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord ska vara personliga och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter.
f) Loggning. Åtkomst till personuppgifter ska kunna följas upp i efterhand genom loggar eller liknande underlag. Underlaget ska kunna kontrolleras av Personuppgiftsbiträdet och återrapporteras till Personuppgiftsansvarig.
g) Datakommunikation. Anslutning för extern datakommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av Personuppgiftsbiträdet ska skyddas med kryptering.
h) Utplåning. När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre ska användas för sitt ändamål ska personuppgifterna raderas på sådant sätt att de inte kan återskapas.
i) Reparation och service. När reparation och service av datorutrustning, vilken används för att lagra Personuppgiftsansvarigs personuppgifter, utförs av annan än Personuppgiftsbiträdet, ska kontrakt som reglerar säkerhet och sekretess träffas med serviceföretaget. Vid servicebesök ska servicen ske under Personuppgiftsbiträdets överinseende. Är detta inte möjligt ska lagringsmedier som innehåller personuppgifter avlägsnas. Service via fjärrstyrd datakommunikation får endast ske efter säker elektronisk identifiering av den som utför servicen. Servicepersonal ska ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår.
j) Personuppgiftsincident. Personuppgiftsbiträdet ska ha rutiner för att omgående underrätta Personuppgiftsansvarig vid upptäckt av obehörig åtkomst, förstörelse, ändring av personuppgifter eller liknande integritetsincidenter, samt försök därtill. Det ska finnas lämpliga och adekvata processer för att kunna säkerställa tillgängligheten och åtkomsten till personuppgifterna vid
personuppgiftsincidenter. Därutöver ska Personuppgiftsbiträdet ha rutiner för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
k) Insyn. Personuppgiftsansvarig ska ha rätt att utreda obehörig åtkomst, förstörelse, ändring av personuppgifter eller liknande personuppgiftsincidenter, samt försök därtill, hos Personuppgiftsbiträdet.