Detta personuppgiftsbiträdesavtal (”Avtalet”) har denna dag träffats mellan:
1) TimeTjek AB, org.nr. 559130-0784, Stadiongatan 60, 217 62 Malmö (”Leverantören”); och
2) Annan part (”Den personuppgiftsansvarige”) som har köpt eller beställt eller förväntas köpa eller beställa av TimeTjek utvecklade och/eller tillhandahållna mjukvaruprogram, onlinetjänster, datamedia, hjälpfunktioner och handlingar.
Parterna ovan benämns härefter gemensamt som ”Parterna” och var för sig som ”Part”.
1. INLEDNING
1.1 Parterna har tidigare – eller i samband med detta Avtal – ingått avtal avseende tjänsten TimeTjek, hädanefter benämnt ”Huvudavtalet”.
1.2 Inom åtagandena som följer av Huvudavtalet kommer Leverantören att behandla personuppgifter samt annan information för Den personuppgiftsansvariges räkning.
1.3 Parterna ingår därför Avtalet för att reglera förutsättningarna för Leverantörens Behandling av – och tillgång till – Personuppgifter tillhöriga Den personuppgiftsansvarige och för att uppfylla de krav som framgår av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på Behandling av Personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (”Dataskyddsförordningen”). Avtalet gäller för samtliga mellan parterna tecknade avtal där Leverantören är Personuppgiftsbiträde till Den personuppgiftsansvarige och Avtalet gäller så länge Leverantören behandlar personuppgifter för Den personuppgiftsansvariges räkning.
1.4 I Avtalet finns föreskrifter om att Leverantören får Behandla Personuppgifter bara i enlighet med dokumenterade instruktioner från Den personuppgiftsansvarige och att Leverantören är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som Behandlas.
1.5 Behandling av Personuppgifter får även ske om det krävs enligt unionsrätt eller av nationell lagstiftning inom en medlemsstat som Leverantören omfattas av.
2. DEFINITIONER
Om inte omständigheterna tydligt utvisar annat ska definition som används i Avtalet (och som inte är definierade häri) ha motsvarande definition som följer av artikel 4 Dataskyddsförordningen. Nedan följer de viktigaste definitionerna.
Personuppgifter (artikel 4.1 Dataskyddsförordningen)
Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
En Registrerad (artikel 4.1 Dataskyddsförordningen)
En identifierad eller identifierbar fysisk person som en Personuppgift avser.
Behandling (artikel 4.2 Dataskyddsförordningen)
En åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Personuppgiftsansvarig (artikel 4.7 Dataskyddsförordningen)
En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för Behandlingen av Personuppgifter; om ändamålen och medlen för Behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. I detta Avtal ska Den personuppgiftsansvarige anses som Personuppgiftsansvarig.
Personuppgiftsbiträde (artikel 4.8 Dataskyddsförordningen)
En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.
Underbiträde
En fysisk person, juridisk person eller myndighet som Leverantören i sin tur anlitar som Personuppgiftsbiträde, i enlighet med särskilt eller allmänt tillstånd från Den personuppgiftsansvarige, för Behandling av Personuppgifter för Den personuppgiftsansvariges räkning.
3. PERSONUPPGIFTSBEHANDLING
3.1 Den personuppgiftsansvarige är Personuppgiftsansvarig för de Personuppgifter som Behandlas inom ramen för Huvudavtalet.
3.2 Leverantören är att betrakta som Personuppgiftsbiträde åt Den personuppgiftsansvarige.
3.3 All Behandling av Personuppgifter som regleras i Avtalet omfattas av Dataskyddsförordningen och eventuell annan författning som reglerar Behandling av Personuppgifter.
3.4 Leverantören ansvarar för att utföra all Behandling av Personuppgifter i enlighet med Avtalet, Dataskyddsförordningen, annan författning som reglerar Behandling av Personuppgifter, Integritetsskyddsmyndighetens föreskrifter och allmänna råd samt i enlighet med dokumenterade instruktioner som lämnas av Den personuppgiftsansvarige från tid till annan avseende Behandlingen.
3.5 Den personuppgiftsansvarige ansvarar för att instruktioner lämnade av Den personuppgiftsansvarige står i överensstämmelse med Dataskyddsförordningen, annan författning som reglerar Behandling av Personuppgifter samt Integritetsskyddsmyndighetens föreskrifter och allmänna råd.
3.6 Leverantören har rätt att vidta åtgärder som krävs till följd av ändringar i tillämpliga lagar, förordningar eller föreskrifter eller följer av myndighetsbeslut. Leverantören ska tillåta revisioner från myndigheter när detta föreskrivs i lag.
3.7 Leverantören ska följa eventuella beslut från Integritetsskyddsmyndigheten eller annan behörig myndighet avseende de Personuppgifter som Behandlas för Den personuppgiftsansvariges räkning. Leverantören ska vidare tillåta behörig myndighet att genomföra tillsyn av Leverantörens Behandling av Personuppgifter enligt Avtalet.
3.8 Genom detta Avtal garanterar Leverantören att Leverantören har vidtagit alla sådana lämpliga åtgärder som avses med punkt 6.3 nedan och att dennes verksamhet bedrivs på ett sådant sätt att Dataskyddsförordningens bestämmelser och krav avseende adekvat skydd för Behandling av Personuppgifter efterlevs.
3.9 Åtgärderna ska vara anpassade till en nivå som är lämplig med hänsyn till hur känsliga Personuppgifterna är, de särskilda risker som finns, befintliga tekniska möjligheter samt kostnaderna för att genomföra åtgärderna.
3.10 Om Leverantören anser att Leverantören inte har tillräckliga instruktioner eller annan information avseende hur Behandling av Personuppgifter för Den personuppgiftsansvariges räkning ska ske ska Leverantören tillse att inhämta sådan instruktion eller information från Den personuppgiftsansvarige.
3.11 Leverantören får förflytta, förvara eller på annat sätt Behandla Personuppgifter tillhöriga Den personuppgiftsansvarige utanför EU/EES om detta sker i enlighet med Avtalet, Dataskyddsförordningen, annan författning som reglerar Behandling av Personuppgifter, Integritetsskyddsmyndighetens föreskrifter och allmänna råd samt i enlighet med instruktioner som lämnas av Den personuppgiftsansvarige från tid till annan avseende Behandlingen.
3.12 Leverantören har rätt till skälig ersättning för arbete eller kostnader som föranleds av instruktioner enligt punkten 7 och/eller åtgärder eller inspektioner i enlighet med punkterna 6.6-6.13. Vid instruktioner som innebär att en underleverantör särskilt måste anpassa tjänsten åt er har Leverantören rätt att istället välja att med omedelbar verkan säga upp Huvudavtalet.
4. UNDERBITRÄDE
4.1 Leverantören har rätt att anlita Underbiträde för specifik Behandling. Leverantören ska innan anlitande av Underbiträde informera Den personuppgiftsansvarige om sina planer att anlita Underbiträde. Uppgifterna ska minst omfatta namn på Underbiträdet, organisationsnummer, adress och övriga kontaktuppgifter som Den personuppgiftsansvarige behöver för att kunna kontakta Underleverantören; inbegripande namn på kontaktperson, e-postadress samt telefonnummer. Leverantören ska underrätta Den personuppgiftsansvarige om i vilket land Behandlingen kommer att äga rum.
4.2 Leverantören ska på begäran tillhandahålla Den personuppgiftsansvarige en korrekt och uppdaterad lista utvisande vilka underbiträden som har anlitats, kontaktuppgifter till dessa samt den geografiska placeringen för sådan behandling. Detta får ske på ett sätt som Den personuppgiftsansvarige beslutar efter eget gottfinnande.
4.3 Leverantören ska tillse att sådant Underbiträde ingår ett skriftligt personuppgiftsbiträdesavtal med Leverantören innan Underbiträdet inleder Behandling av Personuppgifter som har anknytning till Den personuppgiftsansvarige. Ett sådant personuppgiftsbiträdesavtal ska innehålla minst de åtaganden och skyldigheter som följer av Avtalet.
4.4 Det åligger Leverantören att säkerställa att Underbiträdet lämnar tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven enligt Dataskyddsförordningen.
4.5 Underbiträdet får förflytta, förvara eller på annat sätt Behandla Personuppgifter tillhöriga Den personuppgiftsansvarige utanför EU/EES om detta sker i enlighet med Avtalet, Dataskyddsförordningen, annan författning som reglerar Behandling av Personuppgifter, Integritetsskyddsmyndighetens föreskrifter och allmänna råd samt i enlighet med instruktioner som lämnas av Den personuppgiftsansvarige från tid till annan avseende Behandlingen.
4.6 Om Underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd är Leverantören fullt ut ansvarig gentemot Den personuppgiftsansvarige för utförande av Underbiträdets skyldigheter enligt personuppgiftsbiträdesavtalet och Dataskyddsförordningen.
5. BEGÄRAN OM INFORMATION
5.1 I de fall En Registrerad eller annan tredje part begär information från Leverantören avseende Behandling av Personuppgifter som tillhör Den personuppgiftsansvarige ska Leverantören hänvisa sådan Registrerad eller annan tredje man till Den personuppgiftsansvarige.
5.2 Om en myndighet begär ut sådana uppgifter som följer av punkt 5.1 ska Leverantören meddela Den personuppgiftsansvarige om begäran och Leverantören och Den personuppgiftsansvarige ska i samråd komma överens om lämpligt tillvägagångssätt.
5.3 Leverantören får i andra fall än vad som följer av punkt 5.1 och 5.2 ovan endast lämna ut information till tredje part om Leverantören har fått skriftlig instruktion att göra så från Den personuppgiftsansvarige eller om sådan skyldighet stadgas i avtal.
6. ANSVAR OCH SKYLDIGHETER
6.1 Leverantören får Behandla Personuppgifter endast i enlighet med Avtalet och de ytterligare dokumenterade instruktioner som Den personuppgiftsansvarige lämnar.
6.2 Leverantören ska omedelbart informera Den personuppgiftsansvarige om Leverantören anser att en instruktion avseende Behandling strider mot Dataskyddsförordningen eller mot andra unionsrättsliga eller inhemska dataskyddsbestämmelser.
6.3 Leverantören är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som Behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig i förhållande till risken, med beaktande av den senaste utvecklingen, genomförandekostnaderna och Behandlingens art, omfattning, sammanhang och ändamål, för den Registrerades rättigheter och friheter. Sådana åtgärder ska innefatta, när det är lämpligt
• pseudonymisering eller kryptering av Personuppgifter;
• förmågan att säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen- och tjänsterna;
• förmågan att återställa tillgängligheten och tillgången till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident;
• ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.
6.4 Vid bedömningen av en lämplig säkerhetsnivå ska Leverantören ta särskild hänsyn till de risker som Behandlingen medför, i synnerhet avseende oavsiktlig eller olaglig förstöring, förlust, eller ändring eller till ett obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som Behandlas.
6.5 Leverantören ska tillse att varje person som hos Leverantören är behörig att Behandla Personuppgifter undertecknar ett åtagande om tystnadsplikt.
6.6 Leverantören ska också vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under Leverantörens överinseende, och som får tillgång till Personuppgifter, endast Behandlar dessa i enlighet med instruktion från Den personuppgiftsansvarige.
6.7 Utöver åtgärderna som avses med punkt 6.3 ovan och med beaktande av typen av Behandling och den information som Leverantören har tillgång till, ska Leverantören bistå Den personuppgiftsansvarige med att se till att Den personuppgiftsansvarige kan fullgöra sina skyldigheter som Personuppgiftsansvarig.
6.8 Leverantören ska i övrigt vidta de tekniska och organisatoriska åtgärder som behövs för att hjälpa Den personuppgiftsansvarige att fullgöra sin skyldighet att svara på en begäran om utövande av den Registrerades rättigheter enligt Dataskyddsförordningen.
6.9 Leverantören ska underrätta Den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en Personuppgiftsincident.
6.10 Leverantören ska underlätta Den personuppgiftsansvariges uppföljning och kontroll av Leverantörens efterlevnad av Avtalet genom att t.ex. tillhandahålla nödvändig information, lokaler, utrustning och underlag.
6.11 Leverantören ska på begäran av Den personuppgiftsansvarige tillhandahålla information avseende sin Behandling av Personuppgifter samt registerutdrag över aktuell Behandling om informationen eller registerutdraget krävs för att Den personuppgiftsansvarige ska kunna uppfylla sina skyldigheter som Personuppgiftsansvarig.
6.12 Leverantören ska följa de eventuella beslut som Integritetsskyddsmyndigheten fattar om åtgärder för att uppfylla säkerhetskraven i Dataskyddsförordningen. Leverantören ska tillåta de inspektioner som Integritetsskyddsmyndigheten eller Den personuppgiftsansvarige kan kräva enligt Dataskyddsförordningen för upprätthållandet av en korrekt Behandling av Personuppgifter.
6.13 Leverantören ska på begäran utföra rättelse, komplettering av ofullständiga uppgifter eller radering av Personuppgifter som omfattas av Avtalet enligt instruktioner från Den personuppgiftsansvarige.
6.14 Den Personuppgiftsansvarige har en skyldighet att utan dröjsmål informera Leverantören vid sådan tillsyn från Integritetsskyddsmyndigheten eller sådant utövande av Registrerads rättigheter som avser Personuppgifter som Leverantören Behandlar för Den personuppgiftsansvariges räkning.
7. BEHANDLINGAR SOM OMFATTAS AV AVTALET
7.1 Föremålet för Behandlingen är sådana Personuppgifter som behöver användas för tillhandahållande av och vid användande av TimeTjek. TimeTjek är ett program för extern personaladministration.
7.2 Personuppgifterna kommer att Behandlas under Huvudavtalets giltighetstid.
7.3 Personuppgifterna kommer att Behandlas på följande sätt och för följande ändamål;
Behandlingens art
Lagring av personuppgifter för att kunna i leverantörens system TimeTjek tillhandahålla TimeTjek
Behandlingens ändamål
Läsning, korrigering eller bearbetning Behandling som är i samband med kundsupport nödvändig för att säkerställa TimeTjeks funktionalitet
7.4 De Personuppgifter som ska Behandlas omfattar följande typer av Personuppgifter och följande kategorier av Registrerade.
Typer av personuppgifter
Namn
Befattning/Yrkestitel
E-postadresser
Personnummer
Adressuppgifter
Telefonnummer
GPS-koordinatorer
Löneuppgifter
Sjuk/Föräldraledighet/VAB-uppgifter
Pensionsuppgifter
Försäkringsuppgifter
Uppgifter om arbetstider, schema och arbetsställen
Kategorier av registrerade
Anställda till Kunden
8. ERSÄTTNINGSSKYLDIGHET
8.1 Enligt Dataskyddsförordningen har Parterna ett självständigt ansvar för sin Behandling av Personuppgifter.
8.2 Leverantören ska ersätta Den personuppgiftsansvarige för skada som denne åsamkas med anledning av Leverantörens behandling av Personuppgifter i strid med Avtalet eller Dataskyddsförordningen i den mån inte annat följer nedan. Eventuella ansvarsbegränsningar i Huvudavtalet ska dock gälla för Leverantörens Behandling av Personuppgifter i den mån annat inte följer av tvingande lagstiftning.
8.3 Om det fastställs att både Den personuppgiftsansvarige och Leverantören har medverkat till den Behandling som orsakat skada för den Registrerade och antingen Den personuppgiftsansvarige eller Leverantören har betalat full ersättning för skadan, ska den part som har betalat full ersättning för skadan ha rätt att från den andra parten återkräva den del av ersättningen som motsvarar partens del av ansvaret för skadan.
9. GILTIGHETSTID, ÄNDRING OCH UPPHÖRANDE
9.1 Detta Avtal upphör att gälla i samband med Huvudavtalets upphörande, när Leverantören meddelat att det inte längre önskar Behandla Personuppgifter enligt Avtalet, om parterna kommit överens om ett nytt avtal eller om Leverantören inte längre Behandlar Personuppgifter för Den personuppgiftsansvariges räkning.
9.2 I samband med Avtalets upphörande eller om Leverantören avslutar sin Behandling av Personuppgifter, ska Leverantören, enligt Den personuppgiftsansvariges instruktioner, inom 30 dagar antingen radera eller återlämna de Personuppgifter som Leverantören Behandlar för Den personuppgiftsansvariges räkning enligt Avtalet. Leverantören ska även radera befintliga kopior som innehåller Personuppgifter såvida inte lagring av Personuppgifterna krävs enligt unionsrätt eller svensk rätt.
10. SEKRETESS
10.1 Parterna har genom Huvudavtalet åtagit sig att tillämpa sekretess avseende Parternas mellanhavanden. Sekretessåtagandet ska tillämpas även beträffande Avtalet.
11. ÖVERLÅTELSE AV AVTALET
11.1 Part har inte rätt att helt eller delvis överlåta sina rättigheter och/eller skyldigheter enligt Avtalet utan den andra Partens skriftliga i förväg lämnade godkännande.