Personuppgiftsbiträdesavtal

1. Definitioner

1.1 Begrepp i detta Biträdesavtal ska tolkas i enlighet med tillämplig dataskyddslagstiftning.

1.2 Definitioner som används i detta Biträdesavtal men som inte är definierade i detta Biträdesavtal ska definieras i enlighet med Tjänsteavtalet.

2. Bilagor till personuppgiftsbiträdesavtalet

Specifikation över behandlingen av personuppgifter Underbilaga 1
Godkända underbiträden Underbilaga 2

3. Behandling av personuppgifter

3.1 Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifter enligt dokumenterade instruktioner från Personuppgiftsansvarig, såvida inte annat följer av tillämplig dataskyddslagstiftning. Den Personuppgiftsansvariges ursprungliga instruktioner till Personuppgiftsbiträdet om behandlingens föremål och varaktighet, behandlingens karaktär och ändamål, typ av personuppgifter och kategorier av registrerade anges i detta Biträdesavtal och i Underbilaga 1.

3.2 I syfte att uppfylla Personuppgiftsbiträdets skyldigheter enligt punkterna 2 och 7 i Tjänsteavtalet kommer Personuppgiftsbiträdet vid behov att göra en kopia av Personuppgiftsansvarigs databas för att utföra tester i sådan kopia istället för direkt i Personuppgiftsansvarigs databas. Denna kopia av Personuppgiftsansvarigs databas kommer att sparas av Personuppgiftsbiträdet i fjorton (14) dagar efter slutförandet av sådana tester och kommer sedan automatiskt att raderas av Personuppgiftsbiträdet.

3.3 Den Personuppgiftsansvarige bekräftar att Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal, inklusive Underbilaga 1, med undantag för eventuella skriftliga instruktioner som lämnats i enskilda fall i enlighet med punkt 4 nedan utgör de fullständiga instruktioner som ska följas av Personuppgiftsbiträdet. Alla ändringar i den Personuppgiftsansvariges instruktioner ska, med undantag från vad som anges i punkt 6.2 nedan, förhandlas separat och ska, för att bli gällande, dokumenteras skriftligt och undertecknas av båda Parter. Den Personuppgiftsansvarige är skyldigt att inte, utan sådan skriftlig överenskommelse, låta Personuppgiftsbiträdet behandla andra kategorier av personuppgifter, eller behandla personuppgifter om andra kategorier av registrerade, än vad som anges i Underbilaga 1.

3.4 Den Personuppgiftsansvarige bekräftar att en Administratör (såsom definierat enligt punkt 1 i Tjänsteavtalet) har rätt att, för den Personuppgiftsansvariges räkning, lämna sådana instruktioner till Personuppgiftsbiträdet avseende Personuppgiftsbiträdets personuppgiftbehandlingar som är nödvändiga för att Administratören och Personuppgiftsbiträdet ska kunna fullgöra sina respektive förpliktelser mot den Personuppgiftsansvarige.

3.5 Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt tillämplig dataskyddslagstiftning och enligt den Personuppgiftsansvariges skriftliga instruktioner i varje enskilt fall, bistå den Personuppgiftsansvarige vid fullgörandet av dennes skyldigheter enligt tillämplig dataskyddslagstiftning.

3.6 Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige strider mot tillämplig dataskyddslagstiftning.

4. Utlämnande och mottagande personuppgifter

4.1 Om den Personuppgiftsansvarige till följd av ett ingånget avtal med en tredje part om att sådan tredje part ska tillhandahålla tjänster till den Personuppgiftsansvarige som ska integreras med Tjänsterna, aktiverar och godkänner sådan integration bekräftar härmed Parterna att Personuppgiftsbiträdet är skyldigt, samt berättigad, att till sådan tredje part lämna ut och motta de personuppgifter som är nödvändiga för Personuppgiftsbiträdet att lämna ut, respektive motta, för att sådan tredje part och Personuppgiftsbiträdet, ska kunna fullgöra sina respektive förpliktelser mot den Personuppgiftsansvarige.

4.2 Med undantag för sådan behandling som anges i punkt 3.4 och 4.1 ovan förbinder sig Personuppgiftsbiträdet att inte utan föregående skriftligt medgivande från den Personuppgiftsansvarige utlämna eller på annat sätt göra personuppgifter som behandlats enligt detta Biträdesavtal tillgängliga för tredje part, om annat inte följer av svensk eller europeisk lag, domstols- eller myndighetsbeslut.

4.3 Om en registrerad begär information från Personuppgiftsbiträdet om behandlingen av dennes personuppgifter ska Personuppgiftsbiträdet utan onödigt dröjsmål hänskjuta sådan begäran till den Personuppgiftsansvarige.

4.4 Om behörig myndighet begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter ska Personuppgiftsbiträdet utan onödigt dröjsmål informera den Personuppgiftsansvarige om detta, om annat inte följer av svensk eller europeisk tillämplig lag, domstols- eller myndighetsbeslut. Personuppgiftsbiträdet får inte i något avseende handla för den Personuppgiftsansvariges räkning eller som ombud för denne, och får inte utan föregående medgivande från den Personuppgiftsansvarige överföra eller på annat sätt lämna ut personuppgifter eller andra uppgifter rörande behandlingen av personuppgifter till tredje part, om annat inte följer av svensk eller europeisk tillämplig lag, domstols- eller myndighetsbeslut.

4.5 Om det enligt tillämplig svensk eller europeisk lag begärs att Personuppgiftsbiträdet ska utlämna personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning, är Personuppgiftsbiträdet skyldigt att omgående meddela den Personuppgiftsansvarige om detta, om annat inte följer av aktuell lag, domstols- eller myndighetsbeslut, och att i samband med utlämnandet begära att uppgifterna behandlas med sekretess.

5. Underbiträden och tredjelandsöverföringar

5.1 Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet får anlita underbiträden inom och utanför EU/EES och får överföra personuppgifter utanför EU/EES. Personuppgiftsbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt detta Biträdesavtal. Underbilaga 2 innehåller en lista på i förhand godkända underbiträden från och med dagen för ikraftträdandet av detta Biträdesavtal.

5.2 Om personuppgifter överförs till, eller åtkomst möjliggörs från, plats utanför EU/EES ska Personuppgiftsbiträdet säkerställa att det finns en laglig grund för överföringen enligt tillämplig dataskyddslagstiftning, till exempel EU-kommissionens modellklausuler. Personuppgiftsansvarig ger Personuppgiftsbiträdet mandat att för Personuppgiftsansvariges räkning ingå EU-kommissionens modellklausuler med underbiträden.

5.3 Om Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt underbiträde för att behandla personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet i förväg informera den Personuppgiftsansvarige om detta och bereda denne möjlighet att framföra invändningar. Sådana invändningar ska ske skriftligen utan oskäligt dröjsmål från det att den Personuppgiftsansvarige fått informationen. Personuppgiftsbiträdet ska förse den Personuppgiftsansvarige med all information som denne skäligen kan begära för att bedöma om anlitandet av det föreslagna underbiträdet kommer att säkerställa efterlevnaden av den Personuppgiftsansvariges skyldigheter enligt detta Biträdesavtal och tillämplig dataskyddslagstiftning. Om efterlevnaden av dessa skyldigheter, enligt Personuppgiftsansvariges befogade uppfattning, inte möjliggörs genom det föreslagna underbiträdet och Personuppgiftsbiträdet trots Personuppgiftsansvariges invändning vill anlita det föreslagna underbiträdet, har Personuppgiftsansvarige rätt att säga upp Biträdesavtalet utan extra kostnad. Om invändningen inte är befogad har den Personuppgiftsansvarige inte rätt att säga upp Tjänsteavtalet.

6. Datasäkerhet och sekretess

6.1 Personuppgiftsbiträdet är skyldigt att fullgöra sina rättsliga förpliktelser avseende informationssäkerhet under tillämplig dataskyddslagstiftning och ska i samtliga fall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.

6.2 Personuppgiftsbiträdet ska följa de säkerhetsåtgärder som framgår av Underbilaga 1 och sina egna säkerhetsföreskrifter. Personuppgiftsbiträdet får ändra sina egna säkerhetsföreskrifter utan föregående skriftligt medgivande från den Personuppgiftsansvarige förutsatt att ändringen inte står i strid med tillämplig dataskyddslagstiftning.

6.3 Personuppgiftsbiträdet är skyldigt att säkerställa att endast sådan personal som direkt måste ha tillgång till personuppgifter för att kunna fullgöra Personuppgiftbiträdets skyldigheter enligt detta Biträdesavtal får tillgång till sådana uppgifter. Personuppgiftsbiträdet ska säkerställa att sådan personal omfattas av en sekretessförbindelse som utformas i enlighet med bestämmelserna i punkt 20 i Tjänsteavtalet.

6.4 För det fall Personuppgiftsbiträdet, till följd av den verksamhet som den Personuppgiftsansvarige bedriver, kommer att behandla känsliga personuppgifter förbinder sig den Personuppgiftsansvarige att innan sådan behandling påbörjas ta del av de säkerhetsåtgärder som kan komma att krävas vid sådan behandling av personuppgifter. Den Personuppgiftsansvarige är skyldigt att inte, utan att ha vidtagit de säkerhetsåtgärder som krävs enligt tillämplig dataskydddslagstiftning, låta Personuppgiftsbiträdet behandla känsliga personuppgifter. En översikt avseende funktioner i Tjänsten som kan kräva säkerhetsåtgärder finns på Seven Time's Integritet och säkerhetssida.

7. Personuppgiftsincidenter

7.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige efter att ha fått vetskap om en personuppgiftsincident.

7.2 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med den information som rimligen kan krävas för att uppfylla dennes skyldighet att anmäla personuppgiftsincidenter.

8. Rätt till granskning

8.1 Den Personuppgiftsansvarige ska, i sin egenskap av personuppgiftsansvarig, ha rätt att vidta erforderliga åtgärder för att verifiera att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta Biträdesavtal och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa fullgörs.

8.2 Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige all information som krävs för att visa att de skyldigheter som anges i detta Biträdesavtal efterlevs, samt att möjliggöra för och medverka till sådan granskning, inklusive kontroll på plats, som genomförs av den Personuppgiftsansvarige eller annan granskare som utsetts av denne, under förutsättning att de personer som utför granskningen ingår lämpliga sekretessavtal.

9. Avtalstid

Bestämmelserna i detta Biträdesavtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter för vilka den Personuppgiftsansvarige är personuppgiftsansvarig.

10. Åtgärder när behandlingen av personuppgifter har avslutats

10.1 När detta Biträdesavtal upphör har den Personuppgiftsansvarige trettio (30) dagar på sig att hämta ut alla personuppgifter som behandlats enligt detta Biträdesavtal, varefter Personuppgiftsbiträdet kommer att radera personuppgifterna om inte lagring av personuppgifterna krävs enligt svensk eller europeisk lagstiftning.

10.2 På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna efter behandlingens avslutande enligt punkt 10.1 ovan.

11. Ersättning

Personuppgiftsbiträdet har rätt till ersättning enligt Personuppgiftsbiträdets vid var tid gällande prislista för det arbete som utförts på grund av skyldigheterna i punkterna 3.4, 3.5, 4, 6.4, 7.2, 8 och 10 i detta Biträdesavtal.

12. Ansvarsbegränsning

De ansvarsbegränsningar som anges i punkt 8 i Tjänsteavtalet ska tillämpas för Personuppgiftsbiträdets ansvar enligt detta Biträdesavtal.

Underbilaga 1

Instruktioner för databehandlingen

Ändamål
Ändamål för vilka personuppgifterna ska behandlas av Personuppgiftsbiträdet
  • Fullgöra sina skyldigheter enligt Tjänsteavtalet, eventuella tjänstespecifika villkor och detta Biträdesavtal.
  • Fullgöra Personuppgiftsbiträdets skyldigheter enligt tillämplig dataskyddslagstiftning som är tillämpliga för Personuppgiftsbiträdet i dennes egenskap av personuppgiftsbiträde vid Personuppgiftsbiträdets behandling av personuppgifter enligt Tjänsteavtalet och detta Biträdesavtal.
Kategorier av uppgifter
Personuppgifter som ska behandlas av Personuppgiftsbiträdet
Vilka kategorier av personuppgifter som ska behandlas varierar beroende på vilka av Tjänsterna som används av den Personuppgiftsansvarige. Exempel på personuppgifter som ska behandlas i samband med Tjänsterna är:
  • Kontaktuppgifter, såsom till exempel namn, e-postadress och adress.
  • Faktureringsinformation, såsom till exempel kundnummer, adress och referens.
  • Personaluppgifter, såsom personnummer samt personuppgifter om hälsa såsom sjukfrånvaro.
  • Känsliga personuppgifter såsom till exempel uppgifter som avslöjar religiös övertygelse, politiska åsikter och medlemskap i fackförening kan behandlas av Personuppgiftsbiträdet beroende på vilken verksamhet som den Personuppgiftsansvarige väljer att använda Tjänsterna inom.
Kategorier av registrerade
Personuppgifter som ska behandlas av Personuppgiftsbiträdet
  • Användare
  • Den Personuppgiftsansvarige, om denne är en enskild firma.
  • Den Personuppgiftsansvariges anställda, kunder, medlemmar och leverantörer samt andra kategorier av registrerade vars personuppgifter som den Personuppgiftsansvarige beslutar.
  • Beroende på vilken verksamhet som den Personuppgiftsansvarige väljer att använda Tjänsten inom kan Personuppgiftsbiträdet komma att behandla personuppgifter om minderåriga.
Behandlingsaktiviteter
Behandlingsaktiviteter som kommer att utföras av Personuppgiftsbiträdet.
  • Organisering, strukturering, lagring och insamling av personuppgifterna i form av filimport.
  • Överföring av personuppgifterna för att fullgöra Personuppgiftsbiträdets skyldigheter i enlighet med punkt 4 i Biträdesavtalet.
  • Bearbetning eller ändring, kopiering, justering eller sammanförande och radering av personuppgifterna för att på begäran av den Personuppgiftsansvarige fullgöra Personuppgiftsbiträdets skyldigheter enligt punkt 3.2 i Biträdesavtalet.
  • Samkörning av den Personuppgiftsansvariges personuppgifter med externa register.
Plats för behandling av personuppgifterna
Alla platser där personuppgifter kommer att behandlas av Personuppgiftsbiträdet.
Plats för behandlingen varierar beroende på vilka funktionerna som används av den Personuppgiftsansvarige. En fullständig översikt avseende platser för respektive behandling finns på Seven Time's Integritet och säkerhetssida.
Informationssäkerhet Kryptering sker vid all kommunikation från och till Seven Time's servrar och underleverantörer. Personuppgiftsbiträdet har implementerat tillräckliga processer och rutiner för behandlingen av personuppgifter. Mer information finns på Seven Time's Integritet och säkerhetssida.

Underbilaga 2

Godkända underbiträden

Namn Land för behandling
Glesys AB Sverige
Google LLC USA
Amazon Web Services, Inc. Irland
Zendesk Inc. USA
Wildbits LLC USA
MongoDB, Inc. USA
46elks AB Sverige - 2002/58/EG gäller, se https://www.46elks.com/help