Detta personuppgiftsbiträdesavtal ("Biträdesavtalet”) är en bilaga till parternas avtal med allmänna villkor avseende tjänster för finansiell dataanalys och avstämning, samarbetsfunktioner och rapportering ("Huvudavtalet").
Biträdesavtalet gäller i förhållande till Huvudavtalet och övriga mellan parterna tecknade avtal enligt vilka Senseworks AB, 559237-6593, Tvistevägen 47, 907 29 Umeå (”Personuppgiftsbiträdet”) är personuppgiftsbiträde och Kunden (den ”Personuppgiftsansvarige”) är personuppgiftsansvarig.
Definitioner
Begrepp i detta Biträdesavtal ska tolkas i enlighet med tillämplig dataskyddslagstiftning, vilket innefattar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) samt kompletterande lagstiftning på nationell nivå.
Definitioner som används i detta Biträdesavtal men som inte är definierade i detta Biträdesavtal ska definieras som framgår av Huvudavtalet.
Bilagor till personuppgiftsbiträdesavtalet
Detta Biträdesavtal består av detta huvuddokument samt följande bilagor:
Underbilaga 1 - Specifikation över behandlingen av personuppgifter
Underbilaga 2 - På förhand godkända underbiträden
Behandling av personuppgifter
Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifter enligt dokumenterade instruktioner från den Personuppgiftsansvarige, såvida inte annat följer av tillämplig dataskyddslagstiftning. Den Personuppgiftsansvariges ursprungliga instruktioner till Personuppgiftsbiträdet om behandlingens föremål och varaktighet, behandlingens karaktär och ändamål, typ av personuppgifter och kategorier av registrerade anges i detta Biträdesavtal, inklusive dess underbilagor.
Den Personuppgiftsansvarige bekräftar att Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal, med undantag för eventuella skriftliga instruktioner som lämnats i enlighet med denna punkt 4.2, utgör de fullständiga instruktioner som ska följas av Personuppgiftsbiträdet. Alla ändringar i den Personuppgiftsansvariges instruktioner ska, med undantag för vad som anges i punkt 7.2 nedan, förhandlas separat och ska, för att bli gällande, dokumenteras skriftligt och undertecknas av båda parter. Den Personuppgiftsansvarige är skyldig att inte, utan sådan skriftlig överenskommelse, låta Personuppgiftsbiträdet behandla andra kategorier av personuppgifter, eller behandla personuppgifter om andra kategorier av registrerade, än vad som anges i Underbilaga 1.
Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt tillämplig dataskyddslagstiftning och enligt den Personuppgiftsansvariges skriftliga instruktioner i varje enskilt fall, bistå den Personuppgiftsansvarige vid fullgörandet av dennes skyldigheter enligt tillämplig dataskyddslagstiftning.
Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige saknas eller om befintlig instruktion strider mot tillämplig dataskyddslagstiftning.
Utlämnande av personuppgifter
Med undantag för sådan behandling som anges i detta Biträdesavtal förbinder sig Personuppgiftsbiträdet att inte utan föregående skriftligt medgivande från den Personuppgiftsansvarige utlämna eller på annat sätt göra personuppgifter som behandlas enligt detta Biträdesavtal tillgängliga för tredje part, om annat inte följer av tillämplig lag, domstols- eller myndighetsbeslut.
Om en registrerad begär information från Personuppgiftsbiträdet om behandlingen av dennes personuppgifter ska Personuppgiftsbiträdet utan onödigt dröjsmål hänskjuta sådan begäran till den Personuppgiftsansvarige.
Om behörig myndighet begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter ska Personuppgiftsbiträdet utan onödigt dröjsmål informera den Personuppgiftsansvarige om detta, om annat inte följer av tillämplig lag, domstols- eller myndighetsbeslut. Personuppgiftsbiträdet får inte i något avseende handla för den Personuppgiftsansvariges räkning eller som ombud för denne, och får inte utan föregående medgivande från den Personuppgiftsansvarige överföra eller på annat sätt lämna ut personuppgifter eller andra uppgifter rörande behandlingen av personuppgifter till tredje part, om annat inte följer av tillämplig lag, domstols- eller myndighetsbeslut.
Om det enligt tillämplig lag begärs att Personuppgiftsbiträdet ska utlämna personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning, är Personuppgiftsbiträdet skyldigt att omgående meddela den Personuppgiftsansvarige om detta, om annat inte följer av aktuell lag, domstols- eller myndighetsbeslut, och att i samband med utlämnandet begära att uppgifterna behandlas med sekretess.
Underbiträden och tredjelandsöverföringar
Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet får anlita underbiträden inom och utanför EU/EES och får överföra personuppgifter utanför EU/EES. Personuppgiftsbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt detta Biträdesavtal. Underbilaga 2 innehåller en lista på i förhand godkända underbiträden från och med dagen för ikraftträdandet av detta Biträdesavtal.
Om personuppgifter överförs till, eller åtkomst möjliggörs från, plats utanför EU/EES ska Personuppgiftsbiträdet säkerställa att det finns en laglig grund för överföringen enligt tillämplig dataskyddslagstiftning, till exempel EU-kommissionens modellklausuler. Den Personuppgiftsansvarige ger Personuppgiftsbiträdet mandat att för Personuppgiftsansvariges räkning ingå EU-kommissionens modellklausuler med underbiträden.
Om Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt underbiträde för behandling av personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet i förväg informera den Personuppgiftsansvarige om detta och bereda denne möjlighet att framföra invändningar. Sådana invändningar ska ske skriftligen och inom en (1) månad från det att den Personuppgiftsansvarige fått informationen. Personuppgiftsbiträdet ska förse den Personuppgiftsansvarige med all information som denne skäligen kan begära för att bedöma om anlitandet av det föreslagna underbiträdet kommer att säkerställa efterlevnaden av den Personuppgiftsansvariges skyldigheter enligt detta Biträdesavtal och tillämplig dataskyddslagstiftning. Om efterlevnaden av dessa skyldigheter, enligt Personuppgiftsansvariges uppfattning, inte möjliggörs genom det föreslagna underbiträdet och Personuppgiftsbiträdet trots Personuppgiftsansvariges invändning vill anlita det föreslagna underbiträdet, har Personuppgiftsansvarige rätt att säga upp Huvudavtalet utan extra kostnad.
Informationssäkerhet och sekretess
Personuppgiftsbiträdet är skyldigt att fullgöra sina rättsliga förpliktelser avseende informationssäkerhet under tillämplig dataskyddslagstiftning och ska i samtliga fall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.
Personuppgiftsbiträdet ska följa de åtgärder som framgår av Underbilaga 1 och sina egna säkerhetsföreskrifter. Personuppgiftsbiträdet får ändra sina egna säkerhets-föreskrifter utan föregående skriftligt medgivande från den Personuppgiftsansvarige, förutsatt att ändringen inte står i strid med tillämplig dataskyddslagstiftning.
Personuppgiftsbiträdet är skyldigt att säkerställa att endast sådan personal som direkt måste ha tillgång till personuppgifter för att kunna fullgöra Personuppgiftbiträdets skyldigheter enligt detta Biträdesavtal får tillgång till sådana uppgifter. Personuppgiftsbiträdet ska säkerställa att sådan personal omfattas av en sekretessförbindelse som utformas i enlighet med bestämmelserna om sekretess i Huvudavtalet.
Personuppgiftsincidenter
Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige efter att ha fått vetskap om en personuppgiftsincident.
Personuppgiftsbiträdet ska, enligt tillämplig dataskyddslagstiftning, bistå den Personuppgiftsansvarige med den information som rimligen kan krävas för att uppfylla dennes skyldighet att anmäla personuppgiftsincidenter.
Rätt till granskning
Den Personuppgiftsansvarige ska, i sin egenskap av personuppgiftsansvarig, ha rätt att vidta erforderliga åtgärder för att verifiera att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta Biträdesavtal och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa fullgörs.
Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige all information som krävs för att visa att de skyldigheter som anges i detta Biträdesavtal efterlevs, samt att möjliggöra för och medverka till sådan granskning, inklusive kontroll på plats, som genomförs av den Personuppgiftsansvarige eller annan granskare som utsetts av denne, under förutsättning att de personer som utför granskningen ingår lämpliga sekretessavtal. Vid kontroll på plats ska den Personuppgiftsansvarige meddela Personuppgiftsbiträdet senast fem arbetsdagar innan granskningen ska genomföras.
Avtalstid
Bestämmelserna i detta Biträdesavtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter för vilka den Personuppgiftsansvarige är personuppgiftsansvarig.
Åtgärder i samband med behandlingens upphörande
När Huvudavtalet upphör att gälla ska Personuppgiftsbiträdet på den Personuppgiftsansvariges begäran och enligt dennes val, permanent radera, eller återlämna i ett allmänt och läsbart format, alla personuppgifter som behandlats enligt Biträdesavtalet till den Personuppgiftsansvarige eller till den som den Personuppgiftsansvarige anvisar inom trettio (30) dagar från Huvudavtalets upphörande, såvida inte Personuppgiftsbiträdet enligt svensk eller europeisk lagstiftning är skyldig att spara en kopia av personuppgifterna. Det ovanstående ska även gälla sådana personuppgifter som behandlats för loggnings- och säkerhetsändamål, men vad avser tid för radering eller återlämning av sådana personuppgifter gäller i stället nittio (90) dagar från Huvudavtalets upphörande.
På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna efter behandlingens avslutande enligt punkt 11.1 ovan.
Ersättning
Personuppgiftsbiträdet har rätt till ersättning enligt Personuppgiftsbiträdets vid var tid gällande prislista för det arbete som utförts på grund av skyldigheterna i punkterna 4.3, 5, 8.2, 9 och 11 i detta Biträdesavtal.
Ansvarsbegränsning
Vid krav på skadestånd från registrerade ska den part som blivit skadeståndsskyldig ha rätt att regressvis återkräva den del av skadeståndet som enligt tillämplig dataskyddslagstiftning hänför sig till den andra partens medverkan vid behandlingen. Skadeståndsskyldigheten innefattar skälig andel av rättegångskostnaderna i målet med de registrerade.
Part ska vara fullt ansvarig för och hålla den andra parten skadeslös för eventuella administrativa sanktionsavgifter hänförliga till den första partens bristande uppfyllande av sina skyldigheter enligt detta Biträdesavtal eller tillämplig dataskyddslagstiftning.
Ansvar enligt denna punkt 13 ska gälla framför regleringen i Huvudavtalet. Parts ansvar för andra typer av skador än de som uttryckligen regleras av detta Biträdesavtal ska uteslutande regleras av Huvudavtalet.
Ersättning enligt denna punkt 13 förutsätter, för det fall kravet avser skadestånd från registrerade, att den part mot vilken ersättningsanspråket riktas
skriftligen underrättas om framställda krav på skadestånd från registrerade inom skälig tid, och
under förhandlingar eller rättegång i domstol och inför eventuell förlikning eller annan uppgörelse med de registrerade, ges
insyn i de registrerades och partens inlagor och annan skriftväxling, och
tillfälle att lämna synpunkter, vilka ska skäligen beaktas i den utsträckning synpunkterna kan ha betydelse för skadeståndets storlek.
Parts rätt till skadestånd enligt denna punkt 13 förutsätter att krav på skadestånd till motparten har framställts senast inom sex (6) månader från
lagakraftvunnet beslut eller dom eller från ingången förlikning med registrerade, eller
såvitt avser annan skada än sådan som avses i punkt 13.1, den senare tidpunkten av från skadans uppkomst eller då den rimligen borde ha upptäckts.
Parts ersättningsskyldighet enligt denna punkt 13 gäller även efter Huvudavtalet i övrigt har upphört.
Tvistlösning och tillämplig lag
Vad avser tvistlösning och tillämplig lag gäller vad som anges i Huvudavtalet även för detta Biträdesavtal.
Bilaga 1 - Instruktioner för behandlingen av personuppgifter
Instruktioner
Kortfattad beskrivning av tjänsten som levereras under Huvudavtalet och ändamålen med behandlingen
Personuppgiftsbiträdet erbjuder en webbaserad tjänst som omfattar finansiell dataanalys och avstämning, samarbetsfunktioner och rapportering, samt även support via telefon och e-post.
Art och ändamål med behandlingen:
Tillhandahållande av tjänsten, vilket innefattar att
låta Kunden läsa in finansiell data
tillhandahålla analys- och avstämningsmöjligheter för finansiell data
tillhandahålla rapporter för finansiell data
tillhandahålla samarbets-funktioner för finansiell dataanalys
Support till Kund samt användare och underhåll av tjänsten (på uppdrag av Kunden), vilket innefattar att
hantera supportärenden och assistera i registrering av korrekta uppgifter i tjänsten
göra löpande automatiska proaktiva kontroller av vanliga fel i Kundens konto samt informera och hjälpa till att rätta eventuella fel
vid upptäckt av buggar eller andra fel i tjänsten meddela Kunden om berörda uppgifter som kan komma att behöva korrigeras eller rättas
Utveckling och förbättring av tjänsten (på uppdrag av Kunden), vilket innefattar att
anonymisera personuppgifter som avser statistik, samt
utveckla tjänsten med ny funktionalitet baserat på statistik (vanligtvis genom behandling av anonymiserad statistik) av Kunds användning.
Med undantag av vad som följer av Biträdesavtalet, får Personuppgiftsbiträdet inte behandla personuppgifter för den Personuppgiftsansvariges räkning för andra ändamål än vad som anges i denna punkt 1.1, i den utsträckning som krävs för att uppfylla Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal och den Personuppgiftsansvariges skriftliga instruktioner. Personuppgiftsbiträdet får endast rätta, radera eller begränsa personuppgifter i enlighet med den Personuppgiftsansvariges i förväg lämnade skriftliga instruktioner.
Kategorier av personuppgifter
Personuppgifter som ska behandlas av Personuppgiftsbiträdet:
kontaktuppgifter såsom namn, e-postadress, telefonnummer, bild
kommentarer rörande Kundens Data utförda av användare hos Kunden med syfte att förmedla information inom Kundens organisation
användaruppgifter såsom IP-adress, användar-ID, lösenord, samt inloggning och användning av tjänstens system och funktioner (när behandlingen sker på uppdrag av Kunden)
supportuppgifter såsom personuppgifter som lämnas av de registrerade i supportärenden (när behandlingen sker på uppdrag av Kunden)
Särskilda kategorier av personuppgifter som ska behandlas av Personuppgiftsbiträdet:
Inga
Kategorier av registrerade
Kategorier av registrerade som Personuppgiftsbiträdet kommer att behandla personuppgifter om och dess omfattning:
arbetstagare till användaren av tjänsten
Behandlingsaktiviteter (lagring, administrering, samkörning av register osv.)
Behandlingar som kommer att utföras av Personuppgiftsbiträdet:
administrering vid tillhandahållande av tjänst, support eller utbildning
underhåll av tjänst
lagring och säkerhetskopiering
Plats för behandling av personuppgifter
Länder där personuppgifter kan komma att lagras och/eller behandlas av Personuppgiftsbiträdet:
Sverige samt andra länder inom EU/EES
USA
Personuppgifter kan komma att behandlas i ytterligare länder av Personuppgifts-biträdets underbiträden.
Säkerhetsåtgärder
All behandling av personuppgifter ska vara spårbar och behörighetsstyrd så att den Personuppgiftsansvarige har möjlighet att följa upp den behandling som skett.
Fysisk åtkomstkontroll
Åtgärder som förhindrar obehörigas fysiska tillgång till IT-system där behandling av personuppgifter sker:
Datahallar där personuppgifter lagras ska hålla hög säkerhetsnivå med avseende på passersystem, larm och skalskydd.
Personuppgiftsbiträdet ska ha rutiner för utlämning och återlämning av koder och nycklar vid anställning och vid avslutad anställning.
Åtkomstkontroll avseende system
Åtgärder som förhindrar obehöriga att använda IT-system:
Starka lösenord ska användas av Personuppgiftsbiträdets personal för tillgång till system där personuppgifter lagras.
Åtkomstkontroll avseende personuppgifter
Åtgärder för att säkerställa att personer som är behöriga att använda IT-systemet endast bereds tillgång till personuppgifter som omfattas av personernas fastställda behörigheter:
Personal har bara tillgång till de system med personuppgifter som de behöver för att kunna utföra sina arbetsuppgifter.
När personal slutar sin anställning hos personuppgiftsbiträdet finns rutiner för att stänga av tillgång.
Åtkomstkontroll vid överföringar
Åtgärder för att säkerställa att personuppgifter inte obehörigen kan läsas, kopieras, ändras eller raderas vid elektronisk överföring eller vid överföring eller lagring på lagringsenheter samt att mottagare kan identifieras och kontrolleras då överföring av personuppgifter sker via elektronisk överföring:
All överföring till och från tjänsten ska ske krypterat med stark kryptering enligt rådande branschstandard.
Kontroll över inmatning av personuppgifter
Åtgärder för att säkerställa att det i efterhand går att granska och avgöra om personuppgifter har matats in, ändrats eller raderats i IT-systemet och vem som har vidtagit åtgärden:
Loggning i systemloggar av aktivitet såsom inloggning och ändring av uppgifter.
Tillgänglighetskontroll
Åtgärder för att säkerställa att personuppgifter skyddas mot oavsiktlig förstörelse eller förlust:
Den primära databaslagringen ska speglas över redundanta diskar samt två datahallar.
På systemnivå ska det finnas möjlighet att återställa innehåll i databasen på sekundnivå ”Point-in-time recovery” från de senaste 7 dagarna.
Dagliga backupfiler ska lagras separat från produktionsdatabasen över flera datahallar.
Dagliga backupfiler ska även lagras hos en sekundär datahall för katastrofåterställning.
Lagringsregler
Åtgärder för att tillse att personuppgifter gallras under och efter avtalstiden när användningen inte längre är nödvändig för det ursprungliga ändamålet:
Under avtalstiden: Så snart som möjligt och senast inom nittio (90) dagar från det att den Personuppgiftsansvarige begärde att personuppgifterna skulle raderas. Den Personuppgiftsansvarige ska därvid ange om personuppgifterna ska raderas permanent eller om det ska vara möjligt att återställa dem inom viss angiven tid.
Efter att avtalet har upphört att gälla: se punkten 11 i Biträdesavtalet.
Bilaga 2 - Godkända underbiträden
Personuppgiftsbiträdet har rätt att använda följande underbiträden för behandlingen av personuppgifter inom ramen för Biträdesavtalet:
