Personuppgiftsbiträdesavtal för GKS
Version 1.0
Giltiga fr o m 2023-03-01
1. Introduktion
1.1
Detta personuppgiftsbiträdesavtal (”PBA”) utgör del av Avtalet, såsom det definieras i SIMUTEKs Allmänna villkor för GKS, mellan Kunden (i egenskap av ”Personuppgiftsansvarig”) och SIMUTEK (i egenskap av ”Personuppgiftsbiträde”) och avser hanteringen av Personuppgifter.
1.2
För detta PBA ska följande termer definieras enligt nedan och relaterade begrepp ska tolkas i enlighet med dessa definitioner:
Avtalat Personuppgiftsbiträde ska avse Personuppgiftsbiträde eller Underbiträde;
Dataskyddslagar ska avse Europeiska dataskyddslagar och lagstiftning och/eller implementering av förordningar eller gällande förordningar, som ändrar, byter ut, omarbetar eller konsoliderar någon av dessa (inbegripet Allmänna dataskyddsförordningen (EU) 2016/679) (”GDPR”) och, i den mån det är tillämpligt, gällande dataskyddslagar i annat land;
Utövande av Registrerades Rättigheter ska avse alla utövanden av rättigheter gjorda av registrerade i enlighet med Dataskyddslagarm, det vill säga enligt kapitel III i GDPR;
Personuppgifter ska avse alla personuppgifter (enligt definitionen i GDPR) som (i) lagligen erhållits av Personuppgiftsansvarig och (ii) Behandlas av ett Avtalat Personuppgiftsbiträde på uppdrag av Personuppgiftsansvarig i samband med Avtalet;
Tredjelandsöverföring ska avse all överföring av Personuppgifter (i) till Personuppgiftsbiträde (ii) mellan Avtalade Personuppgiftsbiträden, eller (iii) mellan etableringar av ett Avtalat Personuppgiftsbiträde, om sådan överföring skulle vara förbjuden enligt Dataskyddslagar utan tillämpning av kompletterande skyddsåtgärder för att försäkra en adekvat skyddsnivå av Personuppgifter, exempelvis användandet av standardiserade avtalsklausuler eller bindande företagsbestämmelser;
Tjänster ska avse aktiviteter vidtagna av ett Avtalat Personuppgiftsbiträde på uppdrag av Personuppgiftsansvarig enligt Avtalet;
Underbiträde ska avse en tredje part (exkluderat anställda hos Personuppgiftsbiträdet) som är anlitad av den Personuppgiftsbiträdet att behandla Personuppgifter i enlighet med Avtalet;
Termerna konsekvensbedömning avseende dataskydd, registrerad, personuppgiftsincident, förhandssamråd, och behandling ska ha samma innebörd som de ges i GDPR.
2. Behandling av personuppgifter
2.1
Personuppgiftsbiträdet ska enbart behandla Personuppgifter i enlighet med den Personuppgiftsansvariges dokumenterade instruktioner (och ska meddela Personuppgiftsansvarig om Personuppgiftsbiträdet anser sådana instruktioner strida mot tillämplig lag), förutom i fall när behandling krävs enligt tillämplig lagstiftning. I dessa extraordinära situationer ska Personuppgiftsbiträdet, i den utsträckning som tillämplig lagstiftning tillåter, informera Personuppgiftsansvarig om denna rättsliga förpliktelse innan sådan behandling av Personuppgifterna sker.
2.2
Personuppgiftsansvarig instruerar Personuppgiftsbiträdet att behandla Personuppgifter och att överföra Personuppgifter till de länder som är rimligtvis nödvändiga för tillhandahållandet av Tjänsterna.
2.3
Om överföring som genomförs enligt punkt 2.2 är en Tredjelandsöverföring, ska Personuppgiftsbiträdet ange detaljer om land eller territorium till vilket Personuppgifterna ska överföras och ska säkerställa att adekvata säkerhetsåtgärder har implementerats i syfte att följa Dataskyddslagar.
2.4
Bilaga 1 innehåller information om behandling av Personuppgifter under Avtalet.
3. Säkerhet
3.1
Personuppgiftsbiträdet ska implementera adekvata tekniska och organisatoriska åtgärder för att försäkra en nivå av säkerhet som är lämplig i förhållande till risken, med hänsyn till den senaste tekniken, kostnaden för implementeringen och typ, avgränsning, kontext och ändamål av behandlingen, så väl risken för varierande sannolikhet och allvarlighetsgrad för fri- och rättigheter av de registrerade. Åtgärderna implementerade av Personuppgiftsbiträdet inkluderar (i) pseudonymisering eller kryptering av Personuppgifter efter lämplighet, (ii) åtgärder för att säkerställa Personuppgifternas konfidentialitet, integritet och tillgänglighet samt Tjänsternas motståndskraft mot risker och oönskade/oförutsebara händelser, (iii) åtgärder för att säkerställa återställande av tillgänglighet och tillgång till Personuppgifter utan dröjsmål vid händelse av fysisk eller teknisk incident, och (iv) ett förfarande för att regelbundet testa, undersöka, utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa säkerheten för behandlingen.
3.2
Vid bedömningen av lämplig säkerhetsnivå ska Personuppgiftsbiträdet i synnerhet ta hänsyn till riskerna kopplat till behandlingen, speciellt vad gäller potentiella personuppgiftsincidenter.
4. Underbiträden
4.1
Personuppgiftsbiträdet ges av den Personuppgiftsansvarige en generell rätt att utse Underbiträde för behandling av Personuppgifter och att instruera dem att överföra Personuppgifter till de länder som är rimligen nödvändiga för tillhandahållandet av Tjänster.
4.2
Bilaga 2 inkluderar en lista av Underbiträden (och relevant land för behandling, organisationsnummer, registrerade adress, hemsida och behandlingsaktivitet) som Personuppgiftsbiträdet kommer att anlita vid tidpunkten för undertecknande av PBA. Personuppgiftsbiträdet försäkrar att anlitandet av dessa Underbiträden följer kraven för anlitandet av Underbiträden enligt detta avsnitt 4.
4.3
Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige, i en skriftlig notis senast 45 dagar före utnämnandet av ett nytt Underbiträde eller ersättandet av ett existerande Underbiträde. Notisen ska innehålla skälig information angående Underbiträdets deltagande i behandling av Personuppgifter, inbegripet från vilken plats behandlingen sker.
4.4
Om den Personuppgiftsansvarige på skäliga grunder inte kan acceptera ett nytt Underbiträde med anledning av farhågor angående dataskydd, ska den Personuppgiftsansvarige ha rätt att säga upp Avtalet med omedelbar verkan inom 15 dagar från att ha mottagit information enligt punkt 4.3.
4.5
Personuppgiftsbiträde ska tillse att varje Underbiträde kan tillhandahålla en adekvat nivå av skydd för behandlingen av Personuppgifter genom att utföra en lämplig granskning av Underbiträdet innan Underbiträdet tillåts att behandla Personuppgifter.
4.6
Personuppgiftsbiträdet ska säkerställa att skriftliga avtal har ingåtts med Underbiträden som ålägger Underbiträdet väsentligen motsvarande skyldigheter i fråga om dataskydd som fastställs i PBA mellan Personuppgiftsansvarig och Personuppgiftsbiträdet. Vid skälig begäran, ska en kopia av sådana avtal ska göras tillgängliga för den Personuppgiftsansvarige (sekretessbelagd information som inte är relevant för behandlingen av Personuppgifter får utelämnas).
4.7
Om ett Underbiträde inte fullföljer sina skyldigheter gällande dataskydd ska Personuppgiftsbiträdet hållas fullt ansvarig gentemot den Personuppgiftsansvarige för utförandet av Underbiträdets skyldigheter.
5. Utövandet av registrerades rättigheter
5.1
I den mån i den utsträckning Personuppgifterna inte är tillgängliga för den Personuppgiftsansvarige genom Tjänsterna ska Personuppgiftsbiträdet, på den Personuppgiftsansvariges begäran och bekostnad och med hänsyn till behandlingens art, vidta lämpliga tekniska och organisatoriska åtgärder som rimligtvis kan förväntas av den Personuppgiftsansvarige för att bistå den Personuppgiftsansvarige i att fullfölja sina skyldigheter avseende Utövande av Registrerades Rättigheter.
5.2
Personuppgiftsbiträdet ska meddela den Personuppgiftsansvarige om ett Avtalat Personuppgiftsbiträde mottar en begäran om Utövande av Registrerades Rättigheter. Personuppgiftsbiträdet ska säkerställa att Avtalat Personuppgiftsbiträde är förpliktat att inte besvara sådan begäran från den registrerade såvida inte Personuppgiftsbiträdet uttryckligen instruerats av den Personuppgiftsansvarige att besvara sådan begäran eller om Avtalat Personuppgiftsbiträdet är tvunget att besvara en begäran enligt Dataskyddslagar eller andra tillämpliga regler. I det senare fallet ska Personuppgiftsbiträdet, i den utsträckning Dataskyddslagar eller andra tillämpliga regler tillåter, informera den Personuppgiftsansvarige om den rättsliga förpliktelsen innan de besvarar en begäran.
6. Konsekvensbedömning avseende dataskydd och förhandssamråd samt säkerhet
6.1
På den Personuppgiftsansvariges begäran och bekostnad ska Personuppgiftsbiträdet, med hänsyn till behandlingens art och tillgänglig information, ge skälig assistans till den Personuppgiftsansvarige vid förberedelse av en konsekvensbedömning avseende dataskydd och förhandssamråd med tillsynsmyndighet enligt Dataskyddslagar samt den Personuppgiftsansvariges efterlevnad av dennes skyldigheter enligt Artikel 32 GDPR.
7. Rättighet att granska
7.1
På den Personuppgiftsansvariges rimliga begäran och bekostnad, och inte mer än på årlig basis, ska Personuppgiftsbiträdet bidra till granskning och inspektioner genomförda av den Personuppgiftsansvarige eller av denne utsedda tredjeparts-granskare, avseende Personuppgiftsbiträdets fullgörande av dess skyldigheter enligt detta PBA, om nödvändigt för att möjliggöra för den Personuppgiftsansvarige att fullgöra sina skyldigheter enligt Dataskyddslagar. Omfattningen av en sådan granskning, inbegripet villkor och sekretess, ska ömsesidigt fastställas av parterna före en sådan granskning utförs.
8. Personuppgiftsincidenter
8.1
Personuppgiftsbiträde ska utan onödigt dröjsmål meddela den Personuppgiftsansvarige om ett Avtalat Personuppgiftsbiträde får kännedom om en personuppgiftsincident som berör Personuppgifter.
8.2
Personuppgiftsbiträdet ska på den Personuppgiftsansvariges skäliga begäran och bekostnad samarbeta med den Personuppgiftsansvarige för att utreda, mildra, och åtgärda personuppgiftsincidenter som omfattar Personuppgifter. För undvikande av missförstånd, Personuppgiftsbiträdets samarbete och åtgärder som begärs av den Personuppgiftsansvarige avseende personuppgiftsincidenter som beror på Personuppgiftsbiträdet, ska inte bekostas av den Personuppgiftsansvarige.
9. Radering och återlämning av Personuppgifter
9.1
Personuppgiftsbiträdet ska radera alla Personuppgifter (och säkerställa radering av Personuppgifter hos Avtalat Personuppgiftsbiträde) inom 30 dagar från upphörandet av Tjänsterna, om inte (i) annat överenskommits eller (ii) krävs enligt tillämplig lagstiftning. I det senare fallet, ska Personuppgifter vara lagrade säkert och vara åtkomliga för andra ändamål och ej längre än vad tillämplig lagstiftning föreskriver.
9.2
Den Personuppgiftsansvarige har rätt att innan upphörandet av Tjänsterna begära, genom ett skriftligt meddelande, att Personuppgiftsbiträdet istället för radering återlämnar en kopia av Personuppgifterna vid Tjänsternas upphörande i den mån det är rimligen möjligt, dock ska Personuppgiftsbiträdet inte vara skyldigt att vida ytterligare teknisk utveckling och eventuella kostnader ska bäras av den Personuppgiftsansvarige. Sådan återlämning av Personuppgifter ska utföras genom säker filöverföring i ett format som är skäligen begärt av den Personuppgiftsansvarige.
10. Sekretess
10.1
Personuppgiftsbiträdet ska hålla Personuppgifter under sekretess och vidta lämpliga åtgärder för att säkerställa att enbart personer med behörighet att behandla Personuppgifter får tillgång till Personuppgifter och enbart i den utsträckning som krävs för att fullgöra förpliktelser enligt Avtalet eller för att efterleva krav enligt gällande lagstiftning. Personuppgiftsbiträdet ska också försäkra att dessa personer är bundna av avtal som kräver minst samma grad av sekretess såsom stadgats i Avtalet och PBA.
11. Företräde, ändringar och upphörande
11.1
Villkoren i detta PBA ersätter och upphäver alla tidigare villkor om dataskydd och Personuppgifter i Avtalet. Om det råder oenighet mellan bestämmelser i Avtalet och detta PBA, ska PBA ha företräde. Alla andra villkor och skyldigheter i Avtalet ska fortsättningsvis förbli giltiga och vara i full kraft.
11.2
Om någon bestämmelse i detta PBA, av domstol eller offentligrättsligt organ i behörig jurisdiktion, anses vara ogiltigt eller ej verkställbart ska övriga bestämmelser fortsatt vara i kraft. Om en sådan bestämmelse skulle vara giltig eller verkställbar endast efter att delar av en sådan bestämmelse togs bort eller ändrades, ska bestämmelsen modifieras på sådant sätt att kunna säkerställa verkställighet av parternas kommersiella intention.
11.3
Om inte annat följer uttryckligen i särskilda delar i detta PBA, får det ändras enbart genom ömsesidig, skriftlig överenskommelse mellan parterna.
11.4
Detta PBA ska automatiskt upphöra när behandlingen av Personuppgifter inte längre äger rum.
12. Tvister och ansvar
12.1
Tvist rörande tolkning och/eller tillämpning av detta PBA ska avgöras på samma sätt som Avtalet i övrigt.
12.2
Vad som enligt Avtalet i övrigt gäller för parternas ansvar och ansvarsbegränsningar, ska gälla även deras ansvar och ansvarsbegränsningar kopplat till detta PBA.
Bilaga 1: Behandling av personuppgifter
Ändamål med behandling
Personuppgifter kommer att behandlas av Personuppgiftsbiträdet som en del av Tjänsten och enbart i syfte att tillhandahålla Tjänsterna såsom framgår av Avtalet inklusive eventuella produkt- och tjänstebeskrivningar, inbegripet tillhandahållande av teknisk support.
Varaktighet av behandling av personuppgifter
Fram till dess att radering av alla Personuppgifter sker i enlighet med detta PBA.
Kategorier av personuppgifter
Namn, email-adresser, telefonnummer, roll, koppling till företag/organisation och eventuella anteckningar/kommentarer gjorda av den Personuppgiftsansvarige.
Kategorier av registrerade
Den Personuppgiftsansvariges anställda, kundkontakter (inklusive för potentiella kunder), leverantörskontakter, samt kontakter hos företrädare för kunder och potentiella kunder.
Bilaga 2: Lista på Underbiträden
Microsoft
Namn
Microsoft Ireland Operations Ltd
Adress
One Microsoft Place South County Business Park Leopardstown Dublin 18 D18 P521 Ireland
Geografisk plats för behandling
Sverige
Webbsida
Personuppgiftsbehandling
Leverantör av hosting-, infrastuktur- och säkerhetstjänster.
Twilio
Namn
Twilio Ireland Limited
Adress
3 Dublin Landings North Wall Quay Dublin 1 Ireland
Geografisk plats för behandling
Europa/USA
Webbsida
Personuppgiftsbehandling
Leverantör av tjänster för SMS- och Eposttransaktioner genom Tjänsterna.
Last updated