1. ALLMÄNT
1.1 Kunden är personuppgiftsansvarig för all personupp-giftsbehandling som sker med hjälp av Mjukvaran, om inte annat anges i detta personuppgiftsbiträdesavtal, (”Personuppgiftsbiträdesavtalet”). Leverantören kommer inom ramen för Tjänsterna behandla person-uppgifter på uppdrag av Kunden i egenskap av personuppgiftsbiträde. Föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade som berörs av behandlingen beskrivs närmare i Bilaga - Beskrivning av behandlingen av personuppgifter i Tjänsterna. Kunden ansvarar för att all sådan person-uppgiftsbehandling äger rum i enlighet med från tid till annan tillämplig personuppgiftslagstiftning, inbegripet dataskyddsförordningen (EU 2016/679) ("Tillämplig Lagstiftning"). Personuppgiftsbiträdes-avtalet utgör en integrerad del av det mellan Kunden och Leverantören gällande tjänsteavtalet jämte tillhörande bilagor (”Huvudavtalet”). Begrepp som anges med stor begynnelsebokstav i Personuppgifts-biträdesavtalet har den innebörd som framgår av Huvudavtalet med bilagor om inte annat särskilt anges i Personuppgiftsbiträdesavtalet.
1.2 Denna punkt 1.2 gäller enbart när Kundens verksamhet som gett upphov till personuppgifts-behandlingen bedrivs i Sverige och är tillämplig vid användning av Tjänsten. Beroende på Kundens roll och ansvar enligt Tillämplig Lagstiftning i förhållande till den behandling av personuppgifter som sker i Tjänsterna är Kunden personuppgiftsansvarig och/eller ett personuppgiftsbiträde för behandlingen. Om Kunden är en byggherre och använder Tjänsterna för att uppfylla sin skyldighet att föra en samlad personalliggare är Kunden personuppgifts-ansvarig för behandlingen av personuppgifter för detta syfte. Om Kunden låter underentreprenörer använda Tjänsterna på en arbetsplats i syfte att göra det möjligt för underentreprenörerna att kunna uppfylla sina skyldigheter att registrera sin Personal i personalliggare är respektive underentreprenör personuppgiftsansvarig för behandlingen av sin Personals personuppgifter i Tjänsterna för detta ändamål. I sådant fall är Kunden ett person-uppgiftsbiträde i förhållande till underentreprenören för den aktuella behandlingen av personuppgifter. Om Kunden, i förekommande fall, tillhandahåller Tjänsterna på uppdrag av en byggherre är Kunden ett personuppgiftsbiträde i förhållande till byggherren för den behandling av personuppgifter som sker i Tjänsterna på byggherrens uppdrag. I de fall Kunden agerar som ett personuppgifts-biträde enligt ovan ska Kunden säkerställa att det finns ett personuppgiftsbiträdesavtal mellan Kunden och den berörda personuppgiftsansvarige. Person-uppgiftsbiträdesavtalet ska ha ett innehåll som i tillämpliga delar motsvarar och återspeglar bestämmelserna i Personuppgiftsbiträdesavtalet. Kunden ska vidare när Kunden är ett person-uppgiftsbiträde fungera som Leverantörens kontakt-punkt gentemot de personuppgiftsansvariga som använder Tjänsterna genom Kunden för att göra det möjligt för Leverantören att kunna uppfylla sina skyldigheter enligt Tillämplig Lagstiftning och detta personuppgiftsbiträdesavtal gentemot berörda personuppgiftsansvariga. När Kunden är ett personuppgiftsbiträde enligt ovan är Leverantören ett underbiträde för den aktuella behandlingen av personuppgifter. Oavsett om Leverantören i ett enskilt fall agerar som ett personuppgiftsbiträde eller ett underbiträde ska bestämmelserna i Personuppgiftsbiträdesavtalet tillämpas på Leverantörens behandling av person-uppgifter inom ramen för Tjänsterna.
2. LEVERANTÖRENS ALLMÄNNA SKYLDIGHETER
2.1 Leverantören ska i egenskap av personuppgifts-biträde bara behandla personuppgifter i enlighet med Kundens skriftliga instruktioner enligt Person-uppgiftsbiträdesavtalet, samt de ytterligare dokumenterade instruktioner som Kunden från tid till annan ger. Ytterligare instruktioner kan lämnas till Leverantören via e-post eller på särskild blankett. Instruktionen bör innehålla motsvarande information som framgår av bilagan till Personuppgiftsbiträdes-avtalet.
2.2 Om Leverantören saknar instruktioner som Leverantören bedömer vara nödvändiga för att genomföra sitt uppdrag ska Leverantören utan dröjsmål informera Kunden och invänta ytterligare instruktioner. För det fall Leverantören finner att en instruktion strider mot Tillämplig Lagstiftning ska Leverantören informera Kunden om detta utan oskäligt dröjsmål. Om Kunden i sådant fall underlåter att lämna ytterligare instruktioner till Leverantören ska Leverantören bortse från instruktionen och meddela detta till Kunden. För det fall Kunden vidhåller den lagstridiga instruktionen har Leverantören rätt att säga upp Huvudavtalet i förtid enligt vad som framgår av de Allmänna Villkoren.
2.3 Oaktat vad som anges i punkt 2.1 ovan har Leverantören rätt att behandla personuppgifter i den utsträckning som det krävs för att Leverantören ska kunna uppfylla skyldigheter som åvilar Leverantören enligt från tid till annan Tillämplig Lagstiftning, exempelvis att efterkomma förelägganden från myndigheter. Det ankommer dock på Leverantören att innan sådan behandling genomförs informera Kunden om den rättsliga skyldigheten, såvida inte tvingande lagstiftning förhindrar Leverantören från att lämna sådan information.
2.4 Om någon begär information från Leverantören som rör Kundens behandling av personuppgifter ska Leverantören hänvisa till Kunden genom att underrätta Kundens Systemförvaltare via e-post. Leverantören får inte lämna ut personuppgifter eller annan information om behandlingen av person-uppgifter utan skriftlig instruktion från Kunden. Leverantören har inte rätt att företräda Kunden eller agera för Kundens räkning gentemot någon tredje part, inklusive tillsynsmyndigheten.
3. TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER
3.1 Leverantören ska vidta de tekniska och organisatoriska åtgärder som krävs enligt Tillämplig Lagstiftning för att skydda de personuppgifter som behandlas i Tjänsterna och åtminstone de tekniska och organisatoriska åtgärder som framgår av säkerhetsbilagan till Personuppgiftsbiträdesavtalet. Kundens på förhand lämnade godkännande krävs för det fall Leverantören vill genomföra förändringar såvitt avser de tekniska och organisatoriska åtgärder som vidtas som skulle innebära att säkerhetsnivån försämras. Parterna är överens om att de tekniska och organisatoriska åtgärder som vidtas ska vara föremål för regelbunden uppföljning för att säkerställa att åtgärderna är lämpliga med hänsyn till riskerna med behandlingen av personuppgifter.
3.2 Leverantören ska på Kundens begäran bistå Kunden med nödvändig information som Leverantören har att tillgå för att Kunden, i förekommande fall, ska kunna uppfylla sina skyldigheter att genomföra konsekvens-bedömning och förhandssamråd med berörda tillsynsmyndigheter avseende den behandling som Leverantören utför för Kundens räkning inom ramen för Tjänsterna. Leverantören har upprättat en konsekvensbedömning avseende behandlingen av personuppgifter som Leverantören utför på Kundens uppdrag som Kunden kan få del av på begäran.
3.3 Leverantören ska, i den mån det är möjligt, bistå Kunden genom att vidta lämpliga tekniska och organisatoriska åtgärder för att Kunden ska kunna fullgöra sin skyldighet att svara på en begäran om utövande av en registrerads rättighet som tillkommer den registrerade enligt Tillämplig Lagstiftning. Mjuk-varan har utformats för att bistå Kunden i detta avseende och genom särskild funktionalitet kan Kunden själv hantera förfrågningar från registrerade om utövande av sina rättigheter enligt Tillämplig Lagstiftning.
3.4 Leverantören ska säkerställa att tillgången till personuppgifter är begränsad till endast personal hos Leverantören som behöver tillgång för att Leveran-tören ska kunna uppfylla sina åtaganden gentemot Kunden. Vidare ska Leverantören tillse att sådan behörig personal iakttar sekretess motsvarande den sekretess som följer av punkt 8 nedan genom enskilda sekretessavtal.
4. PERSONUPPGIFTSINCIDENTER
4.1 För det fall en personuppgiftsincident (definierat i Tillämplig Lagstiftning) inträffar ska Leverantören skriftligen meddela Kunden genom Kundens Systemförvaltare utan oskäligt dröjsmål från att Leverantören fått kännedom om incidenten och senast inom tjugofyra (24) timmar i enlighet med Leverantörens från tid till annan gällande rutiner. Meddelandet ska innehålla information om incidentens art, kategorier av och antal registrerade och personuppgiftsposter som berörs, de sannolika konsekvenserna av incidenten, samt en beskrivning av vilka åtgärder Leverantören (i förekommande fall) vidtagit för att begränsa incidentens eventuella negativa effekter för att göra det möjligt för Kunden att uppfylla sin eventuella skyldighet att anmäla personuppgiftsincidenten till berörd tillsynsmyndig-het. Om det inte är möjligt behöver inte all information lämnas vid ett och samma tillfälle, utan Leverantören ska då lämna informationen till Kunden så snart den blir tillgänglig för Leverantören.
4.2 Om det är sannolikt att en personuppgiftsincident medför risk för de registrerades personliga integritet ska Leverantören, i den mån det är möjligt, omedel-bart efter att personuppgiftsincidenten kommit till Leverantörens kännedom vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa person-uppgiftsincidentens eventuella negativa effekter.
5. TILLGÅNG TILL INFORMATION M.M.
5.1 Leverantören dokumenterar löpande vilka åtgärder Leverantören vidtagit för att uppfylla sina skyldig-heter enligt Personuppgiftsbiträdesavtalet. Kunden har på begäran rätt att få del av den senaste versionen av sådan dokumentation. För information om behandlingen av personuppgifter som sker inom ramen för Tjänsterna, se bilagan till Personuppgifts-biträdesavtalet.
5.2 Vidare ska Leverantören möjliggöra och bidra till att Kunden, eller av Kunden utsedd tredje part, genomför en granskning, inbegripet inspektion, av de tekniska och organisatoriska åtgärder som Leverantören vidtar för att uppfylla sina skyldigheter enligt Personuppgiftsbiträdesavtalet. Leverantören ska skriftligen meddelas om en sådan granskning minst trettio (30) dagar i förväg. Samtliga kostnader för granskningen ska bäras av Kunden, inklusive Leverantörens eventuella kostnader för medverkan i granskningen. Kunden ska säkerställa att eventuell tredje part som genomför granskningen för Kundens räkning ska iaktta sekretess som inte är mindre restriktiv än vad som följer av punkt 8 nedan. Motsvarande bestämmelser gäller vid Kunds begäran om granskning av ett Underbiträde som Leverantören anlitat i samband med Tjänsterna, se punkten 6 nedan.
6. ANLITANDE AV UNDERBITRÄDEN
6.1 Kunden godkänner härmed att de av Leverantören anlitade underleverantörerna som framgår på av Leverantören från tid till annan angiven webbsida får behandla personuppgifter för Kundens räkning i samband med Tjänsterna ("Underbiträden"). De underbiträden som Leverantören anlitar vid tid-punkten för Personuppgiftsbiträdesavtalets ingående framgår även av bilagan till Personuppgiftsbiträdes-avtalet. Kunden lämnar vidare ett allmänt förhands-godkännande till Leverantören för anlitande av nya Underbiträden under förutsättning att Leverantören säkerställer att Underbiträdet lämnar tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen uppfyller kraven i Tillämplig Lagstift-ning.
6.2 Leverantören ska ingå ett personuppgiftsbiträ-desavtal med Underbiträdet. Ett sådant person-uppgiftsbiträdesavtal ska innehålla bestämmelser som motsvarar vad som följer av denna bilaga och Tillämplig Lagstiftning.
6.3 För det fall Leverantören avser att anlita ett nytt Underbiträde ska Leverantören informera Kunden om detta genom e-post till Kundens Avtalsansvarig. Leverantören ska därvid lämna information om Underbiträdets identitet (inbegripet fullständig firma, organisationsnummer och adress), på vilken plats (geografiskt) Underbiträdet kommer att behandla personuppgifter, vilken typ av tjänst som Under-biträdet utför, samt vilka skyddsåtgärder som kommer att vidtas av Underbiträdet för att skydda de personuppgifter som behandlas. Kunden har rätt att inom två (2) veckor räknat från meddelandet invända mot att Leverantören anlitar Underbiträdet för att be-handla personuppgifter på uppdrag av Kunden, varvid Leverantören och Kunden gemensamt ska söka en samförståndslösning och i annat fall kan Huvud-avtalet sägas upp i förtid enligt vad som framgår av de Allmänna Villkoren.
7. ÖVERFÖRING TILL OCH BEHANDLING AV PERSONUPPGIFTER UTANFÖR EU/EES-OMRÅDET
7.1 Kunden lämnar härmed sitt godkännande till att Leverantören i förekommande fall för över Kundens personuppgifter utanför EU/EES-området. Sådan överföring får dock endast ske om (i) landet har adekvat skyddsnivå för personuppgifter enligt beslut meddelat av EU-kommissionen som omfattar behand-lingen av personuppgifter, (ii) om Leverantören säkerställer att det finns lämpliga skyddsåtgärder på plats, exempelvis standardiserade dataskydds-bestämmelser, som antagits av EU-kommissionen, i ljuset av mottagarlandets lagstiftning eller (iii) om något annat undantag i Tillämplig Lagstiftning möjliggör överföringen.
7.2 För det fall Leverantören överför personuppgifter utanför EU/EES med stöd av standardiserade dataskyddsbestämmelser ger Kunden härmed fullmakt till Leverantören att ingå sådana standard-avtalsklausuler för den personuppgiftsansvariges räkning.
8. SEKRETESS
8.1 Utan att det påverkar sekretessåtagandet i punkten 14 i Huvudavtalet ska även följande gälla.
8.2 Leverantören ska hålla personuppgifter som behandlas för Kundens räkning strikt konfidentiella. Leverantören ska således inte, direkt eller indirekt, utlämna några personuppgifter till tredje part om inte Kunden skriftligen godkänt detta, såvida inte Leverantören är skyldigt enligt lag att lämna ut personuppgifter eller om det är nödvändigt för fullgö-randet av Huvudavtalet. Leverantören accepterar att detta sekretessåtagande ska fortsätta att gälla även efter att Huvudavtalet har upphört.
8.3 Kunden förbinder sig att hålla all information som Kunden erhåller avseende Leverantörens säkerhets-åtgärder, rutiner, IT-system eller som annars är av konfidentiell karaktär, strikt konfidentiell och förbinder sig vidare att inte till någon utomstående röja konfidentiell information som härrör från Leverantören eller dess Underbiträden. Kunden har dock rätt att röja sådan information som Kunden är skyldig att röja enligt lag eller enligt Huvudavtalet. Kunden accepterar att detta sekretessåtagande ska fortsätta att gälla även efter att Huvudavtalet har upphört.
9. ANSVAR
9.1 Kunden ska i händelse av att Leverantören åsamkas skada eller erhåller krav som en följd av Leverantörens behandling av personuppgifter i enlighet med Kundens instruktioner eller som en följd av att Kunden brutit mot punkten 1.2, hålla Leveran-tören skadeslöst för den skada som uppkommer som en följd därav. Leverantören ansvarar dock för utförandet av Underbiträdens skyldigheter gentemot Kunden om Underbiträdet inte uppfyller sina skyldig-heter. Någon ansvarsbegränsning enligt Person-uppgiftsbiträdesavtalet ska inte tillämpas i förhållande till Kundens ansvar enligt denna bilaga.
9.2 Om Kundens ytterligare dokumenterade instruk-tioner avseende behandlingen av personuppgifter inte stöds av Tjänsterna eller följer av Leverantörens åtaganden enligt Huvudavtalet i övrigt och som Leverantören inte skäligen har bort räkna med och dessa krav medför att Leverantören åsamkas extra kostnader, har Leverantören rätt att välja mellan att säga upp Huvudavtalet till omedelbart upphörande alternativt få ersättning från Kunden för dessa kostnader.
10. PERSONUPPGIFTSBITRÄDESAVTALETS UPPHÖRANDE
10.1 Vid Huvudavtalets upphörande ska Leverantören enligt Kundens val antingen återlämna eller radera samtliga personuppgifter som Leverantören har behandlat för Kundens räkning. Om Kunden inte inkommer med någon sådan begäran inom fjorton (14) dagar från att behandlingen avslutats, ska Leverantören på ett säkert sätt radera person-uppgifterna.