Happy at work logo

PERSONUPPGIFTSBITRÄDESAVTAL

1. Parter

Detta Personuppgiftsbiträdesavtal (nedan kallat ”Avtalet”) har denna dag ingåtts mellan:

1.1 Kunden, angiven i Huvudavtalet samt Licensavtalet (nedan kallad “Personuppgiftsansvarig”); och

1.2 Interactive Happiness Survey AB, 559144-8773, Västra Hamngatan 7C, 411 17 Göteborg, (nedan kallad ”Personuppgiftsbiträde”)

Den Personuppgiftsansvarige och Personuppgiftsbiträdet kallas nedan var för sig även för ”Part” och gemensamt för ”Parterna”. I detta Avtal används i viss utsträckning termer och begrepp vars innebörd framgår av förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter samt om upphävande av EU-direktivet (”Dataskyddsförordningen”).

2. Avtalets Tillämpningsområde

Parterna har ingått avtal avseende ett molnbaserat HR-verktyg för att kunna mäta frågor i en organisation (”Huvudavtalet”). Personuppgiftsbiträdet kommer under Huvudavtalets och detta Avtals giltighetstid att behandla personuppgifter för den Personuppgiftsansvariges räkning i syfte att göra medarbetarundersökningar utefter de områden som önskas. Personuppgiftsbiträdet samtycker till att inte behandla personuppgifter för några andra ändamål och endast i enlighet med Dataskyddslagstiftningen (enligt definition i punkt 3.3 nedan) samt de villkor som anges i detta Avtal.

2.1 Inom ramen för detta Avtal kommer Personuppgiftsbiträdet att behandla följande kategorier av personuppgifter:

2.1.1 Undersökningarna innehåller inga personuppgifter. Däremot kommer administratörerna att samla in och lagra följande uppgifter i tjänsten:

  1. Förnamn/Efternamn
  2. E-mail
  3. Telefonnummer (valfri)
  4. SlackId (valfri)


Administratörerna erhåller även ett lösenord som krypteras (med AES256) och lagras i krypterat format.

2.2 Personuppgifterna gäller följande kategorier av registrerade:

2.2.1 Medarbetare – registreras med namn, telefonnummer (valbart) och e-mail

2.2.2 Chefer – registreras med namn, e-mail samt tilldelas ett lösenord och ett login
2.3 Om inte annat specifikt anges häri ska Personuppgiftsbiträdet inte vara berättigad till någon ersättning för att uppfylla de åtaganden som framgår av detta Avtal.

3. Instruktioner och Säkerhet

3.1 Enligt villkoren i detta Avtal bibehåller den Personuppgiftsansvarige en generell rätt att utfärda instruktioner vad gäller art, omfattning och metod i fråga om behandling av personuppgifter. Dessa instruktioner kan kompletteras med individuella instruktioner.

3.2 Personuppgiftsbiträdet ska enbart behandla personuppgifter för den Personuppgiftsansvariges räkning enligt den Personuppgiftsansvariges instruktion.

3.3 Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder i syfte att skydda personuppgifter mot oavsiktlig eller olaglig förstöring, förlust eller ändring samt mot obehörigt röjande, missbruk eller annan behandling i strid med Europaparlamentets och rådets direktiv 95/46/EG samt tillämplig lagstiftning som införlivar detta direktiv och/eller Dataskyddsförordningen (nedan gemensamt kallade ”Dataskyddslagstiftningen”).

3.4 Utan att detta begränsar Personuppgiftsbiträdes skyldigheter enligt punkt 3.3 ovan ska Personuppgiftsbiträdet säkerställa att denne och dess eventuella underbiträden som är delaktiga i behandlingen av personuppgifter alltid uppfyller eu-kommissionen, dataskyddsmyndigheter eller andra myndigheters senaste krav.

3.5 På den Personuppgiftsansvariges skriftliga begäran ska Personuppgiftsbiträdet ge den Personuppgiftsansvarige, eller varje tredje part som har utsetts av den Personuppgiftsansvarige (förutsatt att rimliga och lämpliga sekretessåtaganden ingås), möjlighet att granska Personuppgiftsbiträdets databehandling samt tillmötesgå den Personuppgiftsansvariges samtliga rimliga önskemål, anvisningar eller instruktioner för att den Personuppgiftsansvarige ska kunna kontrollera och/eller säkerställa att Personuppgiftsbiträdet och/eller dess underbiträden helt och hållet fullgör sina skyldigheter enligt detta Avtal och Dataskyddslagstiftningen.

3.6 Personuppgiftsbiträdet bekräftar härmed att Personuppgiftsbiträdet kommer genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen som följer av detta Avtal uppfyller kraven i Dataskyddslagstiftningen och Personuppgiftsbiträdet ska säkerställa att den registrerades rättigheter skyddas. Personuppgiftsbiträdet bekräftar härmed vidare att denna har sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i Dataskyddslagstiftningen, bl.a. vad gäller säkerhet i samband med behandling av uppgifter, samt att de åtgärder som vidtas kommer att ses över och uppdateras vid behov. Personuppgiftsbiträdet ska hjälpa den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder så att den Personuppgiftsansvarige kan fullgöra sin skyldighet att svara på och tillmötesgå en begäran om utövande av den registrerades rättigheter i enlighet med Dataskyddslagstiftningen.

3.7 Personuppgiftsbiträdet ska säkerställa att den personal, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar personuppgifter för dennes räkning har åtagit sig att iaktta sekretess avseende de personuppgifter som behandlas enligt detta Avtal. Sådant sekretessåtagande ska fortsätta att äga tillämpning även efter det att Avtalet upphört att gälla.   

3.8 Personuppgiftsbiträdet ska dokumentera de olika kategorierna av personuppgifter som behandlas samt hur behandlingen ombesörjs. Dokumentationen ska vara tillgänglig för den Personuppgiftsansvarige utan dröjsmål efter skriftlig begäran därom.

3.8.1 Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet bedömer att en instruktion strider mot Dataskyddslagstiftningen.

3.8.2 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att se till att skyldigheterna enligt art 32-36 i Dataskyddsförordningen samt i enlighet med instruktioner från den Personuppgiftsansvarige (vidta säkerhetsåtgärder, hantera personuppgiftsincidenter, genomföra konsekvensbedömningar samt delta i förhandssamråd med tillsynsmyndighet) fullgörs, med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå. 

4. Informationsflöden

Personuppgiftsbiträdet har utarbetat en detaljerad översikt över de  informationsflöden som uppstår till följd av Personuppgiftsbiträdets behandling av personuppgifter i enlighet med detta Avtal. Denna återfinns i Bilaga 2 (Informationsflöden). Personuppgiftsbiträdet garanterar att varken det eller dess underbiträden kommer att överföra några andra personuppgifter än de som anges i detta Avtal.

5. Underbiträden

5.1 Personuppgiftsbiträdet får inte utan den Personuppgiftsansvariges föregående skriftliga samtycke anlita tredje part (ett underbiträde) för att fullgöra någon del av den behandling som Personuppgiftsbiträdet ansvarar för enligt detta Avtal. 

5.2 Före det att Personuppgiftsbiträdet anlitar ett underbiträde enligt punkt 5.1 ovan ska Personuppgiftsbiträdet ingå ett skriftligt avtal med underbiträdet, varigenom underbiträdet åläggs samma skyldigheter som åligger Personuppgiftsbiträdet enligt detta Avtal inklusive, men inte begränsat till, att verifiera att de säkerhetsåtgärder som implementeras av underbiträdet åtminstone motsvarar den skyddsnivå som anges bilaga 1 och andra instruktioner som tillhandahålls av den Personuppgiftsansvarige enligt detta Avtal. Personuppgiftsbiträdet ska utan dröjsmål redogöra för sina säkerhetsbedömningar av eventuella underbiträden och ska på begäran ge en kopia till den Personuppgiftsansvarige. Personuppgiftsbiträdet ska vidare efter begäran omedelbart tillhandahålla information om eventuella underbiträdens geografiska läge och den geografiska lokaliseringen av personuppgifter som behandlas nedan. Om underbiträdet inte fullgör sina skyldigheter enligt ett sådant skriftligt avtal, ska den Personuppgiftsbiträdet vara fullt ansvarig gentemot den Personuppgiftsansvarige för utförandet av underbiträdets skyldigheter. 

5.3 Personuppgiftsbiträdet ska på den Personuppgiftsansvariges begäran tillhandahålla kopia av delar av Personuppgiftsbiträdets avtal med underbiträden som krävs för att utvisa att personuppgiftsbiträdet uppfyllt sina åtaganden enligt detta Avtal.

5.3.1 Personuppgiftsbiträdet får endast överföra personuppgifter utanför EU/EES om underleverantörens DPA (Data Processing Agreement) innehåller och tar stöd av Standardavtalsklausuler samt uppfyller samtliga krav från EU-kommissionen, dataskyddsmyndigheter eller andra myndigheter avseende en överföring av personuppgifter utanför EU/EES. Personuppgiftsbiträdet ska ingå ett s.k. Data Transfer Agreement som åtminstone ska innehålla bland annat EU-kommissionens standardavtalsklausuler.

6. Underrättelse Avseende Personuppgiftsincident

6.1 Personuppgiftsbiträdet ska, utan onödigt dröjsmål och alltid inom en sådan tid att den Personuppgiftsansvarige rimligen har möjlighet att efterleva Dataskyddslagstiftningen (dock aldrig senare än 24 timmar efter att en personuppgiftsincident eller potentiell personuppgiftsincident uppmärksammades), skriftligen underrätta den Personuppgiftsansvarige om identifierade eller potentiella personuppgiftsincidenter avseende de personuppgifter som behandlas enligt detta Avtal. Underrättelsen ska omfatta all information som krävs för att den Personuppgiftsansvarige ska kunna efterleva Dataskyddslagstiftningen, inklusive information om personuppgiftsincidentens art samt de åtgärder som har vidtagits för att begränsa effekterna därav.   

7. Samarbete med Tillsynsmyndigheter

7.1 För det fall en begäran om tillgång till information, lokal eller utrustning inkommer till Personuppgiftsbiträdet från tillsynsmyndigheten eller Europeiska Dataskyddsstyrelsen ska Personuppgiftsbiträdet omedelbart meddela den Personuppgiftsansvarige om begäran samt – i den utsträckning det är möjligt med hänsyn till bestämmelser i Dataskyddslagstiftningen – låta den Personuppgiftsansvarige medverka vid framtagandet av information och eventuella besök i Personuppgiftsbiträdets lokaler eller liknande. Motsvarande gäller även om nämnda myndighet begär information eller insyn hos Personuppgiftsbiträdet i syfte att granska att Personuppgiftsbiträdets behandling sker i enlighet med Dataskyddslagstiftningen eller annan tillämplig integritetslagstiftning i Sverige. 

8. Uppsägning

8.1 Detta Avtal träder i kraft på dagen för dess undertecknande och kan av endera Part skriftligen sägas upp med iakttagande av tre (3) månaders uppsägningstid, dock ska bestämmelserna i detta Avtal äga tillämpning så länge som Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.

8.2 Vid Avtalets upphörande ska Personuppgiftsbiträdet återlämna allt material som rör de personuppgifter denne har behandlat för den Personuppgiftsansvariges räkning, alternativt på den Personuppgiftsansvariges begäran överlämna dokumentation som utvisar att sådana personuppgifter har raderats.

9. Meddelanden

9.1 Meddelanden eller annan korrespondens i anledning av detta Avtal ska vara skriftliga och avfattade på svenska, skickas med bud, rekommenderat brev eller e-post till de adresser, postadresser och e-postadresser som angivits i ingressen till detta Avtal eller sådana andra adresser, postadresser och e-postadresser vilka senare meddelats i enlighet med detta avsnitt 9.

9.2 Ett meddelande ska anses ha kommit Part tillhanda (i) om det avlämnats med bud: vid avlämnandet, (ii) om det avsänts med rekommenderat brev och inte mottagits tidigare: tre (3) dagar efter avsändandet, eller (iii) om avsänt med e-post: vid det datum då mottagaren av e-postmeddelandet skriftligen bekräftar mottagandet (till undvikande av missförstånd ska mottagandemeddelanden, autogenererade svarsmeddelanden och andra automatiskt genererade e-postmeddelanden inte anses utgöra skriftliga bekräftelser).

10. Övriga Bestämmelser

10.1 Parts underlåtenhet att utnyttja någon rättighet enligt detta Avtal eller underlåtenhet att påtala visst förhållande hänförligt härtill ska inte innebära att Part frånfallit sin rätt i sådant avseende. Skulle Part vilja avstå från att utnyttja viss rättighet eller att påtala visst förhållande ska i varje enskilt fall sådant avstående ske skriftligen. 

10.2 Part får inte, utan den andra Partens skriftliga medgivande, överlåta rättigheter eller skyldigheter enligt detta Avtal.

10.3 Ändringar och tillägg till detta Avtal ska för att vara bindande avfattas skriftligen och vara undertecknade av behöriga ställföreträdare för Parterna.

10.4 Avtalet utgör Parternas fullständiga reglering av alla frågor som Avtalet berör. Alla skriftliga eller muntliga åtaganden och utfästelser som föregått Avtalet ersätts av innehållet i detta Avtal.

10.5 Skulle någon bestämmelse i detta Avtal befinnas ogiltig ska detta inte medföra att Avtalet i dess helhet är ogiltigt utan istället ska skälig jämkning av Avtalet ske om och i den mån ogiltigheten väsentligen påverkar Parts utbyte av Avtalet eller prestation i enlighet därmed.  

11. Tillämplig Lag och Tvistelösning

11.1 Detta Avtal ska vara underkastat svensk lag utan hänsyn tagen till svensk lags lagvalsregler.

11.2 Tvist i anledning av detta Avtal ska slutligt avgöras genom skiljedom enligt Skiljedomsregler för Stockholms Handelskammares Skiljedomsinstitut. Skiljenämnden ska bestå av en skiljeman om det omtvistade värdet uppgår till mindre än 1 miljon kronor. Om det omtvistade värdet uppgår till 1 miljoner kronor eller mer ska skiljenämnden bestå av tre skiljemän. Skiljeförfarande ska äga rum i Stockholm.  Språket för förfarandet ska vara svenska. 

11.3 Skiljeförfarande som påkallas med hänvisning till denna skiljeklausul omfattas av sekretess. Sekretessen omfattar all information som framkommer under förfarandet liksom beslut eller skiljedom som meddelas i anledning av förfarandet. Information som omfattas av sekretess under denna punkt får inte lämnas till tredje man utan den andra Partens skriftliga samtycke. Part ska emellertid inte vara förhindrad att lämna sådan information för att på bästa sätt tillvarata sin rätt mot den andra Parten med anledning av tvisten eller om Part enligt författning, föreskrift, myndighetsbeslut, tillämpliga börsregler eller motsvarande är skyldig att lämna sådan information.
* * *
Detta Avtal har upprättats i så många likalydande exemplar att Parterna erhållit varsitt exemplar, antingen i tryckt format eller digitalt.

Bilaga 1 – Datasäkerhet

1. Inledning

1.1 I denna Bilaga 1 (Datasäkerhet) fastställs de minimikrav avseende säkerhet som Personuppgiftsbiträdet och dess underleverantörer ska följa när personuppgifter behandlas.

2. Minimikrav Avseende Säkerhet

2.1 Personuppgiftsbiträdet ska för egen del uppfylla samt säkerställa att samtliga dess underbiträden alltid uppfyller följande minimikrav avseende säkerhet:

2.2 Tillgänglighet
Personuppgiftsbiträdet ska säkerställa att, och på begäran kunna ge en detaljerad beskrivning av de säkerhetsåtgärder som har vidtagits för att säkerställa att, information är tillgänglig, t.ex. genom användning av teknik som motverkar virus och DDoS-attacker.

2.3 Integritet
Personuppgiftsbiträdet ska säkerställa att, och på begäran kunna ge en detaljerad beskrivning av de åtgärder som har vidtagits för att säkerställa att, personuppgifterna är autentiska och inte uppsåtligt eller oavsiktligt har ändrats under behandling, lagring eller överföring, t.ex. vad gäller säkerhetskopiering, autentiseringskoder och signaturer.

2.4 Konfidentialitet
Personuppgiftsbiträdet ska säkerställa, och på begäran kunna ge en detaljerad beskrivning av de åtgärder som har vidtagits för att säkerställa, personuppgifternas konfidentialitet, inbegripet t.ex. krypteringsteknik, utbildningsprogram, behörighetstilldelning och avtalsklausuler.

2.5 Öppenhet
Personuppgiftsbiträdet ska säkerställa att, och på begäran kunna ge en detaljerad beskrivning av de eventuella ytterligare åtgärder som har vidtagits för att säkerställa att, den Personuppgiftsansvarige får tillräcklig insyn i Personuppgiftsbiträdets och dess (eventuella) underleverantörers behandling av personuppgifter, t.ex. genom realtidsinformation som är tillgänglig via informationsportaler.

2.6 Avgränsning (begränsning av syftet)
Personuppgiftsbiträdet ska säkerställa att, och på begäran kunna ge en detaljerad beskrivning av de metoder och kontroller som Personuppgiftsbiträdet och dess underleverantörer har infört för att säkerställa att, personuppgifter endast blir tillgängliga och använda för berättigade ändamål, t.ex. genom åtkomsthantering samt fördelning av roller och ansvarsområden.

Personuppgiftsbiträdet ska säkerställa att endast sådana personuppgifter behandlas som är nödvändiga för att uppnå ändamålet med behandlingen. Denna skyldighet gäller exempelvis mängden insamlade personuppgifter, behandlingens omfattning, tiden för uppgifternas lagring och dess tillgänglighet för Personuppgiftsansvarige och Personuppgiftsbiträdet.

2.7 Möjlighet till ingripande
Personuppgiftsbiträdet ska säkerställa att Personuppgiftsansvarige får åtkomst till att rätta, radera, blockera och hantera invändningar mot behandlingen av personuppgifter, och på begäran kunna ge en detaljerad beskrivning av de mekanismer som är tillgängliga för den Personuppgiftsansvarige för att få åtkomst till att rätta, radera, blockera och hantera invändningar mot behandlingen av personuppgifter.

2.8 Portabilitet
Personuppgiftsbiträdet ska säkerställa, och på begäran kunna ge en detaljerad beskrivning av hur Personuppgiftsbiträdet kommer att säkerställa, personuppgifters portabilitet, t.ex. genom att använda standardiserade eller öppna dataformat och gränssnitt.

2.9 Ansvarighet
Personuppgiftsbiträdet ska säkerställa, och på begäran kunna ge en detaljerad beskrivning av de tekniska och organisatoriska åtgärder som har vidtagits för att säkerställa, ansvarighet och spårbarhet vad gäller behandlingen av personuppgifter, genom att t.ex. använda loggning och självgranskning.

Personuppgiftsbiträdet ska tillse att dess tjänster, system, produkter och andra tekniklösningar som används har ett inbyggt dataskydd och som standard inneha dataskydd som motsvarar krav enligt Dataskyddsförordningen och detta Avtal.

2.10 Lagring och radering av uppgifter
Personuppgiftsbiträdet ska säkerställa att Personuppgiftsansvarige kan fullgöra sina skyldigheter såsom Personuppgiftsansvarig vad avser exempelvis (i) radering, (ii) begränsning av behandling, (iii) få fram registerutdrag avseende registrerad samt (iv) möjlighet för den registrerade att ha rätten att bli bortglömd och på begäran kunna ge en detaljerad beskrivning av de tekniska och organisatoriska åtgärder och metoder som har vidtagits respektive införts vad gäller lagring och radering av uppgifter.

2.11 Fysisk säkerhet
Personuppgiftsbiträdet ska säkerställa att de fysiska säkerhetsåtgärder och säkerhetsförfaranden som har vidtagits på de platser som används för behandlingen av personuppgifter, t.ex. låsning av lokaler samt larmsystem är tillförlitliga och på begäran kunna ge en detaljerad beskrivning av vilka fysiska säkerhetsåtgärder och säkerhetsförfaranden som vidtagits.

Bilaga 2 – Informationsflöden

1. Inledning

1.1 I denna Bilaga 2 (Informationsflöden) fastställs de informationsflöden som följer av Personuppgiftsbiträdets och dess underbiträdens behandling av personuppgifter i enlighet med Avtalet.

1.2 Översikt

Översikt

1.3 Informationsflöden

Informationsflöden

Happy at work logo

Vi använder söta små kakor för att förbättra din användarupplevelse hos oss.

©2021 Interactive Happiness Survey AB