TimeplanGo - Personuppgiftsbiträdesavtal

Avtal mellan personuppgiftsansvarig och personuppgiftsbiträde.

1. Definitioner

De definitioner som anges i Avtalet gäller även för Personuppgiftsbiträdesavtalet. Utöver detta gäller följande definitioner:
 
  • med personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmelser ändamålen med och medlen för behandlingen av personuppgifter.
  • med personuppgiftsbiträde avses den som behandlar personuppgifter för den personuppgiftsansvariges räkning,
  • med behandlingen avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte till exempel insamling, registrering, organisering, lagring, bearbetning, ändring, användning, utlämnande, spridning eller annat tillhandahållande av uppgifter, sammanställning, samkörning, blockering, radering eller förstöring.
  • med personuppgifter avses all information som direkt eller indirekt går att koppla till en identifierbar levande person.

 

2. Innehåll & Syfte

Detta avtal upprättas för att uppfylla de krav som framgår av artikel 28 i Dataskyddsförordningen och är ett komplement till ingånget tjänsteavtal mellan parterna, nedan benämnt Tjänsteavtalet.
Mellan den Personuppgiftsansvarige och Personuppgiftsbiträdet har ett avtal avseende inhämtning och behandling av personuppgifter på personer folkbokförda inom EU och EES träffats.
Tjänsteavtalet är det avtal som reglerar vad Personuppgiftsbiträdet ska utföra för den personuppgiftsansvariges räkning. Personuppgiftsbiträdet behandlar personuppgifter i den omfattning som krävs för att uppfylla åtagandena enligt tjänsteavtalet.
 

3. Ansvar & Instruktioner

Den Personuppgiftsansvarige har ansvar för all behandling av avtalande personuppgifter i enlighet med Dataskyddsförordningen.
Personuppgiftsbiträdet åtar sig vidare att behandla personuppgifterna enligt Dataskyddsförordningen, samt Datainspektionens, eller relevant EU-organs, föreskrifter, ställningstaganden och rekommendationer på personuppgiftsområdet, nedan bestämda ”Tillämplig lag”.
Personuppgiftsbiträdet får inte, utan föreläggande från relevant myndighet eller tvingande lagstiftning:
 
  • Samla in eller lämna ut personuppgifter från eller till någon tredje part om inte annat skriftligen överenskommits.
  • Kopiera eller återskapa personuppgifter, eller på något annat sätt behandla personuppgifter för andra ändamål än de som anges i Tjänsteavtalet.
Personuppgiftsbiträdet får inte utan Personuppgiftsansvariges skriftliga samtycke i förväg, och att säkerställa att sådan överföring sker i överensstämmelse med tillämplig lagstiftning, överföra några personuppgifter till land utanför EES-området eller till land som inte omfattas av undantagen till förbud mot överföring till tredjeland enligt Dataskyddsförordningen 2016/679. För undvikande av missförstånd omfattar detta förbud även teknisk support, underhåll och likande tjänster.
För det fall Personuppgiftsbiträdet misstänker alternativt upptäcker någon säkerhetsöverträdelse av personuppgifter såsom obehörig åtkomst, förstörelse, ändring eller likande. Om Personuppgiftsbiträdet av någon annan anledning inte kan uppfylla åtaganden i detta Personuppgiftsbiträdesavtal, ska Personuppgiftsbiträdet omedelbart undersöka incidenten och vidta lämpliga åtgärder för att åtgärda incidenten samt förhindra en upprepning och tillhandahålla Personuppgiftsansvarig en beskrivning av incidenten.
Beskrivning av incidenten ska minst innehålla följande:
 
  • Beskriva personuppgiftsincidentens art, inbegripet om så är möjligt, de kategorier av personuppgifter och det ungefärliga antalet registrerade som berörts.
  • Förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan inhämtas.
  • Beskriva de sannolika konsekvenserna av personuppgiftsincidenten.
  • Beskrivande åtgärder som den Personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
Personuppgiftsbiträdet ska informera Personuppgiftsansvarige om Personuppgiftsbiträdet får kännedom om att personuppgifter behandlas i strid med Personuppgiftsansvariges instruktioner eller detta Personuppgiftsbiträdesavtal.
Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en högrisk för fysiska personers rättigheter och friheter ska Personuppgiftsbiträdet före behandlingen utför vara Personuppgiftsansvarig behjälplig vid en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter.
 

4.Säkerhet & Sekretess

Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som åtminstone överensstämmer med Tillämplig lag och är lämplig med beaktande av:
 
  • De tekniska möjligheter som finns
  • Vad det skulle kosta att genomföra åtgärderna.
  • De särskilda riskerna som finns med behandlingen av personuppgifterna.
  • Hur pass känsliga de behandlade personuppgifterna är.
Avtalade åtgärder, vilka uppfyller denna punkt, ska åstadkomma en säkerhetsnivå som Personuppgiftsansvarig efter samråd med Personuppgiftsombudet bedömer lämplig.
Vid bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlas.
Personuppgiftsbiträdet ska säkerställa att behörighetsstyrningen är korrekt samt att konfidentialitet iakttas.
Konfidentialitet ska tillse att samtliga anställa, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar personuppgifterna är bundna av ett ändamålsenligt sekretessåtagande samt att de är informerade om hur behandlingen av personuppgifterna får ske. Personuppgiftsbiträdet ansvarar för att de personer som har åtkomst till personuppgifterna är informerade om hur de får behandla personuppgifterna i enlighet med instruktioner från Personuppgiftsansvarig.
 

5. Revision & Besök

Personuppgiftsansvarig äger rätt att, själv eller genom tredje man genomföra revison gentemot Personuppgiftsbiträdet eller på annat sätt kontrollera att Personuppgiftsbiträdet behandling av personuppgifter följer detta Personuppgiftsbiträdesavtal. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge Personuppgiftsansvarige den assistans som behövs för genomförande av revision.
Personuppgiftsbiträdet ska i samråd med Personuppgiftsansvarige tillhandahålla all tillgänglig information avseende behandlingen av personuppgifter för att Personuppgiftsansvarige ska kunna uppfylla sina skyldigheter som Personuppgiftsansvarig enligt Tillämplig lag.
 
För de fallen registrerade personer, Datainspektionen eller annan tredje man begär information från Personuppgiftsansvarige eller Personuppgiftsbiträdet rörande behandlingen av personuppgifter ska parterna samverka och utbyta information i nödvändig utsträckning, ingen part får lämna ut personuppgifter eller information om behandlingen av personuppgifter utan medgivande i förväg från motparten utom för de fall föreläggande finns därom från relevant myndighet eller om part är nödgad därtill enligt tvingande lagstiftning.
Personuppgiftsbiträdet ska vara Personuppgiftsansvarig behjälplig genom lämpliga tekniska och organisatoriska åtgärder, så att Personuppgiftsansvarig kan fullfölja sin skyldighet avseende de registrerades rättigheter i enlighet med kapitel 3 i Dataskyddsförordningen.
 

6. Underbiträden

I den mån Personuppgiftsbiträdet anlitar underbiträden, ska dessa godkännas av den Personuppgiftsansvarige.
 
Om Personuppgiftsbiträdet efter godkännande anlitar underbiträde, har Personuppgiftsbiträdet mandat och skyldighet att ingå särskilt Personuppgiftsbiträdesavtalet med sådant underbiträde vad avser underbiträdes behandling av personuppgifter. I sådant avtal ska föreskrivas att underbiträdet har motsvarande skyldigheter som Personuppgiftsbiträdet har enligt detta avtal. 
 
Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran tillhandahålla en kopia av delar av Personuppgiftsbiträdet avtal med underbiträde som krävs för att utvisa att Personuppgiftsbiträdet uppfyllt sina åtaganden enligt detta Personuppgiftsbiträdesavtal.
 
Personuppgiftsbiträdet ska vid tid före en korrekt och uppdaterad lista utvisande vilka underbiträden som anlitats för behandlingen av personuppgifter och var dessa är geografiskt belägna. Personuppgiftsbiträdet ska vidare på Personuppgiftsansvariges begäran utan dröjsmål tillhandahålla kontaktuppgifter till de underbiträden som behandlar personuppgifter.
 
Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om eventuella planer på att anlita nya underbiträden eller ersätta underbiträden, så att den Personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar. För det fall det finns rimligt fog för invändningen har Personuppgiftsansvarige rätt att bindande verkan motsättas sig anlitandet av visst nytt underbiträde.
 

7. Skadelöshet

Personuppgiftsbiträdet ska hålla Personuppgiftsansvarige skadeslöst i händelse av att Personuppgiftsansvarig åsamkas skada som är hänförlig till Personuppgiftsbiträdet behandling av personuppgifter i strid mot Dataskyddsförordningen, instruktion från Personuppgiftsansvarige eller Tjänsteavtalet.
 

8. Upphörande av behandling av personuppgifter

Personuppgiftsbiträdet ska beroende på vad Personuppgiftsansvarig väljer, radera eller återlämna all data som innehåller personuppgifter på samtliga media som den fixerad på, efter uppdraget har avslutats eller om avtalet har upphört att gälla.
 

9. Behandlingar omfattande av Avtalet

 
Registrerade
De Personuppgifter som ska behandlas rör följande kategorier av registrerade:
 
  • Anställda
  • Externa medarbetare

Typ av Personuppgifter som behandlas
Känsliga Personuppgifter som behandlas (i förekommande fall)
Överföring rörande Känsliga personuppgifter:
  • Sjukfrånvaro
Behandling
De Personuppgifter som kommer att behandlas, sker på följande sätt:
  • Personuppgifter samlas in av Personuppgiftsansvarig, registrering av närvaro och lagring av inmatad och registrerad information.
Ändamålet med behandlingarna
Behandlingen av Personuppgifter sker i syfte att:
  • Schemaläggning, tidsregistrering och beräkning av löneunderlag
Särskilda instruktioner angående Behandlingarna
Vid behandlingen av Personuppgifter ska Personuppgiftsbiträdet särskilt beakta:
Gallring av Personuppgifter
Personuppgifterna ska raderas när:
 

10. Tvist och tillämplig lag

Tvist angående tolkning eller tillämpning av detta avtal ska avgöras enligt svensk lag och Tjänsteavtalets bestämmelse om tvist.
Detta avtal har upprättats i två likalydande exemplar, varav parterna tagit del av var sitt.
 

Get started with TimeplanGo!

Free forever workforce management!

Digitise your workforce management with completely free scheduling and time reporting. 

Using TimeplanGo will free up valuable time that you can spend on more rewarding tasks than manually updating excel-sheets or figuring out your staffing needs.