Log in

I want to access:
HRM &frankly Expert Equal Pay Handbooks

Personuppgiftsbiträdesavtal

AlexisHR från Simployer - Sverige


Detta personuppgiftsbiträdesavtal (detta "Personuppgiftsbiträdesavtal") ingås denna dag mellan dig, Kunden, och oss, Simployer AB.


1 . Införandet

1.1 Parterna har ingått ett avtal ("Avtalet") avseende personaltjänster online som ska tillhandahållas av Simployer till Kunden.

1.2 Simployer kommer att behandla personuppgifter för Kundens räkning vid tillhandahållande av tjänster i enlighet med Avtalet och därmed agera som personuppgiftsbiträde. Kunden är personuppgiftsansvarig.

1.3 Detta Personuppgiftsbiträdesavtal utgör ett sådant avtal mellan den Personuppgiftsansvarige och Personuppgiftsbiträdet i enlighet med artikel 28.3 i GDPR.

2. Definitioner

2.1 Begrepp som definieras i tillämplig dataskyddslagstiftning, såsom "personuppgiftsansvarig", "personuppgiftsbiträde", "personuppgifter", "behandling", "registrerad" och "tillsynsmyndighet", ska tolkas och tillämpas i enlighet med tillämplig dataskyddslagstiftning.

2.2 Dessutom ska definitionerna nedan ha följande betydelser:

"Tillämplig dataskyddslagstiftning"
 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning, "GDPR") och tillämplig norsk personuppgiftslag.

"Kundens personuppgifter"
Personuppgifter som överförs till, lagras eller på annat sätt behandlas av Simployer för den personuppgiftsansvariges räkning enligt avtalet, enligt vad som beskrivs närmare i bilaga 1 (specifikation).

"Specifikation" 
Bilaga 1 (specifikation) till detta Personuppgiftsbiträdesavtal.

3. Avtalsdokument och användbarhet

3.1 Detta databehandlingsavtal består av detta huvuddokument och bilaga 1 (specifikation), som anger föremålet för och varaktigheten av den behandling som utförs av Simployer, behandlingens art och syfte, typen av kundens personuppgifter och kategorier av registrerade. I händelse av konflikt eller inkonsekvens mellan detta databehandlingsavtal och avtalet ska bestämmelserna i detta databehandlingsavtal ha företräde.

4. Behandling och instruktioner

4.1 Simployer åtar sig att endast behandla Kundens personuppgifter i enlighet med detta Personuppgiftsbiträdesavtal, Avtalet och Kundens skriftliga instruktioner. Sådana instruktioner framgår av detta Personuppgiftsbiträdesavtal och specifikationen i Bilaga 1.4.2 Båda parter åtar sig att följa tillämplig dataskyddslagstiftning i den mån sådan lagstiftning är tillämplig på partens skyldigheter enligt Avtalet.4.3 Om Simployer anser att Kundens instruktioner strider mot tillämplig dataskyddslagstiftning ska Simployer underrätta Kunden och invänta vidare instruktioner.

5. Lämpliga tekniska och organisatoriska åtgärder

5.1 Simployer ska vidta lämpliga tekniska och organisatoriska åtgärder i enlighet med artikel 32 i GDPR för att säkerställa en säkerhetsnivå som är lämplig i förhållande till de risker som är förknippade med behandlingen av kundens personuppgifter. I detta avseende ska Simployer ta hänsyn till den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och syfte, samt riskerna, av varierande sannolikhet och allvarlighetsgrad, för de registrerades rättigheter och friheter. En beskrivning av Simployers säkerhetsarbete finns i bilaga 1 (specifikation).

5.2 Kunden anser att de säkerhetsåtgärder som anges i detta Personuppgiftsbiträdesavtal, Specifikationen och Avtalet är lämpliga åtgärder för den behandling som Simploloyer ska utföra i enlighet med Personuppgiftsbiträdesavtalet.

6. Överföring av personuppgifter till tredje land

6.1 Alla Kundens personuppgifter kommer att lagras på servrar inom EU/EES enligt vad som anges i Bilaga 1 (specifikation).

6.2 Simployer får endast överföra personuppgifter till en plats utanför EU/EES eller ett land som inte omfattas av ett beslut om adekvat skyddsnivå från Europeiska kommissionen enligt artikel 45 i GDPR om (i) Simployer har erhållit kundens tidigare, specifika samtycke till sådan överföring, (ii) sådan överföring överensstämmer med tillämplig dataskyddslagstiftning och baseras på en giltig överföringsmekanism (t.ex. standardavtalsklausuler) och (iii) en bedömning av ett sådant tredjeland är skapas och dokumenteras.

6.3 Om de villkor som anges i punkt 6.2. ovan är uppfyllda ger kunden ett generellt tillstånd för Simployer att ingå nödvändiga standardavtalsklausuler med den mottagande parten vid överföring av kundens personuppgifter till platser utanför EU/EES.

7. Information och utlämnande

7.1 Simployer ska bistå Kunden med lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt, så att Kunden kan fullgöra sin skyldighet att svara på förfrågningar om utövande av den registrerades rättigheter i enlighet med tillämplig dataskyddslagstiftning.

7.2 Simployer ska bistå kunden, med hänsyn till typen av behandling och den information som Simployer har tillgång till, för att säkerställa att den uppfyller sina skyldigheter enligt artiklarna 32-36 i GDPR.

7.3 Simployer ska, i enlighet med kundens instruktioner, radera eller återlämna kundens personuppgifter till kunden efter avslutad behandling av kundens personuppgifter och radera befintliga kopior av kundens personuppgifter, såvida inte radering av personuppgifterna krävs enligt lagstiftningen i EU:s medlemsstater eller på annat sätt överenskommits.

7.4 Simployer ska ge kunden tillgång till all information som är nödvändig för att kunden ska kunna visa att de skyldigheter som anges i artikel 28 i GDPR har uppfyllts.7.5 Kunden bekräftar att kundens rätt att genomföra revisioner enligt GDPR uppfylls genom att Simployer säkerställer att en oberoende tredje part, utsedd av Simployer, regelbundet utför en systemrevision av systemet. Resultaten av granskningen görs tillgängliga för kunden på begäran.

8. Kontakt med registrerade och tillsynsmyndigheter

8.1 Om en registrerad, tillsynsmyndighet eller annan tredje part begär information från Simployer avseende behandlingen av Kundens Personuppgifter, ska Simployer utan onödigt dröjsmål hänvisa en sådan begäran till Kunden och invänta ytterligare instruktioner, såvida det inte krävs för att agera i enlighet med tillämplig dataskyddslagstiftning.

9. Underleverantörer

9.1 Kunden ger härmed Simployer ett generellt förhandssamtycke i enlighet med artikel 28.2 i GDPR för att använda underbiträden för kundens räkning för behandling av kundens personuppgifter. Simployer ska ålägga underbiträdet liknande dataskyddsskyldigheter som Simployer har enligt detta personuppgiftsbiträdesavtal. I bilaga 1 (specifikation) anges de underbiträden som anlitas av Simployer vid tidpunkten för ingåendet av detta personuppgiftsbiträdesavtal. 1

‍9.2 Simployer ska informera kunden om alla planerade ändringar avseende tillägg eller utbyte av andra underbiträden. Sådan information kommer att tillhandahållas på leverantörens hemsida och du vil notifieras om sådana ändringar. Kunden ges möjlighet att invända mot sådana ändringar och har rätt att säga upp Avtalet i förtid enligt punkt 17.2 i Avtalet.

9.3 Om underbiträdet underlåter att uppfylla sina skyldigheter avseende dataskydd ska Simployer vara fullt ansvarig gentemot kunden för utförandet av underbiträdets skyldigheter.

----
1 Artikel 28.3 d


10. Sekretess

10.1 Utöver de sekretessförpliktelser som framgår av Avtalet ska ingen av parterna till tredje man lämna ut Kundens personuppgifter eller annan information som lämnas ut enligt detta Dataskyddsavtal ("Konfidentiell Information"), såvida inte sådan skyldighet föreligger enligt tillämplig dataskyddslagstiftning eller instrueras av Kunden. Ingen av parterna ska, direkt eller indirekt, för egen eller annans räkning, använda konfidentiell information i något annat syfte än att uppfylla sina skyldigheter enligt tillämplig dataskyddslagstiftning eller detta databehandlingsavtal.

10.2 Simployer ska se till att personer som är behöriga att behandla kundens personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

‍11. Ersättning

11.1 Simployers behandling av Kundens Personuppgifter är en naturlig del av tillhandahållandet av Tjänsterna i enlighet med Avtalet och kommer därmed att ingå i avgifterna för sådana Tjänster. Simployer har dock rätt till ytterligare ersättning i rätt tid och på väsentlig basis för eventuella kostnader som uppstår i samband med i) Simployer som hjälper kunden enligt vad som anges i punkterna 7 eller 8 ovan, eller ii) Simployers svar på en begäran om information som rör en registrerad.

12. Ansvar

12.1 Om Simployer eller någon som Simployer är ansvarig för enligt detta Personuppgiftsbiträdesavtal av oaktsamhet behandlar Kundens Personuppgifter i strid med detta Personuppgiftsbiträdesavtal eller i strid med lagliga instruktioner från Kunden, ska Simployer ersätta Kunden för skador som uppstått på grund av Simployers felbehandling.

‍12.2 Kunden ska hålla Simployer skadeslös för skador som uppstår till följd av Kundens, eller någon som Kunden är ansvarig för, för underlåtenhet att fullgöra sina skyldigheter enligt detta Avtal.

12.3 Part ansvarar inte för den andra partens uteblivna intäkter, affärsmöjlighet, goodwill eller andra indirekta skador.

12.4 Parts skadeståndsskyldighet enligt denna punkt 12 gäller endast under förutsättning att den icke försumliga parten utan dröjsmål skriftligen underrättar om eventuella krav mot den försumliga parten och grunden för sådana krav.

12.5 Den allmänna ansvarsbegränsningen i punkt 14 i Avtalet ska även gälla för detta Personuppgiftsbiträdesavtal.

13. Ändringar

13.1 Om Tillämplig Dataskyddslagstiftning ändras, eller om Tillsynsmyndigheten utfärdar riktlinjer, beslut eller föreskrifter om tillämplig dataskyddslagstiftning som medför att detta Personuppgiftsbiträdesavtal behöver ändras, ska Simployer göra de ändringar som krävs för att uppfylla sådana nya eller ytterligare krav och meddelande om sådana ändringar till Kunden träder i kraft 30 dagar från meddelandet.

‍13.2 Simployer kan även komma att ändra innehållet i Personuppgiftsbiträdesavtalet av andra skäl (t.ex. ändrade eller nya tjänster, ny behandling baserad på nya funktioner eller implementering av nya rutiner). Sådana ändringar kommer att meddelas 90 kalenderdagar innan de träder i kraft. Kunden kan invända mot sådana ändringar inom 30 kalenderdagar efter att meddelandet skickats. Om kunden motsätter sig ändringen kan Simployer säga upp en eller flera berörda tjänster och motsvarande ändring, eller slutligen användarvillkoren, innan ändringen träder i kraft. Om kunden inte invänder mot ändringen inom 30 dagar från meddelandet anses ändringen vara godkänd.

14. Avtalstid och uppsägning

14.1 Detta Personuppgiftsbiträdesavtal gäller från och med undertecknandet och så länge Simployer behandlar Kundens Personuppgifter.

14.2 Vid upphörande av Simployers behandling av Kundens Personuppgifter ska Simployer, i enlighet med Kundens instruktioner (förutsatt att lagring av sådana uppgifter inte krävs enligt nationell lagstiftning eller EU-lagstiftning, eller att Simployer har en rättslig grund för att behandla sådana uppgifter), antingen (i) överföra alla Kundens Personuppgifter till Kunden; eller (ii) permanent radera kundens personuppgifter.

* * *

Tillägg 1 – Specifikation
 

1. Syfte

1.1 I denna Bilaga 1 (Specifikation) anges närmare uppgifter om behandlingen av Kundens personuppgifter som Simploloyer behandlar för Kundens räkning i enlighet med Personuppgiftsbiträdesavtalet. Syftet med denna Bilaga 1 (specifikation) är att klargöra vilka behandlingar och personuppgifter som omfattas av Tjänsteavtalet, samt att uppfylla kraven i tillämplig dataskyddslagstiftning avseende skyldigheten att specificera kategorierna av ett personuppgiftsbiträdes behandling av personuppgifter, se t.ex. artikel 28.3 GDPR.

2. Kontaktuppgifter


2.1 Kund (personuppgiftsansvarig)

Kund identifierad i avtalet

2.2 Simployer (personuppgiftsbiträde)

Företag: Simployer AB, org.nr 556566-2508 
Adress: Torsgatan 13, 111 23 Stockholm
Telefon: 031-84 01 80
E-postadress:info.se@simployer.com 
Dataskyddsombud: dpo@simployer.com 

3. Behandling av personuppgifter


3.1 Kategorier av personuppgifter

Leverantören kan komma att behandla följande kategorier av personuppgifter:

  1. a) Kontaktuppgifter (t.ex. namn, adress, e-post, telefonnummer, arbetstitel, arbetsplats)
  2. b) Personnummer
  3. c) Utbildning och erfarenhet
  4. d) Finansiell information (t.ex. löne-, skatte- och bankkontoinformation)
  5. e) Uppgifter om frånvaro från arbetet (t.ex. ledighet, semester, föräldraledighet etc.)
  6. f) Känsliga personuppgifter (i den utsträckning som kunden tillhandahåller)


3.2 Kategorier av behandling

Följande kategorier av behandling kan t.ex. förekomma:

Insamling, strukturering, lagring, säkerhetskopiering, testning, händelsehantering, anpassning eller ändring, justering eller kombination, begränsning, radering eller förstöring.


3.3 Kategorier av registrerade

Följande kategorier av registrerade omfattas:

  1. a) Anställda och tidigare anställda hos Kunden
  2. b) Konsulter och andra personer som arbetar eller arbetar på uppdrag av den personuppgiftsansvarige


3.4 Syftet med behandlingen

Syftet med behandlingen är att Simployer ska tillhandahålla tjänsterna till kunden enligt vad som anges i och under avtalets löptid.


3.5 Behandlingens varaktighet

Simployer kommer att behandla Personuppgifterna under Avtalets löptid och till dess att Kunden har erhållit Personuppgifterna, dock längst 30 dagar efter Avtalets upphörande.


4. Säkerhetsåtgärder


4.1 Tekniska och organisatoriska säkerhetsåtgärder

‍Leverantören ska vidta följande tekniska och organisatoriska säkerhetsåtgärder:

  1. a) Kryptering av vilande och transiterade data
  2. b) Kontrollera och logga över åtkomsten till personuppgifterna
  3. c) Säkerställa att tillgänglighet och åtkomst till personuppgifter återställs i händelse av incidenter
  4. d) Interna policyer och processer för hantering av lösenord och enheter

Mer information om Simployers arbete med IT- och informationssäkerhet finns på https://alexishr.com/resources/data-security.


5. Underbiträden

Vid tidpunkten för ingåendet av personuppgiftsbiträdesavtalet har Simployer anlitat följande. Processen för byte av underbiträde beskrivs i punkt 9 i Personuppgiftsbiträdesavtalet.

Underleverantörens namn Vilka tjänster som tillhandahålls Plats
Segment.io Analys av användardata Irland
Intercom Support och analys Irland
AuthO Autentiseringstjänster Tyskland
Google Irland Ltd SaaS-tjänster inkl. hosting Irland
MongoDB Atlas Databastjänster Belgien
Sinch AB, Sverige Infrastruktur för e-postutskick Tyskland
Planhat Customer Success Management system EU
Bolag i Simployer-koncernen: Simployer AB, Simployer AS, Simployer Solutions AS, Simployer Tech Polska, Simployer Consulting Polska Utveckling och drift av moduler Norge, Sverige, Polen


5.1 Underbiträden som använder Engagement

När du använder Engagement-modulen godkänner du de ytterligare underordnade personuppgiftsbiträdena enligt beskrivningen här: Lista över ytterligare underordnade personuppgiftsbiträden som använder Engagemang. Vid tidpunkten för ingåendet av personuppgiftsbiträdesavtalet har Simployer anlitat de underleverantörer som beskrivs på webbplatsen. Denna lista hålls uppdaterad på webbplatsen som länkas ovan och eventuella ändringar kommer att meddelas enligt beskrivningen i punkt 9 i detta databehandlingsavtal. 

Observera möjligheten till "Reduced Processing Mode" som säkerställer databehandling endast inom EU/EES för uppdragsmodulen.

Processen för byte av underbiträde beskrivs i punkt 9 i Personuppgiftsbiträdesavtalet.

Bilaga 2 till Personuppgiftsbiträdesavtal – Engagement

Bilaga 2 gäller endast om kunden har köpt Engagement.

När det gäller utlämnande av uppgifter från denna modul kan personuppgiftsbiträdet inte förse den personuppgiftsansvarige (kunden) med svarsinformation på något annat sätt än i anonymiserad och avidentifierad form.  Svarsinformation avser de svar som anställda ger på medarbetarundersökningar som samlats in med hjälp av Engagemangsmodulen. Anledningen till detta är att anonymisering av svarsinformation är en integrerad del av tjänsten i Engagement.

Om Kunden har för avsikt att använda Tjänsten även för anställda i andra företag än sitt eget, ska han eller hon självständigt inhämta företagets tillstånd att behandla personuppgifter om de berörda arbetstagarna. För företag och anställda bosatta utanför EU/EES ska Kunden självständigt övervaka och ansvara för att lagkrav efterlevs i enlighet med tillämplig utländsk lagstiftning.

Uppdragsgivaren ansvarar också för att deras användning och innehåll av frågorna och svaren lagras i uppdragsmodulen. Uppdragsgivaren ska undvika och/eller iaktta försiktighet vid att ställa frågor som involverar eller resulterar i svarsinformation som innehåller personuppgifter och som de inte behöver eller har en rättslig grund för att behandla. Det kan till exempel vara kategorier av känslig information som hälsoinformation, eller information som är särskilt reglerad, som företagshemligheter etc.

How can we help?

We’re here for every step of your employee journey. From intuitive software for people management to hands-on learning programs and expert support from our legal team — we've got you covered.

Vector Book a meeting

Curious to see Simployer in action? Book a demo today and discover your new HR toolkit!
Talk to Sales

Vector Need a hand? We’re here to help!

Looking for answers or updates? Our Support Center has everything you need—FAQs, release notes, customer care, and more. Dive in or reach out; we’re here to help!
Go to support