Personuppgiftsbiträdesavtal
Standard Personuppgiftsbiträdesavtal (PUB-avtal)
Parterna i detta Personuppgiftsbiträdesavtal framkommer av "Avtal om köp av Simployer HRM" (huvudavtalet).
Simployer Solutions AS är Personuppgiftsbiträde under ordinarie drift och vid de tillfällen där aktuella moduler behandlar personuppgifter.
Simployer AB är Personuppgiftsbiträde vid de tillfällen då det krävs implementeringstjänster som behandlar personupplysningar.
1. Bakgrund
Genom att underteckna Personuppgiftsbiträdesavtalet är parterna överens om att Personuppgiftsbiträdesavtalet ska träda i kraft. Om Personuppgiftsbiträdesavtal behöver revideras med anledning av EU:s dataskyddsförordning, härefter ”GDPR” och/eller de kompletterande nationella bestämmelsernas ikraftträdande är parterna överens om att medverka till sådan revidering genom att Personuppgiftsbiträdet utför sådan nödvändig revidering och omedelbart meddelar Personuppgiftsansvarig.
GDPR och de kompletterande nationella bestämmelserna (”Tillämpliga Regler”) innehåller krav och bestämmelser kring reglering av förhållandet mellan Personuppgiftsansvarig och Personuppgiftsbiträde samt de säkerhetsåtgärder och organisatoriska åtgärder som måste genomföras för att säkerställa laglig och säker behandling av personuppgifter. Parterna har därför ingått Personuppgiftsbiträdesavtalet för att säkerställa att personuppgifter behandlas i enlighet med Tillämpliga Regler.
Personuppgiftsbiträdesavtalet reglerar behandling av personuppgifter som Personuppgiftsbiträdet utför på uppdrag av Personuppgiftsansvarig.
Termen "Personuppgifter" i Personuppgiftsbiträdesavtalet definieras på samma sätt som enligt GDPR art. 4.1: "Varje upplysning som avser en identifierad eller identifierbar fysisk person ("registrerad"). En identifierbar fysisk person är en person som kan identifieras direkt eller indirekt, särskilt med hjälp av en identifierare, som ett namn, ett identifikationsnummer, en lokaliseringsuppgift, eller online-identifikationer eller en eller flera faktorer som är specifika för den fysiska persons fysiska, fysiologiska, genetiska, psykologiska, ekonomiska, kulturella eller sociala identiteten.”Personuppgiftsbiträdesavtalet ingår som en del i nedanstående avtal och förutsätter att nedanstående avtal ingås eller har ingåtts för att Personuppgiftsbiträdesavtalet ska vara tillämpligt:
- Avtal om användarrätten för Personuppgiftsbiträdets system (nedan "Nyttjanderättsavtal"), inklusive standardvillkor
- Service Level Agreement
2. Allmänt
Syftet med systemet (”Systemet”) och Personuppgiftsbiträdets behandling av Personuppgifter är att möjliggöra för Personuppgiftsansvarig att utföra handlingar relaterade till personalhantering.
Personuppgiftsbiträdet ska underlätta för att Personuppgiftsansvarig ska kunna utföra behandling av Personuppgifter, tillhörande till exempel Personuppgiftsansvarigs anställda, med hjälp av Systemet.
Systemet har kapacitet och funktion, beroende på modul, för att lagra till exempel följande typer av Personuppgifter som således kan komma att behandlas av Personuppgiftsbiträdet:
Referens | A1 |
Modulbeskrivning | Personalregister - Information om anställda, åtkomstkontroll, meddelandearkiv och organisationsschema. |
Beskrivning av behandling, typer personuppgifter | Namn, kontaktuppgifter, adress, information om anställning, bankkonto, information relaterad till användarkonto. |
Särskilda kategorier | Inga |
Referens | A2 |
Modulbeskrivning | Dokumentarkiv - Medarbetarhandlingar. |
Beskrivning av behandling, typer personuppgifter | Fritextfält (dokumenter) – både personuppgifter och särskilda kategorier kan förekomma. |
Särskilda kategorier | Kan förekomma (beror på vad som står i dokumenten) |
Referens | B1 |
Modulbeskrivning | Onboarding/Offboarding - Arbetsflöde och metadatainformation relaterad till definierade processer i företaget. |
Beskrivning av behandling, typer personuppgifter | Samma information som A1, samt att modulen kan innehålla protokoll från samtal med ledare eller anställda i samband med att anställda startar i eller lämnar organisationen. |
Särskilda kategorier | Inga |
Referens | B2 |
Modulbeskrivning | Anställningsavtal - Uppgifter om anställningsavtal i bolaget. |
Beskrivning av behandling, typer personuppgifter | Information om de anställdas anställningsavtal inklusive namn och eventuell personalia samt information om tjänsten och dess villkor. |
Särskilda kategorier | Inga |
Referens | C2 |
Modulbeskrivning | Chatbot – Digital assistent som svarar på användaren frågor knutna till kundens Simployer personalhandböcker. |
Beskrivning av behandling, typer personuppgifter | Behandlar ett fritextfält som användaren kan skriva i, normalt relaterade till sökningar i personal- och HMS-handböcker samt handböcker för ledare. |
Särskilda kategorier | Normalt inga (om användaren inte anger detta i fritextfältet) |
Referens | F1 |
Modulbeskrivning | Learning - Utbildningshantering, inkluderat anmälningshantering och utbildningshistorik. Samt hantera kunskapstester, e-learning (webbaserad utbildning där dina resultat och framdrift kontinuerligt lagras). |
Beskrivning av behandling, typer personuppgifter | Information om anställdas registrering och genomgång av kurser och utbildningar samt resultat av dessa. Modulen tillåter fritext, och registrering av andra- eller särskilda kategorier av personuppgifter kan därför förekomma. |
Särskilda kategorier | Normalt inga (om användaren inte anger detta i fritextfältet) |
Referens | F2 |
Modulbeskrivning | Dialog - Funktioner för planering och genomförande av utvecklingssamtal eller andra strukturerade samtal. |
Beskrivning av behandling, typer personuppgifter | Samma information som A1, samt att modulen kan innehålla protokoll från samtal med ledare eller anställda i samband med att anställda startar i eller lämnar organisationen. |
Särskilda kategorier | Inga |
Referens | F3 |
Modulbeskrivning | Kompetens - Stöd för hantering av kompetenshantering, individuell kompetenskartläggning och profilering av individer mot kravställda kompetensroller. |
Beskrivning av behandling, typer personuppgifter | Information om anställdas formella och informella kompetenser, utbildning och intyg. |
Särskilda kategorier | Inga |
Referens | F4 |
Modulbeskrivning | Mål - Hantera mål och målarbete, med uppföljning på individnivå. |
Beskrivning av behandling, typer personuppgifter | Information om anställdas personliga och professionella utvecklingsmål. |
Särskilda kategorier | Inga |
Referens | F5 |
Modulbeskrivning | Succession - funktioner för att värdera och planera succession, exempelvis genom ersättarplanering och gradering av prestation och risk. |
Beskrivning av behandling, typer personuppgifter | Samma information som A1, samt att modulen kan innehålla protokoll från samtal med ledare eller anställda i samband med att anställd startar i eller lämnar organisationen. |
Särskilda kategorier | Inga |
Referens | G1 |
Modulbeskrivning | Engagement – funktioner och system för att mäta anställdas engagemang. OBS: Se bilaga B till Personuppgiftsbiträdesavtalet för separata villkor för denna modul. |
Beskrivning av behandling, typer personuppgifter | Information om den anställdes kontaktinformation, namn och profil. Svaren från den anställde lagras endast i anonymiserad form och kan inte kopplas till den anställde. |
Särskilda kategorier | Normalt inga (om användaren inte anger detta i fritextfältet) och i kan i alla fall inte kopplas till personen, eftersom uppgifterna är anonymiserade. |
Referens | G2 |
Modulbeskrivning | Whistleblower – funktioner och system för att rapportera in visselblåsarärenden (”whistleblowing”). OBS: Se bilaga C till Personuppgiftsbiträdesavtalet för separata villkor för denna modul. |
Beskrivning av behandling, typer personuppgifter | Beror på vad den som visselblåsar anger, texten är ett fritextfält och kan därför innehålla personuppgifter om den som varnar och om andra parter i saken. |
Särskilda kategorier | Normalt inga (om användaren inte anger detta i fritextfältet) |
Referens | H1 |
Modulbeskrivning | Insights / integrationsgränssnitt (API) som ger utvalda användare tillgång till och möjlighet att överföra information från kundens databas – för vidare bearbetning och analys i tredje parts programvara. OBS: Se bilaga A till Personuppgiftsbiträdesavtalet för separata villkor för denna modul. |
Beskrivning av behandling, typer personuppgifter | Gränssnittet ger potentiellt tillgång till alla personuppgifter som lagars i Simployer. Se även bilaga A nedan för mer detaljerad beskrivning och reglering av Insights. |
Särskilda kategorier | Inget särskilt, annat än lagstadgad och registrerad hälsoinformation om de anställda har registrerat sjukfrånvaro i systemet (förutsätter aktiv modul för sådan registrering). |
Referens | J1 |
Modulbeskrivning | Compensation – funktioner och system för att registrera och upprätthålla lön- och förmåner för anställda. Modulen kommer även att kunna simulera lönejusteringar i organisationen. |
Beskrivning av behandling, typer personuppgifter | Information om anställdas lön- och förmåner. |
Särskilda kategorier | Integritetskänsliga uppgifter i form av löneuppgifter om anställda |
Referens | J2 |
Modulbeskrivning | Equal Pay – funktioner och system för lönerevision och analys av organisationens löner, bl.a. för att kartlägga löneskillnader. |
Beskrivning av behandling, typer personuppgifter | Information om anställdas lön- och förmåner. |
Särskilda kategorier | Integritetskänsliga uppgifter i form av löneuppgifter om anställda |
Exemplen på typer av Personuppgifter, enligt ovan, ska inte ses som uttömmande eller uteslutande exempel på Personuppgifter som kan komma att behandlas.
De typer av Personuppgifter som behandlas enligt Personuppgiftsbiträdesavtalet kan variera beroende på vilka moduler den Personuppgiftsansvarige har beställt. De specifika modulerna som Personuppgiftsansvarig har beställt framgår av Nyttjanderättsavtalet.
I samband med användningen av Systemet kan Personuppgifter registreras i Systemet.
Efter leverans av Systemet ansvarar Personuppgiftsansvarig för att registrera Personuppgifter i Systemet och för eventuella utdrag och användning av lagrad information.
Personuppgiftsbiträdet ansvarar för att Personuppgifterna lagras på ett korrekt sätt samt för att Personuppgifterna senare ska kunna raderas eller anonymiseras i enlighet med Personuppgiftsbiträdesavtalet.
Personuppgiftsbiträdet har rätt att samla in, extrahera, sammanställa, analysera och på annat sätt behandla all information som inte definieras som Personuppgifter enligt GDPR art. 4.1 och som inte annars skyddas genom lag eller annan överenskommelse mellan parterna. Sådan information som inte definieras som Personuppgifter innefattar, men är inte begränsad till, anonyma data, volymdata, frekvensmätningar och annan information som Personuppgiftsansvarig och dess användare och mottagare genererar i samband med användning av Systemet och Personuppgiftsbiträdets tjänster (nedan "Tjänstedata"). Personuppgiftsbiträdet innehar äganderätten av sådana Tjänstedata och kan användas av Personuppgiftsbiträdet för legitima affärsändamål utan några skyldigheter för Personuppgiftsansvarig eller dess användare eller mottagare. Parternas överenskommelse om behandling av Personuppgifter enligt Personuppgiftsbiträdesavtalet gäller inte behandling av Tjänstedata enligt beskrivningen i detta avsnitt.
För tydlighetens skull, preciseras att Tjänstedata inte omfattar data som är den personuppgiftsansvarigas egendom, dvs. data som den personuppgiftsansvarigas användare registrerar i systemet, eller när integrationer med Kundens tredjepartssystem medför registrering av data i systemet, härefter kallat ”Kunddata”.
3. Parternas åtaganden
3.1 Personuppgiftsbiträdets åtaganden
Personuppgiftsbiträdets behandling av Personuppgifter ska ske enligt Tillämpliga Regler och i enlighet med instruktionerna i det här Personuppgiftsbiträdesavtalet.
Personuppgiftsbiträdet ska inte behandla Personuppgifter för ändamål som går utöver bestämmelserna i Nyttjanderättsavtalet och/eller det här Personuppgiftsbiträdesavtalet, såvida inte föregående skriftligt samtycke eller skriftliga instruktioner har inhämtats från Personuppgiftsansvarig.
Personuppgiftsbiträdet ska i den utsträckning som krävs enligt Tillämpliga Regler:
- Ge Personuppgiftsansvarig tillgång till den information som krävs för att visa att de skyldigheter som fastställs enligt GDPR art. 28. 3 är uppfyllt,
- Inom rimlig omfattning, bistå Personuppgiftsansvarig med information och åtgärder som gör det möjligt att uppfylla dennes åtagande att svara på frågor från den registrerade i syftet att åbropa sina rättigheter i enlighet med GDPR kapitel lll.
- I rimlig utsträckning bistå Personuppgiftsansvarig att fullgöra sina uppgifter enligt GDPR art. 32–36.
Personuppgiftsbiträdet ska meddela Personuppgiftsansvarig om Personuppgiftsbiträdet anser att en instruktion från Personuppgiftsansvarig strider mot Tillämpliga Regler.
Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig enligt ovan så långt det är nödvändigt med hänsyn till Personuppgiftsansvarigs behov, behandlingens karaktär och den information som är tillgänglig för Personuppgiftsbiträdet. Allt arbete som Personuppgiftsbiträdet utför med anledning av tillkommande instruktioner från Personuppgiftsansvarig kan faktureras Personuppgiftsansvarig i enlighet med de priser som anges i Nyttjanderättsavtal och/eller Service Level Agreement, om inte annat anges i detta Personuppgiftsbiträdesavtal eller är begränsat av lag.
Personuppgiftsbiträdet ska iaktta konfidentialitet avseende dokumentation och information om behandling av Personuppgifter som omfattas av Personuppgiftsbiträdesavtalet. Denna bestämmelse gäller även efter Personuppgiftsbiträdesavtalets upphörande.
Personuppgiftsbiträdet får inte lämna ut information om behandling av Personuppgifter till registrerade, behörig tillsynsmyndighet eller tredje man, om inte sådant utlämnande är nödvändigt för att Personuppgiftsbiträdet ska kunna fullgöra Personuppgiftsbiträdesavtalet, eller är en skyldighet enligt lag eller myndighetsbeslut.
Personuppgifter som behandlas av Personuppgiftsbiträdet på uppdrag av Personuppgiftsansvarig kan överföras till land i vilket Personuppgiftsbiträdet, dess underbiträde eller underbiträdenas underbiträde bedriver sin verksamhet enligt reglerna om användande av underleverantörer i punkt 4.
3.2 Personuppgiftsansvarigs åtaganden
Personuppgiftsansvarig är skyldig att följa kraven som gäller för personuppgiftsansvariga enligt Tillämpliga Regler.
Personuppgiftsansvarig bekräftar att:
- Det föreligger tillräckligt behandlingsunderlag för hantering av personuppgifter;
- Personuppgiftsansvarig har rätt till och är ansvarig för lagligheten av överföringen av personuppgifter till Personuppgiftsbiträdet;
- Personuppgiftsansvarig ansvarar för att de Personuppgifter som behandlas är korrekta;
- Personuppgiftsansvarig har informerat de personer som är registrerade om behandlingen enligt den informationsplikt som följer av Tillämpliga Regler;
- Personuppgiftsbiträdesavtalet innehåller alla dokumenterade instruktioner från Personuppgiftsansvarig vid tidpunkten för undertecknandet av Personuppgiftsbiträdesavtalet.
Personuppgiftsansvarig ska se till att Personuppgifter behandlas i enlighet med Tillämpliga Regler, svara på förfrågningar från Registrerade och se till att genomföra lämpliga tekniska och organisatoriska åtgärder vid personuppgiftsbehandling, jfr. GDPR artikel 32.
Personuppgiftsansvarig är skyldig att rapportera personuppgiftsincidenter till behörig tillsynsmyndighet och i förekommande fall till den registrerade utan otillbörligt dröjsmål i enlighet med Tillämpliga Regler.
Personuppgiftsansvarig ansvarar för att Personuppgiftsansvarigs data och anpassade datafält varken i sig själv eller genom dess innehåll bryter mot gällande lagar och regler, inklusive bestämmelser om personuppgiftsbehandling. Detsamma gäller användningen av kombinationer av datafält i exempelvis rapporter och liknande.
Om systemet innehåller texter, data, personuppgifter eller annan information som ägs eller nyttjas av Personuppgiftsansvarig ansvarar Personuppgiftsansvarig för att Kunden innehar full äganderätt eller nyttjanderätt att på sådant sätt använda sådana texter, data, personuppgifter eller annan information, samt att lagringen eller den faktiska användningen av detta material inte på annat sätt gör intrång i annans rätt eller strider mot lagar eller andra bestämmelser, inklusive vid var tidpunkt gällande integritetslagstiftning. Om tredje man eller myndighet riktar krav mot Personuppgiftsbiträdet med anledning av Kundens nyttjande av systemet eller Kundens texter, data eller annan information ska Kunden hålla Personuppgiftsbiträdet skadeslöst.
Personuppgiftsansvarig ska iaktta konfidentialitet avseende dokumentationen och information om behandling av Personuppgifter som omfattas av Personuppgiftsbiträdesavtalet. Denna bestämmelse gäller även efter Personuppgiftsbiträdesavtalets upphörande.
Användar-ID och lösenord för åtkomst till Systemet skapas och administreras av administratören hos Personuppgiftsansvarig. Personuppgiftsansvarig är skyldig att se till att lösenord till Systemet lagras och hanteras på ett sådant sätt att endast auktoriserade personer, enligt Nyttjanderättsavtalet, har åtkomst till Systemet. Personuppgiftsansvarig ansvarar för att dess anställda endast använder Personuppgifterna i Systemet för att utföra tilldelade arbetsuppgifter.
Det åligger den Personuppgiftsansvarige att hantera och behandla förfrågningar från registrerade om tillgång, korrigering och radering av Personuppgifter.
4. Användning av underbiträden
Personuppgiftsansvarig ger Personuppgiftsbiträdet ett allmänt tillstånd att anlita underbiträden för behandling av Personuppgifter under detta Avtal samt för att fullgöra förpliktelserna enligt Nyttjanderättsavtalet och/eller Service Level Agreement (inkluderat fysisk drift av Systemet).
Personuppgiftsbiträdet ansvarar för underbiträdets behandling av Personuppgifter såsom för egen behandling.
Om Personuppgiftsbiträdet lägger över sina skyldigheter enligt Personuppgiftsbiträdesavtalet på ett underbiträde får detta endast ske genom upprättande av ett skriftligt avtal med underbiträdet, varigenom underbiträdet åläggs samma skyldigheter som enligt det här Personuppgiftsbiträdesavtalet åligger Personuppgiftsbiträdet.
Genom att underteckna Personuppgiftsbiträdesavtalet accepterar Personuppgiftsansvarig följande underbiträden:
Namn på underbiträde | Simployer AS (Et bolag i Simployer Group) |
Beskrivning av behandlingen | Utveckling och drift av moduler |
Plats för behandling (lagring och åtkomst) | Norge |
Tilknyttet modul (se pkt. 2) | A, B, C, D, G, H, J |
Namn på underbiträde | Simployer Solutions AS (Et bolag i Simployer Group) |
Beskrivning av behandlingen | Utveckling och drift av moduler |
Plats för behandling (lagring och åtkomst) | Norge |
Tilknyttet modul (se pkt. 2) | A, B, C, D, G, H, J |
Namn på underbiträde | Simployer AB (Et bolag i Simployer Group) |
Beskrivning av behandlingen | Utveckling och drift av moduler |
Plats för behandling (lagring och åtkomst) | EU |
Tilknyttet modul (se pkt. 2) | A, B, C, F, G, H, J |
Namn på underbiträde | Simployer ApS (Et bolag i Simployer Group) |
Beskrivning av behandlingen | Utveckling och drift av moduler |
Plats för behandling (lagring och åtkomst) | EU |
Tilknyttet modul (se pkt. 2) | A, B, C, F, G, H, J |
Namn på underbiträde | Simployer Tech Sp.z.o.o. (Et bolag i Simployer Group) |
Beskrivning av behandlingen | Utveckling och drift av moduler |
Plats för behandling (lagring och åtkomst) | EU |
Tilknyttet modul (se pkt. 2) | A, B, C, D, F, G, H, J |
Namn på underbiträde | Simployer Consulting Sp. z.o.o. (Et bolag i Simployer Group) |
Beskrivning av behandlingen | Utveckling och drift av moduler |
Plats för behandling (lagring och åtkomst) | EU |
Tilknyttet modul (se pkt. 2) | A, B, C, D, F, G, H, J |
Namn på underbiträde | Microsoft Azure |
Beskrivning av behandlingen | Drift av servrar, brandvägg, antivirus och backup |
Plats för behandling (lagring och åtkomst) | EU |
Tilknyttet modul (se pkt. 2) | A, B, C, D, E, F, H, J |
Namn på underbiträde | Elasticsearch Inc |
Beskrivning av behandlingen | Drift av Elastic sökmotor |
Plats för behandling (lagring och åtkomst) | EU |
Tilknyttet modul (se pkt. 2) | C1 |
Namn på underbiträde | Twilio Sendgrid Inc. |
Beskrivning av behandlingen | E-post utskick |
Plats för behandling (lagring och åtkomst) | USA – överföring baserat på Binding Corporate Rules (BCR) samt Standard Contractual Clauses (SCC) |
Tilknyttet modul (se pkt. 2) | A, B, C, D, G, J |
Namn på underbiträde | Mailjet Inc. |
Beskrivning av behandlingen | E-post utskick |
Plats för behandling (lagring och åtkomst) | EU |
Tilknyttet modul (se pkt. 2) | F, G |
Namn på underbiträde | Signicat AS |
Beskrivning av behandlingen | Digital signatur |
Plats för behandling (lagring och åtkomst) | EU |
Tilknyttet modul (se pkt. 2) | B |
Namn på underbiträde | Auth0 |
Beskrivning av behandlingen | Autentisering |
Plats för behandling (lagring och åtkomst) | EU |
Tilknyttet modul (se pkt. 2) | A, B, C, D, E, F, G, H, J |
Namn på underbiträde | Kindly AS |
Beskrivning av behandlingen | Drift av plattform för maskin lärande och språkteknologi |
Plats för behandling (lagring och åtkomst) | Norge – Kindly AS – behandling samt vidareföring av chattdata till underleverantörer EU – hostingleverantörer för mellanlagring och behandling av chattdata |
Tilknyttet modul (se pkt. 2) | C2 |
Namn på underbiträde | Quatrix |
Beskrivning av behandlingen | Molnbaserad tjänst för säker överförning av temporära filer mellan Kund och Leverantör. |
Plats för behandling (lagring och åtkomst) | EU |
Tilknyttet modul (se pkt. 2) | Är inte kopplad till en specifik modul (används inte kontinuerligt, utan endast när det behövs för att skicka data som inte kan skickas via Simployer) |
Namn på underbiträde | Amazon Web Services Europe |
Beskrivning av behandlingen | Drift av servrar och infrastruktur (Platform as a Service, ”PaaS”) |
Plats för behandling (lagring och åtkomst) | EU |
Tilknyttet modul (se pkt. 2) | G |
Namn på underbiträde | OneSignal |
Beskrivning av behandlingen | Infrastruktur för push-meddelande |
Plats för behandling (lagring och åtkomst) | USA – Överföring baserad på standardavtalsklausuler (Standard Contractual Clauses, ”SCC”). |
Tilknyttet modul (se pkt. 2) | G |
Namn på underbiträde | Planhat |
Beskrivning av behandlingen | Customer Success Management system |
Plats för behandling (lagring och åtkomst) | EU |
Tilknyttet modul (se pkt. 2) | G |
Om Personuppgiftsbiträdet byter ut eller inkluderar nya underbiträden, i ovanstående förteckning, ska Personuppgiftsansvarig underrättas 90 kalenderdagar innan det nya underbiträdet börjar behandla Personuppgifter. Personuppgiftsansvarig kan inom 30 kalenderdagar från det att underrättelse skett motsätta sig sådan ändring av underbiträde. Om Personuppgiftsansvarig motsätter sig sådan ändring, kan Personuppgiftsansvarig säga upp Nyttjandesrättsavtalet med 60 kalenderdagars uppsägningstid. Anmälan om uppsägning måste ges samtidigt som Personuppgiftsansvarig motsätter sig ändringen. Om Personuppgiftsansvarig inte motsätter sig ändringen genom att säga upp Nyttjandesrättsavtalet accepteras det nya underbiträdet.
För det fall underbiträde byts ut ska Personuppgiftsbiträdet tillse att sådant underbiträde permanent raderar alla Personuppgifter som underbiträdet har behandlat och att underbiträdet skriftligen meddelar Personuppgiftsbiträdet att så skett.
Om Personuppgiftsbiträdet ska ingå ett avtal med underbiträde i land utanför EU/EES, bör detta endast ske i enlighet med tillämplig process för sådan överföring så som EU:s standardklausuler för överföring av personuppgifter till tredje land eller någon annan tillämplig grund för överföring till tredje land i enlighet med villkoren i GDPR kapitel V. Detsamma gäller även om Personuppgifter behandlas eller lagras i EU/EES när personal med tillgång till uppgifterna befinner sig i land utanför EU/EES.
5. Informationssäkerhet
Personuppgiftsbiträdet ska genom lämpliga systematiska, organisatoriska och tekniska säkerhetsåtgärder säkerställa adekvat informationssäkerhet när det gäller konfidentialitet, integritet och tillgänglighet vid behandling av Personuppgifter i enlighet med GDPR artikel 32.
Personuppgiftsbiträdet ska dokumentera vilka säkerhetsåtgärder som vidtas för behandling av Personuppgifter. Sådan dokumentation ska på Personuppgiftsansvarigs begäran hållas tillgänglig för Personuppgiftsansvarig.
Personuppgiftsbiträdet ska säkerställa tillfredsställande informationssäkerhet avseende:
- konfidentialitet, dvs. att uppgifterna inte görs tillgängliga för personer som inte har lagenlig tillgång till uppgifterna,
- integritet, dvs. att uppgifterna inte ändras på otillåtet eller oavsiktligt sätt, och
- tillgängligheten, dvs. uppgifterna är tillgängliga och fungerar för lagenlig och auktoriserad användning
Personuppgiftsbiträdet ska ha rutiner och systematiska processer för att följa upp överträdelser av behandling av Personuppgifter ("Incident"). Om en Incident beror på Personuppgiftsansvarig eller omständigheter som är innanför Personuppgiftsansvariges kontroll, kan Personuppgiftsbiträdet fakturera Personuppgiftsansvarig för arbete som är relaterat till uppföljning av Incidenten i enlighet med de priser som anges Nyttjanderättsavtalet och/eller Service Level Agreement.
Personuppgiftsbiträdet ska, utan onödigt dröjsmål, underrätta Personuppgiftsansvarig efter att Personuppgiftsbiträdet fått vetskap om inträffad Incident.
Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med nödvändig information för att Personuppgiftsansvarig ska kunna fullgöra sina skyldigheter vid personuppgiftsbehandling enligt Tillämpliga Regler och möjliggöra för Personuppgiftsansvarig att svara på förfrågningar från behörig tillsynsmyndighet gällande Incident. Det är Personuppgiftsansvariges skyldighet att rapportera Incident till behörig tillsynsmyndighet i enlighet med Tillämpliga Regler.
Personuppgiftsbiträdet ska inte ge ut lösenord till Personuppgiftsansvarigs eller till anställda hos Personuppgiftsansvarig som nyttjar Systemet (”Användare”) såvida inte Personuppgiftsansvarig skriftligen begär det. Användares lösenord lagras med irreversibel kryptering och det är fysiskt omöjligt för Personuppgiftsbiträdet att lämna ut lösenord i vanlig text.
Personuppgiftsbiträdet ansvarar för säkerhetskopior av Systemet och data enligt gällande Service Level Agreement.
Om Personuppgiftsansvarig ska föra över Personuppgifter elektroniskt, internt eller från Personuppgiftsansvarig till Personuppgiftsbiträdet, bör överföringen vara krypterad eller på annat sätt säkras efter överenskommelse med Personuppgiftsbiträdet.
6. Säkerhetsrevisioner
Genom att underteckna Personuppgiftsbiträdesavtalet bemyndigar Personuppgiftsansvarig Personuppgiftsbiträdet att utföra revision enligt GDPR genom att Personuppgiftsbiträdet ges rätt att säkerställa att en oberoende tredje part, utsedd av Personuppgiftsbiträdet, regelbundet utför en systemisk granskning av behandlingen av personuppgifter i Systemet. En sammanfattning av revisionen ställs till Personuppgiftsansvarigs förfogande på begäran.
7. Ansvar och ansvarsbegränsning
Nyttjanderättsavtalets reglering om ansvar ska även gälla för skada som part orsakar den andra parten genom bristande Behandling enligt detta Avtal.
8. Personuppgiftsbiträdesavtalets varaktighet
Personuppgiftsbiträdesavtalet gäller från dess undertecknande och så länge som Personuppgiftsbiträdet behandlar Personuppgifter på Personuppgiftsansvarigs uppdrag enligt Nyttjanderättsavtalet, med undantag för de specifika bestämmelser i Personuppgiftsbiträdesavtalet som alltjämt fortsätter att löpa efter Personuppgiftsbiträdesavtalets upphörande.
Vid väsentlig överträdelse av Personuppgiftsbiträdesavtalet kan Personuppgiftsansvarig ålägga Personuppgiftsbiträdet att med omedelbar verkan upphöra med behandlingen av Personuppgifter. Personuppgiftsbiträdet kan av samma skäl avbryta all behandling för Personuppgiftsansvarig med omedelbar verkan.
Däremot kommer radering av data som omfattas av Personuppgiftsbiträdesavtalet inte att genomföras förrän Nyttjanderättsavtalet löper ut enligt punkt 9 nedan.
9. Vid uppsägning
Parterna är överens om att Personuppgiftsbiträdet, efter Nyttjanderättsavtalet upphörande, ska radera alla Personuppgifter som behandlats enligt Personuppgiftsbiträdesavtalet genom att sådana Personuppgifter anonymiseras. Anonymisering innebär att uppgifterna inte längre utgör Personuppgifter enligt Tillämpliga Regler. Personuppgiftsbiträdet ska förse Personuppgiftsansvarig med en skriftlig redogörelse, varigenom Personuppgiftsbiträdet garanterar att Personuppgifterna har blivit anonymiserade och att Personuppgiftsbiträdet inte har kvar någon kopia, utskrift eller sparat Personuppgifterna på annat medium.
Personuppgiftsansvarig kan kräva att få tillbaka sin Kunddata när nyttjanderättsavtalet upphör. Tillvägagångssätt för leverering av detta är reglerat i Service Level Agreement (SLA).
10. Kontakt
Kontakter eller frågor med anledning av detta Personuppgiftsbiträdesavtal ska skickas skriftligen till Personuppgiftsansvarigs kontaktperson enligt specifikationen i Nyttjanderättsavtalet.
11. Ändring av avtalen
Personuppgiftsbiträdet kan ändra innehållet i Personuppgiftsbiträdesavtalet om Personuppgiftsansvarig underrättas om sådana ändringar 90 kalenderdagar innan ändringen träder i kraft. Personuppgiftsansvarig har rätt att motsätta sig ändringen inom 30 kalenderdagar från det att Personuppgiftsansvarig underrättats om ändringen. Om Personuppgiftsansvarig motsätter ändringen kan Personuppgiftsansvarig säga upp Nyttjanderättsavtalet med 60 kalenderdagars uppsägningstid. Anmälan om uppsägning måste ges in skriftligen och samtidigt som Personuppgiftsansvarig motsätter sig ändringen. Om Personuppgiftsansvarig inte meddelar uppsägning av Nyttjanderättsavtalet, anses ändringen accepterad.
Bilaga A till personuppgiftbiträdesavtal – Insights / Integrationsgränssnitt ("API")
Bilaga A gäller endast om Kunden har köpt tillgång till Insights/Integration Interface, nedan kallat "API". Simployer-API:er exponerar integrationsgränssnitt som valt användare vid kundens åtkomst och som gör det möjligt för kunden att överföra information, inklusive personuppgifter, från kundens data som genereras i Simployer, för vidare bearbetning och analys i programvara från tredje part.
Integrationsgränssnittet är tekniskt skyddat på ett sådant sätt att kunden får en nyckel (API-nyckel) som används för att autentisera den enskilda tjänsten som interagerar med gränssnittet. Kunden får denna nyckel och är ensam ansvarig för att använda den endast för att autentisera systemen, och de användare som ska ha tillgång till tjänsten.
Gränssnittet ger tillgång till Kundens data, inklusive personuppgifter som registreras eller genereras i systemet och Kundens databas, och har inte samma åtkomstkontroll och mekanismer för att säkerställa integritet inbyggd i Simployer som standard. Det är därför mycket viktigt att Kunden endast använder tjänsten för ändamål och endast autentiserar system och användare mot gränssnittet, vilket Kunden har gjort nödvändiga bedömningar av (rättsliga och tekniska bedömningar).
Leverantören ansvarar för tillgänglighet och konfidentialitet för data fram till leverantörens slutpunkt. När data har lämnat leverantörens slutpunkt är det Kunden som ansvarar för all användning av tjänsten och all användning av data som görs tillgänglig via gränssnittet. Simployer, inklusive underleverantörer, tar inget ansvar för kundens användning av gränssnittet eller kundens behandling av data som erhållits från gränssnittet, eller integriteten hos data som skickas till gränssnittet (från Kundens system eller tredje part kunden ansvarar för).
Om integrationer inte använder slutpunkter för överföring av data, utan filbaserad överföring av data, gäller samma principer som nämnts ovan.
Bilaga B till personuppgiftbiträdesavtal – Engagement
Bilaga B gäller endast om Kunden har köpt Engagement-modulen. När det gäller utlämnande av uppgifter från denna modul får personuppgiftsbiträdet inte förse den registeransvarige med svarsinformation på något annat sätt än i anonymiserad och avidentifierad form. Svarsinformation innebär de svar som medarbetarna har gett på medarbetarundersökningar som samlats in med hjälp av modulen Engagement.
Om den personuppgiftsansvarige avser att använda Tjänsten även för anställda i andra företag än deras egna, ska de på egen hand erhålla bolagens tillstånd att behandla personuppgifter om de berörda medarbetarna. När det gäller företag och anställda som är bosatta utanför EU/EES ska den personuppgiftsansvarige självständigt övervaka och ansvara för att rättsliga krav uppfylls i enlighet med tillämplig utländsk lagstiftning.
Den personuppgiftsansvarige ansvarar också för att deras användning av och innehållet i frågor och svar som lagras i Engagement-modulen. Den personuppgiftsansvarige bör undvika och eller vara försiktig när den ställer frågor som berör eller resulterar i svarinformation som innehåller personuppgifter och som de inte behöver eller har skäl att behandla. Detta kan t.ex. vara kategorier av känslig information som uppgifter om någons hälsa eller information som regleras särskilt, till exempel företagshemligheter etc.
Vid användning av Engagement-modulen accepterar den personuppgiftsansvarige underleverantörerna enligt beskrivningen här. Denna lista hålls uppdaterad på webbplatsen som nämns ovan och eventuella ändringar kommer att meddelas enligt beskrivningen i avsnitt 4. Kunden har också möjlighet för att aktivera så kallat ”Reduced Processing Mode” som innebär behandling av personuppgifter endast inom EU/EES.
Bilaga C till databehandlingsavtalet – Whistleblower
Bilaga C gäller endast om Kunden har valt att aktivera funktionen "Whistleblower" i Engagement-modulen.
Till stöd för EU-direktivet 2019/1937 om ”whistleblowing”, erbjuder Simployer en digital tjänst för att möjliggöra att Individer kan rapportera in visselblåsarärenden till företaget.
Tjänsten gör det möjligt för alla personer som känner till adressen till visselblåsarfunktionen hos Kunden att skicka visselblåsarärenden. Visselblåsare kan välja att skicka in meddelandet med namn och kontaktuppgifter, eller att vara anonym. Anmälan kan därför innehålla personuppgifter om visselblåsaren. Själva anmälan är ett fritextfält, och det kan innebära registrering och lagring av personuppgifter, även om andra än anmälaren, dvs. berörda tredje parter.
Kunden ansvarar för att meddelandena behandlas och lagras i enlighet med gällande regler, det vill säga både de nationella visselblåsarlagen och dataskyddsförordningen ("GDPR"). Det innebär bland annat ansvar för att radera personuppgifter som inte är relevanta för anmälan. Funktionen raderar automatiskt data i rapporter efter 2 år, men radering bör annars utföras av modulens administratör och ska ske kontinuerligt och utan onödigt dröjsmål. Lagring av registreringar och rapporter som innehåller personuppgifter, får inte ske utöver vad som är nödvändigt och stå i proportion till bestämmelserna i artikel 17 i EU-direktivet 2019/1937 och relevant national implementering av dessa regler.
Tjänsten ändrar inte listan över relevanta underleverantörer i punkt 4 i personuppgiftsbiträdesavtalet mellan Parterna.
V.2.1.7