1 Bakgrund
1.1 GPTW (hädanefter ”Leverantören”) och den kund som anges på Tjänsteavtalet (hädanefter ”Kunden”) har ingått ett Avtal enligt vilket Leverantören ska tillhandhålla vissa i Avtalet angivna tjänster ("Tjänsterna") till Kunden. Detta personuppgiftsbiträdesavtal ("Personuppgiftsbiträdesavtalet") ingår som en bilaga till Avtalet. Leverantören och Kunden benämns individuellt som "Part" och gemensamt som "Parterna".
1.2 Inom ramen för Avtalet kan Leverantören, i egenskap av personuppgiftsbiträde, komma att behandla personuppgifter för vilka Kunden är personuppgiftsansvarig, enligt vad som närmare framgår av Bilaga 1.
1.3 Enligt Dataskyddslagstiftningen krävs att ett skriftligt avtal ska finnas på plats mellan en personuppgiftsansvarig och ett personuppgiftsbiträde. Parterna har därför ingått följande Personuppgiftsbiträdesavtal.
1.4 Vid konflikt mellan en bestämmelse i detta Personuppgiftsbiträdesavtal och en bestämmelse i Avtalet ska bestämmelserna i Personuppgiftsbiträdesavtalet äga företräde.
2 Definitioner
I detta Personuppgiftsbiträdesavtal ska följande definitioner ha den betydelse som anges nedan:
2.1 " Dataskyddslagstiftning" avser EU:s dataskyddsförordning 2016/67 (”GDPR”) samt lagar och föreskrifter som har beslutats i enlighet med GDPR och som är direkt tillämplig för den behandling av personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal;
2.2 "Personuppgiftsbiträdesavtal" betyder detta Personuppgiftsbiträdesavtal jämte samtliga härtill hörande bilagor;
2.3 Uttryck som används i detta Personuppgiftsbiträdesavtal, till exempel behandling, personuppgiftsansvarig, personuppgifter, personuppgiftsbiträde, personuppgiftsincident, registrerad etc., ska ha samma innebörd som i Dataskyddslagstiftningen.
3 Kundens allmänna skyldigheter
3.1 Kunden ansvarar för att vidta de åtgärder som krävs för att behandlingen av personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal ska uppfylla kraven i Dataskyddslagstiftningen, inklusive men inte begränsat till att informera och inhämta erforderliga samtycken från de registrerade.
3.2 Kunden ansvarar för att Bilaga 1 är korrekt och komplett och att Leverantörens behandling av personuppgifter i enlighet med Bilaga 1 uppfyller kraven i Dataskyddslagstiftningen.
4 Leverantörens allmänna skyldigheter
4.1 Leverantören åtar sig att endast behandla personuppgifter i enlighet med bestämmelserna i detta Personuppgiftsbiträdesavtal och i den utsträckning det är nödvändigt för att uppfylla sina åtaganden enligt Avtalet.
4.2 För det fall Kunden inkommer med nya instruktioner som går utöver vad som följer av detta Personuppgiftsbiträdesavtal eller Avtalet, ska Leverantören ha rätt till skälig ersättning för kostnader och utfört arbete för att följa sådana instruktioner.
4.3 Oaktat vad som anges i punkten 4.1 ovan har Leverantören rätt att behandla personuppgifter i den utsträckning som det krävs för att uppfylla sina skyldigheter enligt unionsrätten eller en medlemsstats nationella rätt. Det ankommer dock på Leverantören att informera Kunden om det rättsliga kravet innan personuppgifterna behandlas, såvida inte Leverantören är förhindrad att lämna sådan information enligt denna rätt.
4.4 Leverantören ska informera Kunden om Leverantören inte kan uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal. För det fall Leverantören anser sig sakna instruktioner som denne bedömer vara nödvändiga för att behandla personuppgifter enligt detta Personuppgiftsbiträdesavtal eller anser att en instruktion står i strid med Dataskyddslagstiftningen, ska Leverantören informera Kunden därom och invänta ytterligare instruktioner från Kunden.
5 Biträde
5.1 Leverantören ska, i den mån det är möjligt och med beaktande av behandlingens art, på begäran bistå Kunden genom lämpliga tekniska och organisatoriska åtgärder som är nödvändiga för att Kunden ska kunna fullgöra sin skyldighet att svara på begäran från registrerade avseende sina rättigheter enligt kapitel III i GDPR.
5.2 Leverantören ska på begäran bistå Kunden med att se till att skyldigheterna enligt artiklarna 32–36 i GDPR fullgörs, med beaktande av typen av behandling och den information som Leverantören har att tillgå.
5.3 Leverantören ska utan onödigt dröjsmål från det att Leverantören fått vetskap om en personuppgiftsincident underrätta Kunden därom. Leverantören ska bistå Kunden med den information som Kunden behöver för att uppfylla sina skyldigheter avseende anmälan av personuppgiftsincidenten till behörig tillsynsmyndighet samt i tillämpliga fall, information till de registrerade om personuppgiftsincidenten. Om och i den utsträckning det inte är möjligt för Leverantören att tillhandahålla denna information samtidigt får informationen lämnas i omgångar utan onödigt ytterligare dröjsmål.
5.4 Leverantören ska i skälig utsträckning, på begäran, bistå Kunden vid utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd samt medverka till utredning av inträffade personuppgiftsincidenter med behöriga tillsynsmyndigheter.
5.5 Leverantören har rätt till skälig ersättning för kostnader och utfört arbete för sådan hjälp och biträde som Kunden begär enligt denna punkt 5.
6 Tekniska och organisatoriska säkerhetsåtgärder
6.1 Leverantören ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, varvid hänsyn ska tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförs, lagras eller på annat sätt behandlas. De säkerhetsåtgärder som ska vidtas av Leverantören framgår av Bilaga 1 och Kunden bekräftar att dessa åtgärder är tillräckliga för att uppnå den säkerhetsnivå som följer av Dataskyddslagstiftningen. Om Kunden begär en ändring av de säkerhetsåtgärder som framgår av Bilaga 1, har Leverantören rätt att erhålla ersättning för skäliga merkostnader för att vidta en sådan ändring.
7 Rätt till information, granskning och inspektioner
7.1 Leverantören ska på begäran (i) ge Kunden tillgång till all information som krävs för att visa att Leverantörens skyldigheter enligt detta Personuppgiftsbiträdesavtal har fullgjorts samt (ii) möjliggöra och bidra till granskningar, inbegripet inspektioner, enligt denna punkt 7. Samtliga kostnader som uppstår i samband med granskningar och/eller inspektioner enligt denna punkt 7 ska bäras av Kunden.
7.2 Kunden har rätt att med minst fjorton (14) dagars varsel, antingen själv eller genom av denne bemyndigad tredje part som inte är en konkurrent till Leverantören (”Revisorn”), genomföra granskningar och inspektioner hos Leverantören för att kontrollera att Leverantören fullgör sina skyldigheter enligt detta Personuppgiftsbiträdesavtal.
7.3 För undvikande av missförstånd ska en granskning och/eller inspektion i enlighet med denna punkt 7 endast avse sådan information som är nödvändig för att Kunden ska kunna fullgöra sin kontrollskyldighet enligt Dataskyddslagstiftningen och innefattar inte under några omständigheter annan information rörande Leverantörens verksamhet som inte är av direkt relevans för Leverantörens behandling av personuppgifter för Kundens räkning.
7.4 För det fall Kunden anlitar en Revisor ska Kunden säkerställa att Revisorn undertecknar en sekretessförbindelse avseende all information som denne tar del av inom ramen för granskningen och/eller inspektionen och som inte är mindre restriktiv än den sekretessförbindelse som framgår av punkt 10.3 nedan. Kunden svarar gentemot Leverantören för Revisorns eventuella brott mot en sådan sekretessförbindelse.
8 Anlitande av underbiträden
8.1 Leverantören har rätt att anlita underleverantörer för att behandla personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal ("Underbiträden").
8.2 För det fall Leverantören anlitar ett Underbiträde ska Leverantören ingå ett skriftligt personuppgiftsbiträdesavtal med sådant Underbiträde i vilket denne åläggs skyldigheter motsvarande och inte mindre restriktiva än vad som följer av detta Personuppgiftsbiträdesavtal.
8.3 Leverantören ska informera Kunden om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden, så att Kunden har möjlighet att göra invändningar mot sådana förändringar. Om sådan invändning sker är Kunden införstådd med och accepterar att Leverantörens möjligheter att leverera Tjänsterna kan begränsas eller omöjliggöras. I ett sådant fall har Leverantören rätt att erhålla ersättning för kostnader och utfört arbete som därigenom uppkommer för Leverantören.
8.4 Vid detta Personuppgiftsbiträdesavtals tecknande är Kunden informerad om och accepterar samtliga de Underbiträden som framgår av Bilaga 2.
8.5 Leverantören ansvarar gentemot Kunden för Underbiträdens behandling av personuppgifter såsom för egen räkning.
9 Överföring till och behandling av personuppgifter i land utanför EU/EES
9.1 Leverantören får inte överföra personuppgifter till ett land utanför EU/EES utan att Kunden på förhand har godkänt detta. Genom undertecknandet av detta Personuppgiftsbiträdesavtal lämnar Kunden sitt godkännande till överföringar av personuppgifter till USA som Leverantören genomför inom ramen för tillhandahållandet av Tjänsterna, i enlighet med vad som framgår av Bilaga 2.
9.2 För det fall personuppgifter kommer att överföras till eller behandlas i ett land utanför EU/EES ska Leverantören dessförinnan undersöka om mottagarlandet omfattas av ett beslut om adekvat skyddsnivå meddelat av EU-kommissionen. Vid avsaknad av ett sådant beslut ska Leverantören säkerställa att överföringen omfattas av standardiserade dataskyddsbestämmelser eller att överföringen på annat sätt är tillåten enligt Dataskyddslagstiftningen.
9.3 Till undvikande av tvivel får personuppgifter inte överföras till eller behandlas i ett land utanför EU/EES om ingen av förutsättningarna i punkten 9.2 ovan föreligger.
10 Sekretess
10.1 Leverantören ska tillse att de personer som arbetar under Leverantörens ledning och som är behöriga att behandla personuppgifter enligt detta Personuppgiftsbiträdesavtal iakttar sekretess i enlighet med denna punkt 10 eller omfattas av lagstadgad tystnadsplikt.
10.2 Utan att det påverkar tillämpningen av eventuella sekretessåtaganden i Avtalet ska Leverantören hålla alla personuppgifter som behandlas för Kundens räkning strikt konfidentiella. Sekretessåtagandet ska dock inte gälla information som:
(i) är allmänt känd eller kommer till allmän kännedom på annat sätt än genom brott mot detta Personuppgiftsbiträdesavtal;
(ii) information som Leverantören hade i sin besittning innan Leverantören erhöll informationen från Kunden med anledning av detta Personuppgiftsbiträdesavtal;
(iii) information som Leverantören erhåller från tredje man utanför detta avtalsförhållande; eller
(iv) information som Part är rättsligt förpliktad att tillhandahålla på grund av tvingande lagstiftning, domstolsbeslut eller beslut av annan myndighet. I sådant fall åligger det dock Leverantören att omgående skriftligen meddela Kunden om detta och begära att de efterfrågade personuppgifterna omfattas av sekretess vid utlämnandet.
10.3 Kunden förbinder sig att hålla all information som Kunden erhåller avseende Leverantörens säkerhetsåtgärder, rutiner, IT-system eller som annars är av konfidentiell karaktär strikt konfidentiellt och att inte till någon utomstående röja konfidentiell information som härrör från Leverantören eller dess Underbiträden. Kunden har endast rätt att röja sådan information som Kunden är rättsligt förpliktad att tillhandahålla på grund av tvingande lagstiftning eller skyldig att röja enligt Avtalet inklusive detta Personuppgiftbiträdesavtal.
10.4 Sekretessåtagandet enligt denna punkt 10 gäller även om detta Personuppgiftsbiträdesavtal har upphört att gälla.
11 Ansvar
11.1 Vardera Part ska vara ansvarig för administrativa sanktionsavgifter som påförs Parten och som är avsedda att straffa Parten för dess överträdelser av Dataskyddslagstiftningen. I övrigt ska Leverantörens ansvar vara begränsat i enlighet med de villkor som följer av Avtalet.
12 Avtalsperiod och upphörande
12.1 Detta Personuppgiftsbiträdesavtal träder i kraft när båda Parter har undertecknat densamma och gäller mellan Parterna så länge som Leverantören behandlar personuppgifter för Kundens räkning. Bestämmelser om uppsägning finns i Avtalet.
12.2 Om Leverantörens åtaganden enligt detta Personuppgiftsbiträdesavtal blir kommersiellt betungande för Leverantören enligt Leverantörens bedömning äger Leverantören rätt att säga upp Huvudavtalet till omedelbart upphörande.
13 Åtgärder vid Personuppgiftsbiträdesavtalets upphörande
13.1 Vid Avtalet upphörande ska Kunden skriftligen instruera Leverantören om de personuppgifter som Leverantören behandlat för Kundens räkning inom ramen för detta Personuppgiftsbiträdesavtal ska (i) återlämnas till Kunden eller (ii) oåterkalleligt raderas. Om Kunden inte inkommer med sådan instruktion inom fjorton (14) dagar från att Huvudavtalet upphör att gälla, ska Leverantören oåterkalleligt radera personuppgifterna inom skälig tid, såvida inte annat följer av tvingande lag.
14 Överlåtelse
14.1 Ingen av Parterna ska äga rätt att helt eller delvis överlåta sina rättigheter eller skyldigheter enligt detta Personuppgiftsbiträdesavtal utan den andra Partens skriftliga samtycke.
15 Ändringar och tillägg
15.1 Ändringar och tillägg i detta Personuppgiftsbiträdesavtal hanteras i enlighet med de villkor som framgår av Bilaga 1 (Allmänna villkor).
16 Lagval och tvistlösning
16.1 På detta Personuppgiftsbiträdesavtal ska svensk lag tillämpas, utan tillämpning av dess lagvalsregler.
16.2 Tvist i anledning av detta Personuppgiftsbiträdesavtal ska avgöras i enlighet med de bestämmelser som framgår av Avtalet.
Signerat av:
GREAT PLACE TO WORK INSTITUTE SVERIGE AB
_________________________
Jeanette Bergvall, vd
Bilaga 1 – behandling av personuppgifter
BESKRIVNING AV BEHANDLINGEN AV PERSONUPPGIFTER SOM OMFATTAS AV PERSONUPPGIFTSBITRÄDESAVTALET
Denna Bilaga 1 ska anses utgöra en integrerad del av Personuppgiftsbiträdesavtalet.
|
Kategorier av registrerade |
Följande kategorier av registrerade berörs av behandlingen av personuppgifter som omfattas av Personuppgiftsbiträdesavtalet:
|
|
Kategorier av personuppgifter |
Följande kategorier av personuppgifter behandlas:
Leverantören får även behandla andra personuppgifter om det är nödvändigt för att tillhandahålla de tjänster som framgår av Huvudavtalet. |
|
Ändamål med behandlingen |
Personuppgifterna behandlas för följande ändamål:
|
|
Behandlingar av personuppgifter |
Personuppgifterna kommer att behandlas på följande sätt:
|
|
Bevarande av personuppgifter |
Personuppgifterna kommer att bevaras för följande tidsperioder för ovanstående ändamål:
|
Bilaga 2 - Underbiträden
UNDERBITRÄDEN SOM BEHANDLAR PERSONUPPGIFTER FÖR KUNDENS RÄKNING
Denna Bilaga 2 ska anses utgöra en integrerad del av Personuppgiftsbiträdesavtalet. Kunden godkänner och är informerad om att Leverantören anlitar följande Underbiträden i enlighet med punkten 8.4 i Personuppgiftsbiträdesavtalet.
|
Underbiträdets Identitet |
Underbiträdets identitet (inklusive uppgift om fullständigt företagsnamn, organisationsnummer och adress):
Registration Number 591 473 VAT Number IE 3443396GH 235 Charlemont Griffith Avenue Dublin 9 Ireland |
|
Vilken typ av tjänst utför Underbiträdet inom ramen för Tjänsten? |
Personuppgifterna behandlas av Underbiträdet för att som underleverantör åt Leverantören tillhandahålla medarbetarundersökningar som utgör en del av Tjänsterna enligt Huvudavtalet.
|
|
På vilken plats kommer Underbiträdet att behandla personuppgifter för Kundens räkning |
Personuppgifterna kommer att behandlas på följande plats/platser
Serverplats: Poznan, Polen
|
|
Underbiträdets Identitet |
Underbiträdets identitet (inklusive uppgift om fullständigt företagsnamn, organisationsnummer och adress):
Great Place To Work Institute Inc 1999 Harrison St. Oakland, CA 94612
|
|
Vilken typ av tjänst utför Underbiträdet inom ramen för Tjänsten? |
Personuppgifterna behandlas av Underbiträdet för att som underleverantör åt Leverantören tillhandahålla medarbetarundersökningar som utgör en del av Tjänsterna enligt Huvudavtalet.
|
|
På vilken plats kommer Underbiträdet att behandla personuppgifter för Kundens räkning |
Personuppgifterna kommer att behandlas på följande plats/platser För support: Serverplats: |