Personuppgiftsbiträdesavtal
Gäller för nya kunder från och med 2024-09-23 och tills vidare.
Gäller för befintliga kunder från och med 2024-11-01 och tills vidare.
1. Inledning
1.1. Detta personuppgiftsbiträdesavtal ("Biträdesavtal") utgör en bilaga till tjänstevillkoren (www.bosseappen.se/tjanstevillkor) (“Tjänstevillkoren”) som har ingåtts mellan:
A. den juridiska person/näringsidkare ("Beställaren") som registrerar sin instans i den digitala plattformen "Bosse" ("Tjänsten"); och
B. Solid Red AB med organisationsnummer 559185-2123 som tillhandahåller Tjänsten ("SOLID RED").
1.2. Beställaren och SOLID RED kallas nedan gemensamt för "Parterna" och var för sig "Part".
1.3. Detta Biträdesavtal ingås mellan Parterna för att uppfylla kraven i artikel 28 i GDPR.
1.4. SOLID RED, eventuella underleverantörer och personer som agerar under SOLID RED:s överinseende ska behandla personuppgifter i enlighet med Beställarens instruktioner, som följer av detta Biträdesavtal med bilagor och Tjänstevillkoren. Vid sådan behandling är Beställaren personuppgiftsansvarig och SOLID RED är personuppgiftsbiträde. För andra ändamål än de som omfattas av detta Biträdesavtal är SOLID RED personuppgiftsansvarig i enlighet med vad som framgår av SOLID RED:s vid var tid gällande information om personuppgiftsbehandling och cookiehantering som återfinns i SOLID RED:s integritetsmeddelande (www.bosseappen.se/integritetsmeddelande) och cookiemeddelande (www.bosseappen.se/cookiemeddelande).
1.5. Båda Parter ska var för sig agera i enlighet med alla tillämpliga lagar relaterade till behandling av personuppgifter, inklusive GDPR och all underordnad lagstiftning och förordning som implementerar GDPR och/eller SCC som kan vara tillämplig (hädanefter gemensamt benämnt som "Tillämplig Dataskyddslagstiftning").
1.6. Vid händelse av motstridigheter avseende bestämmelser om behandling av personuppgifter som förekommer i detta Biträdesavtal och annat avtal mellan Parterna, ska bestämmelserna i detta Biträdesavtal äga företräde.
2. Bilagor
2.1. Följande bilagor utgör en integrerad del av Biträdesavtalet:
1 ) Bilaga: Godkända Underbiträden.
2 ) Bilaga: Instruktioner för personuppgiftsbehandlingen.
3 ) Bilaga: Säkerhetsåtgärder.
3. Definitioner
3.1. I detta Biträdesavtal används definitioner som överensstämmer med de som finns i EU:s allmänna dataskyddsförordning 2016/679 ("GDPR"). Exempel på sådana definitioner inkluderar "personuppgifter", "behandling", "registrerad", "personuppgiftsansvarig", "personuppgiftsbiträde" med flera. Var och en av dessa definitioner har samma innebörd som anges i artikel 4 i GDPR. För en fullständig lista och exakta definitioner, vänligen se denna artikel.
3.2. Eventuella övriga definitioner som anges med versal som begynnelsebokstav i detta Biträdesavtal men som inte är definierade i detta avtal, ska ha den innebörd som framgår i definitionslistan i Användarvillkoren (https://bosseappen.se/anvandarvillkor).
4. personuppgiftsansvariges skyldigheter
4.1. Beställaren intygar härmed att denne:
a ) följer bestämmelserna i GDPR avseende sin behandling av personuppgifter som ska hanteras av SOLID RED för Beställarens räkning;
b ) utan dröjsmål ska meddela SOLID RED om eventuella ändringar i instruktionerna rörande behandlingen av personuppgifter och tillhandahålla korrekt information till SOLID RED om tidigare tillhandahållna instruktioner är ofullständiga, felaktiga eller behöver ändras av andra skäl; och
c ) utan dröjsmål ska informera SOLID RED om eventuella relevanta förfrågningar från registrerade, tillsynsmyndigheten eller någon annan tredje part med avseende på behandlingen av personuppgifter.
4.2. I de fall Beställaren begär assistans från SOLID RED för åtgärder som Beställaren själv har möjlighet att utföra, ska Beställaren ersätta SOLID RED för den assistans som utförs enligt detta Biträdesavtal, enligt SOLID RED:s vid var tid gällande timtaxa.
5. Personuppgiftbiträdets åtaganden
5.1. SOLID RED:
a ) får endast behandla personuppgifter på dokumenterade instruktioner från Beställaren, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som SOLID RED omfattas av, och i så fall ska SOLID RED informera Beställaren om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt;
b ) ska omedelbart informera Beställaren om SOLID RED anser att en instruktion strider mot GDPR eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser. Under tiden Beställaren utreder invändningen, har SOLID RED rätt att göra uppehåll avseende den ifrågasatta behandlingen;
c ) säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet genom skriftligt avtal eller omfattas av en lämplig lagstadgad tystnadsplikt;
d ) ska, med tanke på behandlingens art, hjälpa Beställaren genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Beställaren kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel 3 GDPR;
e ) ska bistå Beställaren med att se till att skyldigheterna fullgörs avseende säkerhet i samband med behandlingen (artikel 32 GDPR), anmälan av en personuppgiftsincident till tillsyns-/dataskyddsmyndigheten (artikel 33 GDPR), information till den registrerade om en personuppgiftsincident (artikel 34 GDPR), konsekvensbedömning avseende dataskydd (artikel 35 GDPR) och förhandssamråd med tillsynsmyndigheten (artikel 36 GDPR), med beaktande av typen av behandling och den information som SOLID RED har att tillgå;
f ) ska, beroende på vad Beställaren väljer, radera eller återlämna alla personuppgifter till Beställaren efter det att tillhandahållandet av behandlingstjänster har avslutats, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt; och
g ) ska, i den utsträckning det är praktiskt möjligt och lagligt, utan onödigt dröjsmål meddela Beställaren om förfrågningar om utlämnande av personuppgifter eller information som handlar om behandlingen, som erhållits från en registrerad, myndighet eller annan tredje part och ska vid sådana fall hänvisa till Beställaren. SOLID RED har inte rätt att företräda Beställaren eller agera för dennes räkning gentemot tillsynsmyndigheten eller annan tredje part, såvida inte Beställaren skriftligen godkänner det.
6. Underbiträden och överföring av personuppgifter
6.1. SOLID RED ska respektera de villkor som avses i artikel 28 punkterna 2 och 4 i GDPR för anlitandet av ett annat personuppgiftsbiträde (nedan kallade "Underbiträden"). SOLID RED får härmed ett allmänt skriftligt förhandstillstånd att anlita Underbiträden för att fullgöra skyldigheterna enligt detta Biträdesavtal. Anlitade Underbiträden förtecknas i Bilaga: Godkända Underbiträden.
6.2. Om SOLID RED anlitar ett Underbiträde för att utföra en specifik behandling på Beställarens vägnar, ska samma dataskyddsskyldigheter som fastställs i detta Biträdesavtal åläggas Underbiträdet genom ett avtal eller en annan rättsakt enligt unionsrätten eller medlemsstaternas lagstiftning. Underbiträdet ska även särskilt tillhandahålla tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i GDPR.
6.3. Om Underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd, ska SOLID RED förbli fullt ansvarig gentemot Beställaren för fullgörandet av Underbiträdets skyldigheter.
6.4. Om SOLID RED avser att ändra, lägga till eller ersätta ett Underbiträde ska Beställaren informeras om sådana ändringar i förväg och ges möjlighet att invända mot ändringarna. Ifall Parterna inte kan lösa en sådan invändning mot ett visst Underbiträde inom rimlig tid, har Beställaren rätt att säga upp detta Biträdesavtal, inklusive Tjänsteavtalet, genom att skriftligen underrätta SOLID RED om detta.
7. Säkerhet
7.1. SOLID RED åtar sig att vidta alla åtgärder som krävs enligt artikel 32 GDPR, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som behandlingen innebär och typen av personuppgifter som ska skyddas. Detta innefattar bland annat att SOLID RED ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för fysiska personers rättigheter och friheter. Vid bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till risk för oavsiktlig eller olaglig förstöring, förlust, ändring eller till obehörigt röjande eller åtkomst till personuppgifterna.
7.2. Beställaren bekräftar härmed att de organisatoriska och tekniska säkerhetsåtgärder som SOLID RED åtar sig att implementera och som definieras i Bilaga: Säkerhetsåtgärder är lämpliga för att skydda de registrerades rättigheter, och Beställaren anser att SOLID RED lämnat tillräckliga garantier med avseende på detta.
7.3. SOLID RED avgör hur åtgärderna ska implementeras inom sin verksamhet för att uppnå den skyddsnivå som krävs. SOLID RED har rätt att ändra de genomförda åtgärderna, under förutsättning att den säkerställda säkerhetsnivån inte är lägre, än den som säkerställs av de åtgärder som gäller vid Biträdesavtalets ingående.
7.4. SOLID RED intygar att dennes verksamhet bedrivs på sätt som säkerställer att bestämmelser och krav enligt GDPR avseende adekvat skydd för behandlingar efterlevs och uppnås.
8. Granskning
8.1. SOLID RED ska ge Beställaren tillgång till all information som krävs för att visa att de skyldigheter som fastställs i artikel 28 GDPR har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Beställaren eller av en annan revisor som bemyndigats av Beställaren. Sådan granskning och/eller inspektion ska omfattas av följande villkor:
a ) det ska ske på Beställarens bekostnad,
a ) det får enbart omfatta personuppgifter som SOLID RED behandlar för Beställarens räkning enligt detta Biträdesavtal,
a ) det ska genomföras enbart på SOLID REDs registrerade enheter och kontor samt enbart omfatta personalen som är involverade vid behandlingen,
a ) det får enbart genomföras under högst två (2) arbetsdagar, på vardagar mellan kl. 09:00-16:00, och ska utföras så smidigt och effektivt som möjligt för att minimera störningar i SOLID REDs verksamhet,
a ) granskningen får inte avslöja eventuella företagshemligheter som skyddas av lag,
a ) det ska inte utföras mer än en (1) granskning/inspektion per år, såvida det inte sker efter att väsentligt brott mot behandlingen har identifierats eller om det krävs enligt tillämplig lag, myndighetsbeslut eller liknande,
a ) information om avsikten att genomföra en granskning ska meddelas skriftligen till SOLID RED minst trettio (30) kalenderdagar före det önskade datumet för genomförandet av granskningen. SOLID RED har rätt att föreslå ett nytt revisionsdatum, som ska infalla inom sju (7) arbetsdagar efter det av Beställaren föreslagna datumet.
8.2. Beställaren ansvarar för att tillse att SOLID RED får tillgång till en skriftlig granskningsrapport utan onödigt dröjsmål efter genomförd granskning, som innehåller sammanfattningar av resultaten av granskningen. Rapporten ska utgöra konfidentiell information som inte får delges till tredje part, utan SOLID REDs föregående skriftliga medgivande, under förutsättning att delgivande inte krävs enligt tillämplig lag.
8.2. SOLID RED ska även tillåta statlig myndighet att genomföra de granskningar som krävs enligt lag avseende behandling av personuppgifter.
9. Personuppgiftsincident
- 9.1. SOLID RED ska informera Beställaren utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident beträffande personuppgifter som omfattas av detta Biträdesavtal.
10. Ansvar
10.1. Vid skadestånd på grund av felaktig behandling av personuppgifter, som genom ett fastställt domslut eller förlikning, ska betalas till den registrerade på grund av överträdelse av bestämmelserna i detta Biträdesavtal, Beställarens instruktioner och/eller tillämplig dataskyddslagstiftning, ska artikel 82 GDPR tillämpas.
10.2. Eventuella administrativa böter/sanktionsavgifter enligt artikel 83 GDPR eller kapitel 6 i Lagen (SFS 2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska bäras av den Part som sanktionsavgiften påförs. Om dock en sanktionsavgift påförs en Part på grund av den andra Partens överträdelse av bestämmelserna i detta Biträdesavtal, Beställarens instruktioner och/eller tillämplig dataskyddslagstiftning, ska den överträdande Parten ersätta och hålla den icke-överträdande Parten skadeslös för de skador som den icke-överträdande Parten ådragit sig till följd av den administrativa sanktionsavgiften.
10.3. Skyldigheten för någon av Parterna att hålla den andra Parten skadeslös i enlighet med klausul 10.1 och 10.2 ovan ska utgöra den enda och exklusiva åtgärden avseende någon överträdelse av de relevanta dataskyddsreglerna av den berörda Parten.
11. Avtalstid och avtalets upphörande
11.1. Detta Biträdesavtal gäller så länge som SOLID RED behandlar personuppgifter för Beställarens räkning.
11.2. Det noteras att Beställaren godkänner att borttagna uppgifter bevaras i säkerhetskopior upp till tre (3) månader innan permanent radering sker.
12. Tillämplig lag och tvistelösning
12.1. Biträdesavtalet ska tolkas i enlighet med svensk lag och rätt.
12.2. Tvister som uppstår i anledning av detta Biträdesavtal ska slutligt avgöras genom det tvistelösningsförfarande som avtalats i Tjänsteavtalet.
Bilaga: Godkända Underbiträden
Beställaren godkänner att SOLID RED får anlita nedan angivna Underbiträden för behandling av personuppgifter för Beställarens räkning.
Företag | Beskrivning av tjänsten | Plats för behandligen | Överföringsmekanism |
---|---|---|---|
DigitalOcean LLC. 101 Avenue of the Americas, 2nd Floor New York, NY 10013 VAT ID: EU528002224 |
Databas, hosting | Tyskland, Frankfurt | EU-U.S. Data Privacy Framework Data Processing Agreement (https://www.digitalocean.com/legal/data-processing-agreement) |
Google Cloud EMEA Limited | Google Workspace.Ex. Google Drive, Gmail (Molnlagringstjänst, e-post) Google Cloud (Fillagring, autentisering) | Irland, Dublin | EU-U.S. Data Privacy Framework Data Processing Agreement (https://cloud.google.com/terms/data-processing-addendum) |
Mixpanel, Inc. | Dataanalysverktyg | Eemshaven, Netherlands | EU-U.S. Data Privacy Framework Data Processing Agreement (https://mixpanel.com/legal/dpa/) |
Bilaga: Instruktioner för personuppgiftsbehandlingen
Utöver vad som anges i Biträdesavtalet ska SOLID RED även följa nedanstående instruktioner vid behandling av personuppgifter för Beställarens räkning:
Ändamål
Alla ändamål för vilka personuppgifterna ska behandlas av SOLID RED. |
Föremålet för behandlingen av personuppgifter som omfattas av detta Biträdesavtal beskrivs i Tjänstevillkoren.
Personuppgifterna som omfattas av detta Biträdesavtal behandlas av SOLID RED för att tillhandahålla Beställaren kommunikationsplattformen Tjänsten i enlighet med Tjänstevillkoren, samt för att i övrigt fullgöra skyldigheterna enligt villkoren i detta Biträdesavtal och GDPR. |
Kategorier av registrerade
Vilka kategorier av registrerade som behandlingen av personuppgifterna avser. |
SOLID RED får behandla personuppgifter tillhörande följande kategorier av registrerade:
|
Kategorier av personuppgifter
Vilka kategorier personuppgifter som ska behandlas av SOLID RED i egenskap av personuppgiftsbiträde. |
|
Behandlingsaktiviteter
Vilka behandlingsaktiviteter kommer att utföras av SOLID RED. |
SOLID RED får använda sig av de behandlingar som krävs för att uppfylla villkoren Tjänsteavtalet och i detta Biträdesavtal.
Exempelvis får SOLID RED behandla personuppgifterna för att:
|
Plats för behandling av personuppgifterna
Alla platser där behandlingen kommer att ske. |
Inom EU/EES samt genom godkända Underbiträden. |
Behandligtid | Personuppgifterna kommer, såvida Beställaren inte instruerar annat, att behandlas av SOLID RED under den tid som Tjänsteavtalet är gällande, såtillvida inte fortsatt lagring krävs enligt lag eller myndighetsbeslut. |
Bilaga: Säkerhetsåtgärder
SOLID RED (nedan refererad till som “vi”, “vår”, “oss”) vidtar och implementerar följande organisatoriska och tekniska säkerhetsåtgärder:
Tekniska säkerhetsåtgärder:
1. Åtkomsträttigheter och övervakning:
- Vi har etablerat noggranna processer för tilldelning, övervakning och kontroll av åtkomsträttigheter.
- Vi har implementerat rollbaserad åtkomstkontroll där åtkomsträttigheter baseras på användarens roll inom organisationen, vilket effektivt begränsar tillgången till endast nödvändig information för varje användares arbetsuppgifter.
- Vi använder multifaktorautentisering för att förstärka säkerheten vid inloggning, vilket betydligt minskar risken för obehörig åtkomst.
- Regelbundna åtkomstgranskningar och dokumentation av användaraktiviteter genomförs för att kontinuerligt säkerställa och förbättra våra säkerhetsprinciper.
2. Dataintegritet och tillgänglighet:
- Vi utför regelbunden säkerhetskopiering av data för att garantera att informationen kan återställas och skyddas mot dataförlust.
- Säkrad lagring av personuppgifter genomförs för att säkerställa konfidentialitet och integritet, samt för att förhindra förlust av tillgänglighet.
3. Åtkomstautentisering och lösenordshantering:
- Vi tillämpar säkra autentiseringsmetoder för att stärka skyddet av användarkonton och känslig information.
- Interna rutiner för regelbundna lösenordsbyten och skapande av säkra lösenord är implementerade för att ytterligare höja säkerhetsnivån.
- Vi använder lösenordshanterare för att skapa och lagra komplexa och unika lösenord för olika tjänster, vilket effektivt minskar risken för lösenordsåteranvändning och underlättar hanteringen av lösenordsändringar.
Organisatoriska säkerhetsåtgärder:
Intern styrning och uppföljning:
- Vi utför regelbundna granskningar av verksamhetens interna rutiner och policys för att kontinuerligt förbättra våra säkerhetsstandarder.
- Vi har utsett ansvariga personer vars primära uppgift är att säkerställa efterlevnaden av våra säkerhetsprocesser och hantera dessa på ett effektivt sätt.
2. Utbildning och medvetenhet:
- Vi inkluderar all personal i interna utbildningsprogram som fokuserar på personuppgiftssäkerhet för att höja kunskapsnivån och stärka medvetenheten om vikten av dataskydd.
- Vi upprätthåller strikta krav på respekt för sekretess gällande behandlade personuppgifter under och efter anställning, vilket förstärker integriteten i vår verksamhet.
3. Incidenthantering och rapportering:
- Vi har implementerat väldefinierade rutiner för hantering av och reaktion på personuppgiftsincidenter för att snabbt kunna adressera och begränsa eventuella skador.
- Vi kräver att alla medarbetare är medvetna om och rapporterar misstänkta eller inträffade incidenter, vilket är avgörande för en effektiv incidenthantering.
4. Ledningsansvar och kommunikation:
- En särskilt utnämnd kontaktperson för personuppgiftsärenden, som rapporterar direkt till högsta ledningen, säkerställer att dataskyddsfrågor får adekvat uppmärksamhet och hantering.
- Denna kontaktperson är inkluderad i relevanta processer och har tillgång till nödvändig information och dokumentation för att vi effektivt kunna utföra våra uppgifter, skyldigheter och åtaganden.