Bilaga 3: Personuppgiftsbiträdesavtal

2. Definitioner och tolkningar

2.1 Definitioner

"Avtal" betyder detta personuppgiftsbiträdesavtal inklusive Bilagorna, vars innehåll kan komma att ändras i syfte att återspegla aktuella faktiska förhållanden och överenskommelser;
"Arbetsdag" betyder en dag (som inte är en lördag eller söndag eller allmän helgdag) på vilken kommersiella banker har öppet för allmän bankverksamhet i den jurisdiktion där Leverantören är registrerad, med undantag för enbart internetbanktjänster;
"EU Personuppgiftslagstiftning" (i) GDPR och (ii) och sådan nationell dataskyddslagstiftning som kompletterar GDPR
"Force Majeure" har den innebörd som anges i punkten 11;
"GDPR" betyder Europaparlamentets och Rådets Förordning (EU) 2016/679
av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), och samtliga därtill gjorda tillägg;
"Part"/"Parter" betyder Kunden och Leverantören var för sig, eller i förekommande fall tillsammans;

"Tjänst" har den innebörd som anges i Underbilaga 1 och som nyttjas av Kunden (inklusive samtliga relaterade tjänster som från tid till annan kan komma att tillhandahållas av Leverantören);
"Ändamål" har den innebörd som anges i Underbilaga 1;
"Lagstadgade krav" betyder tillämplig integritets- och personuppgiftslagstiftning, inklusive EU-rättslig Personuppgiftslagstiftning, och sådan lagstiftning som från tid till annan kan komma att ersätta förutnämnda lagstiftning (vid avvikelser eller motsägelser mellan olika lagstiftningar eller regelverk, ska den som föreskriver högst grad av integritet och/eller informationssäkerhet tillämpas);
"Tillsynsmyndighet" betyder samtliga domstolar, myndigheter och organ som, enligt tillämpliga lagar och/eller regleringar (inklusive Lagstadgade krav), utövar kontroll vid integritetsfrågor och/eller personuppgiftsbehandling; och
"Leverantörens närstående bolag" betyder en juridisk person som direkt eller indirekt genom ett eller flera mellanliggande bolag står under ett bestämmande inflytande från, eller står under samma bestämmande inflytande som Leverantören. För tolkning av definitionen ska termen "inflytande" förstås som det direkta eller indirekta innehavet av makten att styra eller påverka styrningen av förvaltningen och riktlinjerna hos den juridiska personen genom ägande av röstberättigade aktier, genom avtal eller på annat sätt.

2.2 Tolkningar

2.2.1 Termer och uttryck utan stor begynnelsebokstav som används i detta Avtal, t.ex. "den registrerade", "personuppgiftsansvarig", "personuppgifter", "behandling", "personuppgiftsbiträde", "tredjeland" etc., ska tolkas i enlighet med vad som anges i EU Personuppgiftslagstiftning.

2.2.2 Om inte annat sägs häri, eller tydligt framgår av sammanhanget i vilket den förekommer, ska termen "inklusive" betyda "inklusive, utan begränsning".

4. Parternas särskilda åtaganden

4.1 Roller, ägande av personuppgifter, behandling och ändamål

4.1.1 Kunden ska betraktas som personuppgiftsansvarig för alla personuppgifter som Leverantören behandlar på Kundens vägnar enligt dennes instruktioner. Instruktionerna utgörs i detta sammanhang av de överenskomna åtaganden som krävs för att uppnå Ändamålet och i samband med vilka det utförs behandling av personuppgifter.

4.1.2 Leverantören får endast behandla Kundens personuppgifter för Ändamålet och i den utsträckning det är nödvändigt för fullgörandet av Leverantörens skyldigheter enligt detta Avtal eller Tjänsteavtalet.

4.1.3 Utan att det påverkar behandlingen av personuppgifter som sker i överrensstämmelse med detta Avtal ska, i situationer då Leverantören överträder de Lagstadgade kraven genom att fastställa ändamål och medel för själva behandlingen (t.ex. genom att behandla personuppgifter i strid med Ändamålet), personuppgiftsbiträdet betraktas som personuppgiftsansvarig med avseende på den behandlingen.

4.2 Kundens särskilda åtaganden1 Kunden åtar sig att:
(a) Säkerställa att det finns en rättslig grund för behandlingen av personuppgifterna som omfattas av detta Avtal;
(b) Säkerställa att de registrerade, enligt kraven i EU Personuppgiftslagstiftning, har erhållit tillräcklig information om behandlingen, inklusive information om att Leverantören kan komma att behandla personuppgifter på Kundens vägnar;
(c) Omedelbart efter att Kunden har upplysts, informera Leverantören om felaktiga, rättade, uppdaterade eller raderade personuppgifter som omfattas av Leverantörens behandling;
(d) I god tid tillhandhålla Leverantören lagliga och dokumenterade instruktioner för Leverantörens behandling av personuppgifter om inte annat överenskommits;
(e) Innan detta Avtal träder i kraft, förse Leverantören med Kundens tillämpliga rutiner och riktlinjer för behandlingen av personuppgifter om inte annat överenskommits; och
(f) Agera som kontaktpunkt för den registrerade.

4.3 Leverantörens särskilda åtaganden Leverantören åtar sig att:2
(a) Endast behandla personuppgifter i överrensstämmelse med den personuppgiftsansvariges dokumenterade instruktioner, inklusive gällande överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte behandling krävs enligt Lagstadgade krav; i sådana fall ska Leverantören informera den personuppgiftsansvarige om sådana lagkrav innan behandling av personuppgifterna sker, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt Lagstadgade krav;
(b) Säkerställa att sådana anställda (hos Leverantören och dennes underleverantörer) som behandlar personuppgifter på Kundens vägnar har förbundit sig till sekretess eller omfattas av en adekvat lagstadgad tystnadsplikt;
(c) Implementera lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter som behandlas av Leverantören enligt detta Avtal, och med tanke på behandlingens art, (i) vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken i enlighet med GDPR Artikel 323 och (ii) bistå den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med EU Personuppgiftslagstiftningen;
(d) På begäran från den personuppgiftsansvarige (bortsett från vid personuppgiftsincidenter då sådan begäran inte är påkallad), bistå den personuppgiftsansvarige med att säkerställa efterlevnad av skyldigheterna enligt GDPR, Artikel 33 till 36 (t.ex. bistå den personuppgiftsansvarige vid personuppgiftsincidenter, vid genomförandet av konsekvensbedömning avseende dataskydd och föregående konsultation) med beaktande av typen av behandling och den information som Leverantören har att tillgå; och
(e) Ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att Leverantörens skyldigheter som fastställs i detta Avtal har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en revisor som bemyndigats av denne i enlighet med punkten 4.

4.3.1 Leverantören ska omedelbart informera den personuppgiftsansvarige om denne anser att en instruktion strider mot EU Personuppgiftslagstiftning.

4.3.2 Parterna är överens om att de säkerhetsåtgärder beskrivna i Underbilaga 1 som Leverantören vidtar, uppfyller Leverantörens åtaganden enligt punkten4.3(c).

5. Underleverantörer

5.1 Leverantören har rätt att anlita underleverantörer som agerar underbiträden under förutsättning att sådana underbiträden är bundna av ett skriftligt avtal som stadgar att de iakttar samma skyldigheter avseende dataskydd, integritet och revision som gäller för Leverantören enligt detta Avtal (GDPR, art. 28.3 (d) and art. 28.4).

5.2 Vill Leverantören anlita en underleverantör ska Kunden meddelas om detta i förtid. Kunden har alltid rätt att skyndsamt, från mottagandet av meddelandet, med angivande av sakliga skäl invända mot att Leverantören anlitar den specifika underleverantören (GDPR, art 28.3 (d) and art. 28.2) Om Kunden inte har invänt på föreskrivet sätt, ska den föreslagna underleverantören anses ha godkänts. Resulterar en sådan invändning i tillkommande kostnader eller utlägg för Leverantören, t.ex. på grund av åtgärder som rimligen eliminerar grunden för Kundens invändning eller om anlitandet av en annan underleverantör, än den av Leverantören ursprungligen anlitade, skulle medföra tillkommande kostnader eller utlägg för Leverantören, ska Kunden ersätta Leverantören för sådana tillkommande och/eller ökade kostnader och utlägg.

5.3 Leverantören ska vara Kundens enda kontaktpunkt, om inte annat avtalas.

5.4 För undvikande av tvivel, samtycker Kunden till fullo uttryckligen till (i) användningen av de underleverantörer med vilka Leverantören har ingått avtal vid tidpunkten för detta Avtals ikraftträdande, och (ii) användningen av samtliga Leverantörens närstående bolag som underleverantörer.

6. Rätt till revision och placering

6.1 Kunden har rätt att utföra revision av Leverantörens behandling av Kundens personuppgifter (inklusive sådan behandling som utförs av Leverantörens underleverantörer, om sådana har anlitats) för att kontrollera Leverantörens, och underleverantörers, efterlevnad av detta Avtal (GDPR, art. 28.3 (h) 5/13).

6.2 Leverantören ska, under vanliga arbetstider och med rimligt varsel (där en frist om tjugo (20) Arbetsdagar alltid ska anses vara rimligt), förse en oberoende revisor, utsedd av Kunden och godkänd av Leverantören, med rimlig tillgång till de delar av anläggningarna där Leverantören utför behandlingen av personuppgifter på Kundens vägnar, och till informationen som rör behandlingen av Kundens personuppgifter enligt detta Avtal. Revisionen ska utföras så skyndsamt som möjligt och den ska inte störa Leverantörens normala affärsverksamhet. Revisorn ska efterleva Leverantörens arbetsplatsregler, säkerhetsregler och standarder när platsbesök genomförs. Innan en revision påbörjas, ska den oberoende revisorn (inklusive relevanta parter/personer som utför revisionen) underteckna sekretessförbindelser som tillhandahålls av Leverantören. Gällande inspektioner som genomförs av en Tillsynsmyndighet, se punkten 6.3 nedan.

6.3 En Tillsynsmyndighet ska alltid ha direkt och obegränsad tillgång till Leverantörens lokaler, databehandlingsutrustning och dokumentation för att utreda att Leverantörens behandling av Kundens personuppgifter utförs i enlighet med Lagstadgade krav.

6.4 Kunden är ansvarig för samtliga kostnader förenade med revisionen som nämns i punkten 6.2 och punkten 6.3, förutom då revisionen påvisar väsentliga brister av Leverantörens skyldigheter i strid mot detta Avtal. I sådana fall, ska Leverantören ersätta Kunden för rimliga och bekräftade kostnader rörande revisionen. Sådan ersättning ska vara proportionerlig i förhållande till omfattningen av de påvisade väsentliga brister som konstaterats vid revisionen.

7. Internationella överföringar av personuppgifter

7.1 Avseende personuppgifter härrörande från, eller som behandlas åt, Kunden inom EU/EES och överförda till Leverantörens underleverantör inom EU/EES, gäller vad som sägs i punkten 5 angående underleverantörer.

7.2 Avseende personuppgifter härrörande från, eller behandlade åt, Kunden inom EU/EES, men tillgängliga för eller på annat sätt behandlade av Leverantören i jurisdiktioner utanför EU/EES, har Parterna ingått EU:s Standardavtalsklausuler.

7.3 Personuppgifter härrörande från, eller behandlade åt, Kunden inom EU/EES, till vilka underleverantörer i jurisdiktioner utanför EU/EES har åtkomst eller annars behandlar, har Kunden rätt att ingå EU:s Standardavtalsklausuler.

7.4 Oaktat punkten 7.2 och punkten 7.3, ska EU:s Standardavtalsklausuler inte tillämpas om jurisdiktionen där Leverantören eller underleverantören är etablerad, har ansetts av Europeiska Unionen att vara en jurisdiktion med adekvat personuppgiftsskydd eller om Leverantören och/eller dennes underleverantörer belägna i USA är certifierade enligt Privacy Shield. Parterna är överens om att samtliga tvister som uppkommer till följd av EU:s Standardavtalsklausuler, ska behandlas som om de hade uppkommit till följd av detta Avtal.

7.5 Avseende personuppgifter härrörande från, eller behandlade åt, Kunden utanför EU/EES, där behandlingen av personuppgifter reglars av annan tillämplig lagstiftning (än EU Personuppgiftslagstiftningen) som förbjuder eller begränsar (i) överföringen av personuppgifter till en annan jurisdiktion, eller (ii) behandlingen av personuppgifter i samtliga jurisdiktioner (inklusive fjärråtkomst till dessa personuppgifter från alla länder eller territorium och genom användning av molnbaserade IT-lösningar), ska Leverantören inte överföra eller behandla personuppgifter i strid mot sådana förbud eller begränsningar. I sådana situationer ska Parterna samarbeta i god tro för att nå en rimlig lösning.

9. Avtalstid och uppsägning

9.1 Detta Avtal träder ikraft på samma dag som Tjänsteavtalet träder i kraft. Om uppsägning inte sker i förtid (i) till följd av väsentliga åsidosättanden av villkoren i detta Avtal, i vilket fall detta Avtal ska sägas upp med omedelbar verkan om den andra Parten inte förmår avhjälpa åsidosättandet på ett tillfredsställande sätt inom femton (15) dagar från den andra Partens skriftliga krav därom, eller (ii) i enlighet med punkten 9.2, ska detta Avtal vara fortsatt giltigt tills Leverantören upphör med att behandla personuppgifter för Kundens räkning, då det ska upphöra per automatik med omedelbar verkan.

9.2 Vid uppsägning av detta Avtal av någon anledning, ska Leverantören upphöra med behandlingen av personuppgifter på Kundens vägnar och ska vidare, enligt Kundens instruktioner, på Kundens bekostnad, ombesörja återlämnandet till Kunden (eller dess utsedda tredje part) alla sådana personuppgifter tillsammans med alla kopior som denne besitter eller kontrollerar, såvida inte lagring av personuppgifterna krävs enligt Lagstadgade krav.7 Om Kunden inte lämnar ovannämnda instruktioner inom en period om tre (3) månader från då Avtalet sades upp, har Leverantören rätt att radera alla sådana personuppgifter, inklusive kopior därav, såvida inte lagring av personuppgifterna krävs enligt Lagstadgade krav. För det fall personuppgifter ska återlämnas i enlighet med vad som sägs ovan, ska de återlämnas i det format som gäller enligt Tjänsteavtalet, eller då något sådant format inte har avtalats, i ett allmänt använt läsbart format som Parterna överenskommer om.

Underbilaga 1: Beskrivning av behandlingen av personuppgiften

1. TJÄNSTEN
Administration och hantering av åtkomst till skyddade lokaler och utrustning, samt support på denna tjänst.

2. DE REGISTRERADE
Personuppgifterna som behandlas rör följande kategorier av registrerade:

Autentiseringsinnehavare så som anställda, konsulter, besökare, hyresgäster och leverantörer hos kunden

3. KATEGORIER AV PERSONUPPGIFTER
Personuppgifterna som behandlas rör följande kategorier av personuppgifter:
Kontaktuppgifter (Namn, telefonnummer, e-postadress), anställningsnummer, loggar från passersystem

4. ÄNDAMÅLET MED BEHANDLINGEN AV PERSONUPPGIFTER
För att kunna administrera och hantera individers åtkomst till skyddade lokaler och utrustning, samt för att kunna ge support på tjänsten.

5. BEHANDLINGAR
Personuppgifterna som omfattas av behandlingen kommer att bli föremål för följande grundläggande behandling:
Lagring, ändring, radering, läsning.

6. BEHANDLINGENS VARAKTIGHET
Personuppgifterna kommer att behandlas med följande varaktighet: Under avtalstiden och ytterligare period stipulerad i Tjänsteavtalet.

7. SÄKERHETSÅTGÄRDER
Säkerhetsåtgärder som är implementerade som minimum är:

7.1 Rutiner rörande personal
Endast personal som behöver tillgång till kundens personuppgifter skall ha åtkomst till uppgifterna. Rutiner skall finnas för att ta bort behörighet för personer som inte längre behöver tillgång till dem.

All personal skall använda personlig inloggning vid all behandling av personuppgifter. Lösenords- hanteringen skall åtminstone uppfylla Assa Abloys rutiner för lösenordskvalitet och regelbundet byte.

All behandling av kundernas personuppgifter skall loggas, med uppgift om vem som behandlat uppgifterna och när det gjorts.
Personuppgiftsbiträdet åtar sig att ha regelbundna genomgångar med all personal gällande rutiner för hantering av personuppgifter, utrustning och personliga konton, för att säkerställa att behandling av kundernas personuppgifter sker på ett korrekt sätt.

7.2 Skydd av utrustning och kommunikation
All stationär utrustning som lagrar personuppgifter, exempelvis servrar och stationära datorer, skall finnas i låsta utrymmen. Servrar skall förvaras i utrymmen utan fönster. Om bärbara datorer eller lagringsmedia används, skall dessa lagringsmedia vara krypterade.

Extern kommunikation skall vara krypterad med något öppet och säkert protokoll. Personuppgiftsansvarig ansvarar för inställningar gällande kryptering av egen utrustning. Personuppgiftsbiträdet skall tillse att det finns brandväggar och virusskydd med tillfredsställande funktion vid behandling av personuppgifter.

Personuppgiftsansvarig ansvarar för eventuell brandvägg till egen utrustning. Uppdatering av utrustning, med exempelvis säkerhetspatchar eller nyare versioner av operativsystem, virus-skydd och brand-väggar, ska ske löpande. Kritiska säkerhetspatchar skall appliceras skyndsamt.

7.3 Backup och övrig hantering av personuppgifter
Backuper tas dagligen, och raderas löpande när de inte längre behövs. Test av att backup-rutiner fungerar skall ske minst årligen, och skall säkerställa att en återställning med full funktion kan ske inom rimlig tid efter en incident. Backuper skall förvaras avskilt och väl skyddat.

Personuppgifter som inte längre behövs för att utföra en tjänst åt kunden skall raderas så snart uppdraget är slutfört, dock med möjlighet för kunden att först begära att få en kopia om de inte redan har personuppgifterna. Varje kunds personuppgifter skall hållas separerade från andra personuppgifter som personuppgiftsbiträdet behandlar.