Bilaga till Avtal om Swelön

Personuppgiftsbiträdesavtal

Detta personuppgiftsbiträdesavtal utgör en bilaga till Avtalet om Swelön som Parterna har ingått (”Avtalet om Swelön”). Personuppgiftsbiträdesavtalet är en integrerad del av Avtalet om Swelön såsom angivits i bestämmelserna om behandling av personuppgifter i Avtalet om Swelön.

Följande personuppgiftsbiträdesavtal (”Avtalet”) ingås härmed mellan organisationen kallad Kunden i Avtalet om Swelön, (”Kunden”) och Swelön AB, organisationsnummer: 556930-3243, med adress: Box 226, 201 22 Malmö (“Leverantören”). Parterna benämns nedan var och en för sig ”Part” eller gemensamt ”Parterna”.

1 Avtalets tillämpningsområde

1.1 Leverantören är Kundens personuppgiftsbiträde, eftersom Leverantören behandlar de personuppgifter som beskrivs i Bilaga 1 för Kundens räkning.

1.2 De personuppgifter som behandlas av Leverantören, ändamålen med behandlingen, kategorierna av personuppgifter samt kategorierna av de registrerade specificeras i Bilaga 1.

1.3 Avtalet reglerar endast den behandling av personuppgifter som Leverantören utför för Kundens räkning.

1.4 ”Personuppgifter” definieras som varje upplysning som avser en identifierad eller identifierbar fysisk person, i enlighet med artikel 4(1) i Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 (Allmän dataskyddsförordning) (”GDPR”).

2 Behandling av personuppgifter

2.1 Leverantören förbinder sig att endast behandla personuppgifter på instruktion från Kunden.

2.2 Instruktion: Leverantören ska endast behandla personuppgifter i syfte att utföra de personuppgiftsbehandlingar som anges i Bilaga 1. Leverantören får inte behandla eller använda personuppgifter för andra ändamål än de som anges i instruktionen, inbegripet när det gäller överföringar av personuppgifter till tredjeland eller en internationell organisation, såvida inte denna behandling krävs av Leverantören enligt unionsrätten eller medlemsstaternas nationella rätt som är bindande för Leverantören. I ett sådant fall ska Leverantören skriftligen informera Kunden om det rättsliga kravet innan uppgifterna behandlas, såvida inte sådan information är förbjuden med hänvisning till viktigt allmänintresse enligt denna rätt.

2.3 För det fall Leverantören anser att en instruktion från Kunden strider mot GDPR, annan unionsdataskyddslagstiftning eller dataskyddslagstiftning i en annan medlemsstat, ska Leverantören skriftligen informera Kunden om detta.

2.4 Kunden garanterar att denne innehar alla rättigheter, inklusive, men inte begränsat till, inhämtande av nödvändiga samtycken från registrerade, som krävs för att få behandla de personuppgifter som Avtalet avser och för att låta Leverantören behandla sådana personuppgifter för Kundens räkning.

3 Krav på Leverantören

3.1 Leverantören ska behandla personuppgifter i enlighet med tillämplig svensk dataskyddslagstiftning, inklusive GDPR, från det att förordningen träder i kraft.

3.2 Leverantören ska säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

3.3 Leverantören ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna mot

(i) förlust, förstöring eller skada genom olyckshändelse eller otillåtna handlingar,
(ii) obehörigt röjande eller obehörig åtkomst, eller
(iii) behandling i strid med tillämplig lagstiftning, inbegripet GDPR.

3.4 Leverantören ska uppfylla alla rättsligt bindande normer för säkerhetsåtgärder, inbegripet miniminormer för säkerhetsåtgärder i det land där Leverantören är etablerad eller det land där personuppgiftsbehandlingen sker.

3.5 Lämpliga tekniska och organisatoriska säkerhetsåtgärder ska fastställas med beaktande av:

(i) nuvarande teknisk nivå,
(ii) de kostnader genomförandet medför, och
(iii) karaktären, omfattningen, sammanhanget och syftet med behandlingen, samt risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar.

3.6 På begäran av Kunden ska Leverantören förse Kunden med all information som behövs för att säkerställa att Leverantören uppfyller de krav som Avtalet ställer upp, inbegripet att Leverantören har implementerat nödvändiga tekniska och organisatoriska säkerhetsåtgärder.

3.7 Leverantören ska årligen, på egen bekostnad, få intygat av en oberoende expert att de säkerhetsåtgärder som Leverantören genomfört uppfyller de krav som anges i Avtalet. Intyget ska laddas upp på Leverantörens webbplats ”www.swelon.se” en gång per år. Leverantören får skapa en ny webbplats för uppladdningen av intyget och skriftligen meddela Kunden om detta.

3.8 Kunden är därutöver berättigad att, på egen bekostnad, utse en oberoende expert som ska beredas tillgång till de delar av Leverantörens fysiska anläggningar där personuppgifter behandlas. Experten ska även få tillgång till den information som krävs för att undersöka huruvida Leverantören har genomfört lämpliga tekniska och organisatoriska säkerhetsåtgärder. Den oberoende expert som utsetts av Kunden ska inte få tillgång till information om Leverantörens allmänna kostnadsstruktur eller information om Leverantörens andra kunder. På begäran av Leverantören ska den oberoende experten skriva på ett sekretessavtal. Oavsett om ett sekretessavtal har skrivits på eller inte, omfattas all information experten samlat eller fått från Leverantören av sekretess, och denne får inte under några omständigheter dela informationen med annan än Kunden. Kunden får inte lämna ut information till tredje part eller använda informationen i något annat syfte än att utvärdera huruvida Leverantören har vidtagit nödvändiga tekniska och organisatoriska säkerhetsåtgärder.

3.9 Leverantören ska, utan onödigt dröjsmål efter att ha gjorts medveten om sådan omständighet, skriftligen informera Kunden vid

(i) begäran från en myndighet att lämna ut personuppgifter som omfattas av Avtalet, såvida inte Leverantören är förhindrad att informera Kunden enligt unionslagstiftning eller medlemsstaternas nationella rätt som är bindande för Leverantören,
(ii) misstanke om eller iakttagelse av (a) säkerhetsöverträdelser som lett till eller kan leda till förlust, förstöring eller skada genom olyckshändelse eller otillåtna handlingar, obehörigt röjande eller obehörig åtkomst till personuppgifter som överförts, förvarats eller på annat sätt behandlats av Leverantören enligt detta Avtal, eller (b) annan överträdelse av Leverantörens skyldigheter enligt klausul 3.3 och 3.4, eller
(iii) begärna om tillgång till personuppgifter från en registrerad eller från en tredje part.

3.10 Leverantören ska bistå Kunden vid en eventuell begäran från en registrerad som omfattas av kapitel III i GDPR, inbegripet begäranden om tillgång till, rättelse av, begränsning av eller radering av personuppgifter.

3.11 Leverantören ska bistå Kunden med att se till att skyldigheterna enligt artikel 32 till 36 i GDPR fullgörs, samt skyldigheterna enligt medlemsstaternas nationella rätt som kräver Leverantörens bistånd, i den mån det är nödvändigt för att Kunden ska kunna uppfylla kraven. Detta inbegriper bestämmelsen om nödvändig information till Kunden om en incident som omfattas av klausul 3.9 (ii) samt all information som är nödvändig för en konsekvensbedömning enligt artikel 35-36 GDPR, i den mån Leverantören har tillgång till sådan information.

3.12 Leverantören anger i Bilaga 1 de fysiska platserna för servrarna och servicecenter etc. som används vid personuppgiftsbehandlingen. Leverantören är skyldig att skriftligen informera Kunden innan eventuella ändringar av den fysiska platsen. Det är tillräckligt att Leverantören meddelar Kunden skriftligen genom post eller e-post och förfarandet kräver därmed inte en formell ändring av Bilaga 1.

3.13 Kunden ska betala Leverantören för all tid som lagts ner och allt material som använts för de tjänster Kunden begärt från Leverantören enligt klausul 3.6, 3.8, 3.9 (i) och (iii), 3.10, 3.11, 7.4 och 7.5 i Avtalet. Kostnaden för tjänsterna följer av prislistan som återfinns på Leverantörens webbplats på www.swelon.se, eller annan webbplats som Leverantören utsett.

4 Underbiträden

4.1 Leverantören är berättigad att använda sig av underbiträden. Vid tidpunkten för Avtalets ikraftträdande använder sig Leverantören av de underbiträden som anges i Bilaga 2. Leverantören måste skriftligen informera Kunden senast två månader innan en planerad förändring, ett planerat tillägg eller ett planerat utbyte av underbiträden. Under de två första veckorna efter att Leverantören meddelat om den planerade förändringen, äger Kunden rätt att neka byte av underbiträde. I sådant fall äger Leverantören, med iakttagande av en månads uppsägningstid, skriftligen säga upp alla avtal med Kunden där Leverantören behandlar personuppgifter för Kundens räkning. Vid avslutat anlitande av ett underbiträde ska Leverantören skriftligen informera Kunden.
4.2 Innan Leverantören anlitar ett underbiträde måste Leverantören ingå ett skriftligt avtal med underbiträdet. Detta avtal måste ålägga underbiträdet minst samma skyldigheter i fråga om dataskydd som de som fastställs i Avtalet mellan Leverantören och Kunden, inbegripet skyldigheten att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att databehandlingen uppfyller kraven enligt GDPR.

4.3 Kunden är berättigad att få en kopia av alla överenskommelser mellan Leverantören och underbiträdena som reglerar de obligatoriska dataskyddskraven enligt klausul 4.2. Om underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd är Leverantören fullt ansvarig gentemot Kunden för utförandet av underbiträdets skyldigheter. Den omständigheten att Kunden har samtyckt till att Leverantören ingår ett avtal med ett underbiträde påverkar inte Leverantörens skyldighet att uppfylla kraven i Avtalet.

5 Sekretess

5.1 Leverantören ska behandla personuppgifter konfidentiellt.

5.2 Leverantören får inte lämna ut personuppgifter till tredje part, såvida det inte är nödvändigt för att Leverantören ska kunna fullgöra sina skyldigheter gentemot Kunden. Detta förutsätter att den tredje part som mottager informationen är medveten om dess konfidentiella innehåll och har åtagit sig att hålla informationen konfidentiell i enlighet med Avtalet. Leverantören får därutöver lämna ut personuppgifter till tredje part om det krävs enligt lag.

5.3 Leverantören ska begränsa åtkomsten till personuppgifter till att endast omfatta de anställda som behöver informationen för att kunna fullgöra Leverantörens skyldigheter gentemot Kunden.

5.4 Leverantörens skyldigheter enligt klausul 5 är inte tidsbegränsat, oavsett om Parternas samarbete avslutas.

6 Ändringar och Överföringar

6.1 Avtalet kan komma att ändras i enlighet med förändringar som genomförs i Avtalet om Swelön.

6.2 Leverantören kan överföra rättigheter och skyldigheter under Avtalet, utan medgivande från Kunden, förutsatt att parten till vilken rättigheterna och skyldigheterna överförs, åtar sig att behandla personuppgifterna i enlighet med Avtalet.

7 Avtalstid och Uppsägning

7.1 Avtalets giltighetstid är densamma som giltighetstiden för Avtalet om Swelön. Vid uppsägning av Avtalet om Swelön, kommer Avtalet att upphöra.
7.2 Båda parter har rätt att säga upp Avtalet på samma villkor som gäller för Avtalet om Swelön.
7.3 Oberoende av den formella avtalstiden, fortsätter Avtalet att gälla så länge som Leverantören behandlar personuppgifter för Kundens räkning för vilka Kunden är personuppgiftsansvarig, dock endast såvitt avser Leverantörens behandling av sådana personuppgifter.
7.4 Vid uppsägning, eller om det krävs enligt Avtalet, ska Leverantören på ett lojalt sätt medverka till att behandlingen av personuppgifter övergår till annan leverantör eller återgår till Kunden.

7.5 På Kundens begäran och vid uppsägning av Avtalet, ska Leverantören överföra de personuppgifter som behandlats av Leverantören för Kundens räkning till Kunden eller förstöra sådana personuppgifter, såvida inte unionslagstiftning eller lagstiftning i den medlemsstat som personuppgifter behandlas kräver att uppgifterna behålls.

8 Underrättelse

8.1 När ena parten är skyldig att tillhandahålla den andra parten ett skriftligt meddelande under Avtalet, kan sådan skyldighet uppfyllas bland annat genom att sända sådant meddelande via e-post till den andra partens senast angivna e-postadress. Leverantören kan också tillhandahålla ett skriftligt meddelande till Kunden genom att skicka meddelandet direkt via det system, till vilket Kunden har fått en användarlicens enligt Avtalet om Swelön.

9 Företräde

9.1 För det fall bestämmelserna i Avtalet står i konflikt med andra skriftliga eller muntliga avtal som slutits mellan Parterna, ska bestämmelserna som följer av Avtalet äga företräde.

BILAGA 1

Denna bilaga utgör Kundens instruktion till Leverantören avseende den behandling av personuppgifter som Leverantören genomför för Kundens räkning, och utgör en integrerad del av Avtalet.

Instruktion och beskrivning av behandling av personuppgifter i Swelön
Behandlingens syfte och art

Syftet med att anförtro behandlingsaktiviteterna till Leverantören är att Kunden ska kunna använda sig av Swelön, ett IT-system som Kunden har tillgång till online och som Leverantören hyser och driver. Swelön förenklar hanteringen av Kundens löneutbetalningar och skatterelaterade ärenden rörande Kundens anställda, administration av semester för Kundens anställda, utbetalning av löner, samt övrig lönerelaterad administration. Detta medför även överföring av personuppgifter till Skatteverket för Kundens räkning.

Kategorier av registrerade

I. Kundens potentiella anställda i det fall Kunden för in uppgifter om sådana personer i Swelön.
II. Kundens nuvarande anställda i det fall Kunden för in uppgifter som sådana personer i Swelön.
III. Kundens tidigare anställda i det fall Kunden för in detaljer om sådana personer i Swelön.

Kategorier av personuppgifter som behandlas

För ovannämnda kategorier av registrerade, behandlas följande uppgifter: namn, adress, personnummer och datum för anställning. Vidare behandlas information om den registrerades löneutbetalningar såsom lön, skatter, semester, utlägg etc., inklusive sådana personuppgifter som Kunder för in i register hos Swelön om de registrerade. För optimal användning av Swelön, behandlas de registrerades mailadresser, mobiltelefonnummer och bankkontouppgifter.

För registrerade i kategori II behandlas även datum för anställnings upphörande.

Platser för behandling av personuppgifter

Gydevang 46
DK 3450 Allerød
Danmark

Skomagervej 10
DK 7100 Vejle
Danmark

Överföring av data

Leverantören får överföra personuppgifter för Kundens räkning som en del av de tjänster som tillhandahålls Kunden av Leverantören, exempelvis till Skatteverket.

Bilaga 2 – Specifikation av nuvarande underleverantörer

Leverantören använder sig inte av underleverantörer.