PERSONUPPGIFTSBITRÄDESAVTAL

Detta personuppgiftsbehandlingsavtal (”behandlingsavtalet”) reglerar den behandling av personuppgifter som sker på grund av att kunden använder Visselblåsarsystemetet enligt avtalet och är därför en viktig del av avtalet. De kunddata som kunden lägger in i Visselblåsarsystemetet krypteras, och vi har ingen tillgång till denna information utöver att vi lagrar den på våra servrar, och att vi i undantagsfall kan behöva hjälpa kunden i samband med supportärenden. Denna lagring innebär att vi enligt dataskyddsförordningen (2016/679) (”GDPR”) anses behandla personuppgifter för kundens räkning, och vi fungerar därmed som personuppgiftsbiträde i förhållande till kundens roll som personuppgiftsansvarig. Villkoren i detta behandlingsavtal ska tolkas i enlighet med GDPR samt eventuella lokala anpassningar och förordningar avseende dataskydd (tillsammans kallade ”dataskyddsregler”). Villkoren i behandlingsavtalet ska ha samma innebörd som framgår av framför allt dataskyddsreglerna och i övrigt av avtalet, försåvitt inte annat tydligt framgår av omständigheterna.

1. Ansvar och instruktion

Den typ av data och de datakategorier av registrerade som enligt detta behandlingsavtal behandlas av personuppgiftsbiträdet i samband med att personuppgiftsbiträdet tillhandahåller Visselblåsarsystemetet och behandlingens syfte, art, varaktighet och ändamål beskrivs i avsnitt 5. Kunden ska säkerställa att personuppgiftsbiträdet inte behandlar andra datakategorier än vad som anges i avsnitt 5.

Kunden är medveten om att Visselblåsarsystemetet är en plattform som distribueras till ett stort antal kunder och att vi därför inte nödvändigtvis har möjlighet att följa instruktioner som inte är en direkt konsekvens av kundens behov av att följa dataskyddsreglerna. Om kunden ger oss instruktioner som vi inte kan följa är det kundens plikt att sluta registrera och exportera all kunddata som berörs av aktuella instruktioner. Ovanstående ska inte betraktas som avtalsbrott och berör inte tillgängligheten för Visselblåsarsystemetet.

Kunden är personuppgiftsansvarig för alla personuppgifter som personuppgiftsbiträdet behandlar å kundens vägnar enligt behandlingsavtalet. Kunden ansvarar därför för att följa tillämpliga dataskyddsregler och åtar sig att följa gällande riktlinjer för användning av Visselblåsarsystemetet samt den lagstiftning som gäller hantering av visselblåsare.

Genom att ingå detta avtal vidgår kunden att de säkerhetsåtgärder som specificeras i Visselblåsarsystemets aktuella tekniska och organisatoriska åtgärder är tillräckliga för kundens avsedda användning av Visselblåsarsystemetet.

2.       Personuppgiftsbiträdets åtagande

Personuppgiftsbiträdet åtar sig att:

  1. vidta de tekniska och organisatoriska säkerhetsåtgärder som är nödvändiga samt i artikel 32 i GDPR för att skydda de data som behandlas enligt detta avtal, inklusive att ålägga de personer hos databehandlingsbiträdet som är behöriga att behandla dessa data lämplig tystnadsplikt;
  2. bistå kunden med att följa säkerhetskraven i artikel 32–36 i GDPR (till exempel tekniska och organisatoriska åtgärder, anmälan och information till kunden utan onödigt dröjsmål i händelse av en personuppgiftsincident, konsekvensbedömning samt förhandssamråd) och kundens förpliktelser avseende individens rättigheter i kapitel III i GDPR uppfylls (t.ex. rätt till information, åtkomst, rättelse, radering, behandlingsbegränsning, dataportabilitet, invändning mot automatiserat beslutsfattande);
  3. vilket ger kunden rätt att erhålla information från personuppgiftsbiträdet i syfte att kontrollera och verifiera åtgärder som vidtagits av personuppgiftsbiträdet enligt detta avtal. Personuppgiftsbiträdet ska bistå och bidra till undersökningar (inklusive inspektioner) som utförs av kunden eller en revisor som utför sådana undersökningar för kundens räkning. Personuppgiftsbiträdet ska hänvisa till kunden vars personuppgifter behandlas i de fall då en tillsynsmyndighet eller annan tredje part efterfrågar information från personuppgiftsbiträdet avseende behandlingen av personuppgifter. Personuppgiftsbiträdet ska utan dröjsmål informera kunden om eventuella kontakter med tillsynsmyndigheter som kan beröra eller vara av vikt för behandlingen av personuppgifter,
  4. beroende på vad kunden väljer; radera, anonymisera eller återlämna alla personuppgifter till kunden när avtalet upphör, oavsett skäl, inklusive att radera alla kopior som enligt dataskyddsförordningen inte får sparas,
  5. i övrigt ge kunden åtkomst till den information som kunden behöver för att kunna fullgöra sina förpliktelser som personuppgiftsansvarig gentemot tillsynsmyndigheten och/eller enskilda personer,
  6. inte överföra data till tredje land eller en internationell organisation försåvitt inte detta krävs enligt dataskyddsförordningen, och i detta fall ska dataskyddsbiträdet omgående informera kunden utom i de fall då sådan information är förbjuden.

Personuppgiftsbiträdet förbinder sig också att alltid behandla data i enlighet med dataskyddsreglerna. Detta inkluderar bland annat att föra ett register över alla kategorier av behandling som utförs, tillhandahålla ett registerutdrag över fullgjord behandling på kundens begäran och omedelbart informera kunden om personuppgiftsbiträdet misstänker att det finns risk för att den registrerades friheter och rättigheter kränks.

3. Underställda personuppgiftsbiträden och överföring till tredje land

Personuppgiftsbiträdet har rätt att anlita andra personuppgiftsbiträden för behandling av data å kundens räkning, personuppgiftsbiträdet bär fullt ansvar för detta gentemot kunden.

Förutsatt att personuppgiftsbiträdet vidtar lämpliga säkerhetsåtgärder som är godkända enligt dataskyddsreglerna har personuppgiftsbiträdet rätt att överföra data utanför EU/EES. Sådana överföringar ska först godkännas av kund.

Personuppgiftsbiträdet förbinder sig att informera kunden om eventuella planer på att anlita och/eller byta ett underordnat personuppgiftsbiträde samt inleda en överföring utanför EU/EES så att kunden har möjlighet att invända mot sådana förändringar.

Genom att ingå detta avtal godkänner kunden underordnade personuppgiftsbiträden som anges i avsnitt 5.    

4. Övrigt

Bestämmelserna i avtalet ska även gälla för detta behandlingsavtal. Vid en konflikt mellan avtalet och detta behandlingsavtal är det behandlingsavtalet som gäller.

5. Instruktioner

Detta avsnitt utgör kundens inledande instruktioner till personuppgiftsbiträdet och kan komma att kompletteras vid ett senare tillfälle.

Kategorier av registrerade. Alla som ges åtkomst till Visselblåsarsystemetet och de som omnämns i samband med ett visselblåsarärende på Visselblåsarsystemetet.

Syfte, art och ändamål med behandlingen och kategorier av personuppgifter. Eftersom personuppgiftsbiträdets huvudsakliga funktion och ändamål med att tillhandahålla Visselblåsarsystemetet och därmed agera som personuppgiftsbiträde är specifikt för lagring av kunddata som kan innehålla personuppgifter kan kategorier av personuppgifter omfatta alla datakategorier som kan förekomma i samband med visselblåsning, inklusive känsliga uppgifter och påstådda lagöverträdelser.

Lagring. Personuppgiftsbiträdet lagrar data vid en visselblåsning så länge som det krävs, men högst två år efter att ett visselblåsarärende har avslutats eller sådan längre period som vi anger i gällande policy för datalagring.

Underställda personuppgiftsbiträden och överföring till tredje land. Då detta avtal ingås har personuppgiftsbiträdet anlitat följande underställda personuppgiftsbiträden och utför följande överföringar utanför EU/EES, något som dock kan komma att förändras i enlighet med avsnitt 3:

  1. Underställda personuppgiftsbiträden: Whistleblowing Solutions AB (Sverige), Swerolab AB (Sweden), SMSAPI (Poland), Brevo (France), OPSWAT (Germany), Glesys (Sweden). T-Systems International (Germany).
  2. Överföringar utanför EU/EES: inga.

Interaktiv Säkerhet
Boka ett möte

KONTAKTA OSS !

Vårt team är redo att svara på dina frågor. Boka ett gratis möte eller demonstration av vårt system genom att fylla i formuläret nedan, så kontaktar vi dig så snart som möjligt!