Wndy logo
Gratiskonto

Personuppgiftsbiträdesavtal

Detta personuppgiftsbiträdesavtal (”Avtalet”) har träffats mellan: 1) Dig som Kund, (”Kunden”); och 2) Wndy AB, org.nr 559299–2258, (”Personuppgiftsbiträdet”). Parterna ovan benämns härefter gemensamt som ”Parterna” och var för sig som ”Part”.

Innehållsförteckning

Bakgrund

Parterna har ingått ett avtal som omfattar den eller de tjänster som anges i huvudavtalet (”Villkoren”) köpta av Kunden (”Tjänsterna”). Enligt Villkoren och i enlighet med detta personuppgiftsbiträdesavtal (“Avtalet”), kommer Leverantören att som personuppgiftsbiträde behandla personuppgifter för Kundens räkning (”Personuppgifter”).

 

Syftet med detta Avtal är att reglera Leverantörens behandling av Personuppgifter i sammanhanget med Tjänsterna med beaktande av kraven i EU:s dataskyddsförordning EU 2016/679 (“Dataskyddsförordningen”). Detta Avtal är en integrerad del av Villkoren. Om villkoren gällande behandling av Personuppgifter i detta Avtal och Villkoren är motstridiga ska villkoren i detta Avtal ha företräde.

 

Avtalet gäller för samtliga mellan Parterna tecknade avtal där Wndy AB är personuppgiftsbiträde till Kunden och Avtalet gäller så länge Personuppgiftsbiträdet behandlar personuppgifter för Kundens räkning.

Definitioner

Om inte omständigheterna tydligt utvisar annat ska definition eller begrepp som används i detta Avtal, och som inte har angivits på annat sätt i Avtalet, ha motsvarande definition som följer av artikel 4 i Dataskyddsförordningen. Begrepp som inte används med stor bokstav, t.ex. ”behandling”, ”registrerad”, ”personuppgiftsincident” m.fl. ska ha samma betydelse som i Dataskyddsförordningen. Begrepp som anges i singular ska ha motsvarande betydelse när det används i plural eller böjs på ett annat sätt.

Behandlingen av personuppgifter och personuppgiftsbiträdets åtaganden

  1. Kunden är personuppgiftsansvarig för de personuppgifter som behandlas inom ramen för Villkoren. Wndy AB är att betrakta som personuppgiftsbiträde åt Kunden.
  2. Parterna är överens om att personuppgiftsbiträdet:
    • endast får behandla personuppgifter på dokumenterade instruktioner från Kunden, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av, och i så fall ska personuppgiftsbiträdet informera Kunden om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt;
    • inte får överföra personuppgifter till ett tredje land eller internationell organisation såvida inte Kunden godkänt det
    • vid ändrade eller uppdaterade instruktioner från Kunden måste Kunden informera Personuppgiftsbiträdet skriftligen inom 1 månad.
    • ska säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt. Åtagandet gäller även efter att avtalet har upphört, dock längst till och med sådan tidpunkt som gäller enligt särskilt tillämpliga rättsliga krav
    • ska säkerställa att samtliga fysiska personer som arbetar under dess ledning följer detta avtal inklusive bilagor samt instruktioner samt att de fysiska personerna följer relevant lagstiftning.
    • ska med tanke på behandlingens art, ska hjälpa Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Kunden kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med Dataskyddsförordningen.
    • ska på Kundens förfrågan bistå denne att fullgöra sina skyldigheter enligt tillämplig dataskyddslagstiftning, såsom utförandet av konsekvensbedömningar avseende dataskydd, vidtagandet av lämpliga tekniska och organisatoriska åtgärder för att säkerställa lämplig skyddsnivå för personuppgifterna, förhandssamråd med behörig tillsynsmyndighet samt medverka till utredning av inträffade personuppgiftsincidenter. Såvida Parterna inte kommit överens om annat ska sådant bistånd som avses i detta stycke inte ge Personuppgiftsbiträdet rätt till särskild ersättning.
    • ska ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som fastställs i artikel 28 i GDPR har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en annan revisor som bemyndigats av Kunden.
    • ska omedelbart informera Kunden om denne anser att en instruktion strider mot GDPR eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser. Under tiden som nya instruktioner inväntas så har Personuppgiftsbiträdet rätt att sluta hantera personuppgifterna vilket inte medför något ansvar eller ersättning.
    • åtar sig att endast behandla de personuppgifter som är nödvändiga för att uppnå ändamålet med respektive behandling. Detta åtagande rör till exempel mängden personuppgifter, omfattningen av behandlingen, hur länge personuppgifterna behandlas och dess tillgänglighet.
  3. Parterna är överens om att Kunden:
    • ansvarar för att det finns laglig grund för Behandlingen av personuppgifter och för att utforma korrekta Instruktioner så att Personuppgiftsbiträdet och Underbiträdet kan fullgöra sitt eller sina uppdrag enligt detta avtal och Villkoren.
    • ansvarar för att informera Registrerade om Behandlingen och för att tillvarata Registrerades rättigheter enligt Dataskyddslagstiftningen samt vidta varje annan åtgärd som åligger Kunden, det vill säga, den personuppgiftsansvarige, enligt Dataskyddslagstiftningen.

Personuppgiftsincident

  1. För det fall det uppstår en situation som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till personuppgifterna (”Personuppgiftsincident”) ska Personuppgiftsbiträdet utan onödigt dröjsmål och senast inom 72 timmar från att Personuppgiftsincidenten upptäcktes skriftligen informera Kunden på de kontaktuppgifter som framgår av bilaga 3.
  2. Informationen ska, i den mån den är tillgänglig för Personuppgiftsbiträdet, åtminstone innehålla följande:
  • En beskrivning av omständigheterna kring Personuppgiftsincidenten
  • En beskrivning av Personuppgiftsincidentens art, och, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgifter som berörs
  • En beskrivning av de sannolika konsekvenserna av Personuppgiftsincidenten
  • En beskrivning av de åtgärder som har vidtagits eller föreslagits för att åtgärda Personuppgiftsincidenten, samt, när så är lämpligt, åtgärder för att minska dess potentiella negativa effekter
  • Kontaktuppgifter till dataskyddsombud eller annan kontaktperson som kan tillhandahålla mer information till Kunden
  • Om det inte är möjligt för Personuppgiftsbiträdet att tillhandahålla informationen vid ett tillfälle, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

Överföring av personuppgifter utanför EU/EES

Vi strävar efter att behandla dina personuppgifter inom EU. Om vi ​​använder tjänsteleverantörer som överför dina personuppgifter till länder utanför EU och EES kommer vi att vidta åtgärder för att skydda dina uppgifter i enlighet med tillämpliga lagkrav, till exempel genom att kräva att leverantören skyddar uppgifterna enligt gällande dataskyddsregler.

Revision och granskning

Personuppgiftsbiträdet ska på begäran av Kunden ge denne tillgång till all information som krävs för att visa att Personuppgiftsbiträdets skyldigheter enligt art 28 GDPR samt Avtalet har fullgjorts. Om informationen enligt tidigare punkt inte rimligtvis kan anses som tillräcklig för att visa att de skyldigheter som fastställs enligt art 28 GDPR är uppfyllda, har Kunden rätt att utföra fysiska granskningar.

 

Personuppgiftsbiträdet ska möjliggöra och bidra till granskningar och inspektioner som genomförs av Kunden eller av Kunden utsedd opartisk tredje part. Kunden ska skriftligen notifiera Personuppgiftsbiträdet om den planerade granskningen minst tio (10) arbetsdagar i förväg. Granskningen får endast utföras:

  • under normal kontorstid
  • efter att Kunden har säkerställt att den som utför granskningen lyder under en sekretessförbindelse som är lämplig i förhållande till de personuppgifter och den information som ska granskas, och
  • i enlighet med Personuppgiftsbiträdets interna policys och säkerhetsrutiner.

 

Kunden får utföra genomföra granskningar/inspektioner på ett sätt som inte utgör hinder för Personuppgiftsbiträdet skyldigheter gentemot dess kunder, underleverantörer eller tredje parter. Kunden och andra som ska delta i att granska/inspektera Personuppgiftsbiträdet, ska först underteckna sedvanliga sekretessförbindelser med Personuppgiftsbiträdet.

 

Varje part står för sina egna kostnader som uppkommer i samband med granskning. Tillkommer ytterligare granskning inom ett (1) år från utförd granskning ska Kunden stå för samtliga kostnader.

Underbiträden

  1. Personuppgiftsbiträder får genom detta Avtal tillstånd att anlita angivna underleverantörer för att behandla personuppgifter (se Bilaga 2)
  2. I de fall Personuppgiftsbiträdet planerar att anlita ett underbiträde eller byta ut ett befintligt underbiträde ska Personuppgiftsbiträdet informera Kunden senast fem 30 arbetsdagar innan för att Kunden ska ha möjlighet att motsäga sig ändringen.

Om det finns rimliga skäl för Kunden att motsäga sig ett underbiträde ska parterna i första hand samarbeta för att hitta ett lämpligt alternativ, och Personuppgiftsbiträdet ska ha möjlighet att hitta ett annat underbiträde innan uppsägning blir aktuellt. I andra hand har Kunden rätt att säga upp detta Avtal och de tillämpliga Villkoren. Avtalstid enligt Villkoren kommer då gälla.

Vid anlitande av ett underbiträde ska Personuppgiftsbiträdet genom avtal (”Underbiträdesavtal”) säkerställa att underbiträdet har samma skyldigheter som Personuppgiftsbiträdet har enligt Avtalet. Detta gäller i synnerhet avseende tillräckliga garantier om att genomföra de lämpliga tekniska och organisatoriska åtgärder som krävs för att uppfylla Gällande rätt.

  1. Kunden har alltid rätt att ta del av Personuppgiftsbiträdets underbiträdesavtal (strikt kommersiell information får redigeras).
  2. Personuppgiftsbiträdet ska hålla en uppdaterad förteckning över sina underbiträden. Förteckningen ska göras tillgänglig för Kunden på begäran.
  3. Om underbiträdet inte fullgör sina skyldigheter enligt underbiträdesavtalet ska Personuppgiftsbiträdet vara fullt ansvarig gentemot Kunden för underbiträdets åtgärder eller underlåtenhet att vidta åtgärder.
  1. Personuppgiftsbiträdet har inte rätt att utan Kundens tillstånd överlåta personuppgifterna till ett Underbiträde
  2. Vid anlitande av ett nytt underbiträde sker ingen ändring mellan parterna avseende ansvarsfördelningen

Register och dataskyddsombud

Personuppgiftsbiträdet åtar sig att föra ett skriftligt register över behandlingen av personuppgifter med det innehåll som anges i artikel 30.2 i Dataskyddsförordningen. Registret ska vara tillgängligt för Kunden på begäran.

Kontakt med tillsynsmyndighet och den registrerade

Personuppgiftsbiträdet ska utan dröjsmål informera Kunden om all kontakt med den Registrerade, tillsynsmyndighet eller annan tredje part som rör Personuppgiftsbiträdets behandling av personuppgifterna.

För det fall där den Registrerade framställer begäran till Personuppgiftsbiträdet om sina rättigheter kopplat till behandlingen ska Personuppgiftsbiträdet hänvisa den Registrerade till Kunden.

Personuppgiftsbiträdet ska tillåta de inspektioner som tillsynsmyndighet kan kräva enligt Gällande rätt.

Personuppgiftsbiträdet har inte rätt att företräda Kunden eller på annat sätt agera för Kundens räkning gentemot den Registrerade, tillsynsmyndighet eller annan tredje part.

Ansvar och ersättningsskyldighet

  1. Part är fri från ansvar för åtaganden enligt Avtalet i de fall fullgörande hindras av omständighet av extraordinär natur utanför Parts kontroll vilken Part inte skäligen kunde förväntas ha räknat med och vars följder Part inte heller skäligen kunde ha undvikit eller övervunnit.
  2. bestämmelserna som står i de allmänna villkoren gällande ansvar och ersättningsskyldighet gäller även för detta Avtal.
  3. Personuppgiftsbiträdet ansvarar inte för Kundens kostnader för ombud.
  4. Personuppgiftsbiträdets ansvar ska inte omfatta indirekta skador eller följdskador såsom förlorade intäkter eller vinster, kontrakt, kunder eller affärsmöjligheter, goodwillförlust, eller förväntade besparingar.

Konfidentiell information

Personuppgiftsbiträdet får inte använda information eller annat material som denne ges tillgång till inom ramen för Avtalet eller Villkoren för något annat syfte än för att fullgöra förpliktelserna enligt detta Avtal eller Villkoren.

 

Personuppgiftsbiträdet får inte till tredje man eller till annan obehörig, lämna ut eller röja information om behandling av personuppgifter eller innehållet i personuppgifter, som omfattas av detta Avtal eller annan information som Personuppgiftsbiträdet getts tillgång till som följd av detta Avtal. Detta gäller inte information som Personuppgiftsbiträdet är skyldig att lämna ut enligt lag. Sekretessförpliktelsen är giltig från och med den dag båda Parterna undertecknat Avtalet och obegränsat i tiden därefter. Personuppgiftsbiträdet ska säkerställa att sekretessåtagandet gäller för alla anställda och andra personer som arbetar hos eller på uppdrag av Personuppgiftsbiträdet och som har behörighet att behandla personuppgifter.

Giltighetstid och upphörande

Avtalet är giltigt under den tid som anges under Allmänna Villkor, Avtalstid. Under denna tid behandlar Personuppgiftsbiträdet personuppgifter för Kundens räkning.

Radering av konto och personuppgifter

Vid Avtalets upphörande ska Personuppgiftsbiträdet och eventuella underbiträden antingen radera eller återlämna de personuppgifter som omfattas av Avtalet, såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt.

Efter att avtalet har upphört så ska Personuppgiftsbiträdet inom 3 månader antingen radera eller återlämna alla personuppgifter som omfattas av Avtalet.

Överlåtelse av Avtalet

Part har inte rätt att helt eller delvis överlåta sina rättigheter och/eller skyldigheter enligt Avtalet utan den andra Partens skriftliga i förväg lämnade godkännande.

Tillämplig lag och tvister

  1. Svensk lag ska tillämpas på Avtalet.
  2. Den tvistlösningsmekanism som framgår av Villkoren ska tillämpas även på detta Avtal.

 

 

 

Bilaga 1 – Behandling av personuppgifter

Kategorier av Personuppgifter

Följande kategorier av Personuppgifter Behandlas av Personuppgiftsbiträdet:

  • Anställningsavtal
  • Namn
  • Kontaktuppgifter som till exempel adress
  • Personnummer
  • Lön
  • Medlemskap i fackförening
  • Semesterdagar
  • Provanställning
  • Uppsägningstid
  • Anteckningar inom ramen av rådgivningen till kund
  • Övriga dokument som kund laddar upp för lagring av information

Kategorier av Behandlingar

Följande kategorier av Behandling sker:

  • Insamling
  • Registrering
  • Lagring
  • Bearbetning
  • Radering

Kategorier av registrerade

Kunden ger i uppdrag till Personuppgiftsbiträdet att behandla uppgifter som omfattar Kundens:

  • Anställda
  • Konsulter

Ändamålet med respektive Behandling

Personuppgiftsbiträdet kommer att behandla Personuppgifter för ändamålet att tillhandahålla tjänsten enligt Villkoren, samt endast enligt Kundens skriftliga instruktioner. Ändamålet med respektive Behandling av personuppgifter är att möjliggöra för Kunden att hantera personal och dokumentation rörande personalen genom vår digitala plattform.

Tekniska och organisatoriska säkerhetsåtgärder

Personuppgiftsbiträdet ska vidta lämpliga organisatoriska och tekniska säkerhetsåtgärder för att skydda personuppgifterna som omfattas av Avtalet mot obehörig eller olaglig åtkomst. Detta innefattar att säkerställa tillräcklig kapacitet, tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder.

De tekniska och organisatoriska säkerhetsåtgärdernas lämplighet ska bedömas med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt vilken risk behandlingen medför för de grundläggande fri- och rättigheterna.

Om Kunden bedömer behandlingens risknivå som hög, och därmed genomför en konsekvensbedömning, ska Kunden dela resultatet av konsekvensbedömningen med Personuppgiftsbiträdet så att detta kan tas i beaktande vid fastställande av vad som utgör lämpliga säkerhetsåtgärder.

Personuppgiftsbiträdet ska följa de eventuella beslut och samrådsyttranden som tillsynsmyndighet meddelar om åtgärder för att uppfylla säkerhetskraven i Gällande rätt och samtliga övriga krav som avser Personuppgiftsbiträdet enligt Gällande rätt.

Personuppgiftsbiträdet ska säkerställa att anställda (hos Personuppgiftsbiträdet eller dennes underleverantörer) endast får tillgång till personuppgifter i den utsträckning det är nödvändigt och att de som får tillgång till personuppgifterna har åtagit sig att iaktta sekretess för sådan information (t.ex. genom att underteckna ett individuellt sekretessavtal).

Endast personer anställda/anlitade som konsulter hos Personuppgiftsbiträdet och som bedöms ha nödvändig kunskapsnivå i förhållande till personuppgiftsbehandlingens art och omfattning får behandla personuppgifterna.

Datorutrustning, lagringsmedier och övrig utrustning som används vid behandling av personuppgifter som utförs av Personuppgiftsbiträdet ska förvaras så att obehöriga inte kan få tillgång till dem.

Säkerheten i Personuppgiftsbiträdets lokaler där personuppgifter behandlas ska vara lämplig och säker avseende låsutrustning, fungerande larmutrustning, skydd mot brand, vatten och inbrott, skydd mot strömavbrott och strömstörningar. Den utrustning som används för att behandla personuppgifter ska ha ett gott skydd mot stöld och händelser som kan förstöra utrustningen och/eller personuppgifterna.

 

 

Sammanfattning av tekniska och organisatoriska säkerhetsåtgärder som har vidtagits:

  • Restriktiv och rollbaserad systemaccess
  • Kryptering
  • Lösenordshanterare
  • SSL
  • Interna styrdokument (policys/instruktioner)
  • Säker inlogg- och lösenordshantering
  • Fysisk säkerhet som brandskydd, stöldskydd i lokaler mm.

Kontroll över personuppgifter

Personuppgiftsbiträdet ska säkerställa att Personuppgifterna inte oavsiktligt eller olagligt förstörs, ändras eller förvanskas. Uppgifterna ska skyddas mot obehörig åtkomst vid lagring, överföring och annan behandling. Personuppgifterna får endast lämnas till Kunden efter säkerställd identifiering av mottagaren.

Kontaktuppgifter

Wndy AB

kontakt@wndy.se

 

 

 

Bilaga 2 – Befintliga och godkända underbiträden

 

  1. Google Cloud Platform (GCP), Google Workspace, Firebase and AnalyticsTyp av tjänst: Datalagring för att fullgöra rådgivning, information och digitala tjänster till kunden.Uppgifter som behandlas: Samtliga kategorier av personuppgifter som används i tjänsten av kunden och som är inkluderade i Bilaga 1.

    Säkerhet: Google använder sig av godkända standardavtalsklausuler utfärdade av EU och deras avtalsenliga åtaganden för överföring av personuppgifter till tredje land uppfyller GDPRs krav. Läs mer i länkarna nedan.

    Länkar: Google privacy, Google Cloud, Google Cloud & GDPR, Firebase & GDPR

 

  1. UpsalesTyp av tjänst: Datalagring för att föra ett register över Wndys kunder i syfte att tillhandahålla information och service till kund samt att fakturera kund.Uppgifter som behandlas: Namn, företagsnamn, organisationsnummer, kontakt- och faktureringsuppgifter som anges i tjänsten eller webbformulär. Kortfattad information om kund för att kunna erbjuda bra service.

    Säkerhet: Upsales behandlar huvudsakligen personuppgifter inom EU/EES. I vissa fall överförs personuppgifter utanför EU/EES men då alltid enligt standardavtalsklausuler utfärdade av EU samt ytterligare skyddsåtgärder. Läs mer i länken nedan.

    Länkar: Upsales

 

  1. Jitsi as a ServiceTyp av tjänst: Videomöten mellan kunden och HR-experter (konsulter och anställda hos Wndy AB) i syfte att ge rådgivning till kunden.Behandling av uppgifter: Tillfällig lagring av namn och chatmeddelanden.

    Säkerhet: Begränsade personuppgifter sparas endast temporärt.

    Länkar:  8×8 Jitsi as a Service, meet.jit.si Privacy Supplement

 

  1. ScriveTyp av tjänst: DokumentsigneringUppgifter som behandlas: Namn, företagsnamn och e-post samt personuppgifter inom ramen av det avtal som signeras.

    Säkerhet: Scrive överför inte personuppgifter utanför EU/EES inom ramen för tillhandahållandet av sin tjänst. Läs mer i länken nedan.

    Länkar: Scrive

 

  1. FortnoxTyp av tjänst: FaktureringUppgifter som behandlas: Namn, företagsnamn, organisationsnummer, postadress, e-post

    Säkerhet: Fortnox behandlar huvudsakligen personuppgifter inom EU/EES. I vissa fall överförs personuppgifter utanför EU/EES men då alltid enligt standardavtalsklausuler utfärdade av EU. Läs mer i länken nedan.

    Länkar: Fortnox

 

  1. YouniumTyp av tjänst: FaktureringUppgifter som behandlas: Namn, företagsnamn, organisationsnummer, postadress, e-post

    Säkerhet: Younium har DPAs med alla sina leverantörer. I de fall de delar personuppgifter utanför EU/EES är det för att de har samarbete med dessa leverantörer och de följer alla de ramverk som godkänts av EU.

    Länkar: Younium

Sök här för att hitta det du letar efter!