(2024:1)
1. ALLMÄNT
1.1 Kunden är personuppgiftsansvarig för all personuppgiftsbehandling som sker med hjälp av Mjukvaran, om inte annat anges i detta Avtal. Leverantören kommer inom ramen för Tjänsterna behandla personuppgifter på uppdrag av Kunden i egenskap av personuppgiftsbiträde. Föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade som berörs av behand-lingen beskrivs närmare i Bilaga - Beskrivning av behandlingen av personuppgifter i Tjänsterna. Kunden ansvarar för att all sådan person-uppgiftsbehandling äger rum i enlighet med från tid till annan tillämplig personuppgiftslagstiftning, inbegripet dataskyddsförordningen (EU 2016/679) ("Tillämplig Lagstiftning").
1.2 Punkten 1.2 gäller enbart när Kundens verksamhet som gett upphov till personuppgiftsbehandlingen bedrivs i Sverige och är tillämplig vid användning av tjänsten Ease Construction. När Kunden, genom att tillhanda-hålla Leverantörens utrustning på en arbetsplats, uppmanar underentreprenörer att använda Leverantörens utrustning för att fullgöra sin skyldighet att registrera sig i personalliggare är underentreprenören personuppgiftsansvarig för sin Personals uppgifter i Tjänsterna. Kunden är personuppgiftsbiträde för underentreprenörens personuppgiftsbehandling och ett personuppgiftsbiträdesavtal ska därför ingås mellan underentreprenören och Kunden med innehåll som motsvarar detta personuppgifts-biträdesavtal. På motsvarande sätt är Kunden, för det fall att Kunden tillhandahåller utrustning på uppdrag av en byggherre, personuppgiftsbiträde för byggherrens personuppgiftsbehandling och har att ingå ett personuppgiftsbiträdesavtal med byggherren. Leverantören har i förhållande till underentreprenören och byggherren rollen som underbiträde till Kunden. Kunden ansvarar för att från underentreprenör och byggherre inhämta instruktion för Leverantörens behandling av personuppgifter såsom underbiträde och Kunden ska i övrigt fungera som kontaktpunkt vid fullgörande av Leverantörens skyldigheter enligt Tillämplig Lagstiftning gentemot underentreprenör och byggherre. Vad som följer av Avtalet gällande Leverantörens roll som personuppgiftsbiträde ska också gälla rollen som personuppgiftsunderbiträde.
2. LEVERANTÖRENS ALLMÄNNA SKYLDIGHETER
2.1 Leverantören ska i egenskap av personuppgifts-biträde bara behandla personuppgifter i enlighet med Kundens skriftliga instruktioner enligt detta Avtal, samt de ytterligare dokumenterade instruktioner som Kunden från tid till annan ger. Ytterligare instruktioner kan lämnas till Leverantören via e-post eller på särskild blankett. Instruktionen bör innehålla motsvarande information som framgår av bilagan till detta personuppgiftsbiträdesavtal.
2.2 Om Leverantören saknar instruktioner som Leverantören bedömer vara nödvändiga för att genomföra sitt uppdrag ska Leverantören utan dröjsmål informera Kunden och invänta yt-terligare instruktioner. För det fall Leverantören finner att en instruktion strider mot Tillämplig Lagstiftning ska Leverantören informera Kunden om detta utan oskäligt dröjsmål. Om Kunden i sådant fall underlåter att lämna ytterligare instruktioner till Leverantören ska Leverantören bortse från instruktionen och meddela detta till Kunden. För det fall Kunden vidhåller den lagstridiga instruktionen har Leverantören rätt att säga upp Avtalet i förtid enligt vad som framgår av de Allmänna Villkoren.
2.3 Oaktat vad som anges i punkt 2.1 ovan har Leverantören rätt att behandla personuppgifter i den utsträckning som det krävs för att Leverantören ska kunna uppfylla skyldigheter som åvilar Leverantören enligt från tid till annan Tillämplig lagstiftning, såsom exempelvis att efterkomma förelägganden från myndigheter. Det ankommer dock på Leverantören att innan sådan behandling genomförs informera Kunden om den rättsliga skyldigheten, såvida inte tvingande lagstiftning förhindrar Leverantören från att lämna sådan information.
2.4 Om någon begär information från Leverantören som rör Kundens behandling av personuppgifter ska Leverantören hänvisa till Kunden genom att underrätta Kundens Systemförvaltare via e-post. Leverantören får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan skriftlig instruktion från Kunden. Leverantören har inte rätt att företräda Kunden eller agera för Kundens räkning gentemot någon tredje part, inklusive till-synsmyndigheten.
3. TEKNISKA OCH ORGANISATORISKA ÅT-GÄRDER
3.1 Leverantören ska vidta de tekniska och organisatoriska åtgärder som krävs enligt Tillämplig Lagstiftning för att skydda de personuppgifter som behandlas i Tjänsterna och åtminstone de tekniska och organisatoriska åtgärder som framgår av säkerhetsbilagan till detta Avtal. Kundens på förhand lämnande godkännande krävs för det fall Leverantören vill genomföra förändringar såvitt avser de tekniska och organisatoriska åtgärder som vidtas som skulle innebära att säkerhetsnivån försämras. Parterna är överens att de tekniska och organisa-toriska åtgärder som vidtas ska vara föremål för regelbunden uppföljning för att säkerställa att åtgärderna är lämpliga med hänsyn till riskerna med behandlingen av personuppgifter.
3.2 Leverantören ska på Kundens begäran bistå Kunden med nödvändig information som Leverantören har att tillgå för att Kunden, i förekommande fall, ska kunna uppfylla sina skyl-digheter att genomföra konsekvensbedömning och förhandssamråd med berörda tillsynsmyndigheter avseende den behandling som Leverantören utför för Kundens räkning inom ramen för Tjänsterna. Leverantören har upprättat en konsekvensbedömning avseende behandlingen av personuppgifter som Leverantören utför på Kundens uppdrag som Kunden kan få del av på begäran.
3.3 Leverantören ska, i den mån det är möjligt, bistå Kunden genom att vidta lämpliga tekniska och organisatoriska åtgärder för att Kunden ska kunna fullgöra sin skyldighet att svara på en begäran om utövande av en registrerads rättighet som tillkommer den registrerade enligt Tillämplig Lagstiftning. Mjukvaran har utformats för att bistå Kunden i detta avseende och genom särskild funktionalitet kan Kunden själv hantera förfrågningar från registrerade om utövande av sina rättigheter enligt Tillämplig Lagstiftning.
3.4 Leverantören ska säkerställa att tillgången till personuppgifter är begränsad till endast personal hos Leverantören som behöver tillgång för att Leverantören ska kunna uppfylla sina åtaganden gentemot Kunden. Vidare ska Leverantören tillse att sådan behörig personal iakttar sekretess motsvarande den sekretess som följer av punkt 8 nedan genom enskilda sekretessavtal.
4. PERSONUPPGIFTSINCIDENTER
4.1 För det fall en personuppgiftsincident (såsom definierat i Tillämplig Lagstiftning) inträffar ska Leverantören skriftligen meddela Kunden genom Kundens Systemförvaltare utan oskäligt dröjsmål från att Leverantören fått kännedom om incidenten och senast inom tjugofyra (24) timmar i enlighet med Leverantörens från tid till annan gällande rutiner. Meddelandet ska innehålla information om incidentens art, kategorier av och antal registrerade och personuppgiftsposter som berörs, de sannolika konsekvenserna av incidenten, samt en beskrivning av vilka åtgärder Leverantören (i förekommande fall) vidtagit för att begränsa incidentens eventuella negativa effekter för att göra det möjligt för Kunden att uppfylla sin eventuella skyldighet att anmäla personuppgiftsincidenten till berörd tillsynsmyndighet. Om det inte är möjligt behöver inte all information lämnas vid ett och samma tillfälle, utan Leverantören ska då lämna informat-ionen till Kunden så snart den blir tillgänglig för Leverantören.
4.2 Om det är sannolikt att en personuppgiftsincident medför risk för de registrerades personliga integritet ska Leverantören, i den mån det är möjligt, omedelbart efter att per-sonuppgiftsincidenten kommit till Leverantörens kännedom vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa personuppgiftsincidentens eventuella negativa effekter.
5. TILLGÅNG TILL INFORMATION M.M.
5.1 Leverantören dokumenterar löpande vilka åtgärder Leverantören vidtagit för att uppfylla sina skyldigheter enligt detta per-sonuppgiftsbiträdesavtal. Kunden har på begäran rätt att få del av den senaste versionen av sådan dokumentation. För information om behandlingen av personuppgifter som sker inom ramen för Tjänsterna, se bilagan till detta person-uppgiftsbiträdesavtal.
5.2 Vidare ska Leverantören möjliggöra och bidra till att Kunden, eller av Kunden utsedd tredje part, genomför en granskning, inbegripet inspektion, av de tekniska och organisatoriska åtgärder som Leverantören vidtar för att uppfylla sina skyldigheter enligt detta personuppgiftsbiträdesavtal. Leverantören ska skriftligen meddelas om en sådan granskning minst trettio (30) dagar i förväg. Samtliga kostnader för granskningen ska bäras av Kunden, inklusive Leverantörens eventuella kostnader för medverkan i granskningen. Kunden ska säkerställa att eventuell tredje part som genomför granskningen för Kundens räkning ska iaktta sek-retess som inte är mindre restriktiv än vad som följer av punkt 8 nedan. Motsvarande bestämmelser gäller vid Kunds begäran om granskning av ett Underbiträde som Leverantören anlitat i samband med Tjänsterna, se punkten 6 nedan.
6. ANLITANDE AV UNDERBITRÄDEN
6.1 Kunden godkänner härmed att de av Leverantören anlitade underleverantörerna som framgår på av Leverantören från tid till annan angiven webbsida får behandla personuppgifter för Kundens räkning i samband med Tjänsterna ("Underbiträden"). De underbiträden som Leverantören anlitar vid tidpunkten för detta Avtals ingående framgår även av bilagan till detta personuppgiftsbiträdesavtal. Kunden lämnar vidare ett allmänt förhandsgodkännande till Leverantören för anlitande av nya Underbiträden under förutsättning att Leverantören säkerställer att Underbiträdet lämnar tillräckliga garantier om att genomföra lämpliga tekniska och organisa-toriska åtgärder för att säkerställa att behandlingen uppfyller kraven i Tillämplig Lagstiftning.
6.2 Leverantören ska ingå ett personuppgiftsbiträ-desavtal med Underbiträdet. Ett sådant person-uppgiftsbiträdesavtal ska innehålla bestämmelser som motsvarar vad som följer av denna bilaga och Tillämplig Lagstiftning.
6.3 För det fall Leverantören avser att anlita ett nytt Underbiträde ska Leverantören informera Kunden om detta genom e-post till Kundens Avtalsansvarig. Leverantören ska därvid lämna information om Underbiträdets identitet (inbegripet fullständig firma, organisationsnummer och adress), på vilken plats (geografiskt) Underbiträdet kommer att behandla personuppgifter, vilken typ av tjänst som Under-biträdet utför, samt vilka skyddsåtgärder som kommer att vidtas av Underbiträdet för att skydda de personuppgifter som behandlas. Kunden har rätt att inom två (2) veckor räknat från meddelandet invända mot att Leverantören anlitar Underbiträdet för att behandla personuppgifter på uppdrag av Kunden, varvid Leverantören och Kunden gemensamt ska söka en samförståndslösning och i annat fall kan Avtalet sägas upp i förtid enligt vad som framgår av de Allmänna Villkoren.
7. ÖVERFÖRING TILL OCH BEHANDLING AV PERSONUPPGIFTER UTANFÖR EU/EES-OMRÅDET
7.1 Kunden lämnar härmed sitt godkännande till att Leverantören i förekommande fall för över Kundens personuppgifter utanför EU/EES-området. Sådan överföring får dock endast ske om (i) landet har adekvat skyddsnivå för person-uppgifter enligt beslut meddelat av EU-kommissionen som omfattar behandlingen av personuppgifter, (ii) om Leverantören säkerställer att det finns lämpliga skyddsåtgärder på plats, såsom standardiserade dataskyddsbestäm-melser, som antagits av EU-kommissionen, i ljuset av mottagarlandets lagstiftning eller (iii) om något annat undantag i Tillgänglig Lagstiftning möjliggör överföringen.
7.2 För det fall Leverantören överför personuppgifter utanför EU/EES med stöd av standardiserade dataskyddsbestämmelser ger Kunden härmed fullmakt till Leverantören att ingå sådana standardavtalsklausuler för den personupp-giftsansvariges räkning.
8. SEKRETESS
8.1 Utan att det påverkar sekretessåtagandet i punkten 17 i Avtalet ska även följande gälla.
8.2 Leverantören ska hålla personuppgifter som behandlas för Kundens räkning strikt konfidentiella. Leverantören ska således inte, direkt eller indirekt, utlämna några personupp-gifter till tredje part om inte Kunden skriftligen godkänt detta, såvida inte Leverantören är skyldigt enligt lag att lämna ut personuppgifter eller om det är nödvändigt för fullgörandet av Avtalet. Leverantören accepterar att detta sekre-tessåtagande ska fortsätta att gälla även efter att Avtalet har upphört.
8.3 Kunden förbinder sig att hålla all information som Kunden erhåller avseende Leverantörens säkerhetsåtgärder, rutiner, IT-system eller som annars är av konfidentiell karaktär, strikt konfidentiell och förbinder sig vidare att inte till någon utomstående röja konfidentiell information som härrör från Leverantören eller dess Under-biträden. Kunden har dock rätt att röja sådan information som Kunden är skyldig att röja enligt lag eller enligt Avtalet. Kunden accepterar att detta sekretessåtagande ska fortsätta att gälla även efter att Avtalet har upphört.
9. ANSVAR
9.1 Kunden ska i händelse av att Leverantören åsamkas skada eller erhåller krav som en följd av Leverantörens behandling av personuppgifter i enlighet med Kundens instruktioner eller som en följd av att Kunden brutit mot punkten 1.2, hålla Leverantören skadeslöst för den skada som uppkommer som en följd därav. Leverantören ansvarar dock för utförandet av Underbiträdens skyldigheter gentemot Kunden om Underbiträdet inte uppfyller sina skyldigheter. Någon ansvars-begränsning enligt detta Avtal ska inte tillämpas i förhållande till Kundens ansvar enligt denna bilaga.
9.2 Om Kundens ytterligare dokumenterade instruk-tioner avseende behandlingen av personuppgifter inte stöds av Tjänsterna eller följer av Leverantörens åtaganden enligt Avtalet i övrigt och som Leverantören inte skäligen har bort räkna med och dessa krav medför att Leverantören åsamkas extra kostnader, har Leverantören rätt att välja mellan att säga upp av-talet till omedelbart upphörande alternativt få ersättning från Kunden för dessa kostnader.
10. AVTALETS UPPHÖRANDE
10.1 Vid Avtalets upphörande ska Leverantören enligt Kundens val antingen återlämna eller radera samtliga personuppgifter som Leverantören har behandlat för Kundens räkning. Om Kunden inte inkommer med någon sådan begäran inom fjorton (14) dagar från att behand-lingen avslutats, ska Leverantören på ett säkert sätt radera personuppgifterna. Har Kunden be-gärt backup i enlighet med punkt 18.5 i de Allmänna Villkoren, ska Leverantören dock lagra backuper under den tid som anges däri, med iakttagande av bestämmelserna i detta Avtal. När den tidsfrist som anges i punkt 18.5 i de Allmänna Villkoren löpt ut ska Leverantören på ett säkert sätt radera backuperna, om inte annat överens-kommits med Kunden.