Personuppgiftbiträdesavtal – TimeWave

Vi arbetar med att digitalisera våra kundavtal och de kommer alla att uppdateras och finnas tillgängliga i er TimeWave-domän där ni tilldelar åtkomst via behörighet.

Tillsvidare ligger vårt Personuppgiftsbiträdesavtal här och ni som TimeWave kund benämns ”Företaget”. Vid frågor kontakta kundtjänst på 08-650 27 00 eller info@timewave.se

—————–

Denna bilaga reglerar det som gäller för AboutTime som Personuppgiftsbiträde och Företaget som Personuppgiftsansvarig. Detta sker i enlighet med tillämplig dataskyddslag.

Ändamål och Åtaganden

AboutTime behandlar endast personuppgifter enligt syftet som följer av TW-avtalet, såvida inte annat följer av tillämplig dataskydddslagstiftning. Ytterligare instruktioner från Företaget ska ske skriftligen av den som är utpekad som Systemadministratör.

Företaget ansvarar för personuppgifter i TimeWave enligt tillämplig dataskyddslagstiftning och AboutTime ska bistå Företaget vid fullgörandet av dennes skyldigheter. Med hjälp av tekniska och organisatoriska åtgärder assisteras Företaget, i möjligaste mån, i att fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen. För mer information om hur detta kan göras genom TimeWave, se: http://help.timewave.se/kategori/gdpr-dataskydd/. Om en registrerad person vänder sig till AboutTime för att begära ut information, hänvisas personen till Företaget.

AboutTime lämnar inte ut personuppgifter till tredje part om sådant utlämnande inte är tvingande under tillämplig dataskyddslag eller följer av svensk eller europeisk tillämplig lag, domstols- eller myndighetsbeslut. Om så skulle ske informerar vi er omgående, om inget annat följer av tillämpliga lagar eller myndighetsbeslut.

Systemadministratören på Företaget kan ändra eller utfärda ytterligare skriftliga instruktioner som det åligger AboutTime att följa. Om AboutTime anser att en instruktion, angående behandling av personuppgifter, från er strider mot tillämplig dataskyddslag ska detta så snabbt som möjligt informeras om. Då inväntar AboutTime ytterligare instruktioner från utsedd Systemadministratör

Känsliga uppgifter

Om Företaget kommer att behandla känsliga personuppgifter i sin verksamhet, är det ett krav att innan en sådan behandling påbörjas ta del av de säkerhetsåtgärder som kan komma att krävas vid sådan behandling av personuppgifter. Dessa säkerhetsåtgärder ska ha vidtagits innan Företaget låter AboutTime behandla de känsliga personuppgifterna. Vi har samlat information kring vilka uppgifter som kan anses känsliga på: http://help.timewave.se/kategori/gdpr-dataskydd/

Säkerhet och Sekretess

AboutTime och Företaget har båda ett ansvar att säkerställa säkerhet och sekretess. Båda parter ska vidta alla lämpliga tekniska och organisatoriska åtgärder för att säkerställa sekretess och en säkerhetsnivå som är lämplig i förhållande till risken och kostnadendetta för att skydda de personuppgifter som behandlas enligt TW-Avtalet. Det kan enligt dataskyddslagen innefatta, när det är lämpligt, att i de system som används och tjänster som erbjuds säkerställa;

  1. a) pseudonymisering och kryptering av personuppgifter,
  2. b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft.
  3. c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
  4. d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

Dessutom ska AboutTime se till att endast de personer som behöver åtkomst till personuppgifterna för att utföra sitt arbete har det. Samt att dessa behöriga personer ska även ha åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

Det kan, i förekommande fall, vara aktuellt för AboutTime att göra en kopia av Företagets databas för att utföra tester i sådan kopia istället för direkt i Företagets databas. Denna kopia av Företagets databas kommer att sparas av AboutTime i max trettio (30) dagar efter slutförandet av sådana tester och kommer sedan att raderas av AboutTime.

Läs mer om AboutTime’s rutiner och åtgärder för säkerheten på: http://abouttime.se/gdpr/time-stodjer-gdpr/.

Personuppgiftsincident

Företaget är ansvarigt för att anmäla en personuppgiftsincident till ansvarig myndighet så snart som möjligt. Vid en misstanke om eller konstaterad personuppgiftsincident, i relation till personuppgifterna som behandlas på uppdrag av Företaget, ska AboutTime omedelbart informera Företaget. Dessutom ska AboutTime assistera i framtagandet av information och rapporter till registrerade personer och myndigheter, i den mån och utsträckning detta krävs under tillämplig dataskyddslag.

 

AboutTime har rätt att debitera Företaget för kostnader som uppstår med anledning av säkerhetsåtgärder och kostnader i samband med personuppgiftsincidenter utöver den ersättning som följer av TW-Avtalet och endast i den mån Företaget genom oaktsamhet orsakat kostnaderna.

Underbiträden och överföring till tredje land

AboutTime har rätt att anlita ett annat personuppgiftsbiträde (”Underbiträde”) för fullgörandet av AboutTime’s åtaganden, förutsatt att (i) AboutTime informerar Företaget om sina avsikter att använda eller byta ut ett Underbiträde varpå Företaget har rätt att göra invändningar mot en sådan förändring, (ii) Underbiträdet ingår ett skriftligt underbiträdesavtal med AboutTime med villkor som motsvarar villkoren i detta avtal.

Har Underbiträdet sin hemvist i ett land utanför EU eller EES ska AboutTime säkerställa att Underbiträdet kan tillgodose en lämplig skyddsnivå för personuppgiftsbehandlingen och sker i enlighet med tillämplig dataskyddslag.

AboutTime ska säkerställa att Företaget har kännedom om vilka Underbiträden som behandlar personuppgifter. Och om Företaget begär det kunna ge Företaget korrekt och uppdaterad information om samtliga Underbiträden. Då specificeras för varje enskilt Underbiträde: (a) Fullständig kontaktinformation inklusive bolagsform, (b) Vilken tjänst Underbiträdet utför åt AboutTime, (c) På vilken geografisk plats Underbiträdet behandlar personuppgifter som omfattas av detta avtal. Detta för att Företaget ska kunna bedöma om underbiträdet kommer att säkerställa efterlevnaden av Företagets skyldigheter enligt detta avtal och tillämplig dataskyddslagstiftning

Om Underbiträdet inte uppfyller sina skyldigheter enligt underbiträdesavtal ska AboutTime förbli ansvarig gentemot Företaget för Underbiträdets uppfyllande av sina skyldigheter enligt detta avtal.

Avtalstid

Bestämmelserna i denna bilaga ska gälla så länge som AboutTime behandlar personuppgifter för vilka Företaget är personuppgiftsansvarig.

Om TW-Avtalet upphör, ska samtliga personuppgifter som behandlats för Företaget raderas.

Om AboutTime inte kan fullfölja sina åtaganden i detta avtal ska AboutTime omedelbart lämna meddelande till Företaget om det, varpå AboutTime om Företaget så begär omedelbart ska upphöra med behandlingen av personuppgifterna.

Överlåtelse av villkor

Förutom rätten att anlita underbiträden, enligt beskrivet tillvägagångssätt, äger AboutTime inte rätt att helt eller delvis överlåta sina åtaganden i detta avtal till tredje part utan skriftligt medgivande från Företaget.

Ansvarsbegränsning

AboutTime ska hålla Företaget skadelös för anspråk på ersättning från registrerad person eller administrativa sanktionsavgifter utfärdad av en behörig myndighet som denne drabbas av om AboutTime, eller av denne anlitat Underbiträde, vidtagit otillåten eller försumlig behandling av personuppgifter i strid med detta avtal eller tillämplig dataskyddslag.

Företaget ska ersätta AboutTime för sådana anspråk på ersättning från registrerad person eller administrativa avgifter utfärdad av en behörig myndighet till följd av Företagets underlåtenhet att tillförsäkra en laglig behandling, Företagets bristfälliga instruktioner, eller andra uttryckliga skyldigheter enligt dessa åtaganden.

Part som får anspråk på ersättning eller administrativa avgifter riktat mot sig, enligt beskrivningen ovan, ska utan oskäligt dröjsmål informera den andra parten. Båda parter är skyldiga att vidta skäliga åtgärder för att begränsa skadeverkningarna av det inträffade.

Lag, tvist

Tvist angående tolkning eller tillämpning av detta avtal avseende hantering av personuppgifter skall avgöras enligt TW-Avtalets bestämmelser om tvist.