Detta personuppgiftsbiträdesavtal (Avtal) utgör en del av avtalsvillkoren eller annan skriftlig överenskommelse mellan Kunden (”Personuppgiftsansvarig”) och SmartDok AB (”SmartDok” eller ”Personuppgiftsbiträde”) om köp och användning av produkter och tjänster från SmartDok för att uttrycka Parternas överenskommelse om behandling av personuppgifter. SmartDok och Kunden benämns gemensamt som Parterna.
1. Inledning
1.1 Båda Parterna bekräftar att de har fullmakt att ingå detta personuppgiftsbiträdesavtal (”Avtal”). Detta Avtal kommer att ingå i och reglera Behandlingen av Personuppgifter i följande tjänsteavtal (”Avtalsvillkor”) mellan Parterna.
1.2 Om Personuppgiftsansvarig byter kontaktperson ska SmartDok informeras om detta skriftligen.
2. Definitioner
2.1 Definitionen av Personuppgifter, Särskilda kategorier av Personuppgifter (Känsliga Personuppgifter), Behandling av Personuppgifter, Registrerad, Personuppgiftsansvarig och Personuppgiftsbiträde är densamma som används i gällande dataskyddslagstiftning, inklusive den allmänna dataskyddsförordningen EU 2016/679 (“GDPR”).
3. Omfattning
3.1 Avtalet reglerar Personuppgiftsbiträdets behandling av personuppgifter på uppdrag av Personuppgiftsansvarig, och beskriver hur Personuppgiftsbiträdet genom tekniska och organisatoriska åtgärder ska bidra till att säkerställa den registrerades rättigheter på uppdrag av Personuppgiftsansvarig.
3.2 Syftet med Personuppgiftsbiträdets Behandling av Personuppgifter på uppdrag av Personuppgiftsansvarig är att uppfylla Avtalsvillkor.
3.3 Detta Avtal har företräde framför eventuella motstridiga bestämmelser om Behandling av Personuppgifter i Avtalsvillkor eller i andra tidigare avtal eller skriftlig kommunikation mellan Parterna. Detta Avtal är giltigt så länge som överenskommits i Bilaga A.
4. Personuppgiftsbiträdets rättigheter och skyldigheter
4.1 Personuppgiftsbiträdet får endast Behandla Personuppgifter på uppdrag av och i enlighet med Personuppgiftsansvarigs skriftliga instruktioner. Genom att ingå detta Avtal instruerar Personuppgiftsansvarig Personuppgiftsbiträdet att Behandla Personuppgifter på följande sätt: i) endast i enlighet med gällande lag, ii) för att uppfylla alla förpliktelser enligt Avtalsvillkor, iii) som vidare specificerat genom Personuppgiftsansvarigs normala användning av Personuppgiftsbiträdets tjänster och iv) på så sätt som anges i detta Avtal.
4.2 Personuppgiftsbiträdet har vid avtalets ingående ingen anledning att anta att det finns regulatoriska hinder mot att följa instruktionerna från Personuppgiftsansvarig. Om Personuppgiftsbiträdet vid ett senare tillfälle blir medveten om att Personuppgiftsansvarigs instruktioner eller behandling av personuppgifter strider mot gällande dataskyddslagstiftning, ska Personuppgiftsbiträdet meddela detta till Personuppgiftsansvarig.
4.3 De kategorier av Registrerade och Personuppgifter som omfattas av Behandling i detta Avtal framgår av Bilaga A
4.4 Personuppgiftsbiträdet ska säkerställa konfidentialitet, integritet och tillgänglighet för personuppgifterna i enlighet med de regulatoriska krav som gäller för Personuppgiftsbiträdet. Detta inkluderar att implementera systematiska, organisatoriska och tekniska säkerhetsåtgärder för att säkerställa en tillräcklig säkerhetsnivå. Vid bedömningen av vad som utgör en tillräcklig nivå ska hänsyn tas till den teknologiska utvecklingen och kostnaderna för att genomföra åtgärder, i förhållande till riskerna med behandlingen och typen av personuppgifter som behandlas.
4.5 Personuppgiftsbiträdet ska genom tekniska och organisatoriska säkerhetsåtgärder bistå Personuppgiftsansvarig med att fullgöra sina skyldigheter enligt GDPR artiklarna 32 till 36, samt bistå i hanteringen av förfrågningar från registrerade. Omfattningen av denna skyldighet begränsas av typen av behandling av personuppgifter och den information som är tillgänglig för Personuppgiftsbiträdet.
4.6 Om Personuppgiftsansvarig behöver information om säkerhetsåtgärder, dokumentation eller annan information om hur Personuppgiftsbiträdet Behandlar Personuppgifter, och sådana förfrågningar innebär mer information eller bistånd än den standard som tillhandahålls av Personuppgiftsbiträdet för att följa gällande dataskyddslagstiftning som Personuppgiftsbiträde, kan Personuppgiftsbiträdet debitera Personuppgiftsansvarig för sådana ytterligare tjänster.
4.7 Personuppgiftsbiträdet och dennes personal ska säkerställa konfidentialitet av Personuppgifter som Behandlas under detta Avtal. Detta villkor gäller även efter att Avtalet upphört att gälla.
4.8. Personuppgiftsbiträdet ska säkerställa att anställda som behandlar personuppgifter på uppdrag av Personuppgiftsansvarig har åtagit sig konfidentialitet eller är underkastade lagstadgad tystnadsplikt.
4.9 Personuppgiftsbiträdet ska, genom att skyndsamt och utan onödigt dröjsmål meddela Personuppgiftsansvarig, göra det möjligt för Personuppgiftsansvarig att uppfylla de rättsliga krav som gäller för information till relevanta dataskyddsmyndigheter och Registrerade rörande personuppgiftsincidenter.
Vidare ska Personuppgiftsbiträdet, i den utsträckning det är praktiskt möjligt och lagligt, meddela Personuppgiftsansvarig om;
- i) förfrågningar om utlämnande av Personuppgifter som erhållits från en Registrerad
- ii) förfrågningar från myndigheter, exempelvis Polisen, om utlämnande av Personuppgifter
4.10 Personuppgiftsbiträdet får inte svara direkt på förfrågningar från Registrerade utan medgivande från Personuppgiftsansvarig. Personuppgiftsbiträdet får inte delge innehåll som berörs av detta Avtal eller Avtalsvillkor till myndigheter som Polisen, inklusive Personuppgifter, med undantag för vad som är lagstadgat, exempelvis genom domstolsbeslut eller liknande beslut.
4.11 Personuppgiftsbiträdet har inte ägarskap till eller kontroll över huruvida och hur Personuppgiftsansvarig väljer att använda sig av eventuella tredjepartsintegrationer via Personuppgiftsbiträdets API, via direkt databaskoppling eller liknande. Ansvaret för sådana integrationer med tredje part åligger uteslutande Personuppgiftsansvarig.
4.12 Personuppgiftsbiträdet kan komma att Behandla Personuppgifter om användare och Personuppgiftsansvarigs användning av tjänsten när det är nödvändigt för att få feedback och förbättra tjänsten. Personuppgiftsansvarig ger Personuppgiftsbiträdet rätt att använda och analysera aggregerad användningsdata kopplade till Personuppgiftsansvarigs användning av tjänsterna i syfte att optimera, förbättra eller förbättra sättet Personuppgiftsbiträdet tillhandahåller tjänster på och för att göra det möjligt för Personuppgiftsbiträdet att skapa nya funktioner och funktionalitet i samband med tjänsterna. Personuppgiftsbiträdet ska anses personuppgiftsansvarig för sådan behandling och behandlingen omfattas därför inte av detta Avtal.
4.13 Vid användning av tjänsten kommer Personuppgiftsansvarig att lägga till data till programvaran (“Kunddata”). Personuppgiftsansvarig medger och motsätter sig inte att Personuppgiftsbiträdet använder Kunddata i ett aggregerat och anonymiserat format för att förbättra de tjänster som levereras till kunder, forskning, utbildning och/eller statistiska ändamål.
5. Personuppgiftsansvarigs rättigheter och skyldigheter
5.1 Genom att underteckna detta Avtal bekräftar Personuppgiftsansvarig att:
- Personuppgiftsansvarig har rättslig grund att Behandla och utlämna de aktuella Personuppgifterna till Personuppgiftsbiträdet (inklusive eventuella underbiträden som Personuppgiftsbiträdet använder).
- Personuppgiftsansvarig är ansvarig för riktigheten, integriteten, innehållet, tillförlitligheten och lagenligheten av de Personuppgifter som lämnats till Personuppgiftsbiträdet.
- Personuppgiftsansvarig har fullgjort sina skyldigheter att tillhandahålla relevant information till Registrerade avseende Behandling av Personuppgifter enligt obligatorisk dataskyddslagstiftning.
- Vid användning av de tjänster som tillhandahålls av Personuppgiftsbiträdet under Avtalsvillkor får Personuppgiftsansvarig inte överföra några Känsliga Personuppgifter till Personuppgiftsbiträdet utan uttrycklig överenskommelse om detta i Bilaga A till detta Avtal.
6. Användande av underbiträden och överföring av data
6.1 Som en del av leveransen av tjänster till Personuppgiftsansvarig, enligt Avtalsvillkor och detta Avtal, kan Personuppgiftsbiträdet använda sig av underbiträden och Personuppgiftsansvarig ger ett generellt samtycke till användandet av underbiträden. Sådana underbiträden kan vara andra företag inom Visma-koncernen eller externa underbiträden (tredje part) inom eller utanför EU. Alla underbiträden med åtkomst till Personuppgifter är inkluderade i Bilaga B. Personuppgiftsbiträdet ska säkerställa att underbiträden genom avtal samtycker till att åta sig ansvar som motsvarar de skyldigheter som anges i detta Avtal.
6.2 En översikt över underbiträden med tillgång till Personuppgifter finns på Visma Trust Center med besökadress: https://www.visma.com/trust-centre/product-search/. Personuppgiftsbiträdet får anlita andra företag inom Visma-koncernen som är belägna inom EU/EES, som underbiträden utan att Visma-företaget är listat på Trust Center och utan föregående godkännande eller anmälan till Personuppgiftsansvarig. Detta är vanligtvis för utveckling, support, drift etc. Personuppgiftsansvarig kan begära mer detaljerad information om underbiträden.
6.3 Om underbiträdena finns utanför EU ger Personuppgiftsansvarig behörighet till Personuppgiftsbiträdet för att säkerställa lämpliga rättsliga grunder för överföring av Personuppgifter utanför EU på Personuppgiftsansvarigs uppdrag, genom att införa EU-standardavtalsklausuler (SCC).
6.4 Personuppgiftsansvarig ska underrättas innan ändringar sker rörande underbiträden som Behandlar Personuppgifter så att den Personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar. Om Personuppgiftsansvarig gör invändningar mot nytt underbiträde inom 30 dagar från det att meddelande har lämnats, ska Personuppgiftsbiträdet och Personuppgiftsansvarig granska dokumentationen för underbiträdenas efterlevnad av GDPR för att säkerställa uppfyllandet av gällande dataskyddslagstiftning. Om Personuppgiftsansvarig fortfarande motsätter sig och har rimliga skäl för detta, kan Personuppgiftsansvarig inte reservera sig mot användningen av sådant underbiträde (i synnerhet med beaktande av karaktären av online standardprogramvara), men Personuppgiftsansvarig kan säga upp det Avtalsvillkor för vilket det tvistiga underbiträdet används.
7. Säkerhet
7.1 Personuppgiftsbiträdet har åtagit sig att tillhandahålla en hög säkerhetsnivå i sina produkter och tjänster. Personuppgiftsbiträdet tillhandahåller säkerhetsnivån genom organisatoriska, tekniska och fysiska säkerhetsåtgärder, i enlighet med kraven på informationssäkerhet som beskrivs i dataskyddsförordningen artikel 32.
7.2 Avtalsvillkor anger de åtgärder eller andra datasäkerhetsprocedurer som Personuppgiftsbiträdet implementerar vid Behandlingen av Personuppgifter. Personuppgiftsansvarig ska ansvara för lämplig och adekvat säkerhet för den utrustning och IT-miljö som Personuppgiftsansvarig ansvarar för.
8. Revisionsrättigheter
8.1 Personuppgiftsansvarig har rätt att genomföra årlig revision av Personuppgiftsbiträdets uppfyllande av villkoren i Avtalet. Om lagstiftningen kräver det kan Personuppgiftsansvarig begära revisioner oftare.
För att begära en revision måste Personuppgiftsansvarig lämna in en detaljerad revisionsplan till Personuppgiftsbiträdet minst fyra veckor före det föreslagna revisionsdatumet med en beskrivning av revisionens omfattning, varaktighet och startdatum. Om tredje part ska utföra revisionen, måste båda Parterna godkänna tredje part. Om Behandlingen sker i ett “multitenant” miljö, ger Personuppgiftsansvarig Personuppgiftsbiträdet befogenhet, att av säkerhetsskäl, bestämma att revisioner ska utföras av en neutral tredjepartsrevisor som Personuppgiftsbiträdet väljer.
8.2 Om det begärda revisionsområdet är upptaget i en ISAE-, ISO- eller liknande granskningsrapport som utförts av en kvalificerad tredjepartsrevisor inom de föregående tolv månaderna, och Personuppgiftsbiträdet bekräftar att det inte finns några kända väsentliga förändringar i de åtgärder som granskats, accepterar Personuppgiftsansvarig denna granskningsrapport istället för att begära en ny revision av åtgärder som redan granskats.
8.3 Under alla omständigheter måste revisioner utföras under vanliga öppettider vid den aktuella anläggningen, med förbehåll för Personuppgiftsbiträdets regler, och får inte störa Personuppgiftsbiträdets affärsverksamhet i väsentlig grad.
8.4 Personuppgiftsansvarig står för eventuella kostnader som uppstår i samband med begärda revisioner. Hjälp från Personuppgiftsbiträdet som överstiger standardtjänsten som tillhandahålls av Personuppgiftsbiträdet och/eller Visma-koncernen för att följa gällande dataskyddslagstiftning, kommer att debiteras.
9. Varaktighet och uppsägning
9.1 Detta Avtal är giltigt så länge som Personuppgiftsbiträdet behandlar Personuppgifter på uppdrag av Personuppgiftsansvarig enligt gällande Avtalsvillkor.
9.2 Avtalet upphör automatiskt när Avtalsvillkor upphör att gälla. När Avtalet upphör kommer Personuppgiftsbiträdet att radera eller återlämna Personuppgifter som Behandlas på uppdrag av Personuppgiftsansvarig, i enlighet med gällande klausuler i respektive Avtalsvillkor. Sådan radering kommer att ske så snart det är praktiskt möjligt, såvida inte EU eller lokal lag kräver ytterligare lagring. Om inte annat avtalats skriftligen ska kostnaden för sådana åtgärder baseras på; i) timtaxa för Personuppgiftsbiträdets tid och ii) komplexiteten i den begärda processen.
10. Ändringar och ogiltighet
10.1 SmartDok förbehåller sig rätten att uppdatera och ändra Avtalet efter eget gottfinnande. Den gällande och tidigare versioner av Avtalet finns tillgängliga på SmartDoks webbplats (https://smartdok.se/blogg/personuppgiftsbitradesavtal/). Personuppgiftsansvarig kommer alltid att informeras om eventuella väsentliga ändringar minst 30 dagar innan de träder i kraft.
11. Ansvar
11.1 Parterna är överens om och erkänner att vardera Parten är skyldig att själv ansvara för och betala sådan administrativ sanktionsavgift som ålagts Parten enligt dataskyddsförordningen. Part är vidare skyldig att erlägga sådant skadestånd till Registrerade som Part av behörig domstol ålagts att betala direkt till Registrerade. Ansvaret mellan Parterna regleras av ansvarsbestämmelser i respektive Avtalsvillkor.
Bilaga A – Kategorier av Registrerade, Kategorier av Personuppgifter, Syfte, Behandlingens art, Varaktighet
A.1 Kategorier av Registrerade
- Kundens slutanvändare
- Anställd hos kund
- Kontaktpersoner hos kund
A.2 Kategorier av Personuppgifter
- Kontaktuppgifter såsom namn, telefonnummer, adress, e-postadress, etc.
- Arbetsrelaterad information såsom befattning, arbetsgivare, utbildning etc.
- Ekonomisk information såsom lön, arbetade timmar etc.
- I vissa moduler behandlas platsinformation
A.3 Kategorier av Känsliga Personuppgifter (särskilda kategorier av personuppgifter)
Personuppgiftsbiträdet behandlar inga känsliga personuppgifter (särskilda kategorier av personuppgifter) för att tillhandahålla tjänsten.
A.4 Syfte med Behandlingen
Syftet med Personuppgiftsbiträdets behandling av personuppgifter på uppdrag av Personuppgiftsansvarig är:
Leverans av tjänsten i enlighet med Avtalsvillkor.
A.5 Behandlingens art
Personuppgiftsbiträdets behandling av personuppgifter på uppdrag av Personuppgiftsansvarig ska huvudsakligen gälla (behandlingens art):
Lagring, registrering, testning, ändring/redigering, rapportering, överföring.
A.6 Behandlingens varaktighet
Behandlingens varaktighet är 12 månader efter att avtalet har upphört i enlighet med Avtalsvillkor.
Mejl om förändringen har skickats till kontaktpersonen den
11 september 2024.