Uppgiftsbehandlingsavtal Skillhabit
De engelska och tyska versionerna av detta dokument är juridiskt bindande. Översättningar till andra språk tillhandahålls endast av praktiska skäl.
1. Bakgrund
1.1
Detta uppgiftsbehandlingsavtal ("DPA") ingås från och med ikraftträdandedagen för Huvudavtalet (definierat nedan) mellan TicTac Learn AB, org. nr. 556567-7266, Dockplatsen 1, 211 19 Malmö ("Personuppgiftsbiträdet") och Kunden (definierat i Huvudavtalet) som godkänner Huvudavtalet ("Personuppgiftsansvarig").
1.2
Den Personuppgiftsansvarige och Personuppgiftsbiträdet (gemensamt "Parterna") har ingått ett avtal avseende Personuppgiftsbiträdets tillhandahållande av en molnbaserad plattform kallad Skillhabit ("Skillhabit") som används av den Personuppgiftsansvarige för att distribuera och följa upp kunskap digitalt ("Huvudavtalet"). Inom ramen för Huvudavtalet kommer Personuppgiftsbiträdet, i egenskap av Personuppgiftsbiträde, att behandla personuppgifter för vilka Personuppgiftsansvarige är personuppgiftsansvarig enligt lagar och förordningar om dataskydd ("Behandling").
1.3
Syftet med detta DPA är att säkerställa att Behandlingen sker i enlighet med lagar och förordningar om dataskydd, den Personuppgiftsansvariges instruktioner och vad som i övrigt överenskommits mellan Parterna. Detta DPA ska anses utgöra en integrerad del av Huvudavtalet.
1.4
I händelse av konflikt mellan bestämmelserna i detta DPA och huvudavtalet skall detta DPA ha företräde.
2. Tillämplig lag och definitioner
2.1
Lagar och förordningar om dataskydd ska gälla för Behandlingen.
2.2
”Lagar och förordningar om dataskydd” avser alla tillämpliga lagar, förordningar och föreskrifter som gäller för behandling av personuppgifter, inklusive men inte begränsat till EU:s allmänna dataskyddsförordning 2016/679/EG och eventuella ändringar av, tillägg till eller förordningar som ersätter sådana lagar, förordningar och föreskrifter.
2.3
Om inte annat anges i detta DPA ska begrepp som används i detta DPA ha den betydelse som anges i lagar och förordningar om dataskydd.
3. Den registeransvariges ansvarsområden
3.1
I förhållande till de registrerade ansvarar den personuppgiftsansvarige för att säkerställa att de rättsliga kraven för behandlingen uppfyller kraven i lagar och förordningar om dataskydd.
3.2
Den personuppgiftsansvarige bekräftar att behandlingen är förenlig med de ändamål för vilka de personuppgifter som omfattas av behandlingen har samlats in.
3.3
Det åligger den Personuppgiftsansvarige att tillse att Personuppgiftsbiträdet vid var tid är informerat om den Personuppgiftsansvariges gällande instruktioner, såsom de i Bilaga A och andra skriftliga instruktioner från den Personuppgiftsansvarige avseende Behandlingen. För det fall den Personuppgiftsansvarige ger nya instruktioner avseende Behandlingen som avviker från de som följer av Tjänsterna enligt Huvudavtalet, och dessa instruktioner kräver mer av Personuppgiftsbiträdet och går utöver vad som föreskrivs i Dataskyddslagstiftningen eller Integritetsskyddsmyndighetens råd och uttalanden, ska Personuppgiftsbiträdet överväga, men är inte skyldigt att acceptera, sådana instruktioner. Om sådana tilläggsinstruktioner väsentligt förändrar omfattningen av de tjänster som Personuppgiftsbiträdet utför enligt Huvudavtalet ska frågan i första hand hanteras enligt Huvudavtalet.
3.4
Alla instruktioner från den personuppgiftsansvarige ska vara skriftliga eller på annat sätt dokumenterade.
4. Personuppgiftsbiträdets ansvarsområden
4.1
Behandlingen beskrivs närmare i Bilaga A. Personuppgiftsbiträdet åtar sig att endast behandla personuppgifter på det sätt och för de ändamål som är nödvändiga för att fullgöra sina skyldigheter enligt Huvudavtalet, detta DPA eller i enlighet med de dokumenterade instruktioner som tillhandahålls av den Personuppgiftsansvarige i Bilaga A och som godkänts av Personuppgiftsbiträdet. Personuppgiftsbiträdet får även behandla personuppgifter för att tillhandahålla eventuella tilläggstjänster som från tid till annan beställs av den Personuppgiftsansvarige.
4.2
Efter att ha mottagit skriftliga instruktioner om Behandlingen från den Personuppgiftsansvarige, såsom de i Bilaga A, ska Personuppgiftsbiträdet inom rimlig tid vidta lämpliga åtgärder för att säkerställa att Behandlingen anpassas i enlighet med instruktionerna. För sådana åtgärder avseende Behandlingen som inte uttryckligen har specificerats av den Personuppgiftsansvarige vid tidpunkten för ingåendet av Huvudavtalet och detta Personuppgiftsbiträdesavtal har Personuppgiftsbiträdet rätt att begära särskild ersättning.
4.3
Personuppgiftsbiträdet åtar sig att se till att varje fysisk person som utför arbete under dess ledning och som har tillgång till personuppgifter informeras om innehållet i denna DPA och endast behandlar personuppgifterna i enlighet med DPA och den Personuppgiftsansvariges dokumenterade instruktioner.
4.4
Personuppgiftsbiträdet ska i rimlig utsträckning bistå den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder i den mån som krävs för att den Personuppgiftsansvarige ska kunna fullgöra sina skyldigheter att svara på begäran från Registrerade om registerutdrag eller rättelse, blockering eller radering av personuppgifter.
4.5
Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige utan onödigt dröjsmål från den tidpunkt då Personuppgiftsbiträdet har fått kännedom om en personuppgiftsincident. Personuppgiftsbiträdet ska i rimlig utsträckning bistå den Personuppgiftsansvarige med den information som den Personuppgiftsansvarige behöver för att fullgöra sina skyldigheter avseende anmälan av personuppgiftsincidenten till behörig tillsynsmyndighet och, i förekommande fall, lämna information till de Registrerade om personuppgiftsincidenten.
4.6
Personuppgiftsbiträdet åtar sig att bistå den Personuppgiftsansvarige med att genomföra konsekvensbedömningar avseende dataskydd och förhandssamråd samt att bistå vid utredning av personuppgiftsincidenter med behöriga tillsynsmyndigheter.
4.7
Personuppgiftsbiträdet ska ha rätt till skälig ersättning för det arbete som utförts med anledning av de åtaganden som anges i punkterna 4.4 och 4.6.
5. Överföring av personuppgifter
5.1 Överföring till länder utanför EU/EES
5.1.1
Personuppgiftsbiträdet åtar sig att inte överföra personuppgifter till en plats utanför EU/EES utan föregående skriftligt medgivande från den Personuppgiftsansvarige.
5.1.2
Om överföring av personuppgifter till mottagare utanför EU/EES är tillåten enligt lag när ett särskilt avtal har ingåtts (eller andra åtgärder har vidtagits) i syfte att upprätthålla en adekvat skyddsnivå och Personuppgiftsbiträdet kan visa att sådant avtal finns (eller sådana åtgärder har vidtagits), har den Personuppgiftsansvarige inte rätt att vägra sådan överföring.
5.2 Överföring till tredje part
5.2.1
Personuppgiftsbiträdet får inte lämna ut några personuppgifter till tredje part utan föregående skriftligt medgivande från den Personuppgiftsansvarige, såvida inte utlämnande krävs enligt tillämplig lag eller myndighetsbeslut. Personuppgiftsbiträdet har dock alltid rätt att lämna ut personuppgifter till underleverantörer i enlighet med avsnitt ”Anlitande av underbiträden” nedan och till parter vars tjänster Personuppgiftsbiträdet distribuerar.
5.2.2
Om Personuppgiftsbiträdet av domstol eller myndighet åläggs att lämna ut personuppgifter eller vidta annan åtgärd med anledning av Behandlingen har Personuppgiftsbiträdet rätt till skälig ersättning för utfört arbete. Personuppgiftsbiträdet har även rätt till skälig ersättning för utlämnande av personuppgifter till annan än Personuppgiftsansvarig och för åtgärder i samband med sådant utlämnande.
6. Anlitande av underbiträden
6.1
Den personuppgiftsansvarige bekräftar och samtycker till att personuppgiftsbiträdet anlitar underleverantörer för utförandet av behandlingen ("Underbiträde"). Överföringen av personuppgifter till Underbiträdet sker på Personuppgiftsbiträdets risk och innebär inte någon förändring av den ansvarsfördelning som gäller mellan Personuppgiftsbiträdet och den Personuppgiftsansvarige.
6.2
Personuppgiftsbiträdet åtar sig att skriftligen informera den Personuppgiftsansvarige innan ett Underbiträde anlitas. Den Personuppgiftsansvarige ska ha möjlighet att invända mot Personuppgiftsbiträdets val av Underbiträde inom fem (5) dagar efter att ha mottagit Personuppgiftsbiträdets meddelande om detta. Personuppgiftsbiträdet får inte använda det valda Underbiträdet om den Personuppgiftsansvarige har framfört rimliga invändningar. Parterna är överens om att den Personuppgiftsansvarige får anses ha blivit informerad om att Personuppgiftsbiträdet avser att använda det Underbiträde som anges i Bilaga B.
6.3
När Personuppgiftsbiträdet anlitar ett Underbiträde för utförandet av Behandlingen åtar sig Personuppgiftsbiträdet att teckna ett avtal om behandling av personuppgifter med Underbiträdet, varvid Underbiträdet omfattas av samma skyldigheter som enligt detta Avtal.
7. Tekniska och organisatoriska säkerhetsåtgärder
7.1
Personuppgiftsbiträdet ska vidta de tekniska och organisatoriska åtgärder som krävs enligt lagar och förordningar om dataskydd för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, särskilt i förhållande till risker relaterade till obehörig åtkomst, förstörelse och ändring av de personuppgifter som omfattas av Behandlingen. Personuppgiftsbiträdet bestämmer hur sådana åtgärder ska genomföras för att uppnå den erforderliga skyddsnivån.
7.2
Om Personuppgiftsansvarig gör sannolikt att en ny säkerhetsåtgärd krävs eller att de befintliga säkerhetsåtgärderna måste anpassas för att uppfylla lagkrav på lämplig säkerhetsnivå eller för att följa myndighetsbeslut, ska Parterna diskutera genomförandet av sådan åtgärd eller ändring av befintlig säkerhetsåtgärd. Utökade eller ytterligare säkerhetsåtgärder kräver skriftlig överenskommelse mellan Parterna. I sådant fall ska Personuppgiftsbiträdet ha rätt till särskild ersättning för de vidtagna säkerhetsåtgärderna.
8. Konfidentialitet
8.1
Personuppgiftsbiträdet förbinder sig att inte för tredje man avslöja information som Personuppgiftsbiträdet i egenskap av Personuppgiftsbiträde har mottagit från den Personuppgiftsansvarige eller information som Personuppgiftsbiträdet i övrigt har behandlat i egenskap av Personuppgiftsbiträde till den Personuppgiftsansvarige. Personuppgiftsbiträdet åtar sig att tillse att de personer som arbetar under dess ledning har åtagit sig att iaktta sekretess i enlighet med detta avsnitt, rubricerat ”Sekretess”. Sekretessåtaganden ska dock inte gälla för information av följande typer:
i) information som är allmänt känd eller kommer till allmän kännedom på annat sätt än genom överträdelser av detta DPA
ii) information som Personuppgiftsbiträdet kan visa att Personuppgiftsbiträdet hade i sin besittning innan Personuppgiftsbiträdet tog emot informationen från Personuppgiftsansvarig i samband med detta DPA
iii) information som Personuppgiftsbiträdet rättmätigt erhåller från tredje part utanför detta avtalsförhållande utan begränsning
iv) information som parten är juridiskt skyldig att tillhandahålla på grund av tvingande lagstiftning, domstolsbeslut eller beslut av annan myndighet.
9. Revisioner
9.1
Den personuppgiftsansvarige har rätt att med trettio (30) dagars varsel och på egen bekostnad, själv eller genom en auktoriserad tredje part ("Revisorn"), utföra revisioner (inklusive inspektioner) för att kontrollera att personuppgiftsbiträdet följer detta DPA.
9.2
Vid utseende av revisor ska den Personuppgiftsansvarige beakta konkurrensaspekter avseende affärsförbindelser mellan Personuppgiftsbiträdet och den tilltänkte Revisorn. I detta avseende måste Revisorn godkännas av Personuppgiftsbiträdet. Sådant godkännande ska dock inte oskäligen kunna vägras av Personuppgiftsbiträdet.
9.3
Personuppgiftsbiträdet åtar sig att ge den Personuppgiftsansvarige eller Revisorn tillgång till den dokumentation som behövs för att visa att Personuppgiftsbiträdet har fullgjort sina skyldigheter enligt dataskyddsförordningen och ska även i övrigt bistå den Personuppgiftsansvarige eller Revisorn vid genomförandet av revisionen och inspektionen. Revisioner och inspektioner får utföras under kontorstid, på vardagar mellan kl. 09.00 och 17.00.
9.4
Personuppgiftsbiträdet kan ge Revisorn begränsad tillgång till Personuppgiftsbiträdets lokaler där Behandlingen utförs. När sådan platsinspektion genomförs ska Revisorn följa Personuppgiftsbiträdets rimliga arbetsregler, säkerhetskrav och andra föreskrifter som gäller på arbetsplatsen och får inte störa Personuppgiftsbiträdets dagliga verksamhet. Revisorn ska inte ha tillgång till konfidentiell information som rör Personuppgiftsbiträdets övriga kunder eller andra personuppgifter som inte behandlas enligt detta DPA.
10. Skadestånd och ansvar gentemot tredje man
10.1
Part åtar sig att hålla den andra Parten skadeslös i händelse av att den andra Parten lider skada till följd av den första Partens behandling av personuppgifter i strid med lagar och förordningar om dataskydd eller detta DPA. Sådan skada kan innefatta, men är inte begränsad till, skyldigheten att betala skadestånd till en Registrerad eller att betala administrativa böter som beslutas av den behöriga tillsynsmyndigheten.
10.2
En Part ska inte vara skyldig att betala ersättning för indirekta skador såsom utebliven vinst enligt detta DPA.
11. Period och åtgärder vid uppsägning av avtalet
11.1
Personuppgiftsbiträdesavtalet gäller från det att båda Parter undertecknat detsamma och så länge som Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning. Bestämmelser om uppsägning finns i Huvudavtalet.
11.2
Om inte den Personuppgiftsansvarige uttryckligen instruerar Personuppgiftsbiträdet att personuppgifterna ska återlämnas åtar sig Personuppgiftsbiträdet att radera samtliga personuppgifter som omfattas av Behandlingen från sådana system som används vid Behandlingen vid tidpunkten för detta DPA:s upphörande, såvida inte ett sådant förfarande är oförenligt med tillämplig nationell rätt eller EU-rätt. Begäran om återlämnande av personuppgifter ska vara skriftlig och lämnas till Personuppgiftsbiträdet senast i samband med att Huvudavtalet sägs upp.
11.3
Om Huvudavtalet upphör att gälla och ett nytt sådant avtal, som även innefattar behandling av personuppgifter, träffas utan att ett uppgiftsbehandlingsavtal träffas, gäller detta Personuppgiftsbiträdesavtal även för personuppgiftsbehandling som sker som en del av tjänster som tillhandahålls enligt det nya avtalet.
12. Lagval och tvistlösning
12.1
Detta DPA ska regleras av och utformas i enlighet med svensk materiell rätt.
12.2
Tvist med anledning av detta DPA ska slutligt avgöras av allmän domstol med Malmö tingsrätt som första instans.
Annex
ANNEX A
Instruktioner för utförandet av behandlingen
Utöver vad som anges i dataskyddsförordningen ska instruktionerna nedan gälla och följas av Personuppgiftsbiträdet vid utförandet av behandlingen.
Syftet med behandlingen
Behandlingen får endast utföras i syfte att tillhandahålla de tjänster som framgår av Huvudavtalet, dvs. huvudsakligen i syfte att tillhandahålla den molnbaserade plattformen Skillhabit för digital distribution och uppföljning av kunskap. Personuppgifterna får inte behandlas eller användas av Personuppgiftsbiträdet för eget eller något annat ändamål.
Typer av bearbetning
Personuppgiftsbiträdet får använda de typer av Behandling av personuppgifter som är nödvändiga för att tillhandahålla de tjänster som anges i Huvudavtalet, inklusive registrering, organisering, lagring, ändring, användning och/eller radering.
Typer av personuppgifter
Personuppgiftsbiträdet får endast behandla följande typer av personuppgifter: personnummer, namn, adress, telefonnummer, arbetsgivare, utbildningsbakgrund. Personuppgiftsbiträdet får även behandla andra personuppgifter om det är nödvändigt för att tillhandahålla de tjänster som följer av Huvudavtalet.
Kategorier av registrerade
Behandlingen ska endast omfatta de kategorier av Registrerade som från tid till annan tillhandahålls av den Personuppgiftsansvarige inom ramen för Skillhabit, företrädesvis interna och externa användare och administratörer (enligt beskrivning i Huvudavtalet).
Behandlingens varaktighet
Personuppgifterna ska raderas av Personuppgiftsbiträdet vid slutet av DPA i enlighet med vad som anges i DPA. Personuppgifter ska också raderas av Personuppgiftsbiträdet från fall till fall i enlighet med den Personuppgiftsansvariges skriftliga instruktioner.
Kontaktuppgifter till personuppgiftsbiträdets representant
E-post: gdpr@tictac.se
Telefonnummer: +46 40 631 88 30
ANNEX B
Godkända underbiträden
Personuppgiftsansvarig bekräftar och samtycker till att Personuppgiftsbiträdet anlitar följande underleverantörer i enlighet med andra stycket i avsnittet ”Anlitande av underbiträden” i detta Personuppgiftsbiträdesavtal:
- Bolag som från tid till annan ingår i den koncern som Personuppgiftsbiträdet är medlem i, förutsatt att sådant koncernbolag är etablerat inom EU/EES.
- Skillhabit AB (559287-8879) plattformsutvecklingsbolaget som ägs av TicTac Group.
- GleSYS (556647-9241) används som underleverantör för server, hosting och backup.