Personuppgiftsbiträdesavtal

Parter

Personuppgiftsansvarig ("Kunden"):
Företagsnamn: [KUNDBOLAGETS NAMN]
Organisationsnummer: [ORG.NR]
Adress: [ADRESS]
Kontaktperson (dataskydd): [NAMN, E-POST]

Personuppgiftsbiträde ("Vissly" / "Biträdet"):
Företagsnamn: B Interim AB
Organisationsnummer: 559237-2287
Adress: [VISSLY ADRESS]
Kontaktperson (dataskydd): hej@vissly.se

Bakgrund och syfte

Kunden har ingått ett avtal om tjänsten Vissly ("Huvudavtalet"), en SaaS-baserad visselblåsartjänst. Inom ramen för Huvudavtalet behandlar B Interim AB personuppgifter för Kundens räkning i egenskap av personuppgiftsbiträde enligt artikel 28 i Europaparlamentets och rådets förordning (EU) 2016/679 ("GDPR") och den svenska dataskyddslagen (SFS 2018:218).

Detta Personuppgiftsbiträdesavtal ("PuB-avtalet") reglerar hur B Interim AB får behandla personuppgifter på Kundens vägnar, vilka tekniska och organisatoriska skyddsåtgärder som gäller, samt parternas rättigheter och skyldigheter gentemot varandra och de registrerade.

§1 Definitioner

I detta avtal avses med:

• "Behandling": varje åtgärd som vidtas avseende personuppgifter, inbegripet insamling, registrering, lagring, ändring, läsning, utlämnande, radering och förstöring.
• "Personuppgifter": varje upplysning som avser en identifierad eller identifierbar fysisk person.
• "Registrerad": den fysiska person vars personuppgifter behandlas.
• "Säkerhetsincident": en incident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifter.
• "Underbiträde": tredje part som anlitas av B Interim AB för att utföra viss behandling för Kundens räkning.
• "Tjänsten": Vissly, en digital visselblåsarkanal som driftas av B Interim AB.
• "Huvudavtalet": det avtal om prenumeration på Vissly som ingåtts mellan parterna.

§2 Behandlingens föremål, varaktighet, art och ändamål

2.1 Föremål

B Interim AB behandlar personuppgifter som uppkommer inom ramen för Kundens användning av Vissly-tjänsten, innefattande:

• mottagning och lagring av visselblåsaranmälningar och därtill kopplade handlingar,
• kommunikation mellan rapportörer och utsedda handläggare inom tjänsten,
• administration av ärenden (statusändringar, anteckningar, ärendehistorik),
• teknisk drift, säkerhetsloggning och backup av ovanstående data.

2.2 Varaktighet

Behandlingen pågår under Huvudavtalets giltighetstid. PuB-avtalet upphör att gälla när Huvudavtalet upphör, med undantag för skyldigheter avseende radering och återlämnande som regleras i avsnitt 10 nedan.

2.3 Art av behandling

Mottagning, lagring, strukturering, sökning, läsning, ändring, arkivering och slutlig radering av personuppgifter.

2.4 Ändamål

Behandlingen utförs uteslutande för att tillhandahålla Kunden en funktionell digital visselblåsarkanal i enlighet med kraven i Europaparlamentets och rådets direktiv 2019/1937 och den svenska visselblåsarlagen (SFS 2021:890).

§3 Kategorier av personuppgifter och registrerade

3.1 Kategorier av registrerade

• Rapportörer: anställda, konsulter, leverantörer, styrelseledamöter eller andra personer som väljer att lämna en anmälan. Rapporten kan vara anonym eller konfidentiell.
• Utpekade personer: fysiska personer som omnämns i eller är föremål för en anmälan.
• Vittnen och nämnda tredje parter: övriga fysiska personer vars uppgifter förekommer i ärendet.
• Handläggare: Kundens utsedda personal med behörighet i tjänsten.

3.2 Kategorier av personuppgifter

• Namn, titel, befattning, arbetsplats, kontaktuppgifter (om rapportören väljer att uppge dessa).
• Innehållet i anmälan, som kan inkludera uppgifter om brott, missförhållanden, hälsa, facklig tillhörighet eller andra känsliga uppgifter beroende på vad rapportören väljer att dela.
• IP-adress och tekniska metadata (hanteras i enlighet med avsnitt 7 - IP-adresser till anonyma rapportörer lagras inte).
• Åtkomstloggar kopplade till handläggare.
• Kommunikationshistorik inom ärendets meddelandetjänst.

B Interim AB kan inte i förväg begränsa kategorin av personuppgifter som en rapportör väljer att inkludera i en anmälan. Kunden ansvarar för att i sin DPIA beakta att känsliga personuppgifter enligt artikel 9 GDPR kan förekomma.

§4 Instruktionsklausul

4.1 Behandling enbart på Kundens instruktion

B Interim AB får behandla personuppgifter enbart på dokumenterad instruktion från Kunden, inklusive behandling som avser överföring till tredjeland, om inte unionsrätten eller svensk lagstiftning ålägger B Interim AB att behandla uppgifterna. I sådant fall ska B Interim AB informera Kunden om detta rättsliga krav innan behandling sker, om inte informationsskyldigheten är förbjuden med hänsyn till viktiga samhällsintressen.

4.2 Kundens instruktioner

Kundens instruktioner framgår av:

1. detta PuB-avtal,
2. Huvudavtalet,
3. konfigurationsinställningar som Kunden gör i tjänstens administratörsgränssnitt,
4. skriftliga instruktioner som parterna kommer överens om separat.

4.3 Avvikelse från instruktion

Om B Interim AB anser att en instruktion från Kunden strider mot GDPR eller annan tillämplig dataskyddslagstiftning, ska B Interim AB omedelbart underrätta Kunden om detta. B Interim AB är inte skyldigt att följa en instruktion som är olaglig.

§5 Sekretess och konfidentialitet

5.1 Sekretessåtagande

B Interim AB ska säkerställa att all personal och samtliga underentreprenörer som har tillgång till de personuppgifter som behandlas för Kundens räkning är bundna av lämpliga konfidentialitetsskyldigheter, antingen genom anställningsavtal, sekretessavtal eller lagstadgad tystnadsplikt.

5.2 Behörighetsbegränsning

Tillgång till personuppgifter som behandlas för Kundens räkning ska begränsas till den personal hos B Interim AB som har ett verkligt behov av åtkomst för att utföra sina arbetsuppgifter i samband med driften och underhållet av Tjänsten ("need-to-know"-principen).

5.3 Fortlevnad

Sekretessåtagandet enligt detta avsnitt kvarstår även efter det att PuB-avtalet upphört att gälla.

§6 Tekniska och organisatoriska säkerhetsåtgärder (Art. 32 GDPR)

B Interim AB ska vidta och upprätthålla lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig med hänsyn till risken, innefattande åtminstone:

6.1 Tekniska åtgärder

• Kryptering i transit: TLS 1.2 eller högre för all kommunikation.
• Kryptering i vila: AES-256-kryptering av databas och fillagring.
• Pseudonymisering: teknisk åtskillnad mellan anmälans innehåll och rapportörens eventuella identitet.
• IP-skydd: IP-adresser till rapportörer som väljer anonym rapportering loggas inte och lagras inte.
• Åtkomstkontroll: rollbaserad behörighetsstyrning (RBAC) med principen om minsta möjliga behörighet. Kunden konfigurerar behörigheter för sina egna handläggare.
• Flerfaktorsautentisering (MFA): krävs för handläggarinloggning.
• Revisionslogg (Audit log): alla åtkomster och ändringar i ärenden loggas med tidsstämpel, användar-ID och åtgärdstyp. Loggar bevaras i minst tolv (12) månader.
• Sessionstimeout: automatisk utloggning efter inaktivitet.
• Säkerhetskopiering: regelbunden, krypterad backup med testad återställningsprocedur.

6.2 Organisatoriska åtgärder

• Dokumenterade rutiner för incidenthantering och säkerhetstestning.
• Regelbunden säkerhetsutbildning för berörd personal.
• Penetrationstestning och sårbarhetsskanningar genomförs minst en gång per år.
• B Interim AB:s personal med åtkomst till produktionsmiljön är begränsad och förtecknad.

6.3 Uppdatering av säkerhetsåtgärder

B Interim AB ska löpande se över och vid behov uppdatera säkerhetsåtgärderna för att spegla den rådande tekniska utvecklingen och de risker behandlingen medför. Kunden kan begära en aktuell skriftlig beskrivning av gällande säkerhetsåtgärder.

§7 Underbiträden

7.1 Godkännande av angivna underbiträden

Kunden godkänner genom undertecknandet av detta avtal att B Interim AB anlitar de underbiträden som framgår av Bilaga 1 (Lista över underbiträden). En aktuell förteckning över anlitade underbiträden tillhandahålls Kunden på begäran.

7.2 Rätt att invända

B Interim AB ska informera Kunden om planerade förändringar avseende tillägg eller byte av underbiträden via e-post till den adress som Kunden angivit, med minst trettio (30) dagars förvarning. Kunden har rätt att inom trettio (30) dagar från meddelandet invända mot en förändring. Om Kunden invänder och parterna inte kan komma överens om en lösning, har Kunden rätt att säga upp Huvudavtalet med omedelbar verkan utan extra kostnad.

7.3 Krav på underbiträden

B Interim AB ska genom ett skriftligt avtal ålägga varje underbiträde minst de skyldigheter avseende dataskydd som framgår av detta PuB-avtal, och i synnerhet tillräckliga garantier om att lämpliga tekniska och organisatoriska åtgärder vidtas.

7.4 Ansvar för underbiträden

B Interim AB kvarstår fullt ansvarigt gentemot Kunden för underbiträdets fullgörande av sina skyldigheter avseende dataskydd, i den mån underbiträdet inte fullgör sina åtaganden.

7.5 Godkända underbiträden (Bilaga 1)

§8 Bistånd vid de registrerades rättigheter

8.1 Skyldighet att bistå

B Interim AB ska, med beaktande av behandlingens art och de tekniska möjligheterna, bistå Kunden genom lämpliga tekniska och organisatoriska åtgärder i den mån det är möjligt, så att Kunden kan fullgöra sina skyldigheter att besvara begäranden om utövande av de registrerades rättigheter enligt GDPR artiklarna 15–22:

• Rätt till tillgång (Art. 15): B Interim AB tillhandahåller exportfunktion i administratörsgränssnittet som gör det möjligt för Kunden att ta fram all data om en specifik registrerad i maskinläsbart format (JSON/CSV).
• Rätt till rättelse (Art. 16): Kunden kan redigera uppgifter i ärenden direkt via administratörsgränssnittet, eller begära att B Interim AB utför rättelse om tekniska begränsningar föreligger.
• Rätt till radering (Art. 17): Kunden kan radera enskilda ärenden och all data om en specifik person via administratörsgränssnittet. B Interim AB verkställer raderingen i produktionsdatabasen och i backup-system inom den tidsram som anges i avsnitt 10.
• Rätt till begränsning av behandling (Art. 18): Kunden kan via administratörsgränssnittet markera ett ärende som fryst, varvid ingen ytterligare behandling sker utöver lagring.
• Dataportabilitet (Art. 20): Export av all ärendedata i strukturerat, allmänt använt och maskinläsbart format tillhandahålls på Kundens begäran.
• Rätt att göra invändningar (Art. 21): Kunden hanterar och beslutar om invändningar; B Interim AB bistår med tekniska verktyg för att verkställa beslut.

8.2 Vidarebefordran

Om en registrerad kontaktar B Interim AB direkt med en rättighetsbegäran, ska B Interim AB utan dröjsmål vidarebefordra begäran till Kunden och informera den registrerade om att Kunden är personuppgiftsansvarig.

§9 Bistånd vid säkerhetsincidenter

9.1 Underrättelse till Kunden

Om B Interim AB får kännedom om en säkerhetsincident som rör personuppgifter som behandlas för Kundens räkning, ska B Interim AB utan onödigt dröjsmål, och senast inom 72 timmar från det att B Interim AB fick kännedom om incidenten, underrätta Kunden om detta. Underrättelsen ska skickas till Kundens registrerade kontaktperson för dataskyddsfrågor.

9.2 Underrättelsens innehåll

Underrättelsen ska i den mån det är möjligt och informationen är känd innehålla:

• en beskrivning av incidentens art, inbegripet, om möjligt, vilka kategorier och ungefärligt antal registrerade och uppgiftsrader som berörs,
• namn på och kontaktuppgifter till B Interim AB:s kontaktperson för dataskyddsfrågor,
• en beskrivning av de sannolika konsekvenserna av incidenten,
• en beskrivning av de åtgärder som B Interim AB har vidtagit eller föreslagit för att åtgärda incidenten, inbegripet, i förekommande fall, åtgärder för att mildra dess eventuella negativa effekter.

Om all information inte kan lämnas vid samma tillfälle, ska informationen lämnas i omgångar utan ytterligare onödigt dröjsmål.

9.3 Kundens anmälningsskyldighet

Kunden, i egenskap av personuppgiftsansvarig, ansvarar för att bedöma om incidenten ska anmälas till Integritetsskyddsmyndigheten (IMY) i enlighet med artikel 33 GDPR, och i förekommande fall för att underrätta de registrerade i enlighet med artikel 34 GDPR. B Interim AB ska bistå Kunden med det underlag som behövs för sådan anmälan.

9.4 Dokumentation

B Interim AB ska dokumentera alla säkerhetsincidenter, oavsett om de anmäls till IMY eller inte, och göra dokumentationen tillgänglig för Kunden på begäran.

§10 Radering och återlämnande vid avtalets slut

10.1 Skyldighet vid avtalets upphörande

När Huvudavtalet upphör att gälla, oavsett orsak, ska B Interim AB på Kundens val antingen:

(a) Återlämna all personuppgiftsdata som behandlats för Kundens räkning i ett strukturerat, maskinläsbart format (JSON eller CSV) inom trettio (30) dagar från avtalets upphörande, eller

(b) Radera all personuppgiftsdata som behandlats för Kundens räkning, inklusive kopior och säkerhetskopior, inom trettio (30) dagar från avtalets upphörande.

Kunden ska skriftligen meddela B Interim AB vilket alternativ de väljer senast på dagen för avtalets upphörande. Om inget val meddelas, tillämpas alternativ (b) radering.

10.2 Bekräftelse

B Interim AB ska skriftligen bekräfta att radering eller återlämnande har skett, inbegripet en redogörelse för vilka system och backuper som raderingen avser.

10.3 Lagstadgad kvarhållning

Om B Interim AB enligt unionsrätten eller nationell rätt är skyldigt att kvarhålla personuppgifterna efter avtalets upphörande, ska B Interim AB informera Kunden om detta och klargöra grunden för kvarhållningen. Uppgifterna ska inte behandlas för något annat ändamål efter avtalets upphörande.

§11 Revisionsrätt

11.1 Kundens rätt till insyn

Kunden har rätt att, med skälig förvarning om minst trettio (30) dagar, genomföra revisioner och inspektioner av B Interim AB:s efterlevnad av detta PuB-avtal, antingen:

(a) direkt av Kunden eller av Kunden utsedd oberoende revisor, eller

(b) genom att begära att B Interim AB tillhandahåller relevant dokumentation, audit-rapporter, certifieringar (t.ex. ISO 27001, SOC 2) eller svar på säkerhetsfrågeformulär.

11.2 Kostnader

Revisioner som genomförs enligt alternativ (a) sker på Kundens bekostnad. Om revisionen avslöjar väsentlig bristande efterlevnad av detta avtal, bär B Interim AB de skäliga kostnaderna för de åtgärder som krävs för att avhjälpa bristerna.

11.3 Konfidentialitet vid revision

Kunden och eventuell utsedd revisor ska iaktta sekretess avseende all information som inhämtas vid revisionen och som rör B Interim AB:s affärsverksamhet, teknik eller andra kunders uppgifter.

§12 Ansvarsbegränsning

12.1 Parternas ansvar mot de registrerade och IMY

Varje parts ansvar gentemot de registrerade och tillsynsmyndigheter regleras av GDPR, och inget i detta avtal begränsar det ansvar som en part kan ha direkt gentemot registrerade eller myndigheter enligt tillämplig dataskyddslagstiftning.

12.2 Parternas ansvar sinsemellan

Med undantag för skada orsakad av grov vårdslöshet eller uppsåt, och med undantag för böter och sanktionsavgifter som en part åläggs direkt av tillsynsmyndighet för sin del av behandlingen, begränsas B Interim AB:s samlade ansvar gentemot Kunden enligt detta PuB-avtal till ett belopp motsvarande de avgifter Kunden erlagt till B Interim AB under de tolv (12) månader som närmast föregick den händelse som orsakade skadan.

12.3 Inget ansvar för Kundens konfiguration

B Interim AB ansvarar inte för skada som uppstår till följd av felaktig konfiguration av tjänsten av Kunden, felaktiga instruktioner från Kunden, eller Kundens underlåtenhet att fullgöra sina skyldigheter som personuppgiftsansvarig.

§13 Allmänna bestämmelser

13.1 Rangordning

Vid eventuell konflikt mellan detta PuB-avtal och Huvudavtalet, ska PuB-avtalet äga företräde avseende behandlingen av personuppgifter.

13.2 Ändringar

Ändringar av detta avtal ska vara skriftliga och undertecknade av behöriga företrädare för båda parter, med undantag för uppdateringar av underbiträdeslistan i enlighet med avsnitt 7.2.

13.3 Tillämplig lag

Detta avtal regleras av och tolkas i enlighet med svensk rätt, med beaktande av GDPR som direkt tillämplig unionsrätt.

13.4 Tvistlösning

Tvister som uppstår i anledning av detta avtal och som inte kan lösas genom förhandling ska avgöras av Stockholms tingsrätt som första instans.

13.5 Underskrifter

Detta avtal har ingåtts i två (2) likalydande exemplar, varav vardera part erhåller ett. Elektronisk signatur har samma rättsliga verkan som fysisk underskrift.