BuildSafe Personuppgiftsbiträdesavtal

Ladda ner senaste version

1. Parter:

  • Kund enligt Avtalet (”Kund” eller “Personuppgiftsansvarig”)
  • BuildSafe Sweden AB, organisationsnummer 559001-9179 (”BuildSafe” eller “Personuppgiftsbiträde”)

Var och en av Kund respektive BuildSafe kan hädanefter även komma att benämnas ”Part” eller gemensamt ”Parterna”.

2. Bakgrund

  • Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) reglerar BuildSafes behandling av personuppgifter för Kundens räkning i enlighet med de avtal avseende tillhandahållande av BuildSafes tjänster som träffats mellan Kunden och BuildSafe (”Avtalet”).
  • Genom att teckna Avtalet blir Kunden och BuildSafe bundna av detta Biträdesavtal vilket utgör en integrerad del av Avtalet.
  • Kunden bestämmer ändamålen och medlen för behandlingen av Personuppgifterna. I enlighet med Tillämplig dataskyddsreglering (enligt definition nedan) är Kunden därför personuppgiftsansvarig för behandlingen.
  • Vid tillhandahållandet av tjänster enligt Avtalet kommer BuildSafe behandla Personuppgifter för Kundens räkning. BuildSafe är därför i enlighet med Tillämplig dataskyddsreglering personuppgiftsbiträde för behandlingen.
  • I Tillämplig dataskyddsreglering uppställs krav på att personuppgiftsbiträde och personuppgiftsansvarig ingår skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I syfte att efterkomma denna skyldighet ingår Parterna detta Biträdesavtal i enlighet med Tillämplig dataskyddsreglering.
  • För det fall Kunden köper in andra tjänster tillhandahållna av BuildSafe och som innebär att BuildSafe behandlar personuppgifter för Kundens räkning, ska den ytterligare behandling som omfattas av en sådan ny tjänst beskrivas i en bilaga till detta Biträdesavtal. Övriga villkor i detta Biträdesavtal ska därefter tillämpas även i förhållande till sådan ytterligare behandling av personuppgifter i samband med sådan ytterligare tjänst.

3.  Dataskyddsförordningen

Den 27 april 2016 antogs Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (”Dataskyddsförordningen”). Bestämmelserna i detta Biträdesavtal är ämnade att reflektera bestämmelserna i Dataskyddsförordningen och uppfylla de krav som ställs på personuppgiftsbiträdesavtal i Dataskyddsförordningen.

4. Definitioner

I detta Biträdesavtal ska följande termer ha den innebörd som framgår nedan:

Avtalsdagen” är den dag då Avtalet godkänts av Kunden.

Behandling” är varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte. Exempel på Behandling är insamling, lagring, bearbetning, ändring, utlämnande genom översändande eller tillgängliggörande, sammanställning eller samkörning, blockering och radering.

Personuppgifter” avser personuppgifter såsom det definieras enligt Tillämplig dataskyddsreglering och vilka Personuppgiftsbiträdet, eller av denne anlitade underleverantörer, behandlar för den Personuppgiftsansvariges räkning.

Registrerade” avser de fysiska personer som Personuppgifter hänför sig till.

Tillämplig dataskyddsreglering” avser Dataskyddsförordningen inklusive lagar, förordningar och föreskrifter som vid var tid kompletterar Dataskyddsförordningen.

Övriga begrepp i detta Biträdesavtal ska, om inte annat anges, ha samma betydelse som i Avtalet eller, om tillämpligt, tolkas i enlighet med Tillämplig dataskyddsreglering.

5. Personuppgiftsbiträdets ansvar för behandlingen enligt Biträdesavtalet

  • Personuppgiftsbiträdet åtar sig att endast behandla Personuppgifter i enlighet med den Personuppgiftsansvariges instruktioner enligt detta Biträdesavtal, Personuppgiftsbiträdets vid var tid gällande policys gällande behandling av personuppgifter samt skriftligt givna instruktioner från den Personuppgiftsansvarige, såvida inte sådan behandling är nödvändig enligt tillämplig lag, varvid Personuppgiftsbiträdet ska informera den Personuppgiftsansvarige om det rättsliga kravet innan behandlingen vidtas (förutsatt att sådan information inte är förbjuden enligt tillämplig lagstiftning).
  • Personuppgiftsbiträdet åtar sig att behandla Personuppgifter i enlighet med vid var tid Tillämplig dataskyddsreglering, samt att snarast efterkomma beslut och domar meddelade av Datainspektionen, annan behörig myndighet eller domstol avseende Personuppgifterna.
  • Personuppgiftsbiträdet förbinder sig även att:
    1. inte utan föregående skriftligt godkännande från den Personuppgiftsansvarige överföra eller tillgängliggöra Personuppgifter till tredje part (som inte är ett underbiträde);
    2. hålla samtliga Personuppgifter strikt konfidentiella och tillse att de personer som har behörighet att behandla Personuppgifter har åtagit sig att iaktta konfidentialitet; samt
    3. på den Personuppgiftsansvariges begäran tillhandahålla relevant information och dokumentation som anger vilka åtgärder Personuppgiftsbiträdet tagit för att uppfylla i Biträdesavtalet föreskrivna åtgärder.
  • Skulle Personuppgiftsbiträdet anse att instruktioner från den Personuppgiftsansvarige strider mot Tillämplig dataskyddsreglering, ska Personuppgiftsbiträdet omedelbart upphöra med behandlingen av Personuppgifter baserat på instruktionerna och meddela den Personuppgiftsansvarige om detta, för att därefter invänta vidare instruktioner.
  • Personuppgiftsbiträdet ska utan onödigt dröjsmål informera den Personuppgiftsansvarige när Personuppgiftsbiträdet upptäcker en säkerhetsincident som innebär obehörig, oavsiktlig eller olaglig åtkomst, förstörelse eller ändring av Personuppgifter hos Personuppgiftsbiträdet, samt informera om övriga omständigheter i samband med Personuppgiftsbiträdets behandling av Personuppgifterna som kan antas vara av väsentlig betydelse för den Personuppgiftsansvarige.

6. Underbiträden

  • Personuppgiftsbiträdet har rätt att anlita underbiträden för att utföra Behandling av Personuppgifter för den Personuppgiftsansvariges räkning.
  • Skulle Personuppgiftsbiträdet anlita underbiträde ska Personuppgiftsbiträdet ingå ett skriftligt avtal med underbiträdet som innehåller skyldigheter som motsvarar, eller är minst lika långtgående som Personuppgiftsbiträdets åtaganden enligt detta Biträdesavtal samt vid var tid gällande instruktioner avseende behandling av personuppgifter från den Personuppgiftsansvarige.
  • Personuppgiftsbiträdet ska meddela Personuppgiftsansvarig minst två (2) veckor innan ett underbiträde börjar behandla Personuppgifter. Den Personuppgiftsansvarige har rätt att motsätta sig att Personuppgifter behandlas av underbiträdet i de fall det är befogat med hänsyn till Tillämplig dataskyddsreglering. Skulle den Personuppgiftsansvarige motsätta sig att Personuppgifter behandlas av underbiträdet ska Personuppgiftsbiträdet inte tillhandahålla Tjänsten i de delar som rör Behandlingen som utförs av underbiträdet, men ska i övrigt tillhandahålla resterande delar av Tjänsten enligt Avtalet.

7. Personuppgiftsbiträdets ansvar gentemot Personuppgiftsansvarig

  • Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige i den mån det är möjligt för att den Personuppgiftsansvarige ska kunna uppfylla den Registrerades rättigheter enligt Tillämplig dataskyddsreglering, så som att rätta, radera och begränsa behandling av Personuppgifter och lämna registerutdrag till den Registrerade.
  • Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige i den mån det är möjligt med hänsyn till den information som Personuppgiftsbiträdet har att tillgå för att den Personuppgiftsansvarige ska kunna uppfylla sina skyldigheter att bland annat rapportera personuppgiftsincidenter till tillsynsmyndigheten och den Registrerade, utföra konsekvensbedömningar avseende dataskydd och samråda med tillsynsmyndigheten, i enlighet med Tillämplig dataskyddsreglering.

8. Överföring av Personuppgifter utanför EU och EES

Personuppgiftsbiträdet får överföra Personuppgifter utanför EU/EES förutsatt att överföringen sker i enlighet med Tillämplig dataskyddsreglering och att Personuppgiftsbiträdet vidtar alla nödvändiga åtgärder för att sådan överföring ska anses tillåten enligt Tillämplig dataskyddsreglering, t.ex. genom undertecknande av Kommissionens standardavtalsklausuler (SCC). Personuppgiftsbiträdet ska ha rätt att ingå sådana standardavtalsklausuler för den Personuppgiftsansvariges räkning.

9. Utlämnande av Personuppgifter

  • Skulle den Registrerade begära tillgång till eller uppgifter om sina Personuppgifter som Personuppgiftsbiträdet behandlar, ska Personuppgiftsbiträdet vidarebefordra en sådan förfrågan till den Personuppgiftsansvarige.
  • Personuppgiftsbiträdet äger inte rätt att utlämna eller bereda tillgång till de Registrerades Personuppgifter till tredje part. Skulle en förfrågan om ett sådant utlämnande riktas mot Personuppgiftsbiträdet ska Personuppgiftsbiträdet vidarebefordra denna förfrågan till Personuppgiftsansvarig. Skulle förfrågan komma från myndighet, domstol eller liknande tredje part som Personuppgiftsbiträdet har en skyldighet att utlämna Personuppgifterna till, ska Personuppgiftsbiträdet inte vara skyldig att informera den Personuppgiftsansvarige om en sådan förfrågan, utlämnande eller tillträde.

10. Rätten till granskning och inspektioner

  • Den Personuppgiftsansvarige har rätt att efter begäran och utan extra kostnad, få en skriftlig rapport från Personuppgiftsbiträdet som specificerar vilka åtgärder Personuppgifts­biträdet har vidtagit för att uppfylla i Biträdesavtalet föreskrivna åtaganden.
  • Den Personuppgiftsansvarige äger rätt att genom en oberoende tredje part granska och inspektera Personuppgiftsbiträdets behandling av Personuppgifter och kontrollera att Personuppgiftsbiträdets behandling av Personuppgifter sker i enlighet med Biträdesavtalet samt i enlighet med Tillämplig dataskyddsreglering. För undvikande av missförstånd ska en granskning enligt detta avsnitt 10 endast inbegripa information som krävs för att bedöma Personuppgiftsbiträdets efterlevnad av Tillämplig dataskyddsreglering och detta Biträdesavtal. Granskningen ska under inga omständigheter inbegripa någon annan information, t.ex. rörande Personuppgiftsbiträdets drifts- och affärsförhållanden. Den Personuppgiftsansvarige ska dock senast sju (7) dagar innan inspektionen lämna skriftligt meddelande om inspektionen till Personuppgiftsbiträdet. Inspektionen ska ske under normal arbetstid.
  • Den Personuppgiftsansvarige ska säkerställa att den oberoende tredje parten som utför granskningen är bunden av sekretess i förhållande till all information som den tredje parten tar del av inom ramen för en granskning.
  • Vardera Part ska stå sina egna kostnader för revision enligt punkt 2.

11. Tekniska och organisatoriska åtgärder

  • Personuppgiftsbiträdet åtar sig att upprätta och vidmakthålla lämpliga tekniska och organisatoriska åtgärder i syfte att skydda de Personuppgifter som behandlas mot obehörig, oavsiktlig eller olaglig åtkomst, spridning, förlust, förstörelse eller skada på sådana Personuppgifter. Sådana åtgärder ska vidtas med beaktande av (i) de tekniska möjligheter som finns, (ii) kostnader för att genomföra åtgärderna, (iii) de särskilda risker som finns med behandlingen, och (iv) graden av känslighet de behandlade Personuppgifterna har. Sådana åtgärder inkluderar men är inte begränsade till att föra loggar över uppgifterna, att inneha av en säkerhetspolicy, en säker IT-miljö samt fysiska säkerhetsåtgärder och säkerhetsrutiner.
  • Personuppgiftsbiträdet åtar sig att endast medge tillgång till Personuppgifter till sådana anställda eller andra personer vilka ett avslöjande är nödvändigt för att Personuppgiftsbiträdet ska kunna fullgöra sina förpliktelser enligt Avtalet. Personuppgiftsbiträdet åtar sig vidare att tillse att samtliga av Personuppgiftsbiträdets anställda och andra personer som får tillgång till Personuppgifter förbinder sig att följa bestämmelserna i detta Biträdesavtal. Personuppgiftsbiträdet ska vidare tillse att uppgifter om all åtkomst till Personuppgifterna registreras genom loggar i sådan utsträckning och på sådant sätt att det utan dröjsmål kan kontrolleras om någon obehörig, och i sådant fall vem, fått eller berett sig tillgång till Personuppgifterna.
  • Ovan nämnda tekniska och organisatoriska åtgärder ska innefatta, men inte vara begränsade till:
  • antagande av en företagsomfattande säkerhetspolicy och instruktioner för behandling av Personuppgifter inom Personuppgiftsbiträdets
  • återkommande utbildning av anställda och annan personal involverade i behandlingen av Personuppgifterna, avseende såväl säkerhetspolicyn, instruktioner som annan Tillämplig dataskyddsreglering.
  • inrättande av en säker IT-miljö, innefattande bland annat erforderliga säkerhets­rutiner, krypteringssystem, användarauktorisation samt back-up rutiner, innefattande lagring av back-up
  • införande av erforderliga fysiska säkerhetsåtgärder, så som inpasseringskontrollsystem, brand-, vatten-, och inbrottslarm m.

12. Ansvarsbegränsning

  • Parterna är solidariskt ansvariga i förhållande till krav från registrerade hänförliga till behandlingen av den registrerades personuppgifter. Den Part som ersätter en registrerad ska ha rätt till regress i enlighet med bestämmelserna i artikel 82 GDPR.
  • Parterna är överens om att ingen Part ska vara skyldig att ersätta den andra Parten för administrativa sanktionsavgifter påförda av en tillsynsmyndighet eller domstol enligt Tillämplig dataskyddsreglering.
  • Parterna ska, i skälig utsträckning, tillhandahålla information till den andra Parten som kan vara användbar inom ramen för ett tillsynsärende eller domstolsförfarande som initierats mot den andra Parten.
  • Personuppgiftsbiträdets totala ansvar enligt detta Biträdesavtal ska vara begränsat på motsvarande sätt som enligt Avtalet.

13. Ersättning

Parterna är ense om att den eller de avgifter som den Personuppgiftsansvarige erlägger till Personuppgiftsbiträdet enligt Avtalet innefattar kompensation för Personuppgifts­biträdets åtaganden enligt Biträdesavtalet. Skulle den Personuppgiftsansvarige efterfråga åtgärder som går utöver detta Biträdesavtal och vad som krävs enligt Tillämplig dataskyddsreglering. ska Personuppgiftsbiträdet ha rätt till ersättning för sådana åtgärder.

14. Biträdesavtalets ikraftträdande och upphörande

  • Biträdesavtalet träder i kraft på Avtalsdagen och ska ha samma giltighetstid som Förtida upphörande av Avtalet innebär att detta Biträdesavtal automatiskt upphör att gälla.
  • Personuppgiftsbiträdet ska vid Avtalets upphörande och i enlighet med Personuppgiftsansvariges instruktioner utan dröjsmål återlämna, eller för det fall den Personuppgiftsansvarige så begär, förstöra samtliga Personuppgifter (inklusive kopior därav) som omfattas av Avtalet. Återlämnandet, eller förstörandet i tillämpliga fall, ska ske på sådant sätt att Personuppgiftsbiträdet därefter inte har tillgång till sådana Personuppgifter. Personuppgiftsbiträdet ska därefter till den Personuppgiftsansvarige skriftligen intyga att återlämnade eller förstörelse skett. Om den personuppgiftsansvarige inte har lämnat instruktioner enligt denna punkt 2 inom trettio (30) dagar från Avtalets upphörande, har Personuppgiftsbiträdet rätt att oåterkalleligen radera personuppgifterna.

15. Avtalsdokument och ändringar

  • Ändringar av och tillägg till Biträdesavtalet ska vara skriftliga och undertecknade av båda Parter för att vara
  • Vid bristande överensstämmelse mellan andra dokument inom Avtalet och Biträdesavtalet avseende Behandling av Personuppgifter, ska bestämmelserna i detta Biträdesavtal äga företräde i den mån detta Biträdesavtal medger ett starkare skydd för de personuppgifter som behandlas.
  • Detta Biträdesavtal utgör hela avtalet mellan Parterna avseende de frågor som Biträdesavtalet berör och ersätter alla tidigare skriftliga eller muntliga åtaganden.

16. Lagval och tvistlösning

Tvister som uppstår med anledning av Biträdesavtalet ska slutligt avgöras genom skiljedom enligt Regler för Förenklat Skiljeförfarande för Stockholms Handelskammares Skiljedomsinstitut. Skiljeförfarandets säte ska vara Stockholm, språket för förfarandet ska vara svenska, om inte Parterna kommit överens om något annat. Svensk lag ska tillämpas på tvisten och på innehållet i Biträdesavtalet.

 


 

Bilaga 1

Instruktion

1. Kategorier av Registrerade

Personuppgiftsbiträdet ska behandla följande Personuppgifter om följande kategorier av Registrerade för den Personuppgiftsansvariges räkning:

  • Användare av tjänsterna,
  • Kontaktpersoner hos kund, och
  • Personer som arbetar eller befinner sig på kundens arbetsplats.

2. Kategorier av Personuppgifter

Personuppgiftsbiträdet ska behandla följande kategorier av Personuppgifter för den Personuppgiftsansvariges räkning:

  • namn,
  • personnummer,
  • kopia av identitetskort eller annat liknande identitetsbevis,
  • kopia av yrkes-, tillståndsbevis eller certifikat,
  • bild,
  • e-postadress,
  • roll i projektet,
  • användarnamn,
  • telefonnummer,
  • yrkesroll,
  • arbetsgivare/uppdragsgivare,
  • uppdragets längd,
  • kopia av signatur,
  • kontaktuppgifter till närmast anhörig
    1. namn
    2. telefonnummer
    3. mailadress
    4. bostadsadress
    5. relation
  • avvikelser/observationer/olyckor/incidenter som personen eventuellt är med om eller involverad i (kan inkludera uppgifter om hälsa),
  • olika typer av ansvar för åtgärder och mått av prestationer på arbetsplatsen,
  • tekniska data, vilket kan inkludera det URL genom vilket du får åtkomst till Hemsidan, din IP-adress, unique device ID, språk, och

3. Ändamål med Behandlingen

Personuppgiftsbiträdet ska behandla Personuppgifter för följande ändamål för den Personuppgiftsansvariges räkning:

  • namn, för att kunna identifiera ansvarsområden och sammanställa kontaktuppgifter,
  • e-postadress, för att vi ska kunna skicka en inbjudan till Tjänsten, för att skicka meddelanden och notifieringar och för att informera om uppdateringar,
  • roll i projektet, för att informera övriga användare om formella ansvarsområden och behörigheter i Tjänsten,
  • användarnamn, för att säkerställa att obehöriga inte får tillgång till Tjänsten,
  • telefonnummer, för att kunna möta krav på fullständiga kontaktuppgifter vid dokumentation av inspektioner, och för att kunna kommunicera med formellt ansvariga vid nödberedskap,
  • arbetsgivare för att kunna identifiera kontaktperson för aktiva bolag på arbetsplatsen, sortera respektive organisations ansvarsområden samt följa upp på respektive leverantörs arbete,
  • bild för att kunna identifiera specifik person ute på arbetsplatsen, i egenskap av formell roll eller i samband med nödberedskap,
  • bild av personer som befinner sig på byggarbetsplats i syfte att hantera anmälningar och rapporter relaterade till arbetsplatsen,
  • teknisk data för att förbättra och utveckla Tjänsten, och nya tjänster och produkter, samt att analysera din användning av Tjänsten, för att säkerställa de tekniska funktionerna hos Tjänsten och för att förhindra användning av Tjänsterna i strid med Avtalet, och
  • lokaliseringsuppgifter för språkinställningar, tidszon, att kunna identifiera plats för rapporterade risker samt och identifiera närliggande projekt

4. Underbiträden

Vid ingåendet av detta Biträdesavtal anlitar Personuppgiftsbiträdet följande underbiträden i syfte att Behandla Personuppgifter för den Personuppgiftsansvariges räkning:

  • BuildSafe Tech
  • Amazon Web Services
  • Intercom
  • Mixpanel
  • Startdeliver
  • Branch Metrics
  • OneSignal
  • Wootric