PERSONUPPGIFTSBITRÄDESAVTAL

1.     Ansvar och instruktion

1.1 detta behandlingsavtal behandlas av personuppgiftsbiträdet i samband med att personuppgiftsbiträdet tillhandahåller Visselblåsarsystemetet och behandlingens syfte, art, varaktighet och ändamål beskrivs i avsnitt 5. Kunden ska säkerställa att personuppgiftsbiträdet inte behandlar andra datakategorier än vad som anges i avsnitt 5.

1.2 Kunden är medveten om att Visselblåsarsystemetet är en plattform som distribueras till ett stort antal kunder och att vi därför inte nödvändigtvis har möjlighet att följa instruktioner som inte är en direkt konsekvens av kundens behov av att följa dataskyddsreglerna. Om kunden ger oss instruktioner som vi inte kan följa är det kundens plikt att sluta registrera och exportera alla kunddata som berörs av aktuella instruktioner. Ovanstående ska inte betraktas som avtalsbrott och berör inte tillgängligheten för Visselblåsarsystemetet.

1.3 Kunden är personuppgiftsansvarig för alla personuppgifter som personuppgiftsbiträdet behandlar å kundens vägnar enligt behandlingsavtalet. Kunden ansvarar därför för att följa tillämpliga dataskyddsregler och åtar sig att följa gällande riktlinjer för användning av Visselblåsarsystemetet samt den lagstiftning som gäller hantering av visselblåsare.

1.4 Genom att ingå detta avtal vidgår kunden att de säkerhetsåtgärder som specificeras i Visselblåsarsystemets aktuella tekniska och organisatoriska åtgärder är tillräckliga för kundens avsedda användning av Visselblåsarsystemetet.

2.     Personuppgiftsbiträdets åtagande

2.1 Personuppgiftsbiträdet åtar sig att:

1. vidta de tekniska och organisatoriska säkerhetsåtgärder som är nödvändiga samt i artikel 32 i GDPR för att skydda de data som behandlas enligt detta avtal, inklusive att ålägga de personer hos databehandlingsbiträdet som är behöriga att behandla dessa data lämplig tystnadsplikt;
2. bistå kunden med att följa säkerhetskraven i artikel 32–36 i GDPR (till exempel tekniska och organisatoriska åtgärder, anmälan och information till kunden utan onödigt dröjsmål i händelse av en personuppgiftsincident, konsekvensbedömning samt förhandssamråd) och kundens förpliktelser avseende individens rättigheter i kapitel III i GDPR uppfylls (t.ex. rätt till information, åtkomst, rättelse, radering, behandlingsbegränsning, dataportabilitet, invändning mot automatiserat beslutsfattande);
3. vilket ger kunden rätt att erhålla information från personuppgiftsbiträdet i syfte att kontrollera och verifiera åtgärder som vidtagits av personuppgiftsbiträdet enligt detta avtal. Personuppgiftsbiträdet ska bistå och bidra till undersökningar (inklusive inspektioner) som utförs av kunden eller en revisor som utför sådana undersökningar för kundens räkning. Personuppgiftsbiträdet ska hänvisa till kunden vars personuppgifter behandlas i de fall då en tillsynsmyndighet eller annan tredje part efterfrågar information från personuppgiftsbiträdet avseende behandlingen av personuppgifter. Personuppgiftsbiträdet ska utan dröjsmål informera kunden om eventuella kontakter med tillsynsmyndigheter som kan beröra eller vara av vikt för behandlingen av personuppgifter,
4. beroende på vad kunden väljer; radera, anonymisera eller återlämna alla personuppgifter till kunden när avtalet upphör, oavsett skäl, inklusive att radera alla kopior som enligt dataskyddsförordningen inte får sparas,
5. i övrigt ge kunden åtkomst till den information som kunden behöver för att kunna fullgöra sina förpliktelser som personuppgiftsansvarig gentemot tillsynsmyndigheten och/eller enskilda personer,
6. inte överföra data till tredje land eller en internationell organisation försåvitt inte detta krävs enligt dataskyddsförordningen, och i detta fall ska dataskyddsbiträdet omgående informera kunden utom i de fall då sådan information är förbjuden.

2.2 Personuppgiftsbiträdet förbinder sig också att alltid behandla data i enlighet med dataskyddsreglerna. Detta inkluderar bland annat att föra ett register över alla kategorier av behandling som utförs, tillhandahålla ett registerutdrag över fullgjord behandling på kundens begäran och omedelbart informera kunden om personuppgiftsbiträdet misstänker att det finns risk för att den registrerades friheter och rättigheter kränks.

3.     Underställda personuppgiftsbiträden och överföring till tredje land

3.1 Förutsatt att personuppgiftsbiträdet har informerat personuppgiftsansvarig minst 30 dagar i förväg. med rätt för personuppgiftsansvarig att invända, har personuppgiftsbiträdet en övergripande rättighet att anlita andra personuppgiftsbiträden för behandling av data å kundens räkning, personuppgiftsbiträdet bär fullt ansvar för detta gentemot kunden.

3.2 Förutsatt att personuppgiftsbiträdet vidtar lämpliga säkerhetsåtgärder som är godkända enligt dataskyddsreglerna har personuppgiftsbiträdet rätt att överföra data utanför EU/EES. Under förutsättning att Databehandlaren (i) informerar den personuppgiftsansvarige om sina planer minst 30 dagar i förväg, med rätt för den personuppgiftsansvarige att invända, och (ii) tillämpar adekvata och i enlighet med dataskyddsreglerna godkända säkerhetsmekanismer, kan databehandlaren överföra personuppgifter utanför EU/EES.

3.3 Genom att ingå detta avtal godkänner kunden underordnade personuppgiftsbiträden och överföringar utanför EU/EES enligt vad som anges i avsnitt 5. Vid tidpunkten för ingående av detta avtal överför Databehandlaren inte personuppgifter till något tredje land

4.     Övrigt

4.1 Bestämmelserna i avtalet ska även gälla för detta behandlingsavtal. Vid en konflikt mellan avtalet och detta behandlingsavtal är det behandlingsavtalet som gäller.

5.       Instruction

5.1 Detta avsnitt 5 utgör kundens inledande instruktioner till personuppgiftsbiträdet och kan, enligt avsnitt 1.2, komma att kompletteras vid ett senare tillfälle.

5.2 Kategorier av registrerade. Alla som ges åtkomst till Visselblåsarsystemetet och de som omnämns i samband med ett visselblåsarärende på Visselblåsarsystemet.

5.3 Syfte, art och ändamål med behandlingen och kategorier av personuppgifter. Eftersom personuppgiftsbiträdets huvudsakliga funktion och ändamål med att tillhandahålla Visselblåsarsystemetet och därmed agera som personuppgiftsbiträde är specifikt för lagring av kunddata som kan innehålla personuppgifter kan kategorier av personuppgifter omfatta alla datakategorier som kan förekomma i samband med visselblåsning, inklusive känsliga uppgifter och påstådda lagöverträdelser.

5.4 Lagring av data. Personuppgiftsbiträdet ska lagra ärendeinformation för alla rapporter under den lagringstid som kunden har angett i systemet.

5.5 Underställda. Då detta avtal ingås har personuppgiftsbiträdet anlitat följande underställda personuppgiftsbiträden, något som dock kan komma att förändras i enlighet med avsnitt 3:

• Underbiträden: Swerolab AB (Sverige), Interactive Security (Sverige), SMSAPI (Polen), Brevo (Frankrike), OPSWAT (Tyskland), Glesys (Sverige), T-Systems International (Tyskland), Friendly Captcha (Tyskland), DeepL (Tyskland), Mistral AI (Frankrike).

5.6 Tredjelandsöverföring. Enligt detta avtal sker inga överföringar till tredje land. Detta kan förändras, då i enlighet med paragraf 3.

• Överföringar utanför EU/EES: inga.