💡 📜 Personuppgiftsbiträdesavtal

Grunden för detta avtal är Dataskyddsförordningen (GDPR).
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter...
En lag som gäller för alla företag i Sverige från 2018-05-25 och är mycket omfattande. Dataskyddsförordningen

För detta avtals grund ger Datainspektion följande vägledning.
Citat: Ett företag eller myndighet som behandlar personuppgifter för någon annans räkning är att anse som ett personuppgiftsbiträde. En organisation som vill anlita ett sådant biträde (den personuppgiftsansvarige) måste teckna ett skriftligt avtal med biträdet. Dataskyddsförordningen innehåller detaljerade bestämmelser om vad ett sådant avtal ska innehålla.
Visa mer...
  • I avtalet ska biträdet åta sig att:
  • Bara behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige
  • Se till att personer som har behörighet att behandla personuppgifter hos biträdet har åtagit sig att iaktta tystnadsplikt eller omfattas av lagstadgad sådan
  • Vidta alla tekniska och organisatoriska åtgärder som är nödvändiga för att säkerställa en lämplig säkerhetsnivå i förhållande till riskerna med behandlingen
  • Respektera kraven på förhandstillstånd och avtal vid anlitande av ett annat biträde (ett underbiträde)
  • Vidta lämpliga tekniska och organisatoriska åtgärder så att den personuppgiftsansvarige kan svara på en enskilds begäran om att få utöva sina rättigheter, såsom rätten till information och registerutdrag, rättelse, radering med mera
  • Bistå den personuppgiftsansvarige med att se till att skyldigheterna fullgörs ifråga om säkerhetsåtgärder, anmälan av personuppgiftsincidenter och information om sådana incidenter till de registrerade samt konsekvensbedömning och förhandssamråd
  • Radera eller återlämna alla personuppgifter till den personuppgiftsansvarige (beroende på vad den personuppgiftsansvarige väljer) när uppdraget avslutas och även radera alla kopior
  • Ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att man fullgör alla skyldigheter som man har som biträde samt att möjliggöra och bidra till inspektioner och andra granskningar som den personuppgiftsansvarige vill genomföra


(Om du som slutkund till ett företag som länkar till denna sida vill kontrollera eller fråga något, så är du mycket välkommen att göra detta till info@prudentes.se )

📜 Personuppgiftsbiträdesavtalet

Personuppgiftsbiträdesavtalet, fortsättningsvis Avtalet.

Avtalet är giltigt mellan:
Prudentes Utveckling KB med org.nr 916436-0373 (personuppgiftsbiträde)
och företag som antingen är betalande kund på våra webbsystem eller företag som vi bistår med GDPR-stöd och / eller generell IT och verksamhetsservice, i tillämpliga delar (personuppgiftsansvariga).

Inledning

Avtalets utformning är också i enlighet med Dataskyddsförordningens anda...
Visa mer... där det anges att "Öppenhetsprincipen kräver att all information som riktar sig till allmänheten eller till registrerade är kortfattad, lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk..."

Vi eftersträvar andan i detta även om kortfattat inte är lätt för denna typ av avtal, men lättåtkomligt och förhoppningsvis lättbegripligt hoppas vi kunna uppnå. Vi baserar också vår ansträngning på att detta biträdesavtal även ska kunna ge slutkunden insyn i att deras personuppgifter hanteras ansvarsfullt, respektfullt och med stor omsorg i arbetet hos det personuppgiftsansvariga företaget och att personuppgiftsbiträdet (det IT-stödjande företaget) på alla sätt skyddar och säkrar informationen samt garanterar att sådan information hanteras under sekretess och aldrig lämnas ut till tredje part. Underbiträde används i detta avtal för tillhandahållande av serverhall och fysisk infrastruktur med hög skyddsnivå i Sverige.


All text i kursiv stil är citattext ur Dataskyddsförordningen eller från Datainspektionen.
Benämningen "Ur Artikel..." är ett sammanhållet citat ur angiven Artikel i Dataskyddsförordningen.

Personuppgiftsansvarig och Personuppgiftsbiträde
Personuppgiftsansvarig är beställare och den som bestämmer, fortsättningsvis Ansvarig.
Personuppgiftsbiträdet är den som utför det beställda, fortsättningsvis Biträdet respektive Underbiträdet.

Här följer vad som avtalats mellan Ansvarig och Biträdet samt dess personal.

Biträdet utvecklar och tillhandahåller webbaserad programvara för Ansvarigs behandling av personuppgifter i form av serverprogram och klientprogram. All datalagring sker i Sverige.

Systemet använder inga Cookies i syfte att...
Visa mer... spåra användare. Cookies används bara rent tekniskt för att upprätthålla kommunikation mellan server och klient, en så kallad session cookie eller "sessions kaka". Denna upphör att gälla så snart sessionen upphör. Cookies utöver detta sätts endast på besökarens val, som t.ex. "kom ihåg mig" för förenklad mejl-åter-inloggning.

Biträdet loggar transaktionshändelser för att uppfylla krav på spårbarhet i Dataskyddsförordningen, för att bevaka trafikintensiteten för en säker drift och i begränsad omfattning för att följa nyttjandet av tjänsterna över tid.

Före inloggning är alla uppgifter anonyma sånär som på IP-nummer och viss teknisk standardinformation från webbläsaren. Vid inloggning sparas inloggningsuppgifter. Efter inloggning sparas inloggningsdata löpande och spårbarhet uppstår. Här kan sedan frågan besvaras, "vem har hanterat personuppgift".
Vi har ett särskilt strikt förhållningssätt och respekt för våra användares rätt att slippa spårning, så klienten spårar inga beteenden varken hos besökare, kunder eller personal utan endast normala anrop som görs från klienten till servern loggas. Dessa loggar sparas inte längre än nödvändigt för uppfyllelse av lagkrav och lämplig säkerhet.


Biträdet utför inga direkta bearbetningar på personuppgifterna undantaget transport, lagring och säkerhetskopiering såvida inte Ansvarig eller Ansvarigs personal uttryckligen ber om hjälp med sådan bearbetning, vilken då utförs av Biträdet som inloggad i Ansvarigs del av webbtjänsten (affärssystemet), och där loggas liksom övriga medarbetare.

🔐 Hur vi skyddar persondata:

Känsliga personuppgifter som de specificeras i Dataskyddsförordningen, lagras som lagkrav eller där Ansvarig önskar lagra sådan uppgift efter samråd med Biträdet, i mindre omfattning och med samtycke från berörda personer under betryggande omständigheter i handhavandet. Här måste man tänka på att även personnummer räknas till denna grupp och bara får användas och lagras under särskilda omständigheter.

Inbyggt dataskydd eller "by design" betonas i Artikel 25 Dataskyddsförordningen.
Detta gäller både organisatoriska former men även webbtjänsten (affärssystemet) som genom att dela upp personuppgiftshanteringen i tre tydliga separata delar som stödjer personalen i arbetet både genom automatik, tydlighet i programmiljön och genom organisatoriskt informationsstöd.

1. Persondata som ska sparas med lagkrav. Detta är uppgifter av typ namn och adress på offerter, fakturor och liknande samt data kopplade till dessa som betalningsdata. Detta lyder under bokföringslagen och måste sparas i 7 år.

2. Utökade persondata lagras i varje kunds kundsida. Utskrifter som ska arkiveras placerar en kopia i kundsidan och...
Visa mer... ger t.ex. för en faktura operatören val för utskrift på papper, utskrift till PDF, att skicka (med kundens samtycke) fakturan direkt till kundens mejl eller endast mejla meddelande om att "nytt inlägg gjorts på din kundsida". Kund kan sedan logga in via lämnad mejladress. Meddelande och generell länk ger ingen inloggningsmöjlighet, utan kund påbörjar inloggning genom att uppge sin mejladress varvid systemet skickar e inloggningskod kopplat till den specifika sessionen vilket kunden kopierar och klistrar in i lösenordsfältet (så inloggningskoden / lösenordet är värdelöst för alla andra). Det hela är ett engångslösenord så kunden behöver inte komma ihåg det, kan inte förlora det och kan bara återinlogga om användaren bockar för "Kom ihåg min inloggning i en kaka på denna dator.". Denna cookie upphör att gälla efter en tid men användaren kan förnya det enkla förfarandet så ofta och så säkert den vill från valfri enhet. När återinloggning från cookie sker, så skickar webbtjänsten istället för inloggningskod ett bekräftelsemejl till kunden för dennes vetskap om inloggningen för att förhindra missbruk. Väl inne kan kunden ta del av sin kundsida samt annan information om personen ingår i en grupp t.ex. för sitt företag eller av öppen natur för samtliga inloggade kunder.
På den egna kundsidan ser kunden aktuellt inlagt, full historik, noteringar som personalen gjort med möjlighet att välja en utskrift, mejla (med beaktande av osäkerheten i detta) eller klipp och klistra. Kunden kan med andra ord själv när som helst logga in och uppnå enkel portabilitet i maskinläsbar form genom klipp och klistra för rådata alternativt utskrift till PDF för bibehållen formatering i uppfyllelse med DataskyddsförordningensArtikel 20.


3. Ostrukturerad persondata bör inte och behöver inte förekomma i webbtjänsten (affärssystemet) utanför punkt 1 och 2 då anonymiserade länkar lätt kan läggas till...
Visa mer... kundnummer, företag, samarbetsgrupper, kategorier eller liknande med snabb listpresentation från kundregistret och dess kundsidor inbäddat i annat arbetsmaterial. Länkarna består för medverkande i ett företag, efter samtycke eller annat även då en enskild kund lämnar och vill bli glömd. Ostrukturerad data i mejl (företrädesvis webbtjänstens webbmejl) bör snarast raderas eller kopieras till kundsidan. Mejlutskick från webbtjänsten kan också göras både elegantare, effektivare och säkrare i uppfyllelse av GDPR utöver transportsäkerheten till egna servern i nyttjandet av webbtjänstens webbmejl. Man får dock aldrig glömma att mellan webbtjänstens mejlserver och kundens mottagande mejlserver finns inga garantier för säkerhet. Adressregister bör heller inte föras i den integrerade webbmejlen för att undvika att detta då klassas som ett eget personregister med allt vad det innebär. Kund och kontaktregistret ger den sammanhållna, strukturerbara (som beskrivet i punkt 2) och lätt sökbara miljön som ger verksamheten överblick, personal tydlighet och kunderna persondatasäkerhet.

Organisatorisk policy i Ansvarigs verksamhet som följer det ovan sagda ger en tydlighet i arbetet, bra rutiner för medarbetarna, sammanhållna data...
Visa mer... lätta att överblicka och förklara för kunder och myndigheter med en utomordentlig grund för en stabil relation med kunder och Dataskyddsförordningen i samklang med Biträdet. När kund önskar att bli glömd så utförs detta genom att kundsidan markeras för radering och sparas. Aktiv post tas då omedelbart bort inklusive alla inlägg och säkerhetskopiorna försvinner efterhand som de ersätts, ofta efter 30 dagar men garanterat inom 180 dagar beroende av krav på spårbarhet och historik. Dessa kopior har dock inte Ansvarig någon direkt åtkomst till utan återställning kan endast utföras av Biträdet. Därmed är kunden omedelbart glömd i praktiska termer för den verksamhet där åtgärden begärdes. Det åligger Ansvarig att bibehålla en enkel sidoordnad notering om kundnummer till glömda kunder med datering, så att dessa omedelbart kan raderas om säkerhetskopia skulle behöva återställas.

Ansvarig har det fulla ansvaret för att inga persondata hanteras i webbtjänsten som inte har laga grund. Ansvarig ska också vara försiktiga vid...
Visa mer... insamling, hantering och bearbetning av persondata och särskilt betänka placering av bildskärmar så att andra kunder och besökare i verksamheten inte kan ta del av annan kunds persondata. Logga ut ur tjänsten när datorenhet lämnas obevakad eller lokaler är tomma och förvara inga lösenord åtkomliga för andra. Endast använda persondata baserat på godkända kriterier enligt Dataskyddsförordningen och tydligt informera sina kunder där kundens samtycke behövs för erbjudande av tilläggstjänster.
Vid användande av mejl (företrädesvis tjänstens säkra webbmejl) inte spara mejl med persondata, utan vid behov av att spara uppgifterna kopiera dem till kundens Kundsida i webbtjänsten (affärssystemet) där all trafik är krypterad och alla persondata samlade där kunden själv kan logga in och ta del av alla lagrade uppgifter som offerter och fakturor, dela foton och dokument samt ta del av meddelanden, ställa frågor och kommunicera på ett säkert sätt från kund till verksamhet. När kunden kommunicerar över mejl så är kommunikationen INTE säker utan sker öppet och okrypterat, möjlig att avlyssna. Mejlutskick ska följa Dataskyddsförordningen, vara måttliga, gärna roliga men ärliga och hederliga.


Biträdet ska skydda data både genom fysiskt skalskydd (lokalerna), via aktiva och passiva programskydd på server och klient, via inloggning och sekretess, samt via krypterad överföring mellan server och klient baserat på industristandarden HTTPS (vilket visas i webbläsaren i form av ett grönt hänglås).
I detta skydd ingår även...
Visa mer... tjänstens webbmejl vilken skickar mejl krypterat mellan klienterna i den interna verksamheten och okrypterat till och från servern vid kommunikation med mejlavsändare och mottagare utanför, på det öppna Internet.
Mejlservern skyddas även den av aktiva programskydd och organisatoriska åtgärder specifika för verksamheten för att förhindra intrång och annan driftstörande verksamhet.
Säkerhetskopior tas kontinuerligt i flera nivåer från kopior av enskilda poster direkt under redigering, via kopior av kunders datamängder till datahallens kompletta automatiska serverkopiering för snabb återställning om ett serverhaveri skulle inträffa. Transport av säkerhetskopior sker över krypterade linjer och lagring sker i skyddad skalmiljö.
Endast Biträdet/Underbiträdet har access till tjänstens historiska säkerhetskopior och loggar. Ansvarig hos respektive webbtjänstkund får endast del av dessa under två förutsättningar. För återställande av förlorade data eller för utdrag av data från specifik händelse. Kopior och loggar kan också komma att lämnas ut på myndighets begäran och laga beslut. Webbtjänstkund har rätt till vad som framgår nedan att få ut samtliga sina lagrade data, men detta innefattar inte loggar som är gemensamma för tjänsten.


Underbiträdets uppgift är att tillhandahålla serverhall, hög upptid med god anslutning till internet och komplett serverbackup för biträdets räkning, under betryggande former för drift och säkerhet. Till detta avtals giltighet är kopplat...
Visa mer... generellt underbiträdesavtal med FS Data AB i Helsingborg. fsdata...
För mer information om driftsäkerhet se fsdata...
Biträde är ansvarig för underbiträde som om denne själv utfört behandlingen inom ramen för icke kriminella handlingar eller icke kriminell försumlighet.


📜 Så följer en serie formella punkter kopplade till respektive Artikel i Dataskyddsförordningen.
Sekretess, ansvar, behandlingsregister, tillsynsmyndigheten, säkerhet, incidenthantering, upphörande...
Visa mer...
Ur Artikel 29 - Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende
Personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.

All behandling som utförs av personuppgiftsbiträdet ska ske under sekretess där all personal är bunden av sekretessförbindelse i förhållande till behandlingen av personuppgifter.

Ur Artikel 30 - Register över behandling
Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar.
(Se Artikel 30 för undantag från kravet att föra behandlingsregister.)

Biträdet rekommenderar att alltid föra ett komplett sådant register då kundregister och dylikt som här är det primära är att betrakta som stadigvarande och i avsaknad av prejudikat på området för små företag rekommenderas att betraktas som en skyldighet. För webbtjänsten finns färdig registerbeskrivning, men Ansvarig måste också beakta andra system som används i Ansvarigs verksamhet. Det nu nämnda behandlingsregistret kan utökas med beskrivning över verksamhetens samtliga personuppgiftsbärande register i såväl stationära, bärbara och mobila system, inklusive distansinsamlande system IOT.)

Ur Artikel 31 - Samarbete med tillsynsmyndigheten
Den personuppgiftsansvarige och personuppgiftsbiträdet samt, i tillämpliga fall, deras företrädare ska på begäran samarbeta med tillsynsmyndigheten vid utförandet av dennes uppgifter.

Ur Artikel 32 - Säkerhet i samband med behandlingen
Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt.

Biträdet ska behandla alla personuppgifter med beaktande av god organisatorisk och teknisk säkerhet mot förlust av data genom intrång, fysisk åtkomst och annat. Om detta trots vidtagna åtgärder ändå skulle ske, utan dröjsmål informera personuppgiftsansvarig om det inträffade och i samråd informera Datainspektionen om incidenten och omgående ordna med att samtliga berörda personer blir informerade om att deras personuppgifter kommit på avvägar. Ansvarig ska likaledes informera Biträdet om Ansvarig misstänker eller har kännedom om incident.

Ur Artikel 33 - Anmälan av en personuppgiftsincident till tillsynsmyndigheten
Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är behörig i enlighet med artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.

Notera att det är Ansvarig som ska anmäla och Biträdet som bistår. Vid eventuell incident, se Artikel 33 för detajlinformation...

Biträdet ska i skälig omfattning bistå Ansvarig för dennes uppfyllelse av sina förpliktelser. För support till andra, inkl. personuppgiftsansvarigs personal och kunder samt hjälp i samband med incident eller annat särskilt behov där biträdet eller underbiträdet inte är orsakande eller i övrigt är utanför biträdets direkta ansvar, äger biträdet rätt till skälig ersättning för arbetsuppgifter som personuppgiftsansvarig begärt och biträdet accepterat. Detta såvida inte annat skriftligen avtalats eller specifikt angivits som ingående i tjänst vilken Ansvarig löpande köper av Biträdet.

Biträdets verksamheten är helt molnbaserad där all data lagras i Sverige. Eventuell inspektion för kontroll av detta avtals uppfyllelse fordrar Ansvarigs anpassning till denna förutsättning, där Biträdet bistår med behövlig information. Tillträde till server kan endast beviljas myndighet då flera företag ligger på samma server i tjänsten. För företag med behov av direkt serveraccess föreligger behov av egen server för vilket förfrågan är välkommen.

Biträdets ansvar och ersättningsskyldighet vid driftstörning eller incident till Ansvarig ska vid varje tillfälle maximalt inte överstiga den ersättning som Biträdet erhållit för innevarande betalningsperiod från Ansvarig. För driftstörningar eller incidenter utanför Biträdets kontroll som följande exempel men ej begränsat till, DDos-attacker, driftstörningar i allmänna kommunikationsnät eller hos ISP's (Internet Service Providers), myndighetsbeslut, strejk, lockout eller annan samhällskris, är biträdet inte i någon form ersättningsskyldig för.
Ersättningskrav som här nämns ska framställas i direkt anslutning till händelsen och inte senare än 30 dagar efter incident. Sådan ersättning gäller för direkt skada och utgiven kostnad under Dataskyddsförordningen och inte för indirekta skador eller kostnader exempelvis i form av utebliven vinst eller goodwill.
Ansvarig kan också i motsvarande grad bli ersättningsskyldig mot Biträdet om Ansvarigs behandling av personuppgifter står i strid med Dataskyddsförordningen och därigenom, eller på annat sätt, orsakat Biträdet skada.

Detta avtal kommer att uppdateras om Datainspektionen eller annan myndighet kommer med nya instruktioner, prejudikat föreligger från svensk domstol eller från EU-domstol alternativt av annan behövlig orsak för att förtydliga och bibehålla en god balans mellan parterna. Sådan uppdatering publiceras här i IT-hjälpen under GDPR med originallänk samt med markering av ändring och länk till föregående version. Rättning av uppenbara stavfel eller annat skrivfel rättas direkt. Om Ansvarig känner sig missgynnad av ändringen så ska den tidigare versionen gälla i 30 dagar efter ändringen. Publiceringar om detta och annat vitalt för webbtjänsten finns omedelbart tillgängligt för alla kunder på IT-Hjälpens förstasida, och det ligger på Ansvarig själv att hålla sig informerad genom att följa dessa. Biträdet rekommenderar ett dagligt klick som inloggad på IT-Hjälpen i webbtjänstens huvudmeny för en snabb överblick av IT-Hjälpens förstasida, kallad Översikt.


❌ Åtgärder vid personuppgiftsbiträdesavtalets upphörande

Detta avtal upphör att gälla så snart de tjänster som legat till grund för avtalet upphör. Undantaget vad som här följer.

Ur Artikel 28 - Personuppgiftsbiträden
Att Biträdet 3. g) beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänster har avslutats, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt...

Om Ansvarig i denna situation inte instruerar Biträdet om åtgärd så har Biträdet rätt att radera samtliga uppgifter efter 30 dagar efter att Biträdet via webbtjänstens inloggning alternativt skickat information via normala kontaktkanaler till Ansvarig med information om att radering kommer att utföras, och med skyldighet att göra så inom 180 dagar från det att behandlingstjänsterna avslutats vilket de gjort via formell uppsägning eller genom utebliven betalning. Om laga hinder för radering föreligger åligger det Ansvarig att fullgöra betalning för förfluten tid för rättigheten att återuppta behandlingen. För utlämnande av data i efterhand kommer själig ersättning att begäras. Utlämning av rådata i samband med ordnad uppsägning av tjänsterna, är kostnadsfri.
Viss data som inbäddade dokument och media kan för enkel åtkomst på ordinär PC behöva laddas ner direkt från webbapplikationen och sparas som fristående filer, vilket ligger på personuppgiftsansvarig att göra om så önskas.
Alla data som arkiverats vid utskrift som t.ex. fakturor, finns sparade i standard mejlformat och samtliga arkivmejl mejlas till mejladress som personuppgiftsansvarig uppger. Dessa mejl med fakturor och andra dokument är i fullt läsbart och i ursprunglig form i enlighet med bokföringslagens krav på läsbarhet. Överföringen fordrar en mottagande mejlserver / klient som accepterar ett kontinuerligt mottagande av hundratals till tusentals mejl utan blockering. Ansvar för detta åligger personuppgiftsansvarig men Biträdet kan mot själig ersättning bistå.
Formatering och strukturering av data i våra webbtjänster bygger som rådata på styrande metataggar till proprietär programvara där bibehållen presentation inte kan återskapas utanför denna. Vid export kan rådata rensas från alla sådana metataggar och kvar finns då faktiskt textbaserat innehåll för export som XML eller CSV.


För detta avtal gäller svensk rätt. Tvist i anledning av detta avtal ska hanteras som Förenklat tvistemål vid Ystads Tingsrätt.