Avtal om databehandling
Här kan du ta del av det personuppgiftsbiträdesavtal som ligger till grund för behandlingen av personuppgifter när du är kund hos Elvium.
(Databehandlingsavtalet kommer att skickas för elektronisk underskrift när huvudavtalet har undertecknats och godkänts).
Tillägg till huvudavtalet
Avtal om databehandling
Personuppgiftsansvarig
Företag x CVR x Adressrad Postnummer och ort Danmark
Personuppgiftsbiträden
Elvium ApS CVR 34709459 Flæsketorvet 68 1711 Köpenhamn V Danmark
1. Innehållsförteckning
- 1. Innehållsförteckning
- 2. Bakgrund till personuppgiftsbiträdesavtalet
- 3. Den personuppgiftsansvariges skyldigheter och rättigheter
- 4. Personuppgiftsbiträdet agerar enligt instruktioner
- 5. Konfidentialitet
- 6. Säkerhet vid bearbetning
- 7. Användning av underbiträden
- 8. Överföring av uppgifter till tredje land eller internationella organisationer
- 9. Assistans till den personuppgiftsansvarige
- 10. Anmälan om personuppgiftsincident
- 11. Radering och återlämnande av uppgifter
- 12. Övervakning och revision
- 13. avtal mellan parterna om andra frågor
- 14. Ikraftträdande och upphörande
- 15. kontaktpersoner/kontaktpunkter hos den personuppgiftsansvarige och personuppgiftsbiträdet
- Bilaga A Information om behandlingen
- Bilaga B Villkor för personuppgiftsbiträdets användning av underbiträden och förteckning över underbiträden...
- Bilaga C Instruktioner för behandling av personuppgifter
2. Bakgrund till personuppgiftsbiträdesavtalet
I detta avtal anges de rättigheter och skyldigheter som gäller när personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning.
Avtalet är utformat för att parterna ska kunna följa artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), som ställer särskilda krav på innehållet i ett databehandlingsavtal.
Personuppgiftsbiträdet behandlar personuppgifter i syfte att fullgöra parternas "huvudavtal"
Personuppgiftsbiträdesavtalet och "huvudavtalet" är beroende av varandra och kan inte sägas upp separat. Databehandlingsavtalet kan dock - utan att "huvudavtalet" sägs upp - ersättas av ett annat giltigt databehandlingsavtal, se punkt 14 i databehandlingsavtalet.
Detta personuppgiftsbiträdesavtal har företräde framför eventuella liknande bestämmelser i andra avtal mellan parterna, inklusive "Huvudavtalet".
Det finns tre bilagor till detta avtal. Bilagorna fungerar som en integrerad del av personuppgiftsbiträdesavtalet.
Bilaga A till personuppgiftsbiträdesavtalet innehåller närmare uppgifter om behandlingen, inklusive syftet med och arten av behandlingen, typen av personuppgifter, kategorierna av registrerade och behandlingens varaktighet.
Bilaga B till personuppgiftsbiträdesavtalet innehåller den personuppgiftsansvariges villkor för att personuppgiftsbiträdet ska få använda eventuella underbiträden, samt en förteckning över eventuella underbiträden som den personuppgiftsansvarige har godkänt.
Bilaga C till personuppgiftsbiträdesavtalet innehåller detaljerade instruktioner om vilken behandling som personuppgiftsbiträdet måste utföra för den personuppgiftsansvariges räkning (den som är föremål för behandlingen), vilka säkerhetsåtgärder som minst måste vidtas och hur personuppgiftsbiträdet och eventuella underbiträden övervakas.
Personuppgiftsbiträdesavtalet och tillhörande bilagor förvaras skriftligen, inklusive elektroniskt av båda parter.
Detta databehandlingsavtal befriar inte personuppgiftsbiträdet från skyldigheter som direkt åläggs personuppgiftsbiträdet genom den allmänna dataskyddsförordningen eller någon annan lagstiftning.
Detta personuppgiftsbiträdesavtal är baserat på det personuppgiftsbiträdesavtal som har utarbetats av den danska datainspektionen, men innehåller flera avvikelser från den danska datainspektionens mall.
3. Den personuppgiftsansvariges skyldigheter och rättigheter
Den personuppgiftsansvarige är generellt ansvarig gentemot omvärlden (inklusive den registrerade) för att se till att behandlingen av personuppgifter sker inom ramen för dataskyddsförordningen och dataskyddslagen.
Den personuppgiftsansvarige har därför både rättigheter och skyldigheter att fatta beslut om ändamålen med och medlen för behandlingen.
Den personuppgiftsansvarige är bland annat ansvarig för att säkerställa att det finns en rättslig grund för den behandling som personuppgiftsbiträdet instrueras att utföra.
4. Personuppgiftsbiträdet agerar enligt instruktioner
Personuppgiftsbiträdet ska endast behandla personuppgifter enligt den personuppgiftsansvariges dokumenterade instruktioner, såvida inte detta krävs enligt unionsrätten eller en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av. I så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om detta rättsliga krav före behandlingen, såvida inte denna rätt förbjuder sådan information av hänsyn till ett viktigt allmänintresse, jfr artikel 28.3 a.
Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om personuppgiftsbiträdet anser att en instruktion strider mot GDPR eller dataskyddsbestämmelser i annan EU-lagstiftning eller medlemsstatslagstiftning.
5. Konfidentialitet
Personuppgiftsbiträdet ska se till att endast behöriga personer har tillgång till de personuppgifter som behandlas för den personuppgiftsansvariges räkning. Tillgången till uppgifterna måste därför omedelbart stängas av om behörigheten återkallas eller upphör att gälla.
Endast personer som behöver tillgång till personuppgifterna för att kunna fullgöra personuppgiftsbiträdets skyldigheter gentemot den personuppgiftsansvarige får ges behörighet.
Personuppgiftsbiträdet ska se till att de personer som är behöriga att behandla personuppgifter för den personuppgiftsansvariges räkning har förbundit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt.
På begäran av den personuppgiftsansvarige måste personuppgiftsbiträdet kunna visa att de berörda medarbetarna omfattas av den ovannämnda tystnadsplikten.
6. Säkerhet vid bearbetning
Personuppgiftsbiträdet ska vidta alla åtgärder som krävs enligt artikel 32 i GDPR, där det bland annat anges att, med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska lämpliga tekniska och organisatoriska åtgärder vidtas för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna.
Ovanstående skyldighet innebär att personuppgiftsbiträdet måste genomföra en riskbedömning och därefter vidta åtgärder för att motverka identifierade risker. Beroende på vad som är relevant kan detta bland annat innefatta följande åtgärder:
a. Pseudonymisering och kryptering av personuppgifter
b. Förmåga att återställa tillgänglighet och åtkomst till personuppgifter i tid i händelse av en fysisk eller teknisk incident
c. Förmåga att säkerställa fortsatt konfidentialitet, integritet, tillgänglighet och motståndskraft hos system och tjänster för behandling
d. Ett förfarande för att regelbundet testa, bedöma och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärderna för att säkerställa säkerheten vid behandlingen.
I samband med ovanstående ska Personuppgiftsbiträdet - i samtliga fall - minst implementera den säkerhetsnivå och de säkerhetsåtgärder som närmare anges i Bilaga C till detta avtal.
Personuppgiftsbiträdet ska dessutom hjälpa den personuppgiftsansvarige att fullgöra dennes skyldigheter enligt artikel 32 i förordningen, bland annat genom att förse den personuppgiftsansvarige med nödvändig information om de tekniska och organisatoriska säkerhetsåtgärder som personuppgiftsbiträdet redan har vidtagit enligt artikel 32 i förordningen och all annan information som är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter enligt artikel 32 i förordningen.
Eventuell reglering/överenskommelse mellan parterna om ersättning eller liknande i samband med den personuppgiftsansvariges eller personuppgiftsbiträdets efterföljande krav på att vidta ytterligare säkerhetsåtgärder kommer att framgå av parternas "huvudavtal".
7. Användning av underbiträden
Personuppgiftsbiträdet måste uppfylla de villkor som avses i artikel 28.2 och 28.4 i dataskyddsförordningen för att kunna använda ett annat personuppgiftsbiträde (underbiträde).
Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde (underbiträde) för att fullgöra personuppgiftsbiträdesavtalet utan föregående särskilt eller allmänt skriftligt godkännande från den personuppgiftsansvarige.
Om det finns ett allmänt skriftligt tillstånd ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planerade ändringar som innebär att andra personuppgiftsbiträden läggs till eller ersätts, och därigenom ge den personuppgiftsansvarige möjlighet att invända mot sådana ändringar.
Den personuppgiftsansvariges detaljerade villkor för personuppgiftsbiträdets användning av eventuella underbiträden framgår av bilaga B till detta avtal.
Den personuppgiftsansvariges eventuella godkännande av specifika underbiträden anges i bilaga B till detta avtal.
När personuppgiftsbiträdet har den personuppgiftsansvariges godkännande att använda ett underbiträde ska personuppgiftsbiträdet se till att personuppgiftsbiträdet ålägger underbiträdet samma dataskyddsskyldigheter som de som anges i detta personuppgiftsbiträdesavtal genom ett avtal eller annat rättsligt dokument i enlighet med EU-lagstiftningen eller medlemsstaternas lagstiftning, särskilt genom att tillhandahålla nödvändiga garantier för att underbiträdet kommer att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i dataskyddsförordningen.
Personuppgiftsbiträdet är således ansvarigt för att - genom ingående av ett underbiträdesavtal - ålägga varje underbiträde åtminstone de skyldigheter som personuppgiftsbiträdet självt är föremål för enligt dataskyddsreglerna och detta databehandlingsavtal med tillhörande bilagor.Underbiträdesavtalet och eventuella senare ändringar av detta ska - på begäran av den personuppgiftsansvarige - skickas i kopia till den personuppgiftsansvarige, som därigenom har möjlighet att säkerställa att ett giltigt avtal har ingåtts mellan personuppgiftsbiträdet och underbiträdet. Eventuella kommersiella villkor, t.ex. priser, som inte påverkar dataskyddsinnehållet i avtalet med underbiträdet, ska inte skickas till den registeransvarige.
Personuppgiftsbiträdet ska om möjligt inkludera den personuppgiftsansvarige som tredje parts förmånstagare i sina avtal med relevanta underbiträden i händelse av att personuppgiftsbiträdet går i konkurs, så att den personuppgiftsansvarige kan överta personuppgiftsbiträdets rättigheter och göra dem gällande mot underbiträdet, t.ex. så att den personuppgiftsansvarige kan instruera underbiträdet att radera eller återlämna uppgifter.
Om underbiträdet inte fullgör sina skyldigheter i fråga om uppgiftsskydd förblir underbiträdet fullt ansvarigt gentemot den personuppgiftsansvarige för att underbiträdets skyldigheter fullgörs.
8. Överföring av uppgifter till tredje land eller internationella organisationer
Personuppgiftsbiträdet får endast behandla personuppgifter enligt den personuppgiftsansvariges dokumenterade instruktioner, inbegripet när det gäller överföring (överlåtelse, utlämnande och intern användning) av personuppgifter till tredjeländer eller internationella organisationer, såvida inte detta krävs enligt unionsrätten eller en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av. I så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om detta rättsliga krav före behandlingen, såvida inte denna rätt förbjuder sådan information av hänsyn till ett viktigt allmänintresse, se artikel 28.3 a.
Utan den personuppgiftsansvariges instruktioner eller godkännande får personuppgiftsbiträdet därför - inom ramen för personuppgiftsbiträdesavtalet - inte: a. lämna ut personuppgifterna till en personuppgiftsansvarig i ett tredjeland eller i en internationell organisation b. överlåta behandlingen av personuppgifter till ett underbiträde i ett tredjeland c. låta uppgifterna behandlas på en annan avdelning hos personuppgiftsbiträdet som är belägen i ett tredjeland.Den Personuppgiftsansvariges eventuella instruktioner eller tillstånd för överföring av personuppgifter till ett tredje land kommer att anges i bilaga C till detta Avtal.
Dessa klausuler ska inte förväxlas med standardavtalsklausuler i den mening som avses i artikel 46.2 c och d i GDPR och dessa klausuler kan inte utgöra en grund för överföring av personuppgifter i den mening som avses i kapitel V i GDPR.
9. Assistans till den personuppgiftsansvarige
- Personuppgiftsbiträdet ska, med beaktande av behandlingens art, i möjligaste mån och med hjälp av lämpliga tekniska och organisatoriska åtgärder bistå den personuppgiftsansvarige med att fullgöra dennes skyldighet att besvara begäran om utövande av den registrerades rättigheter enligt kapitel 3 i GDPR. Detta innebär att personuppgiftsbiträdet i möjligaste mån ska bistå den personuppgiftsansvarige med att säkerställa efterlevnad:
a. skyldigheten att tillhandahålla information när personuppgifter samlas in från den registrerade b.
Skyldighet att lämna information om personuppgifter inte har samlats in från den registrerade. c. Den registrerades rätt till tillgång. d. Rätt till rättelse. e.
Rätten till radering ("rätten att bli bortglömd") f. Rätten till begränsning av behandling g.
Rätten att bli informerad om rättelse eller radering av personuppgifter eller begränsning av behandling. h.
Rätten till dataportabilitet i. Rätten att göra invändningar j. Rätten att invända mot resultatet av automatiserade individuella beslut, inbegripet profilering.
- Personuppgiftsbiträdet ska, utöver personuppgiftsbiträdets skyldigheter enligt punkt 6.3, bistå den personuppgiftsansvarige med att säkerställa efterlevnad av den personuppgiftsansvariges skyldigheter enligt artiklarna 32-36 i dataskyddsförordningen, med beaktande av behandlingens art och den information som är tillgänglig för personuppgiftsbiträdet, jfr artikel 28.3 f. Detta innebär att personuppgiftsbiträdet, med beaktande av behandlingens art, ska bistå den personuppgiftsansvarige i samband med att den personuppgiftsansvarige säkerställer efterlevnad av:
a. skyldigheten att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till de risker som behandlingen medför i enlighet med artikel 32 i GDPR
b. Skyldigheten att anmäla en personuppgiftsincident till tillsynsmyndigheten (den danska dataskyddsmyndigheten) utan onödigt dröjsmål och, om möjligt, senast 72 timmar efter det att den personuppgiftsansvarige har fått kännedom om incidenten, såvida det inte är osannolikt att personuppgiftsincidenten leder till en risk för fysiska personers rättigheter och friheter. c.
Skyldigheten att utan onödigt dröjsmål underrätta den eller de registrerade om en personuppgiftsincident, om det är sannolikt att en sådan incident leder till en hög risk för fysiska personers rättigheter och friheter. Skyldigheten att genomföra en konsekvensbedömning avseende dataskydd, om en typ av behandling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Skyldigheten att samråda med tillsynsmyndigheten (dataskyddsmyndigheten) före behandling om en konsekvensbedömning avseende dataskydd visar att behandlingen sannolikt leder till en hög risk om den personuppgiftsansvarige inte vidtar åtgärder för att minska risken. - Eventuell reglering/överenskommelse mellan parterna om ersättning eller liknande i samband med personuppgiftsbiträdets biträde till den personuppgiftsansvarige kommer att framgå av parternas "huvudavtal".
- Parterna ska i bilaga C ange de nödvändiga tekniska och organisatoriska åtgärder som personuppgiftsbiträdet ska bistå den personuppgiftsansvarige med och i vilken utsträckning och på vilket sätt. Detta gäller för de skyldigheter som följer av punkterna 9.1 och 9.2.
10. Anmälan om personuppgiftsincident
Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått kännedom om att en personuppgiftsincident har inträffat hos personuppgiftsbiträdet eller något underbiträde. Personuppgiftsbiträdets underrättelse till den personuppgiftsansvarige ska om möjligt ske omedelbart efter att ha fått kännedom om incidenten så att den personuppgiftsansvarige har möjlighet att fullgöra en eventuell skyldighet att rapportera incidenten till tillsynsmyndigheten inom 72 timmar.
I enlighet med avsnitt 9.2 b i detta avtal ska personuppgiftsbiträdet - med beaktande av behandlingens art och den information som är tillgänglig - hjälpa den personuppgiftsansvarige att anmäla incidenten till tillsynsmyndigheten. Detta kan innebära att personuppgiftsbiträdet bland annat måste hjälpa till att tillhandahålla följande information, som enligt artikel 33.3 i GDPR måste ingå i den personuppgiftsansvariges anmälan till tillsynsmyndigheten: a.
Personuppgiftsincidentens art, inklusive, om möjligt, kategorierna och det ungefärliga antalet registrerade som påverkas samt kategorierna och det ungefärliga antalet personuppgiftsregister som påverkas. b.
Troliga konsekvenser av personuppgiftsincidenten c. Åtgärder som vidtagits eller föreslås vidtas för att hantera personuppgiftsincidenten, inklusive, i tillämpliga fall, åtgärder för att mildra dess eventuella negativa effekter.
11. Radering och återlämnande av uppgifter
När behandlingstjänsterna upphör ska personuppgiftsbiträdet vara skyldigt att, enligt den personuppgiftsansvariges val, radera eller återlämna alla personuppgifter till den personuppgiftsansvarige och radera befintliga kopior, såvida inte EU-lagstiftning eller nationell lagstiftning föreskriver lagring av personuppgifterna.
12. Övervakning och revision
Personuppgiftsbiträdet ska göra all information tillgänglig för den personuppgiftsansvarige som är nödvändig för att visa att personuppgiftsbiträdet följer artikel 28 i den allmänna dataskyddsförordningen och detta avtal och ska möjliggöra och bidra till revisioner, inklusive inspektioner, som utförs av den personuppgiftsansvarige eller en annan revisor som godkänts av den personuppgiftsansvarige.
Det detaljerade förfarandet för den Personuppgiftsansvariges tillsyn av Personuppgiftsbiträdet framgår av Bilaga C till detta Avtal.
- Den personuppgiftsansvariges övervakning av eventuella underbiträden utförs i allmänhet genom personuppgiftsbiträdet. Det detaljerade förfarandet för detta anges i bilaga C till detta avtal.
- Personuppgiftsbiträdet ska vara skyldigt att ge myndigheter som har tillgång till den personuppgiftsansvariges och personuppgiftsbiträdets anläggningar enligt den vid varje tidpunkt gällande lagstiftningen, eller företrädare som agerar på myndighetens vägnar, tillgång till personuppgiftsbiträdets fysiska anläggningar mot korrekt identifiering.
13. avtal mellan parterna om andra frågor
Eventuell (särskild) reglering av konsekvenserna av parternas brott mot personuppgiftsbiträdesavtalet kommer att framgå av parternas "huvudavtal".
Eventuell reglering av övriga frågor mellan parterna kommer att framgå av parternas "huvudavtal".
- Bestämmelserna i detta databehandlingsavtal kommer inte direkt eller indirekt att strida mot bestämmelserna eller inskränka de grundläggande rättigheterna och friheterna för den registrerade enligt den allmänna dataskyddsförordningen.
14. Ikraftträdande och upphörande
Detta avtal träder i kraft när det har undertecknats av båda parter.
Avtalet kan omförhandlas av endera parten om förändringar i lagstiftning eller olämplighet i avtalet föranleder detta.
- Eventuell reglering/överenskommelse mellan parterna om ersättning, villkor eller liknande i samband med ändring av detta avtal framgår av parternas "huvudavtal".
- Personuppgiftsbiträdesavtalet kan sägas upp i enlighet med de villkor för uppsägning, inklusive uppsägningstid, som framgår av "huvudavtalet".
- Avtalet är giltigt så länge behandlingen fortsätter. Oavsett om "huvudavtalet" och/eller personuppgiftsbiträdesavtalet upphör att gälla, kommer personuppgiftsbiträdesavtalet att fortsätta att gälla till dess att personuppgiftsbiträdet och eventuella underbiträden avslutar behandlingen och raderar uppgifterna.
- Din signatur
För den personuppgiftsansvariges räkning
På uppdrag av personuppgiftsbiträdet
Jesper Andersen VD Datum xx/xx xxxx
15. kontaktpersoner/kontaktpunkter hos den personuppgiftsansvarige och personuppgiftsbiträdet
Parterna kan kontakta varandra via nedanstående kontaktpersoner/kontaktpunkter:
Parterna är skyldiga att hålla varandra informerade om förändringar avseende kontaktperson/kontaktpunkt.
För den personuppgiftsansvariges räkning
På uppdrag av personuppgiftsbiträdet
Jesper Andersen VD (+45) 7199 2860 ja@elvium.com
Bilaga A Information om behandlingen
Ändamålet med personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning är:
Den Personuppgiftsansvarige använder Personuppgiftsbiträdets rekryteringssystem för att samla in och behandla information om kandidater för anställning hos den Personuppgiftsansvarige och/eller hos den Personuppgiftsansvariges kunder om den Personuppgiftsansvarige tillhandahåller rekryteringstjänster.
När den personuppgiftsansvarige använder personuppgiftsbiträdets rekryteringssystem är det enbart den personuppgiftsansvarige som bestämmer i vilket syfte och med vilka medel de personuppgifter som registreras i samband med användningen av rekryteringssystemet får behandlas.
Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning avser främst (behandlingens art): Personuppgiftsbiträdet gör sitt rekryteringssystem tillgängligt för den Personuppgiftsansvarige och lagrar därigenom personuppgifter om kandidater.
Behandlingen av ansökningar omfattar således automatiska e-postsvar till kandidater (bekräftelse, avslag och inbjudan), objektiv sortering av alla inkommande sökande enligt de specifika kraven för tjänsten och de frågor som ställs av den personuppgiftsansvarige, bokning av anställningsintervjuer, videorekrytering (om sådan köpts) och kandidatdatabas samt import av andra möjliga kandidater.
De personuppgifter som den personuppgiftsansvarige har tillgång till är information om sökande (kandidater) som kandidaterna själva har lagt in eller bifogat i rekryteringssystemet och som har gjorts tillgänglig för den personuppgiftsansvarige.
Behandlingen omfattar följande typer av personuppgifter om de registrerade:
Personuppgifter som behandlas omfattar information som ingår i rekryteringen, inklusive typiskt sett men inte begränsat till: Namn, e-postadress, telefonnummer, adress, personnummer, ålder, kön, nuvarande arbetsplats, kompetens, utbildning etc.
Behandlingen omfattar följande kategorier av registrerade personer:
De personuppgifter som den personuppgiftsansvarige har tillgång till är information om sökande (kandidater) som kandidaterna själva har lagt in eller bifogat i rekryteringssystemet och gjort tillgänglig för den personuppgiftsansvarige. Vid import av personuppgifter om kandidater i rekryteringssystemet som inte själva har lagt in uppgifter, är det den personuppgiftsansvariges ansvar att fullgöra uppgiftsskyldigheten i förhållande till dessa kandidater. Den personuppgiftsansvarige är fullt ansvarig för behandlingen av de personuppgifter som överförs till och behandlas i den personuppgiftsansvariges egen organisation och egna system samt för eventuellt utlämnande av personuppgifter till tredje part.
Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning får påbörjas efter att detta avtal trätt i kraft.
Behandlingensvaraktighet är följande: Behandlingen är inte tidsbegränsad och varar till dess att avtalet sägs upp eller hävts av en av parterna. När huvudavtalet upphör att gälla kommer personuppgiftsbiträdet att radera alla personuppgifter som rör den personuppgiftsansvariges användning av rekryteringssystemet.
Bilaga B Villkor för personuppgiftsbiträdets anlitande av underbiträden och förteckning över godkända underbiträden
B.1 Villkor för personuppgiftsbiträdets anlitande av eventuella underbiträden
Personuppgiftsbiträdet har den personuppgiftsansvariges generella tillstånd att använda underbiträden. Personuppgiftsbiträdet ska dock underrätta den personuppgiftsansvarige om eventuella planerade förändringar avseende tillägg eller utbyte av andra personuppgiftsbiträden och därigenom ge den personuppgiftsansvarige möjlighet att invända mot sådana förändringar. Sådant meddelande ska vara den personuppgiftsansvarige tillhanda senast en månad innan användningen eller ändringen ska träda i kraft.
Om den personuppgiftsansvarige invänder mot ändringarna ska den personuppgiftsansvarige meddela personuppgiftsbiträdet inom 30 dagar från mottagandet av meddelandet. Den personuppgiftsansvarige får endast invända om den personuppgiftsansvarige har rimliga och specifika skäl för detta. Om den personuppgiftsansvariges invändning är rimlig och särskilt motiverad kommer den personuppgiftsansvarige att
personuppgiftsbiträdet att fortsätta att tillhandahålla tjänsterna utan underbiträdets medverkan under återstoden av den period som omfattas av
den vid var tid gällande avtalsperioden, eller
den personuppgiftsansvarige har möjlighet att säga upp avtalet före utgången av den tillämpliga avtalsperioden med 30 dagars varsel
och få återbetalning av eventuella förbetalda avgifter för tjänsten.
Av operativa skäl kan personuppgiftsbiträdet ha rätt att förkorta denna tidsfrist om, på grund av faktorer utanför personuppgiftsbiträdets rimliga kontroll, ett underbiträde som har en kritisk funktion för tillhandahållandet av tjänsten måste ersättas med ett nytt underbiträde som i allmänhet är beläget inom EU/EES eller åtminstone med ett underbiträde från ett tredjeland som uppfyller samma standard som det underbiträde som ersätts. I sådana fall kommer personuppgiftsbiträdet att informera den personuppgiftsansvarige utan onödigt dröjsmål. Den personuppgiftsansvarige kommer även fortsättningsvis att ha rätt att göra invändningar i enlighet med ovanstående.
Om den personuppgiftsansvarige inte invänder inom den angivna tidsfristen ska de anmälda ändringarna anses ha godkänts.
B.2 Auktoriserade underbiträden
Den personuppgiftsansvarige har godkänt användningen av följande underbiträden när avtalet om behandling av uppgifter trädde i kraft:
Namn
Amazon Web Services EMEA SARL
Beskrivning av behandlingen:
https://aws.amazon.com (EU/EØS)
Lagra filer (Hosting) Köra Elvium-programmet Säkerhetskopiera data Länkar
ISO 27001-certifiering Allmänna villkor
Namn
Twilio Sendgrid
Beskrivning av behandlingen:
https://sendgrid.com (US)
E-postgateway som säkerställer hög leveranshastighet av e-postmeddelanden till användare av systemet. Allmänna personuppgifter överförs till tredje land - USA: Kandidatens e-postadress lagras i en tillgänglig logg i 30 dagar efter att personuppgiftsbiträdet har skickat e-postmeddelandet till kandidaten.
Standardavtalsklausuler (SCC)
Namn
Ziggio B.V.
Beskrivning av behandlingen:
https://ziggeo.com (EU-EØS)
Bearbetning av videofiler, konvertering av video, lagring av video, uppspelning av video.termer
Namn
Zendesk Inc.
Beskrivning av behandlingen:
https://www.zendesk.com (EU/EØS + US)
Hantering av kund- och kandidatsupport. Allmänna personuppgifter som överförs till tredje land - USA: En liten del av innehållet, och därmed även personuppgifter, från personuppgiftsbiträdets supportärendesystem
Standardavtalsklausuler (SCC)
Namn
Cloudconvert Lunaweb GmbH
Beskrivning av behandlingen:
https://cloudconvert.com (EU-EØS) Konvertering af vedhæftede filer til PDF Provence Statement
Vid tidpunkten för ikraftträdandet av databehandlingsavtalet har den personuppgiftsansvarige särskilt godkänt användningen av ovannämnda underbiträden för den specifika behandling som beskrivs bredvid parten. Personuppgiftsbiträdet kan inte - utan den personuppgiftsansvariges särskilda och skriftliga tillstånd - använda det enskilda underbiträdet för "annan" behandling än den som överenskommits.
Bilaga C Instruktioner för behandling av personuppgifter
C.1 Föremål för behandling/ instruktioner
Personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning sker genom att personuppgiftsbiträdet utför följande:
Personuppgiftsbiträdet tillhandahåller den personuppgiftsansvarige ett rekryteringssystem där den personuppgiftsansvarige kan utföra uppgifter av följande slag, men inte begränsat till:
Skapa platsannonser
Publicera platsannonser
Få samtycke till att behandla uppgifter för rekryteringsändamål
Ta emot applikationer (dokument, video, bilder etc.)
Sortera och rangordna ansökningar
Skicka e-post till kandidater
Kommunicera med kandidater
Importera kandidater och underrätta dem (underrättelseskyldighet)
Bjud in kandidater
Anställning och introduktion av kandidater
Ta bort kandidater inom tidsfristen
C.2 Säkerhet vid bearbetning
Säkerhetsnivån bör återspeglas:
Personuppgiftsbiträdet säkrar personuppgifterna genom tekniska och organisatoriska säkerhetsåtgärder som uppfyller dataskyddsförordningens krav på säkerhet och skydd av den registrerades (kandidatens) rättigheter.
Alla uppgifter som hanteras i personuppgiftsbiträdets programvara lagras och behandlas utan obehörig åtkomst enligt ISO 27001
certifierat hostingcenter, se bilaga B ovan under punkt B.2. Alla sidor körs på SSL-krypterade webbsidor (https). Den höga säkerhetsnivån för databehandling dokumenteras med certifikat och auktoriserade uttalanden som kan tillhandahållas den personuppgiftsansvarige på begäran:
- AWS SOC,
System and Operations Control 1 report - AWS SOC System and Operations Control 2 report - AWS ISEA 3000 Type 2 report (PiTuKri) - AWS ISEA 3000 Type 2 report (FINMA) - AWS C5 Continued operations letter - AWS DPA EU 2022 - AWS FINMA Circular 2013/03 - Revision - Informationsteknik - Elvium GDPR L-
6 Beredskapsplan - Elvium GDPR L-4 Dataskyddshandbok - Elvium GDPR L-3 Dataskyddspolicy - Elvium årligt efterlevnadspaket
Den personuppgiftsansvarige ska ansvara för att den personuppgiftsansvariges användare behandlar uppgifter i systemet på ett korrekt och konfidentiellt sätt. Den personuppgiftsansvarige och användarna är skyldiga att hålla användarnamn och lösenord hemliga, och personuppgiftsbiträdet påverkas inte av att de missbrukar sin tillgång till systemet. Om den personuppgiftsansvarige eller en användare förlorar sitt användarnamn/lösenord, eller om det finns risk för att dessa har kommit till obehörigas kännedom, kan de ändras genom att kontakta personuppgiftsbiträdet.
C.3 Lagringsperiod/raderingsrutin
Personuppgifterna lagras av personuppgiftsbiträdet till dess att den personuppgiftsansvarige begär att uppgifterna ska raderas eller återlämnas.
Vid uppsägning av abonnemang raderar personuppgiftsbiträdet alla personuppgifter som är relaterade till den personuppgiftsansvariges användning av rekryteringssystemet.
C.4 Plats för behandling
Behandling av de personuppgifter som omfattas av avtalet får inte, utan föregående skriftligt tillstånd från den personuppgiftsansvarige, ske på andra platser än följande:
- EU/EES
C.5 Instruktion eller tillstånd för överföring av personuppgifter till tredje land
Om den personuppgiftsansvarige inte i detta avsnitt eller genom ett senare skriftligt meddelande har angett en instruktion eller ett tillstånd för överföring av personuppgifter till ett tredjeland, får personuppgiftsbiträdet inte genomföra en sådan överföring inom ramen för personuppgiftsbiträdesavtalet.
Av tabellen ovan under Bilaga B.2 framgår vem som behandlar och var personuppgifter behandlas utanför EU/EES-området. Personuppgiftsbiträdet får inte överföra eller låta överföra personuppgifter som behandlas för den personuppgiftsansvariges räkning till länder utanför EU/EES utan föregående samtycke från den personuppgiftsansvarige. Om personuppgifter överförs från ett land inom EU/EES till ett land utanför EU/EES måste parterna se till att personuppgifterna skyddas på ett adekvat sätt i enlighet med kapitel V i GDPR. För att uppnå detta måste överföringen av personuppgifter, om inte annat avtalats, baseras på EU-kommissionens standardavtalsklausuler, inklusive kompletterande åtgärder.
Den personuppgiftsansvarige godkänner härmed överföring av personuppgifter till de godkända underbiträdena och de tillhörande behandlingsställena enligt avsnitt B.2.
C.6 Förfaranden för den personuppgiftsansvariges övervakning av den behandling som utförs av personuppgiftsbiträdet och underbiträdena
Hela applikationen hostas av Amazon Web Services, som är certifierat enligt ISO 27001.
Den personuppgiftsansvarige eller en företrädare för den personuppgiftsansvarige ska också ha rätt att utföra tillsyn, inklusive fysisk tillsyn, i personuppgiftsbiträdets lokaler när den personuppgiftsansvarige bedömer att ett behov uppstår. Eventuella kostnader som den personuppgiftsansvarige ådrar sig i samband med en fysisk inspektion ska bäras av den personuppgiftsansvarige själv. Personuppgiftsbiträdet är dock skyldigt att avsätta de resurser (främst tid) som krävs för att den personuppgiftsansvarige ska kunna utföra sin tillsyn.