Personuppgiftsbiträdesavtal
Senast uppdaterad: 2025-01-18
Version: 1.1
Allmänna villkor, Integritetspolicy, Cookiepolicy.
DETTA PERSONUPPGIFTSBITRÄDESAVTAL(”Personuppgiftsbiträdesavtalet”) mellan:
DIRI Safety Solutions AB, org.nr 559328-9555 (”DIRI”); och
Kunden avser den juridiska person som har ingått avtal med DIRI om tillhandahållande av dirim™-tjänsten enligt huvudavtalet,
(var och en ”Part” och gemensamt ”Parterna”).
1. Allmänt
1.1 Detta Personuppgiftsbiträdesavtal utgör en integrerad del av avtalet som ingåtts mellan DIRI och Kunden (”Huvudavtalet”) avseende tjänsten dirim™.
1.2 DIRI kommer vid fullföljandet av Huvudavtalet att Behandla Personuppgifter som Kunden är personuppgiftsansvarig för. DIRI är personuppgiftsansvarig för användare och dess profil (namn, roll, telefon, e-post och teknisk data) enligt de användarvillkor som användaren godkänt, fram till dess att användaren ansluts till Kundens företag. När användaren ansluts till Kundens företag övergår DIRI till att vara personuppgiftsbiträde för all användaraktivitet och profil i tjänsten. Om användaren kopplas bort från Kundens företag och är helt fristående återgår DIRI till att vara personuppgiftsansvarig för användaren.
1.3 Om någon annan tillsammans med Kunden är personuppgiftsansvarig för de aktuella Personuppgifterna ska Kunden informera DIRI om detta.
1.4 Syftet med detta Personuppgiftsbiträdesavtal är att Parterna ska uppfylla vid var tid gällande krav på Personuppgiftsbiträdesavtal och förpliktelser enligt Dataskyddsreglering.
1.5 Detta Personuppgiftsbiträdesavtal har företräde framför Huvudavtalet vad gäller föremålet för detta Personuppgiftsbiträdesavtal, oavsett vad som anges i Huvudavtalet.
2. Definitioner
2.1 ”Behandling” avser vid var tid gällande legaldefinition enligt Dataskyddsreglering. Detta innefattar varje åtgärd som vidtas i fråga om Personuppgifter, såsom insamling, registrering, organisering, lagring, bearbetning, användning, utlämnande genom översändande eller spridning.
2.2 ”Dataskyddsreglering” avser vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter, vilket innefattar men inte är begränsat till Europaparlamentets och Rådets Förordning (EU) 2016/679 (”Dataskyddsförordningen”) samt Tillsynsmyndighets bindande beslut och föreskrifter.
2.3 ”Personuppgifter” avser de Personuppgifter som DIRI Behandlar under Personuppgiftsbiträdesavtalet och som definieras enligt vid var tid gällande Dataskyddsreglering.
2.4 ”Registrerad” avser den fysiska person som en Personuppgift avser.
2.5 ”Tillsynsmyndighet” avser den eller de tillsynsmyndigheter som har behörighet att bedriva tillsyn över hantering av Personuppgifter, t.ex. Integritetsskyddsmyndigheten.
2.6 ”Underbiträde” avser den underleverantör åt DIRI som Behandlar Personuppgifter såsom DIRIs underbiträde.
3. Kontaktuppgifter
3.1 Varje Part ska utse en kontaktperson som ansvarar för Partens fullgörande av detta Personuppgiftsbiträdesavtal. Parterna ska skriftligen i Huvudavtalet ange vilka som är kontaktpersoner.
3.2 DIRIs kontaktuppgifter för frågor om dataskydd och detta Personuppgiftsbiträdesavtal:
Dataskyddsansvarig: Melinda Persson – VD
E-post: melinda@diri.se
Telefon: +46 (0) 54 15 44 88
4. Ansvar och instruktion
4.1 Kunden är personuppgiftsansvarig för samtliga Personuppgifter som DIRI Behandlar under Huvudavtalet när användaren är ansluten till Kundens företag. Den Personuppgiftsansvarige ansvarar för att gällande Dataskyddsreglering följs.
4.2 Kunden ansvarar för att ha laglig grund för behandlingen av personuppgifter och att informera de registrerade om behandlingen.
4.3 DIRI och den eller de personer som arbetar under DIRIs ledning ska endast Behandla Personuppgifter i enlighet med de dokumenterade instruktioner som Kunden ger DIRI och inte för andra ändamål än dem som DIRI anlitats för. De instruktioner som gäller vid Avtalets ingående framgår av Bilaga 1 (Instruktion om hantering av Personuppgifter). Utöver de särskilda instruktioner som framgår av Bilaga 1 ska detta Personuppgiftsbiträdesavtal och Huvudavtalet i övrigt anses utgöra Kundens instruktioner till DIRI avseende Behandling av Personuppgifter.
4.4 Behandling får även ske om sådan Behandling krävs enligt tillämplig lag som DIRI eller Underbiträde omfattas av. Om Behandling krävs enligt lag ska DIRI informera Kunden om det rättsliga kravet innan Behandlingen, såvida sådan information inte är förbjuden enligt lag.
4.5 DIRI har rätt att använda anonymiserad och aggregerad data från tjänsten för att förbättra tjänsten, utföra statistiska analyser och för andra affärsmässiga ändamål.
5. Säkerhet
5.1 DIRI ska vidta alla lämpliga tekniska och organisatoriska åtgärder som krävs enligt Dataskyddslagstiftningen för att förhindra Personuppgiftsincidenter, genom att säkerställa att Behandlingen uppfyller kraven i Dataskyddsförordningen och att den Registrerades rättigheter skyddas.
5.2 DIRI ska bistå Kunden med att se till att skyldigheterna gällande säkerhet vid behandling enligt Dataskyddsförordningen fullgörs, med beaktande av typen av Behandling och den information som DIRI har att tillgå.
6. Personuppgiftsincidenter
6.1 DIRI ska utan onödigt dröjsmål informera Kunden efter att ha fått vetskap om en personuppgiftsincident.
6.2 DIRIs meddelande till Kunden om en personuppgiftsincident ska innehålla:
– En beskrivning av personuppgiftsincidentens art
– Kontaktuppgifter till DIRIs dataskyddsansvarige eller annan kontaktpunkt
– En beskrivning av de sannolika konsekvenserna av incidenten
– En beskrivning av åtgärder som DIRI har vidtagit eller föreslagit för att hantera incidenten
7. Utlämnande av Personuppgifter och information
7.1 Om det till DIRI kommer in en begäran från Registrerad, Tillsynsmyndighet eller annan tredje man om att få ta del av uppgifter som DIRI Behandlar under detta Personuppgiftsbiträdesavtal ska DIRI vidarebefordra begäran till Kunden.
7.2 DIRI ska genom lämpliga tekniska och organisatoriska åtgärder hjälpa Kunden i den mån det är möjligt så att Kunden kan fullgöra sin skyldighet att svara på begäran från den Registrerade.
8. Kontakt med Tillsynsmyndigheten
8.1 DIRI ska informera Kunden om eventuella kontakter från Tillsynsmyndigheten som rör Behandling av Personuppgifter. DIRI har inte rätt att företräda Kunden och får inte agera för dennes räkning gentemot Tillsynsmyndighet.
9. Underbiträden
9.1 Personuppgifter får Behandlas av ett Underbiträde under förutsättning att DIRI ingår ett skriftligt avtal där Underbiträdet åläggs motsvarande skyldigheter som DIRI åläggs enligt detta Personuppgiftsbiträdesavtal.
9.2 Som Underbiträde räknas endast sådana underleverantörer som behandlar Personuppgifter direkt relaterade till tillhandahållandet av dirim™-tjänsten. Leverantörer av stödtjänster såsom e-post, CRM-system och liknande administrativa verktyg som DIRI använder i sin verksamhet betraktas inte som Underbiträden om de inte direkt behandlar data i dirim™-tjänsten.
9.3 DIRI äger rätt att anlita underbiträden för leverans av dirim™-tjänsten. En aktuell förteckning över anlitade underbiträden kan tillhandahållas på begäran. Genom ingående av detta avtal godkänner Kunden att DIRI anlitar de underbiträden som krävs för att leverera dirim™-tjänsten.
9.4 DIRI åtar sig att informera Kunden om eventuella planer på att anlita nya Underbiträden eller ersätta Underbiträden enligt definition i punkt 9.2. Kunden har rätt att invända mot sådana förändringar inom 14 dagar efter att informationen delgivits.
10. Överföring av Personuppgifter utanför EU/EES
10.1 DIRI ska säkerställa att Personuppgifterna hanteras och lagras inom EU/EES av en fysisk eller juridisk person som är etablerad inom EU/EES, om inte parterna kommer överens om något annat.
10.2 Överföring av Personuppgifter av DIRI eller av Underbiträde till en plats utanför EES-området får vidtas förutsatt att vid var tid gällande krav för sådan överföring enligt Dataskyddsreglering uppfylls.
11. Sekretess
11.1 DIRI åtar sig att säkerställa att personer med behörighet att Behandla Personuppgifterna har åtagit sig att iaktta sekretess för sådan Behandling eller omfattas av en lämplig lagstadgad tystnadsplikt.
11.2 Sekretessåtagandet gäller under Huvudavtalets giltighetstid och därefter.
12. Dataportabilitet och rätt till insyn
12.1 DIRI ska tillse att Kunden kan uppfylla eventuell skyldighet att möjliggöra dataportabilitet avseende Personuppgifter som DIRI Behandlar under detta Personuppgiftsbiträdesavtal.
12.2 DIRI ska ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som följer av Dataskyddsförordningen har fullgjorts.
13. Ersättning
13.1 DIRI ska ha rätt till skälig ersättning från Kunden för arbete och kostnader som uppstår till följd av instruktioner för Behandlingen som går utöver vad som framgår av Bilaga 1 eller de funktioner och den säkerhetsnivå som följer av dirim™-tjänsten.
14. Ansvar
14.1 Varje Part ansvarar själv för att följa den Dataskyddsreglering som gäller för respektive Part. DIRI ansvarar inte för hur Personuppgifterna har samlats in eller för Kundens rätt att överföra desamma till DIRI.
14.2 Om DIRI, den som arbetar under DIRIs ledning eller av DIRI anlitat Underbiträde Behandlar Personuppgifter i strid med detta Personuppgiftsbiträdesavtal eller de lagenliga anvisningar som Kunden har lämnat, ska DIRI med beaktande av de ansvarsbegränsningar som följer av Huvudavtalet, ersätta Kunden för den direkta skada som Kunden har orsakats på grund av den felaktiga Behandlingen.
14.3 Kunden ska hålla DIRI skadelös för skador som DIRI orsakas genom överträdelse av Dataskyddsreglering som beror på otydliga eller bristfälliga instruktioner från Kunden, bristfällig information från Kunden om vilka kategorier av uppgifter som Behandlas eller andra omständigheter på Kundens sida.
14.4 DIRIs totala ansvar för alla krav som uppstår under ett kalenderår är begränsat till det belopp som Kunden har betalat för dirim™-tjänsten under de 12 månader som föregår den händelse som ger upphov till kravet.
15. Avtalstid och åtgärder vid upphörande
15.1 Personuppgiftsbiträdesavtalet gäller från dess undertecknande och så länge som DIRI Behandlar Personuppgifter för Kundens räkning.
15.2 Vid Huvudavtalets eller Personuppgiftsbiträdesavtalets upphörande ska DIRI ge Kunden möjlighet att exportera Kundens data. DIRI kommer att radera eller återlämna all Kundens data och personuppgifter inom 90 dagar efter Huvudavtalets upphörande, om inte annat överenskommits skriftligen eller lagring av Personuppgifterna krävs enligt lag. Detta gäller ej data som är direkt kopplad till användarprofiler som DIRI är personuppgiftsansvarig för enligt punkt 1.2.
16. Ändringar i Personuppgiftsbiträdesavtalet
16.1 Om Dataskyddsreglering ändras under tiden för Personuppgiftsbiträdesavtalet, eller om Tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsreglering som föranleder att detta Personuppgiftsbiträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal, ska detta Personuppgiftsbiträdesavtal ändras för att tillgodose sådana nya eller tillkommande krav.
16.2 Övriga ändringar av och tillägg till detta Personuppgiftsbiträdesavtal kan ske antingen genom att DIRI publicerar en uppdaterad version på sin webbplats eller genom direkt meddelande till Kunden via e-post. Kunden ansvarar för att hålla sig uppdaterad om eventuella ändringar som publiceras på webbplatsen. Ändringarna träder i kraft 30 dagar efter publicering eller meddelande om Kunden inte inom denna tid skriftligt invänder mot ändringarna.
17. Övrigt
17.1 I övrigt ska vad som sägs i Huvudavtalet äga tillämpning även för DIRIs Behandling av Personuppgifter och åtagandena under detta Personuppgiftsbiträdesavtal. Vid oenighet mellan bestämmelserna i Huvudavtalet och detta Personuppgiftsbiträdesavtal ska dock bestämmelserna i Personuppgiftsbiträdesavtalet äga företräde i förhållande till all Behandling av Personuppgifter.
17.2 Svensk lag ska tillämpas på DIRIs Behandling av Personuppgifter enligt detta Personuppgiftsbiträdesavtal.
17.3 Tvister som uppstår i anledning av detta Personuppgiftsbiträdesavtal ska avgöras av behörig svensk domstol.
Bilaga 1
Senast uppdaterad: 2025-01-18
Version: 1.1
1. Ändamålet, föremålet och arten
1 a. Föremålet för Behandling av Personuppgifter är att:
Tillhandahålla dirim™-tjänsten för säkerhetshantering i arbetsmiljö.
1 b. Ändamålet med Behandling av Personuppgifter är att:
Administrera och leverera dirim™-tjänsten enligt avtal, utveckla funktionalitet baserat på användning och erbjuda kunden spårbarhet gällande genomförda aktiviteter.
1 c. Behandlingen av Personuppgifter avser huvudsakligen följande behandlingsåtgärder:
Insamling, registrering, bearbetning, läsning, arkivering, anonymisering, säkerhetskopiering och lagring av användardata i dirim™-tjänsten.
2. Behandlingen omfattar följande typer av Personuppgifter
Personuppgiftsbiträdet behandlar de typer av personuppgifter som behövs för att tillhandahålla dirim™-tjänsten, vilket kan inkludera:
Grundläggande kontakt- och användaruppgifter
Arbetsrelaterad information
Information relaterad till arbetsmiljösäkerhet och riskhantering
En mer detaljerad beskrivning av de specifika kategorier av personuppgifter som behandlas inom tjänsten kan erhållas på begäran.
3. Behandlingen omfattar följande kategorier av Registrerade
Personuppgiftsbiträdet behandlar Personuppgifter avseende följande kategorier av Registrerade:
Användare med upprättade konton/profiler i dirim™-tjänsten
Beställare av arbeten
Skyddsombud och kontaktpersoner
Övriga personer vars uppgifter registreras i tjänsten
4. Särskilda hanteringskrav
Data som Personuppgiftsansvarig är ansvarig för raderas inte automatiskt utan på Personuppgiftsansvarigs instruktion, då sådan data kan innehålla information som Kunden är skyldig att bevara enligt lag eller myndighetskrav. Efter avtalets upphörande se punkt 8.
5. Tekniska och organisatoriska säkerhetsåtgärder
Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa en säkerhetsnivå som är anpassad till risken, i enlighet med artikel 32 i Dataskyddsförordningen.
Personuppgiftsbiträdet ska ha:
En aktuell integritetspolicy
En aktuell incidenthanteringsrutin
Rutiner för behörighetsstyrning och åtkomstkontroll
6. Loggning
Personuppgiftsbiträdet ska använda sig av personlig inloggning och spårbarhet av handlingar i hanteringen av personuppgifter.
7. Lokalisering och överföring av Personuppgifter
Personuppgiftsbiträdet ska säkerställa att Personuppgifterna hanteras och lagras inom EU/EES. Överföring av personuppgifter till länder utanför EU/EES får endast ske i enlighet med Dataskyddsförordningens krav.
8. Behandlingens varaktighet
Varaktigheten följer tjänsteavtalet med DIRI. Efter avtalets upphörande finns data tillgänglig för export i 90 dagar på begäran av Personuppgiftsansvarig, därefter raderas den om inte annat avtalats skriftligen. Om Personuppgiftsansvarig behöver bevara data längre tid på grund av egna legala krav ansvarar denna för att begära export av datan innan gallringsperioden löper ut. DIRI bibehåller endast sådan data som DIRI själv är lagligt skyldig att bevara.
9. Underbiträden
DIRI använder underbiträden inom följande kategorier för att direkt tillhandahålla dirim™-tjänsten:
Hostingleverantörer för applikation och databas
Tjänster för säkerhetskopiering och återställning
Tekniska säkerhetstjänster
Specialiserade tekniska underleverantörer för tjänstens funktioner
En aktuell förteckning över specifika underbiträden som behandlar personuppgifter i dirim™-tjänsten kan erhållas från DIRI på begäran.