Villkor
Personuppgiftsbiträdesavtal
Innehållsförtecking
Example H2
Example H3
Example H4
Example H5
Example H6

Allmänna villkor

Parter

Mellan PuA med organisationsnummer XXX och adress XXX hädanefter under benämningen ”Personuppgiftsansvarig” och Amido AB med organisationsnummer 556751-8708 och adress Första Långgatan 19, 413 27 Göteborg, hädanefter under benämningen ”Personuppgiftsbiträde” och gemensamt benämnda ”Parterna” har följande avtal träffats.

Kontaktvägar för Parterna

Till Personuppgiftsansvarige
E-post:
Telefon:

Till Personuppgiftsbiträdet
Ärenden: https://support.amido.se
E-post: support@amido.se

Bilagor

Avtalet består av detta huvuddokument samt följande bilagor:

   1. Bilaga A: Instruktioner för hantering av personuppgifter

   2. Bilaga B: På förhand godkända Underbiträden

För det fall att handlingarnas innehåll inte överensstämmer har huvuddokumentet företräde framför bilagan. Bilagorna har företräde enligt den ovanstående ordningen.

Definitioner

I den mån Europaparlamentets och rådets förordning (EU) 2016/679, hädanefter dataskyddsförordningen, innehåller begrepp som motsvarar dem som används i Avtalet ska sådana begrepp tolkas och tillämpas i enlighet med dataskyddsförordningen.

I Avtalet skall nedan angivna termer ha följande betydelse:

Med Avtalet avses detta huvuddokument och vid var tid gällande bilagor.

Med Behandling avses en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Med Personuppgift avses varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Med Personuppgiftsincident avses en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Med Tillämpliga bestämmelser avses bestämmelser och praxis hänförlig till dataskyddsförordningen, nationell kompletteringslagstiftning till dataskyddsförordningen, tillsynsmyndigheters inklusive Europeiska dataskyddsstyrelsen föreskrifter och yttranden och kommissionens rättsakter på personuppgiftsområdet.

Med Underbiträde avses den som behandlar personuppgifter enligt instruktioner av Personuppgiftsbiträdet.

1. Syfte

Personuppgiftsbiträdet har genom Avtalet förbundit sig att behandla personuppgifter för Personuppgiftsansvariges räkning. Parterna har kommit överens om att reglera omfattningen och den närmare utformningen av behandlingen genom upprättandet av Avtalet.

2. Personuppgiftsansvariges skyldigheter

2.1. Behandling i enlighet med Tillämpliga bestämmelser

2.1.1. Behandling enligt Avtalet och Tillämpliga bestämmelser

Personuppgiftsansvarige ska ansvara för att all behandling av personuppgifter sker i enlighet med Avtalet och Tillämpliga bestämmelser.

2.1.2. Tillhandahållande av personuppgifter

Personuppgiftsansvarige ska tillhandahålla Personuppgiftsbiträdet med den information och de personuppgifter som behövs och är ändamålsenliga för att denne ska kunna fullgöra sina skyldigheter enligt Avtalet och Tillämpliga bestämmelser.

2.1.3.  Korrekta uppgifter

Personuppgiftsansvarige ska omedelbart lämna Personuppgiftsbiträdet korrekta uppgifter i händelse av att de dokumenterade instruktionerna är felaktiga, ofullständiga eller i övrigt behöver förändras.

2.2. Dokumenterade instruktioner

Personuppgiftsansvarige ska tillhandahålla Personuppgiftsbiträdet dokumenterade instruktioner. Dessa ska bland annat, men inte uteslutande, reglera vilka personuppgifter som ska behandlas, föremålet för behandlingen, behandlingens varaktighet och omfattning, art och ändamål, typen av personuppgifter och kategorier av registrerade, Personuppgiftsansvariges och Personuppgiftsbiträdets skyldigheter och rättigheter samt omfattningen av skyddsåtgärder och övriga IT-och säkerhetsrelaterade skyldigheter.

Personuppgiftsansvarige ska tillhandahålla alla de uppgifter som kan behövas för att Personuppgiftsbiträdet ska kunna uppfylla sina avtalsenliga gentemot Personuppgiftsansvarige.

De dokumenterade instruktionerna ses i Bilaga A.

3. Personuppgiftsbiträdets ansvarsområden

3.1. Behandling av personuppgifter

3.1.1. Behandling enligt Avtalet och Tillämpliga bestämmelser

Personuppgiftsbiträdet ska endast behandla personuppgifter för Personuppgiftsansvariges räkning enligt Avtalet och Tillämpliga bestämmelser.

Personuppgiftsbiträdet får inte, utan Personuppgiftsansvariges samtycke, föreläggande från relevant tillsynsmyndighet eller tvingande lagstiftning

samla in eller lämna ut personuppgifter från eller till någon tredje part om inte annat skriftligen överenskommits,

ändra metod för behandling,

kopiera eller återskapa personuppgifter eller

på något annat sätt behandla personuppgifter för andra ändamål än dem som anges i de dokumenterade instruktionerna.

3.1.2. Överföring av personuppgifter

Personuppgiftsbiträdet får inte överföra några personuppgifter till en stat utanför EU-området eller till en stat som inte omfattas av undantagen till förbud mot överföring till tredje land enligt Tillämpliga bestämmelser. Förbudet omfattar även service, teknisk support, underhåll, utveckling och liknande tjänster av systemet.

3.1.3. Skriftligt samtycke vid överföring

En överföring som inte omfattas av ovanstående kräver Personuppgiftsansvariges skriftliga samtycke och ett säkerställande av att sådan överföring sker i överensstämmelse med Tillämpliga bestämmelser.

3.1.4. Genomförande av förändringar

Personuppgiftsbiträdet ska genomföra ändringar, raderingar, begränsningar och överföringar på Personuppgiftsansvariges uttryckliga begäran, dock inte om en sådan begäran strider mot Avtalet eller Tillämpliga bestämmelser.

3.1.5. Känsliga personuppgifter

Personuppgiftsbiträdet åtar sig att omedelbart radera känsliga personuppgifter tillhörande Personuppgiftsansvarig för det fall sådana personuppgifter inkommer via supportärenden eller andra system som behandlas utanför EU/EES. Personuppgiftsbiträdet åtar sig vidare att omedelbart upplysa Personuppgiftsansvarig i händelse av att denne skulle tillhandahålla känsliga personuppgifter.

3.2.  Tekniska och organisatoriska åtgärder

3.2.1. Vidta tekniska och organisatoriska åtgärder

Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska Personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

pseudonymisering och kryptering av personuppgifter

förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,

förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,

ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

3.2.2. Uppförandekod och certifieringsmekanism

Personuppgiftsbiträdet kan genom anslutning till en godkänd uppförandekod eller godkänd certifieringsmekanism visa att ovan nämnda skyldigheter efterlevs.

3.3. Upprättande av förteckning

3.3.1. Upprätta en förteckning

Personuppgiftsbiträdet  ska föra en förteckning över alla kategorier av behandling som utförs för Personuppgiftsansvariges räkning, som omfattar följande:

Namn och kontaktuppgifter för Personuppgiftsbiträdet och Personuppgiftsansvarige för vars räkning Personuppgiftsbiträdet agerar, och, i tillämpliga fall, för Personuppgiftsansvariges eller Personuppgiftsbiträdets företrädare samt dataskyddsombudet.

De kategorier av behandling som har utförts för Personuppgiftsansvariges räkning.

I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och dokumentationen av lämpliga skyddsåtgärder.

Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna.

3.3.2. Skriftlig förteckning

Personuppgiftsbiträdet ska upprätta förteckningen skriftligen, inbegripet i elektronisk form.

3.4 Underrättelseskyldighet

Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta Personuppgiftsansvarige i händelse av att personuppgiftsbehandlingen strider mot Avtalet, dataskyddsförordningen eller annan lagstiftning. Personuppgiftsbiträdet ska därefter invänta instruktioner från Personuppgiftsansvarige.

3.5. Information

3.5.1. Utlämnande av personuppgifter

Personuppgiftsbiträdet får inte lämna ut personuppgifter eller information om behandlingen av personuppgifter utan medgivande i förväg från Personuppgiftsansvarige utom för det fall föreläggande finns därom från relevant tillsynsmyndighet eller om Personuppgiftsbiträdet är skyldig att göra det enligt Tillämpliga bestämmelser.

3.5.2. Underrättelseskyldighet vid kontakt

Personuppgiftsbiträdet ska utan onödigt dröjsmål meddela Personuppgiftsansvarige om Personuppgiftsbiträdet kontaktas av behörig tillsynsmyndighet, registrerad eller tredje part i syfte att få tillgång till personuppgifter som Personuppgiftsbiträdet behandlar.

3.6. Revision

3.6.1. Kontroll av efterlevnad

Personuppgiftsansvarige äger rätt att, själv eller genom tredje man, genomföra revision gentemot Personuppgiftsbiträdet eller på annat sätt kontrollera att Personuppgiftsbiträdets behandling av personuppgifter följer Avtalet och Tillämpliga bestämmelser. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge Personuppgiftsansvarige den assistans som behövs för genomförande av revision.

3.6.2. Tillgång till lokaler och utrustning

Personuppgiftsbiträdet ska bereda Personuppgiftsansvarige tillgång till lokaler och utrustning för inspektion i syfte att säkerställa att Personuppgiftsbiträdet uppfyller sina skyldigheter enligt Avtalet och gällande rätt. Personuppgiftsansvarige har dock inte sådan rätt när tillgången och/eller inspektionen kan medföra säkerhets- eller integritetsrisker för de registrerade.

3.6.3. Visa efterlevnad av Avtalet och Tillämpliga bestämmelser

Personuppgiftsbiträdet ska på begäran och utan onödigt dröjsmål visa att förpliktelserna enligt Avtalet och Tillämpliga bestämmelser efterlevs. Detta innefattar bland annat, men inte uteslutande, en skyldighet att tillhandahålla dokumentation, visa att godkända uppförandekoder eller certifieringar är uppfyllda samt möjliggöra och bidra till att Personuppgiftsansvarige kan utföra nödvändiga granskningar och inspektioner.

3.6.4. Tillgång till personuppgifter

Personuppgiftsbiträdet ska ge Personuppgiftsansvarige tillgång till alla de personuppgifter som Personuppgiftsbiträdet behandlar för Personuppgiftsansvariges räkning. Detta innefattar även tillgång till upplysningar och handlingar som Personuppgiftsansvarige behöver för att utöva kontroll över Personuppgiftsbiträdets efterlevnad av Avtalet och Tillämpliga bestämmelser. En sådan tillgång ska ges utan oskäligt dröjsmål, men inte senare än 20 dagar från Personuppgiftsansvariges uttryckliga och skriftliga begäran.

3.7. Säkerhet och sekretess

3.7.1. Utvärdera risker

Personuppgiftsbiträdet ska utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas.

3.7.2. Vidta säkerhetsåtgärder

Personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person och juridisk person som utför arbete under Personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den Personuppgiftsansvarige.

3.7.3. Tillräcklig kunskap och utbildning

Personuppgiftsbiträdet ansvarar för att varje fysisk person som har tillgång till personuppgifterna som behandlas enligt Avtalet har tillräckliga kunskaper och utbildning för att på ett säkert och ändamålsenligt sätt behandla personuppgifterna.

3.7.4. Förändringar av personuppgiftsbehandling

Om Personuppgiftsbiträdet avser att genomföra förändringar av hur personuppgifter behandlas eller i övrigt genomföra förändringar som kan påverka säkerheten för de registrerade, de registrerades rättigheter eller efterlevnaden av Avtalet eller gällande rätt ska Personuppgiftsbiträdet skriftligen informera Personuppgiftsansvarige i förväg. Personuppgiftsansvarige ska ge sitt samtycke till sådana förändringar.

3.7.5. Sekretess och tystnadsplikt

Personuppgiftsbiträdet förbinder sig att behandla personuppgifter och annan information som uppvisar samband med Avtalet i enlighet med gällande sekretesslagstiftning. Personalen som behandlar personuppgifter har ingått särskilda sekretessförbindelser samt upplysts om att tystnadsplikt föreligger enligt avtal eller nationell rätt.

3.7.6. Ändamålsenliga sekretessåtaganden

Personuppgiftsbiträdet ska tillse att samtliga anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar personuppgifter är bundna av ett ändamålsenligt sekretessåtagande samt att de är informerade om hur behandling av personuppgifterna får ske.

3.7.7. Information till personer med åtkomst

Personuppgiftsbiträdet ansvarar för att de personer som har åtkomst till personuppgifterna är informerade om hur de får behandla personuppgifterna i enlighet med de dokumenterade instruktionerna från Personuppgiftsansvarige. Personuppgiftsbiträdet ska även säkerställa att adekvat behörighetsstyrning.

3.8. Personuppgiftsincidenter

3.8.1. Vidta skadebegränsande åtgärder

Vid en misstänkt eller upptäckt personuppgiftsincident ska Personuppgiftsbiträdet omedelbart undersöka incidenten och vidta lämpliga åtgärder för att mildra dess potentiella negativa effekter.

3.8.2. Beskrivning av personuppgiftsincident

Om Personuppgiftsansvarige begär det ska en beskrivning av personuppgiftsincidenten lämnas till Personuppgiftsansvarig inom 48 timmar. En sådan beskrivning ska åtminstone innehålla

  • beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
  • förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,
  • beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
  • beskriva de åtgärder som Personuppgiftsbiträdet har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

3.8.3. Bistå med skyldigheter gällande personuppgiftsincidenter

Personuppgiftsbiträdet ska bistå Personuppgiftsansvarige med att se till att dennes skyldigheter enligt Tillämpliga bestämmelser om personuppgiftsincidenter fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå. Detta gäller även om Personuppgiftsansvarige misstänkt eller upptäckt en personuppgiftsincident.

3.8.4. Underrättelse om personuppgiftsincident

Personuppgiftsbiträdet ska underrätta Personuppgiftsansvarige utan onödigt dröjsmål, dock senast inom 8 timmar, efter att ha fått vetskap om en personuppgiftsincident.

3.8.5. Information om personuppgiftsincident

En underrättelse enligt ovan ska innehålla all den information som Personuppgiftsansvarige behöver för att uppfylla sina skyldigheter i förhållande till tillsynsmyndigheten.

3.8.6. Ovillkorlig underrättelseskyldighet

Ovanstående underrättelseskyldighet till Personuppgiftsansvarige gäller även om Personuppgiftsbiträdet av någon annan anledning inte kan uppfylla åtaganden enligt Avtalet eller de dokumenterade instruktionerna alternativt får kännedom om att personuppgifter har behandlats i strid med Avtalet

3.9. Bistå Personuppgiftsansvarige

3.9.1. Konsekvensbedömningar och förhandssamråd

Personuppgiftsbiträdet ska vid behov och på begäran bistå Personuppgiftsansvarige med fullgörande av de skyldigheter som denne har och som härrör från bestämmelserna i dataskyddsförordningen angående utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndigheten.

3.9.2. Fullgörande av skyldigheter gällande registrerades rättigheter

Personuppgiftsbiträdet ska vid behov och på begäran bistå Personuppgiftsansvarige med fullgörande av de skyldigheter som denne har och som härrör från bestämmelserna i dataskyddsförordningen angående de registrerades rättigheter.

4. Personuppgiftsbiträdets anlitande av Underbiträde

I Bilaga B listas de underbiträden till personuppgiftsbiträdet som finns och godkänts vid Avtalets tecknande.

4.1. Skriftligt tillstånd för anlitande av Underbiträde

Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde (Underbiträde) utan att ett särskilt förhandstillstånd har erhållits av Personuppgiftsansvarige. För de fall Personuppgiftsansvarige har avtalet tjänsteleverans som för sitt genomförande kräver att underbiträde anlitas så utgör beställningen ett förhandstillstånd.

4.2. Riskfördelning

Personuppgiftsbiträdets anlitande av Underbiträde sker på egen risk. Det medför ingen förändring beträffande den ansvarsfördelning som gäller mellan Parterna enligt Avtalet.

4.3. Tillräcklig skyddsnivå

Om Personuppgiftsansvarige godkänner Personuppgiftsbiträdets ansökan om anlitande av Underbiträde ska Personuppgiftsbiträdet vidta de åtgärder som krävs för att säkerställa att Underbiträdet upprätthåller en tillräcklig skyddsnivå för de personuppgifter som behandlas samt i övrigt följer tillämpliga delar av Avtalet och gällande dataskyddslagstiftning.

4.4. Underrättelse om anlitande eller byte av Underbiträde

Personuppgiftsbiträdet ska, innan åtgärder vidtas och under förutsättning att ansökan om Underbiträde accepterats av Personuppgiftsansvarige, informera denne om anlitande eller byte av Underbiträde. Personuppgiftsansvarige ska ha möjlighet att rikta invändningar mot Personuppgiftsbiträdets förslag om förändring. En sådan invändning utgör hinder för Personuppgiftsbiträdet att genomföra föreslagen förändring.

5. Personuppgiftsbiträdets anlitande av Underbiträde

5.1. Skriftligt tillstånd för anlitande av Underbiträde

Personuppgiftsbiträdet ska i förhållande till Personuppgiftsansvarige ansvara för skada uppkommen till följd av behandling av personuppgifter endast om denne inte har fullgjort de skyldigheter enligt Tillämpliga bestämmelser som specifikt riktar sig till Personuppgiftsbiträdet eller agerat utanför eller i strid med Avtalet.

Personuppgiftsbiträdet ska undgå ansvar enligt ovan om det visar att det inte på något sätt är ansvarigt för den händelse som orsakade skadan.

5.2. Med anledning av Schrems II

Parterna har analyserat lagligheten i överföringen av Personuppgiftsansvariges personuppgifter utanför EU/EES och att Personuppgiftsbiträdet bekräftat att erforderliga organisatoriska och säkerhetsåtgärder har vidtagits av dennes underbiträden så att laglig grund för tredjelandsbehandling föreligger. Närmare information härom framgår av bilaga B till detta Avtal. Personuppgiftsbiträdet åter sig att omedelbart informera Personuppgiftsansvarig för det fall Personuppgiftsbiträdets relevanta underbiträden inte länge skulle anses uppfylla laglig grund för aktuella tredjelandsbehandlingar.

5.3. Riskfördelning

Personuppgiftsansvarige ska ersätta Personuppgiftsbiträdet för de anspråk som riktas mot Personuppgiftsbiträdet, under förutsättning att anspråket har sin grund i Personuppgiftsansvariges bristfälliga eller felaktiga instruktioner till Personuppgiftsbiträdet.

6. Avtalets varaktighet samt ändringar i Avtalet

6.1. Varaktighet

Avtalet gäller från dess att det har undertecknats av Parterna och under den tid Personuppgiftsbiträdet behandlar personuppgifter i enlighet med Personuppgiftsansvariges instruktioner.

6.2. Riskfördelning

Efter det att behandlingen på Personuppgiftsansvariges vägnar har avslutats, ska personuppgiftsbiträdet återlämna eller radera personuppgifterna, såvida inte lagring av personuppgifterna krävs enligt lag som Personuppgiftsbiträdet omfattas av. Om personuppgifterna ska återlämnas ska det ske utan onödigt dröjsmål och i ett allmänt och läsbart elektroniskt format. Personuppgiftsbiträdet får ta ut tillämplig avgift för radering eller återlämnande av personuppgifter.

6.3. Tillräcklig skyddsnivå

Personuppgiftsansvarige får endast företa ändringar i Avtalet i den mån det behövs för att efterleva gällande rätt.

6.4. Förändring av avtalet

En förändring i Avtalet börjar gälla 30 dagar efter att underrättelsen om ändring kommit Part tillhanda.

6.5. Personuppgiftsbiträdets rätt att företa ändringar

Personuppgiftsbiträdet äger rätt att påkalla ändringar i Avtalet.

6.6. Samtycke vid nya typer av behandlingar

För det fall Personuppgiftsansvarige avser att utöka Personuppgiftsbiträdet behandling av personuppgifter till att avse nya typer av behandlingar kräver detta Personuppgiftsbiträdets uttryckliga samtycke. Genom att Personuppgiftsansvarig beställer Tjänster från Personuppgiftsbiträdet så ges detta samtycke.

7. Underrättelser

7.1. Skriftliga underrättelser

Underrättelser och meddelanden enligt Avtalet ska ske skriftligen. Underrättelser ska ställas till registrerade kontaktvägar i detta avtalet eller vid var tid uppdaterad kontakt.

7.2. Skriftlig anmälan av personuppgiftsincident

Personuppgiftsincidenter ska alltid anmälas per e-post till angivna kontaktvägar.

8. Tvist

8.1. Tolkning och tillämpning

Om annat ej skriftligen avtalats skall Avtalet tolkas och tillämpas i enlighet med svensk rätt. Tvist gällande tolkning eller tillämpning av Avtalet ska lösas i allmän domstol i Sverige, under förutsättning att inte annan myndighet eller domstol i annan jurisdiktion har exklusiv behörighet att lösa tvisten.

Bilaga A. Instruktioner för hantering av personuppgifter

Denna bilaga anger de instruktioner som Personuppgiftsansvarig (PuA) gett Personuppgiftsbiträdet (PuB) för hantering av personuppgifter för Personuppgiftsansvarigs räkning. Senast registrerade instruktion kan erhållas via support.amido.se

1. Instruktioner i handhavande av system

Detta dokument anger Personuppgiftsansvarigs instruktioner till Amido i egenskap av Personuppgiftsbiträde för användning och hantering av system vilka Amido har tillgång till i syfte att leverera avtalade Tjänster till Personuppgiftsansvarig som innehåller personuppgifter.

2. Datalagring

Sparande av loggar i Alliera är 14 dygn

Sparande av loggar i undersystem där dessa finns skall maximalt vara satta till samma lagringstid som är satt i Alliera.

Amido kommer om en avvikelse från lagringstiderna upptäcks att ställa in lagringstiden i enlighet med detta dokument.

Fler parter än Amido kan ha tillgång till undersystemen och där i eventuellt ändra inställningar för vilket Amido ej ansvarar.

Data i systemet lagras och behandlas i Sverige.

3. Specifikation av lagrade personuppgifter

De uppgifter som lagars i Amidos Tjänst Alliera är fördelat på kategorierna Organisation och kortägare där kortägare delas in i Lägenheter och Personer.

Information om privatpersoner som är bostadsrättsinnehavare och hyresgäster finns i kategorin Lägenheter. Entreprenörer, myndigheter, egen personal och dylikt är primärt organiserade under Organisation där Person objekt läggs. Ett personobjekt kan även läggas fristående utan att vara kopplat till en Organisation. Ett företag som hyr lokaler klassas som en Organisation och dess personal som Personer i det företaget.

Det lagras även information om de personer som kan använda systemet.

Alla passerkort för Lägenheter ligger på Lägenhetsobjektet och är inte knutna till personer.

2.1.2. Tillhandahållande av personuppgifter

Personuppgiftsansvarige ska tillhandahålla Personuppgiftsbiträdet med den information och de personuppgifter som behövs och är ändamålsenliga för att denne ska kunna fullgöra sina skyldigheter enligt Avtalet och Tillämpliga bestämmelser.

3.1.  Behandling

Personuppgifter är föremål för insamling, bearbetning, användning, lagring, utlämnade och radering.

3.2. Känsliga personuppgifter

Inga känsliga personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning behandlas i systemet.

3.3. Registrerade och kategorier av Personuppgifter

Se Tabell A.

4.  Tillgång till systemen

Amidos personal kan ha tillgång till PuAs system och Data.

Amido ska i största möjliga utsträckning använda personlig inloggning i PuAs system.

Amido skall begränsa i största möjliga mån vilken personal som har tillgång till systemen till de som behöver detta för att utföra avtalade Tjänster åt PuA.

Automatiska system för hämtning av Data skall endast samla in metadata fri från personinformation.

5. Beställningar

Vid beställningar från användare hos PuA skall Amido vid mottagande av beställning bedöma att den ej bryter mot Dataskyddslagen.

Vid beställningar som påverkar Datalagring skall Amido hänvisa till PuAs kontaktperson.

Beställningar av nya användare till Tjänster godkänns endast från användare inom PuA domän. Exempel e-post beställning från namn@pua.se eller tredjepart som PuA har hänvisat till.

6. Instruktioner i handhavande av system

Användare hos PuA och Tredje part som PuA anvisar skall följa användarvillkor för hantering av systemen.

Amidos personal skall endast använda PuAs system som en del i utförandet av avtalade Tjänster.

7. Underbiträden

Om nya underbiträden utses av PuA tecknar Amido motsvarande underbiträdesavtal med dessa som tecknats med PuA i de fall detta är avtalat i Tjänsten (se Driftcentral). I övriga fall får Amido förutsätta att PuA tecknat erforderliga underbiträdesavtal med den Tredjepart vilken PuA instruerar Amido att ge tillgång till Tjänsterna.

Bilaga B. På förhand godkända Underbiträden

Denna bilaga listar de underbiträden som vid Avtalets tecknande är underbiträden till Amido med godkännande från Personuppgiftsansvarig.  Mekanismen för tredjelandsöverföring är Standard Contractual Clauses (SCC) för ”data processor” så som godkänt av Europeiska kommissionen.

Samtliga leverantörer har tillhandahållit Data Processing Agreements (DPA) där de redogör hur deras hantering av data följer GDPR och är i linje med Schrems II domen 2020.

Leverantörernas system används i Amidos dagliga drift av organisationen. Alla kundapplikationer för Amidos Tjänster i form av Alliera och ACaaS av kunders passersystemsdatabaser ligger på Amidos serverar i Sverige i de fall de inte finns på av kunden tillhandahållna serverar.

Personuppgifter som kan lagras hos angivna leverantörer är främst kontaktuppgifter till kundens personal men Amido har inte kontroll på vilken information som kunds personal eller ombud kan välja att skicka in till Amido genom exempelvis e-post.

Känsliga personuppgifter hanteras inte i någon av Amidos processer med kunder och finns således inte heller lagrat.

Den typ av personinformation som i vissa supportärenden skickas till Amido gäller lägenhetsnummer, namn och telefonnummer som i regel finns i den publika domänen. I vissa fall kan tidpunkter för exempelvis tvättbokningar skickas. Detta för att Amido ska kunna assistera med uppgifter och göra felundersökningar.

Amido tillhandahåller DPA:er från leverantörerna på begäran.

Verksamhetsnamn: Freshworks Inc.
Uppgift i leveransen: Leverantör av ärendehanteringssystemet Amido använder. Innehåller information om kunders personal (e-post, telefon, adress) samt kommunikation i ärenden och forum.
Geografisk placering: 1250 Bayhill Drive, Suite 315, San Bruno, CA 94066, USA

Verksamhetsnamn: Prosperworks Inc.
Uppgift i leveransen: Amidos sälj-CRM. Innehåller e-post, telefonnummer och korrespondens med anställda.
Geografisk placering: 301 Howard St, San Francisco, CA 94105, USA

Verksamhetsnamn: The Rocket Science Group LLC
Uppgift i leveransen: E-postutskick för information, t.ex. nya funktioner i Tjänsterna.
Geografisk placering: 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308, USA

Verksamhetsnamn: Fortnox Aktiebolag
Uppgift i leveransen: Amidos leverantör av fakturering och bokföring. Kan innehålla namn och epost till beställare.
Geografisk placering: Bollgatan 3B, 352 46 Växjö, Sverige

Verksamhetsnamn: Google LLC
Uppgift i leveransen: Amidos e-postklient.
Geografisk placering: 1600 Amphitheatre Parkway, Mountain View, California 94043, USA

Verksamhetsnamn: Dropbox Inc.
Uppgift i leveransen: Fillagring i Amidos löpande verksamhet som ej är på egna serverar.
Geografisk placering: 333 Brannan St, San Francisco, CA 94107, USA



Genom att klicka på "Acceptera alla cookies" samtycker du till att cookies lagras på din enhet för att förbättra webbplatsnavigeringen, analysera webbplatsanvändningen och hjälpa till med våra marknadsföringsinsatser. Se vår  Sekretesspolicy för mer information.
InställningarInga kakorGe mig kakor!