Personuppgiftsbiträdesavtal

2.1 Den abonnerande organisationen ("Ansvarig") har ingått ett tjänsteavtal med VER&IT AB ("Biträdet") avseende användning av Securapilots plattform för governance, risk och compliance (GRC) ("Tjänsten").

2.2 Eftersom Biträdet, som ett led i fullgörandet av tjänsteavtalet, kommer att utföra behandling av personuppgifter för den Ansvariges räkning som den Ansvarige är personuppgiftsansvarig för, och därigenom vara den Ansvariges personuppgiftsbiträde, ingås detta PuB-avtal.

2.3 PuB-avtalet är anpassat för att uppfylla de krav som följer av Tillämplig Dataskyddslagstiftning i förhållande till den behandling som Biträdet utför för den Ansvariges räkning inom ramen för Parternas samarbete.

2.4 Om och i den mån annat bolag i samma koncern som den Ansvarige är att betrakta som personuppgiftsansvarig (ensamt eller tillsammans med den Ansvarige) för behandling som omfattas av detta PuB-avtal, bekräftar den Ansvarige härmed att man inhämtat nödvändiga tillstånd för att ingå PuB-avtalet även för sådant bolags räkning.

4.1 Biträdet ska behandla Uppgifterna uteslutande i enlighet med detta PuB-avtal, den Ansvariges dokumenterade instruktioner och Tillämplig Dataskyddslagstiftning. De instruktioner som gäller vid PuB-avtalets ingående framgår av detta avtal.

4.2 Biträdet får inte behandla Uppgifterna på något annat sätt, för andra ändamål eller enligt andra instruktioner än de som anges i detta PuB-avtal. För det fall Biträdet bedömer att nödvändiga instruktioner saknas för att genomföra uppdraget, eller att instruktionerna strider mot Tillämplig Dataskyddslagstiftning, ska Biträdet omedelbart informera den Ansvarige och invänta vidare instruktioner. Biträdet är inte skyldigt att följa en instruktion som det bedömer strider mot Tillämplig Dataskyddslagstiftning.

4.3 Den Ansvarige äger rätt att löpande instruera Biträdet skriftligen angående behandlingen av Uppgifter, varvid Biträdet har en motsvarande skyldighet att följa sådana dokumenterade instruktioner.

4.4 Eventuella justeringar av den Ansvariges instruktioner angående säkerhet och behandling ska meddelas Biträdet i rimlig tid. Ändringar och nya instruktioner träder i kraft senast trettio (30) dagar efter meddelande, om inte kortare tid begärs med anledning av krav som framgår av Tillämplig Dataskyddslagstiftning.

4.5 Biträdet har rätt att avsäga sig uppdraget för det fall att den Ansvariges instruktioner inte rimligen kan uppfyllas.

9.1 Alla personuppgifter lagras och behandlas inom Europeiska unionen, med hosting i Sverige. Biträdet får under inga omständigheter överföra Uppgifterna utanför EU/EES-området utan den Ansvariges i förväg lämnade skriftliga godkännande. Detta innebär att Biträdet inte utan den Ansvariges medgivande får utföra behandlingen på utrustning eller med resurser lokaliserade utanför EU/EES.

9.2 För det fall Parterna överenskommer att Uppgifterna ska överföras till plats utanför EU/EES ska Parterna säkerställa att överföringen är tillåten enligt Tillämplig Dataskyddslagstiftning och vid behov underteckna erforderliga standardavtalsklausuler i enlighet med Kommissionens genomförandebeslut (EU) 2021/914 eller vidta andra nödvändiga åtgärder.

9.3 Securapilots arkitektur stödjer konfigurerbart val av AI-modell per kund. Den Ansvarige kan välja att använda Sverige-baserade AI-tjänster (exempelvis Berget AI) för att säkerställa fullständig svensk datasuveränitet. Inga personuppgifter skickas till AI-leverantörer om inte den Ansvarige uttryckligen aktiverar AI-funktioner, och valet av leverantör är alltid under den Ansvariges kontroll.

10.2 Biträdet åtar sig att informera den Ansvarige om eventuella planer på att anlita nya underbiträden och/eller ersätta befintliga underbiträden minst fyrtio fem (45) dagar innan sådana planer genomförs. Den Ansvarige har rätt att invända mot förslaget. Om den Ansvarige inte återkommer till Biträdet inom 45 dagar anses den Ansvarige ha accepterat Biträdets plan.

10.3 Om den Ansvarige invänder mot ett nytt underbiträde och ingen lösning kan nås har den Ansvarige rätt att säga upp den berörda tjänsten. En aktuell förteckning över underbiträden hålls tillgänglig på begäran.

10.4 Avtal med underbiträden ska vara skriftliga och ålägga underbiträdet motsvarande skyldigheter och åtaganden som detta PuB-avtal ålägger Biträdet. Biträdet är ansvarigt för att säkerställa att anlitade underbiträden ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder.

10.5 För det fall behandling av Uppgifter planeras att utföras av underbiträde i tredje land gäller vad som anges i avsnitt 9 ovan.

10.6 Om ett underbiträde inte uppfyller sina skyldigheter i fråga om behandling av Uppgifter ska Biträdet förbli fullt ansvarigt gentemot den Ansvarige för underbiträdets uppfyllande av sina skyldigheter enligt detta PuB-avtal.

11.1 Biträdet åtar sig att i sin verksamhet vid var tid se till att berörd personal följer detta PuB-avtal och de instruktioner som ges av den Ansvarige, samt att personalen hålls informerad om bestämmelserna i Tillämplig Dataskyddslagstiftning.

11.2 Åtkomst till Uppgifterna ska inom Biträdets organisation begränsas till sådana personer som behöver dem för att kunna utföra sina avtalade arbetsuppgifter. Biträdet ska säkerställa att dessa personer har åtagit sig att iaktta sekretess eller omfattas av lagstadgad tystnadsplikt.

12.2 Den Ansvarige kan exportera och radera användardata direkt via plattformens administrationsgränssnitt. För begäranden som kräver ytterligare biträde svarar Biträdet inom tio (10) arbetsdagar.

12.3 Om en Registrerad, Tillsynsmyndigheten eller tredje man kontaktar Biträdet med begäranden som rör behandling av Uppgifter ska Biträdet hänvisa till den Ansvarige. Biträdet får inte lämna ut Uppgifter eller annan information om behandlingen utan uttrycklig instruktion från den Ansvarige, eller om utlämnandet är en följd av skyldighet enligt lag.

12.4 Biträdet ska utan dröjsmål informera den Ansvarige om eventuella kontakter med Tillsynsmyndigheten som rör, eller kan vara av betydelse för, Biträdets behandling av Uppgifter. Biträdet har inte rätt att företräda den Ansvarige eller agera för dennes räkning gentemot Tillsynsmyndigheten eller Registrerade.

13.1 Vid en personuppgiftsincident ska Biträdet, senast inom tjugofyra (24) timmar efter det att Biträdet uppdagat fullbordade fall av eller försök till obehörig åtkomst, förstörelse eller ändring av Uppgifter, underrätta den Ansvarige om detta.

13.2 Underrättelsen ska innefatta information om:

1. Incidentens art samt kategorier och det ungefärliga antalet Registrerade och personuppgiftsposter som berörs
2. Kontaktuppgifter till dataskyddsombud eller annan funktion hos Biträdet varifrån den Ansvarige kan erhålla ytterligare information
3. Sannolika konsekvenser av incidenten
4. De åtgärder som Biträdet redan vidtagit eller planerar att vidta för att hantera incidenten och begränsa dess negativa effekter
5. All övrig information som den Ansvarige behöver för att fullgöra sin anmälningsskyldighet gentemot Tillsynsmyndigheten och/eller de Registrerade

13.3 Biträdet ska bistå den Ansvarige med att uppfylla sina anmälningsskyldigheter gentemot Tillsynsmyndigheter och Registrerade.

15.1 Biträdet får inte lagra Uppgifterna längre än vad som är nödvändigt för fullgörande av ändamålet eller vad som annars följer av Tillämplig Dataskyddslagstiftning, detta PuB-avtal eller den Ansvariges instruktioner. Biträdet ska säkerställa att tekniska lösningar för automatisk gallring och radering finns på plats, eller att manuella rutiner för gallring dokumenteras.

15.2 Vid avtalets upphörande gäller följande:

• Den Ansvarige kan exportera all data via plattformens exportfunktion under en övergångsperiod om trettio (30) dagar
• Efter övergångsperioden raderas all den Ansvariges data — inklusive databasinnehåll, uppladdade filer och vektorinbäddningar — permanent från samtliga system, inklusive säkerhetskopior, inom trettio (30) dagar
• Biträdet tillhandahåller skriftlig bekräftelse på raderingen på begäran

15.3 Om radering inte är tekniskt möjlig garanterar Biträdet att Uppgifterna anonymiseras på ett sätt som omöjliggör återidentifiering.

15.4 Biträdet garanterar att det på den Ansvariges eller Tillsynsmyndighetens begäran, efter PuB-avtalets upphörande, kommer att redovisa samtliga behandlingar av Uppgifter som sker eller har skett, inklusive behandling utförd av underbiträden.

16.1 Den Ansvarige har rätt att själv eller genom ett oberoende tredjepartsrevisorat granska Biträdets efterlevnad av detta PuB-avtal och Tillämplig Dataskyddslagstiftning. Revisioner genomförs med skälig förhandsavisering och under iakttagande av sekretesskyldigheter.

16.2 Biträdet samarbetar vid revisioner och tillhandahåller tillgång till relevant dokumentation, system och personal. I möjligaste mån kan Biträdet tillgodose revisionsbegäranden genom att tillhandahålla oberoende tredjepartsrevisionsrapporter eller certifieringar.

16.3 Om den Ansvarige anlitar tredje part för inspektion ska den Ansvarige tillse att sådan tredje part undertecknar en ändamålsenlig sekretessförbindelse innan inspektion genomförs.

16.4 Inspektioner ska i möjligaste mån förläggas till tidpunkter och genomföras på ett sätt som medför minsta möjliga påverkan på Parternas ordinarie verksamheter. Granskning ska ske med iakttagande av de säkerhetsåtgärder Biträdet uppställer, förutsatt att dessa inte förhindrar eller medför betydande svårigheter att genomföra granskningen.

16.5 Om den Ansvarige vid granskning finner att Biträdet behandlar Uppgifterna i strid med detta PuB-avtal eller Tillämplig Dataskyddslagstiftning är Biträdet skyldigt att omgående rätta sig efter den Ansvariges påpekande. Om rättelse inte sker i tid, och detta kan medföra olägenhet för den Ansvarige, har den Ansvarige rätt att säga upp PuB-avtalet och tjänsteavtalet med omedelbar verkan.

16.6 Om inte annat följer av separat skriftlig överenskommelse står respektive Part sina egna kostnader vid granskning.

17.1 Biträdet åtar sig att inte lämna ut Uppgifterna eller annan information om behandlingen av Uppgifterna till tredje man utan uttrycklig instruktion eller förhandsgodkännande från den Ansvarige, om inte utlämnandet följer av skyldighet enligt lag.

17.2 Vardera Part åtar sig att inte avslöja konfidentiell information som Part direkt eller indirekt fått del av under samarbetet med den andre Parten till tredje man.

17.3 Parterna åtar sig att efterleva vid var tid gällande regler om företagshemligheter.

17.4 Biträdet ska se till att de personer som har åtkomst till Uppgifterna har åtagit sig att iaktta sekretess eller omfattas av lagstadgad tystnadsplikt, och är informerade om hur de får behandla Uppgifterna. Underbiträden med vilka underbiträdesavtal ingåtts i enlighet med avsnitt 10 ska ha motsvarande sekretessåtaganden.

17.5 Sekretessåtagandena i detta avsnitt kvarstår efter PuB-avtalets upphörande.

19.1 Om Part (inklusive den som arbetar under Parts ledning eller av Part anlitat underbiträde) agerar i strid med detta PuB-avtal eller Tillämplig Dataskyddslagstiftning ska sådan Part hålla den andre Parten skadeslös för den eventuella skada som sådant agerande orsakat. Detta gäller dock inte om den skadevållande Parten kan visa att denne inte på något sätt är ansvarig för den händelse eller underlåtenhet som orsakade skadan.

19.2 Under inga omständigheter ska Part vara ansvarig för indirekta skador, såsom utebliven vinst, inkomstförlust, förlust av data, hinder att uppfylla förpliktelse mot tredje man, ersättningsskyldighet mot tredje man eller andra följdskador. Denna ansvarsbegränsning gäller dock inte vid grov vårdslöshet eller uppsåt.

19.3 Parternas ansvar gentemot tredje man regleras i enlighet med artikel 82 i Dataskyddsförordningen. Den Part som betalat full ersättning för skada som orsakats tredje man har rätt att från den andra Parten, om denne medverkat vid samma behandling, återkräva den del av ersättningen som motsvarar den Partens andel av ansvaret.

19.4 Ansvar för överträdelser av detta PuB-avtal regleras i övrigt av villkoren i tjänsteavtalet mellan Parterna.

20.1 Den Ansvarige får ändra innehållet i detta PuB-avtal i den mån så erfordras för att tillgodose krav som följer av Tillämplig Dataskyddslagstiftning. Sådan ändring träder i kraft trettio (30) dagar efter att meddelandet om ändring kommit Biträdet tillhanda. Om Biträdet inte accepterar sådan ändring har den Ansvarige rätt att säga upp tjänsteavtalet med omedelbar verkan.

20.2 Övriga ändringar av och tillägg till detta PuB-avtal ska för att vara bindande upprättas skriftligen och godkännas av båda Parter.

21.1 PuB-avtalet gäller från dess ingående och så länge som Biträdet behandlar Uppgifter för den Ansvariges räkning.

21.2 Vid PuB-avtalets upphörande ska Biträdet och eventuella underbiträden, beroende på vad den Ansvarige instruerar, antingen återlämna alla Uppgifter och kopior av dessa till den Ansvarige, eller radera alla Uppgifter och intyga för den Ansvarige att så skett. Åtgärderna ska genomföras i enlighet med avsnitt 15.

21.3 Sekretessbestämmelserna i avsnitt 17 kvarstår efter PuB-avtalets upphörande.

23.1 Alla meddelanden och annan kommunikation enligt detta PuB-avtal ska upprättas skriftligen och avlämnas via e-post, bud eller rekommenderat brev till Parternas angivna kontaktpersoner enligt avsnitt 1.

23.2 Meddelande ska anses ha kommit mottagaren tillhanda:

• Vid avsändande med e-post: vid tidpunkten för avsändande, förutsatt att negativ kvittens inte erhålls
• Vid avlämnande med bud: vid tidpunkten för avlämnandet
• Vid avsändande med rekommenderat brev: den tredje (3:e) vardagen efter avlämnandet för postbefordran

23.3 Ansvaret för att hålla kontaktuppgifter uppdaterade vilar på respektive Part.

24.1 Svensk lag ska tillämpas på detta PuB-avtal inklusive all behandling av Uppgifter under PuB-avtalet.

24.2 Tvister som uppstår i anledning av detta PuB-avtal löses i enlighet med tvistlösningsmekanismen som anges i tjänsteavtalet.