Avtal om personuppgiftsbehandling

Avtal mellan personuppgiftsansvarig och personuppgiftsbehandlare.

Definitioner

Definitionerna i avtalet gäller även för personuppgiftsbiträdesavtalet. Dessutom gäller följande definitioner:

  • Med begreppet ”personuppgiftsansvarig” avses den person som, ensam eller tillsammans med andra, bestämmer ändamålen och medlen för behandlingen av personuppgifter.
  • Personuppgiftsbehandlare avser en person som behandlar personuppgifter för den personuppgiftsansvariges räkning,
  • Behandling avser varje åtgärd eller serie av åtgärder som utförs med personuppgifter, oavsett om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, lagring, behandling, ändring, användning, utlämnande, spridning eller annan tillgängliggörande, sammanställning eller sammankoppling, blockering, radering eller förstöring.
  • Med personuppgifter avses all information som direkt eller indirekt kan kopplas till en identifierbar levande person.
Innehåll och syfte

Detta avtal upprättas för att uppfylla kraven i artikel 28 i dataskyddsförordningen och är ett komplement till det serviceavtal som ingåtts mellan parterna, nedan kallat Serviceavtalet.

Ett avtal har ingåtts mellan den personuppgiftsansvarige och personuppgiftsbehandlaren gällande insamling och behandling av personuppgifter för personer som är registrerade inom EU och EES.

Serviceavtalet är det avtal som reglerar vad Personuppgiftsbehandlaren ska utföra för den Personuppgiftsansvariges räkning. Personuppgiftsbehandlaren behandlar personuppgifter i den utsträckning det är nödvändigt för att fullgöra skyldigheterna enligt serviceavtalet.

Säkerhet och integritet

Personuppgiftsbehandlaren ska genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska uppnå en säkerhetsnivå som åtminstone överensstämmer med tillämplig lag och är lämplig med hänsyn till:

  • De tekniska möjligheter som finns
  • Vad det skulle kosta att genomföra åtgärderna.
  • De specifika riskerna som är förknippade med behandling av personuppgifter.
  • Hur känsliga de behandlade personuppgifterna är.

Överenskomna åtgärder, som uppfyller denna punkt, ska uppnå en säkerhetsnivå som den personuppgiftsansvarige, efter samråd med dataskyddsombudet, anser lämplig.

Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, särskilt riskerna för oavsiktlig eller olaglig förstörelse, förlust eller ändring, eller för obehörigt röjande av eller åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Personuppgiftsbiträdet ska säkerställa att behörighetshanteringen är korrekt och att sekretessen iakttas.

Sekretessen ska säkerställa att alla anställda, konsulter och andra som Personuppgiftsbiträdet ansvarar för och som behandlar personuppgifterna är bundna av en lämplig tystnadsplikt och att de informeras om hur personuppgifterna får behandlas. Personuppgiftsbiträdet ansvarar för att de som har tillgång till personuppgifterna informeras om hur de får behandla personuppgifterna i enlighet med instruktioner från Personuppgiftsansvarig.

Revision och besök

Den personuppgiftsansvarige har rätt att, antingen själv eller genom en tredje part, genomföra en granskning av personuppgiftsbiträdet eller på annat sätt kontrollera att personuppgiftsbiträdets behandling av personuppgifter överensstämmer med detta personuppgiftsbiträdesavtal. Vid sådan granskning eller verifiering ska personuppgiftsbiträdet ge den personuppgiftsansvarige det biträde som krävs för att genomföra granskningen.

Personuppgiftsbehandlaren ska, i samråd med den personuppgiftsansvarige, tillhandahålla all tillgänglig information om behandlingen av personuppgifter för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter som personuppgiftsansvarig enligt tillämplig lag.

I de fall där registrerade personer, Dataskyddsmyndigheten eller annan tredje part begär information från den personuppgiftsansvarige eller personuppgiftsbehandlaren gällande behandling av personuppgifter, ska parterna samarbeta och utbyta information i den utsträckning det är nödvändigt. Ingen part får lämna ut personuppgifter eller information om behandling av personuppgifter utan föregående samtycke från den andra parten, förutom i de fall det finns en föreläggande om det från relevant myndighet eller om parten är skyldig att göra det enligt tvingande lagstiftnin

Personuppgiftsbehandlaren ska bistå den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, så att den personuppgiftsansvarige kan fullgöra sin skyldighet avseende de registrerades rättigheter i enlighet med kapitel 3 i dataskyddsförordningen.

Underbiträden

I den utsträckning Personuppgiftsbiträdet anlitar underpersonuppgiftsbiträden måste dessa godkännas av den Personuppgiftsansvarige.

Om Personuppgiftsbehandlaren anlitar ett underbiträde efter godkännande har Personuppgiftsbehandlaren mandat och skyldighet att ingå ett separat Personuppgiftsbehandlaravtal med sådant underbiträde avseende underbiträdets behandling av personuppgifter. Ett sådant avtal ska föreskriva att underbiträdet har samma skyldigheter som Personuppgiftsbehandlaren har enligt detta avtal.

Personuppgiftsbehandlaren ska, på begäran av den personuppgiftsansvarige, tillhandahålla en kopia av de delar av personuppgiftsbehandlaravtalet med underpersonuppgiftsbehandlaren som är nödvändiga för att visa att personuppgiftsbehandlaren har fullgjort sina skyldigheter enligt detta personuppgiftsbehandlaravtal.

Personuppgiftsbehandlaren ska i förväg tillhandahålla en korrekt och aktuell förteckning som anger vilka underbiträden som har anlitats för behandling av personuppgifter och var dessa är geografiskt belägna. Personuppgiftsbehandlaren ska också, på begäran av den personuppgiftsansvarige, utan dröjsmål tillhandahålla kontaktuppgifter till de underbiträden som behandlar personuppgifter.

Personuppgiftsbehandlaren ska informera den personuppgiftsansvarige om eventuella planer på att anlita nya underpersonuppgiftsbehandlare eller ersätta underpersonuppgiftsbehandlare, så att den personuppgiftsansvarige har möjlighet att invända mot sådana ändringar. Om det finns rimlig grund för invändningen har den personuppgiftsansvarige rätt att motsätta sig anlitandet av ett specifikt nytt underpersonuppgiftsbehandlare med bindande verkan.

Skadelöshet

Personuppgiftsbehandlaren ska hålla den personuppgiftsansvarige skadeslös om den personuppgiftsansvarige lider skada som kan hänföras till personuppgiftsbehandlarens behandling av personuppgifter i strid med dataskyddsförordningen, instruktioner från den personuppgiftsansvarige eller serviceavtalet.

Upphörande av behandling av personuppgifter

Personuppgiftsbehandlaren ska, beroende på vad den personuppgiftsansvarige väljer, radera eller återlämna alla uppgifter som innehåller personuppgifter på alla medier där de är lagrade, efter att uppdraget har slutförts eller om avtalet har löpt ut.=

Behandling som omfattas av avtalet
Registrerad

De personuppgifter som ska behandlas avser följande kategorier av registrerade:

  • Anställda
  • Externa anställda
Typ av personuppgifter som behandlas

Överföring av känsliga personuppgifter:
  • Sjukfrånvaro

Behandling

De personuppgifter som kommer att behandlas kommer att behandlas på följande sätt:

  • Personuppgifter samlas in av personuppgiftsansvarig, närvaroregistrering och lagring av inmatad och registrerad information.

Syftet med behandlingarna

Behandlingen av personuppgifter sker i syfte att:

  • Schemaläggning, tidsregistrering och löneberäkning

Särskilda instruktioner gällande behandlingar

Vid behandling av personuppgifter ska personuppgiftsbiträdet särskilt beakta:

Gallring av personuppgifter

Personuppgifter ska raderas när:

Se https://support.timeplan.se/sv/gdpr

Tvist och tillämplig lag

Tvister gällande tolkningen eller tillämpningen av detta avtal ska avgöras i enlighet med svensk lag och Serviceavtalets tvistlösningsbestämmelse.

Detta avtal har upprättats i två identiska exemplar, av vilka parterna har erhållit ett exemplar vart och ett.

support@timeplan.se
031 – 730 40 30
Fürstenbergsgatan 4, Göteborg
Byggd för effektivitet, driven av precision. Led team smartare – utan kaos.
Tack! Din inlämning har mottagits!
Hoppsan! Något gick fel när formuläret skulle skickas in.
HemStämpelklockaSchemaläggningHR och reglerAllt-i-ett-lösning
Om ossBranscherRecensionerIntegrationerKontaktLediga jobb
BloggPrisVillkorHjälpcenterBoka en demoUtbildning
Integritetspolicy
Villkor
Timeplan / Exsens AB Upphovsrätt © 2025