Detta Personuppgiftsbiträdesavtal (”Biträdesavtalet”) utgör Bilaga 1 till Avtalet, under vilket Nexus (nedan ”Biträdet”) kommer behandla personuppgifter för Kundens (nedan den ”Ansvarige”) räkning när Nexus tillhandahåller tjänster enligt Avtalet. Den Ansvarige är personuppgiftsansvarig för behandlingen av Personuppgifterna. Biträdet är personuppgiftsbiträde och behandlar Personuppgifterna för den Ansvariges räkning.

1. Dokument

Detta Biträdesavtal består av detta huvuddokument och följande bilagor:

Underbilaga 1 – Instruktioner till Biträdet

Underbilaga 2 – Säkerhetsåtgärder

Underbilaga 3 – Godkända Underbiträden

2. Definitioner

I detta Biträdesavtal har de termer som inleds med versal nedanstående betydelse. I övrigt gäller de definitioner som anges i övrigt i Avtalet och i Tillämplig Lagstiftning.

”GDPR” betyder Europaparlamentets och Rådets Förordning (EU) 2016/679, inklusive eventuella framtida ändringar och tillägg.

”Personuppgifterna” betyder de Personuppgifter (såsom definieras i Tillämplig Lagstiftning) som specificeras i Underbilaga 1.

”PuL” betyder personuppgiftslagen (1998:204).

”Tillämplig Lagstiftning” betyder (i) till och med 24 maj 2018, PuL, (ii) från och med 25 maj 2018, GDPR, och (iii) tillämplig kompletterande lagstiftning till PuL eller GDPR.  

3. Instruktioner

3.1.      Biträdet ska behandla Personuppgifterna i enlighet med den Ansvariges instruktioner, vilka framgår av Underbilaga 1. Instruktionerna ska åtminstone innehålla följande information:

(i)         Behandlingens ändamål,

(ii)         Behandlingens karaktär,

(iii)        Hur länge behandlingen ska pågå,

(iv)       Vilka kategorier av personuppgifter som ska behandlas, och

(v)        Vilka kategorier av registrerade som inkluderas i behandlingen.

3.2.      Biträdet får inte behandla Personuppgifterna för andra ändamål än vad som följer av den Ansvariges instruktioner. Parterna ska uppdatera Underbilaga 1 vid nya eller ändrade instruktioner. Biträdet har rätt till ersättning på löpande räkning i enlighet med Biträdets vid var tid gällande prislista.

3.3.      Oaktat ovanstående har Biträdet rätt att i skälig omfattning vidta löpande åtgärder utan den Ansvariges uttryckliga instruktion, under förutsättning att Biträdet agerar för och i enlighet med de ändamål som framgår av Underbilaga 1.

3.4.      För det fall Biträdet anser att en instruktion strider mot Tillämplig Lagstiftning ska Biträdet avstå från att följa instruktionerna, genast underrätta den Ansvarige och invänta ändrade instruktioner.

4. Den Ansvariges skyldighet att behandla Personuppgifter lagligt

4.1.      Den Ansvarige ska säkerställa att laglig grund föreligger för behandlingen av Personuppgifterna. Den Ansvarige ska vidare uppfylla alla andra skyldigheter som åläggs personuppgiftsansvariga i Tillämplig Lagstiftning (inklusive krav på att informera de registrerade om behandlingen av Personuppgifterna).  

4.2.      Den Ansvariges instruktioner för behandlingen av Personuppgifterna ska vara förenliga med Tillämplig Lagstiftning. Den Ansvarige är fullt ansvarig för att Personuppgifterna är korrekta och att behandlingen och insamlingen av dem är laglig.

5. Säkerhetsåtgärder

5.1.      Biträdet ska upprätthålla adekvata säkerhetsåtgärder för att säkerställa att Personuppgifterna är skyddade mot förstörelse, modifikation och spridning. Biträdet ska säkerställa att Personuppgifterna är skyddade mot obehörigt intrång och att åtkomst till uppgifterna loggas med spårbarhet. Säkerhetsåtgärderna är beskrivna i Underbilaga 2. Den Ansvarige godkänner dessa säkerhetsåtgärder som adekvata, tillräckliga och lämpliga.

5.2.      Biträdet ska säkerställa (i) att endast behöriga personer hos Biträdet har tillgång till Personuppgifterna, (ii) att de behöriga personerna endast behandlar Personuppgifterna i enlighet med Biträdesavtalet och den Ansvariges instruktioner, samt (iii) att varje behörig person hos Biträdet är bunden av sekretess som motsvarar den sekretessförbindelse som följer av detta Biträdesavtal.

5.3.      Biträdet ska underrätta den Ansvarige utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident. Biträdet ska bistå den Ansvarige i fullgörandet av den Ansvariges skyldigheter att (i) dokumentera varje personuppgiftsincident, (ii) meddela tillämplig tillsynsmyndighet vid en personuppgiftsincident, och (iii) informera de registrerade om sådan personuppgiftsincident, i enlighet med Tillämplig Lagstiftning.

6. Biträdets skyldighet att bistå

6.1.      Biträdet ska genom att säkerställa lämpliga tekniska och organisatoriska åtgärder bistå den Ansvarige i fullgörandet av den Ansvariges skyldigheter att säkerställa att de registrerade kan utnyttja sina rättigheter enligt Tillämplig Lagstiftning. De registrerades rättigheter inkluderar (i) rätt att motsätta sig behandling och få Personuppgifter raderade, (ii) rätt att begära information om och tillgång till Personuppgifterna, (iii) om tekniskt möjligt, rätt till dataportabilitet, och (iv) rätt till rättelse av Personuppgifterna.

6.2.      Biträdet ska vidare bistå den Ansvarige i den Ansvariges fullgörande av sina skyldigheter enligt artikel 32–36 i GDPR, vilka inkluderar (i) säkerställande att behandlingen är säker, (ii) konsekvensbedömningar avseende dataskydd och (iii) förhandssamråd.

7. Underbiträden

7.1.      Biträdet har rätt att anlita tredje part för att utföra hela eller del av behandlingen (”Underbiträde”), förutsatt att den Ansvarige skriftligen har informerats därom och inte har invänt skriftligen inom 10 dagar. I sådant fall blir underbiträdet ett ”Godkänt Underbiträde”. Godkända Underbiträden finns listade i Underbilaga 3 (vilken ska uppdateras vid ändringar av Godkända Underbiträden). Underbilaga 3 ska lista följande information om varje Godkänt Underbiträde:

(i)         namn, kontaktinformation, företagsform och geografisk plats för det Godkända Underbiträdet,

(ii)         en beskrivning av tjänsten som det Godkända Underbiträdet tillhandahåller,

(iii)        geografisk plats för behandlingen av Personuppgifterna.

7.2.      Biträdet ska ingå ett skriftligt avtal med varje Underbiträde enligt vilket Underbiträdet åtar sig skyldigheter som i vart fall motsvarar de som Biträdet har åtagit sig enligt detta Biträdesavtal.

7.3.      För det fall den Ansvarige invänder mot att ett nytt Underbiträde blir ett Godkänt Underbiträde i enlighet med punkt 7.1 ovan, ska Biträdet avstå från att anlita detta Underbiträde för behandling av Personuppgifterna och ska vidta rimliga åtgärder för att möjliggöra ändringar i tjänsten för den Ansvarige eller rekommendera en kommersiellt skälig ändring av den Ansvariges konfigurationer eller användning av tjänsterna för att undvika att aktuellt Underbiträde behandlar Personuppgifterna, utan att orimligen betunga den Ansvariges verksamhet. Om sådan ändring inte är praktiskt eller kommersiellt rimlig att genomföra inom en skälig tidsperiod, vilken under inga omständigheter ska överstiga 30 dagar, ska Biträdet vara berättigat (i) till kompensation från den Ansvarige för tilläggskostnader som Biträdet åsamkats på grund av sådan invändning, eller (ii) att säga upp Biträdesavtalet med 45 dagars varsel. Biträdet ska inom 40 dagar efter mottagandet av den Ansvariges invändning informera den Ansvarige om Biträdet väljer alternativ (i) eller (ii).

7.4.      När den Ansvarige har godkänt ett Underbiträde kan den Ansvarige inte längre invända mot anlitandet av Underbiträdet.

8. Överföringar till tredje land

Biträdet får inte överföra Personuppgifterna utanför EU/EES, eller anlita ett Underbiträde för behandling av Personuppgifterna utanför EU/EES, utan den Ansvariges godkännande och i sådant fall endast förutsatt att någon av följande förutsättningar är uppfylld:

(i)         mottagarlandet säkerställer en adekvat skyddsnivå för personuppgifter enligt Europakommissionen,

(ii)         den Ansvarige bekräftar att den registrerade har givit sitt samtycke till överföringen,

(iii)        överföringen är föremål för Europeiska kommissionens standardavtalsklausuler för överföring av personuppgifter till tredje land,

(iv)       Biträdet är föremål för bindande företagsbestämmelser och mottagaren i det tredje landet är också föremål för bindande företagsbestämmelser, eller

(v)        vid överföringar till USA, mottagaren är certifierad enligt Privacy Shield.

9. Insyn

9.1.      På den Ansvariges begäran ska Biträdet förse den Ansvarige med nödvändig information för att visa att Biträdet agerar i enlighet med sina skyldigheter i Tillämplig Lagstiftning.

9.2.      Den Ansvarige har rätt att med 10 dagars skriftligt varsel genomföra en granskning av Biträdets behandling av Personuppgifterna och annan dokumentation som är relevant för Biträdets behandling av Personuppgifterna. Biträdet ska bistå den Ansvarige och tillgängliggöra information som är nödvändig för att den Ansvarige ska kunna genomföra sådan granskning. Den Ansvarige ska bära kostnaderna för sådan granskning.

9.3.      Om en tillsynsmyndighet utför en granskning av Biträdet som involverar behandlingen av Personuppgifterna ska Biträdet genast meddela den Ansvarige därom.    

10. Ersättning

10.1.    Biträdet ska ha rätt till ersättning för behandlingen av Personuppgifterna i enlighet med gällande prisöverenskommelser.

10.2.    Den Ansvarige ska bära alla Biträdets kostnader för förändringar eller tillägg i instruktionerna gällande behandlingen av Personuppgifterna och för alla ytterligare kostnader som Biträdet åsamkas med anledning av ändringar i Tillämplig Lagstiftning eller andra relevanta regelverk. Biträdet har vidare rätt till kompensation för de åtgärder som vidtagits med anledning av den Ansvariges instruktioner eller för den Ansvariges räkning.

11. Ansvar

Bestämmelserna rörande Biträdets ansvar och ansvarsbegränsning i Avtalet ska gälla för detta Biträdesavtal.

12. Sekretess

12.1.    Biträdet åtar sig att iaktta sekretess och att inte röja eller dela Personuppgifterna, eller information som relaterar till Personuppgifterna, till tredje part. Godkända Underbiträden anses inte vara tredje parter enligt denna punkt 12.

12.2.    Oaktat punkt 12.1 ovan får Biträdet röja sådan information om Biträdet är skyldigt att göra det enligt lag, domslut eller myndighetsbeslut. Biträdet ska genast skriftligen underrätta den Ansvarige när sådan skyldighet uppkommer, om inte Tillämplig Lagstiftning förbjuder sådan underrättelse.

12.3.    Skyldigheten att iaktta sekretess ska fortsätta att gälla även efter att detta Biträdesavtal har upphört att gälla.

13. Radering av Personuppgifter

Vid Avtalets upphörande ska den Ansvarige skriftligen instruera Biträdet avseende om Personuppgifterna ska överföras till den Ansvarige eller inte. Sådan överföring ska göras i ett allmänt använt och maskinläsbart format. Biträdet ska radera Personuppgifterna från sina system tidigast 30 dagar och senast 40 dagar efter Avtalets upphörande. 

14. Avtalstid

Oaktat Avtalets avtalstid ska detta Biträdesavtal träda i kraft när Biträdet inleder behandlingen av Personuppgifterna för den Ansvariges räkning och ska upphöra när Biträdet har raderat Personuppgifterna i enlighet med punkt 13 ovan.

Underbilaga 1 – Instruktioner till Biträdet

Biträdets behandling av Personuppgifterna ska ske i enlighet med följande instruktioner. För det fall Biträdets behandling av Personuppgifterna sker i strid med dessa instruktioner ska Biträdet anses vara personuppgiftsansvarigt för sådan behandling.

Underbilaga 2 – Säkerhetsåtgärder

Nexus kommer att implementera och underhålla de säkerhetsåtgärder som definieras i underbilaga 2

1. Personal

Nexus personal kommer inte att behandla någon form av kunddata utan tillstånd från Ansvarig och enbart när det är nödvändigt för att fullfölja syftet med tjänsten. Personal är skyldig att behandla alla typer av data konfidentiellt och den skyldigheten kvarstår även efter det att deras engagemang upphört.

2. Kontaktperson för Datasäkerhetsfrågor

Ansvarig för datasäkerhetsfrågor kan nås på följande adress:

Nexus ID Solutions AB

Attn: Ansvarig Datasäkerhet

Telefonvägen 26, 126 26 Hägersten | Sweden

Email: contact@nexusgroup.com

3. Tekniska och organisatoriska säkerhetsåtgärder

Nexus har implementerat och kommer att upprätthålla de för tjänsten nödvändiga tekniska och organisatoriska säkerhetsåtgärder såsom internkontroller och rutiner för informationssäkerhet för att skydda Data, som definieras i Avtalet, mot oavsiktlig eller tillfällig förlust, skada eller förändring; obehörigt avslöjande eller tillträde; eller otillåten destruktion som anges i underavdelningarna nedan.

Nexus har en utsedd tjänsteman som ansvarar för säkerhet och som ansvarar för koordinering och övervakning av säkerhetsrutiner och processer.

Nexus (inklusive underleverantörer) begränsar behörigheter till faciliteter där informationssystem som processar Data är belägna i syfte att identifiera behöriga individer.

Skydd från avbrott och störningar. Nexus använder flertalet branschstandardsystem för att skydda mot förlust av data vid exempelvis strömavbrott eller andra typer av störningar.

Tjänsten som datacentret driftar innefattar replikering som medger återställning av data i det fall en specifik server eller ett cluster i datacentret fallerar. Nexus tjänster inkluderar även filbackup.

Nexus har anti-malware detektering för att förhindra att elakartad mjukvara får otillåten access till data, vilket även inkluderar mjukvara som härstammar från publika nätverk.

Nexus loggar access och användning av system som innehåller data, och registrerar access ID, tid och relevant information.

Nexus är certifierad i Sverige enligt ISO 27001:2013 standard, utfärdad av certifieringsorganisationen RISE, Research Institutes of Sweden AB.

4. Autentisering

• Nexus använder branschstandardspraxis för att identifiera och autentisera användare som försöker få tillträde till informationssystemet.

Underbilaga 3 – Godkända Underbiträden

Basefarm AB, organisationsnummer: 556638-0639 
Sveavägen 159. 113 46 Stockholm. Sverige 

Speed Service AB, organisationsnummer: 556067-3633 
Mediavägen 11. 135 48 Tyresö. Sverige 
 

Scancloud AB, organisationsnummer: 556677-1076 
Ringvägen 2. 831 34 Östersund. Sverige 
 

ID06 AB, organisationsnummer: 559052-2040 
Box 13 144, 103 03 Stockholm. Sverige 

Detta avtal gäller ID06 1.0. För ID06 2.0, se här.