BILAGA: PERSONUPPGIFTSBITRÄDESAVTAL

Inledning: Detta personuppgiftsbiträdesavtal utgör en bilaga till det uppdragsavtal avseende redovisningstjänster som den fysiska eller juridiska person (nedan kallad ”Uppdragsgivaren”) som anlitar SIFFROR Sverige AB (nedan kallad ”Byrån”), har ingått med Byrån.

Personuppgiftsansvarig: Uppdragsgivaren är personuppgiftsansvarig för de personuppgifter som lämnas till Byrån inom ramen för uppdraget och som Byrån behandlar för Uppdragsgivarens räkning.

Personuppgiftsbiträde: Byrån behandlar personuppgifterna, som Uppdragsgivaren är personuppgiftsansvarig över, för Uppdragsgivarens räkning och i enlighet med Uppdragsgivarens instruktioner som anges i detta personuppgiftsbiträdesavtal.

Ändamål med personuppgiftsbehandlingen: Uppdragsgivaren instruerar härmed Byrån att behandla personuppgifterna i enlighet med gällande lagstiftning samt dessa instruktioner, för att a) fullgöra avtalsenliga förpliktelser enligt uppdragsavtalet och för att b) uppfylla rättsliga förpliktelser.

Uppdragsgivarens instruktioner för personuppgiftsbehandlingen: Byrån ska endast behandla och överföra personuppgifter enligt dokumenterade instruktioner från Uppdragsgivaren, såvida inte behandlingen i fråga krävs enligt tillämplig lag (i EU eller i ett av EU:s medlemsländer). Om en behandling som Uppdragsgivaren inte instruerat Byrån att utföra krävs enligt tillämplig lag ska Byrån informera Uppdragsgivaren om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt tillämplig lag. Byrån ska omedelbart informera Uppdragsgivaren om Byrån anser att en instruktion strider mot dataskyddsförordningen eller annan tillämplig dataskyddslagstiftning.

Kategorier av personuppgifter: förnamn, efternamn, personnummer, e-postadress, telefonnummer och annan metadata som är inkluderad i material som tillhandahålls av Uppdragsgivaren till Byrån.

Kategorier av registrerade: kontaktpersoner, ägare, kunder, anställda, leverantörer samt leverantörers kontaktpersoner.

Behandlingar: registrering, lagring, insamling, bearbetning, radering, import/export av personuppgifter via filöverföring, kontroll av personuppgifter mot folkbokföringsregistret samt överföring av personuppgifter till myndigheter.

Platsen för behandlingar: inom EU/EES.

Behandlingens varaktighet: så länge som det är nödvändigt för att uppfylla ändamålet med behandlingen och rättsliga förpliktelser.

Sekretess: Byrån säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta sekretess avseende personuppgifterna.

Intyganden: Uppdragsgivaren intygar och bekräftar härmed att denne:
– behandlar personuppgifter i enlighet med GDPR,
– har rättslig grund att behandla och utlämna personuppgifterna till Byrån, inklusive till Byråns underbiträden,
– är ensamt ansvarig för riktigheten, integriteten, innehållet, tillförlitligheten och lagenligheten av lämnade personuppgifter,
– instämmer i att Byråns implementering av tekniska och organisatoriska säkerhetsåtgärder är tillräckliga för att skydda de registrerades integritet och personuppgifter,
– inte ska överföra några icke nödvändiga känsliga personuppgifter, tex. uppgift om etniskt ursprung, hälsa, politiska åsikter, religiös övertygelse m.fl.

Justering av personuppgifter: Byrån ska, på Uppdragsgivarens begäran, radera, rätta eller överlämna ofullständiga, felaktiga eller inaktuella personuppgifter utan onödigt dröjsmål.

Organisatoriska och tekniska åtgärder: Byrån ska genomföra systematiska, organisatoriska och tekniska åtgärder för
att säkerställa en lämplig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som behandlingen innebär och typen av personuppgifter som ska skyddas. Vid bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till risk för oavsiktlig eller olaglig förstöring, förlust, ändring eller till obehörigt röjande eller åtkomst till personuppgifterna.

Assistans: Byrån ska, med beaktande av typen av behandling och den information som Byrån har att tillgå, hjälpa Uppdragsgivaren att se till att skyldigheterna fullgörs avseende: säkerhet i samband med behandlingen, anmälan av en personuppgiftsincident till Integritetsskyddsmyndigheten, information till den registrerade om en personuppgiftsincident, konsekvensbedömning avseende dataskydd inklusive behandling som helt eller delvis utförs av Byrån och förhandssamråd (artiklarna 32–36 i GDPR). Byrån ska även hjälpa Uppdragsgivaren att fullgöra sin skyldighet att svara på begäran om utövande av de registrerades rättigheter i enlighet med GDPR i den mån det är möjligt, genom lämpliga tekniska och organisatoriska åtgärder. Byrån ska dessutom underrätta Uppdragsgivaren utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident samt i övrigt bistå Uppdragsgivaren med att se till att dennes skyldigheter gällande personuppgiftsincidenter fullgörs.

Meddelanden om förfrågningar: Byrån ska, i den utsträckning det är praktiskt möjligt och lagligt, meddela Uppdragsgivaren om förfrågningar om utlämnande av personuppgifter som erhållits från en registrerad eller myndigheter, innan något utlämnande sker.

Underbiträden: Uppdragsgivaren ger härmed Byrån ett allmänt skriftligt förhandstillstånd att anlita underbiträden för fullgörandet av uppdraget enligt uppdragsavtalet. Byrån ska respektera bestämmelserna i artiklarna 28.2 och 28.4 i GDPR vid anlitandet av underbiträden. Uppdragsgivaren har rätt att begära ut information om vilka underbiträden som Byrån anlitar inom ramen för uppdraget. Uppdragsgivaren ska informeras om eventuella planerade förändringar av underbiträden och ska ges möjlighet att göra invändningar. Byrån ska ingå ett skriftligt personuppgiftsbiträdesavtal med anlitade underbiträden, som ska säkerställa att underbiträdet åtar sig ansvar och skyldigheter som minst motsvarar Byråns skyldigheter enligt detta avtal. Om ett underbiträde inte fullgör sina skyldigheter i fråga om dataskydd ska Byrån vara fullt ansvarig gentemot Uppdragsgivaren för utförandet av underbiträdets skyldigheter.

Revision: Uppdragsgivaren har rätt att genomföra årlig revision av Byråns personuppgiftshantering. Byrån ska ge Uppdragsgivaren tillgång till den information som krävs för att bevisa att de skyldigheter som anges i artikel 28 har fullgjorts och för att möjliggöra och bidra till granskningar samt inspektioner, som genomförs av Uppdragsgivaren eller av en annan revisor som bemyndigats av Uppdragsgivaren. Uppdragsgivaren står för eventuella kostnader som uppstår i samband med begärda revisioner. Hjälp från Byrån, som överstiger standardtjänsten som Byrån tillhandahåller och/eller underleverantörer för att följa GDPR, kommer att debiteras.

Avtalets upphörande: Byrån ska säkerställa konfidentialitet, integritet och tillgänglighet av personuppgifter enligt GDPR både under och efter avtalstiden. När avtalet upphör, ska Byrån upphöra med behandlingen av personuppgifterna och, beroende på vad Uppdragsgivaren väljer, radera eller återlämna all data innehållande personuppgifter, och radera samtliga befintliga kopior inom trettio (30) dagar, om inte lagring av personuppgifterna krävs enligt gällande lagstiftning. Byrån kan behålla personuppgifter efter att avtalet/uppdraget har upphört i den utsträckning det krävs enligt lag, med samma typ av tekniska och organisatoriska säkerhetsåtgärder som gäller under ett pågående avtalsförhållande.