Personuppgiftsbiträdesavtal

Detta personuppgiftsbiträdesavtal ("PUB-avtal") utgör en del av avtalet mellan Svenska Moln AB ("Personuppgiftsbiträdet", "Frostmoln") och kunden ("Personuppgiftsansvarig", "du") avseende tillhandahållande av molninfrastrukturtjänster. Detta PUB-avtal ingås i enlighet med artikel 28 i EU:s dataskyddsförordning (GDPR) och efterlever svensk dataskyddslagstiftning.

1. Omfattning och varaktighet

Detta PUB-avtal gäller all behandling av personuppgifter som Frostmoln utför på uppdrag av den Personuppgiftsansvarige i samband med tillhandahållande av molninfrastrukturtjänster enligt Användarvillkoren. Behandlingens varaktighet motsvarar tjänsteavtalets varaktighet. Vid uppsägning av tjänsteavtalet ska bestämmelserna om återlämnande och radering av data i avsnitt 11 tillämpas.

2. Behandlingens detaljer

Föremål: Hosting och behandling av Kunddata på Frostmolns molninfrastruktur. Art och ändamål: Lagring, beräkning, nätverk, databashantering och relaterade infrastrukturoperationer enligt den Personuppgiftsansvariges instruktioner genom användning av Tjänsterna. Typer av personuppgifter: Bestäms av den Personuppgiftsansvarige. Kan inkludera alla typer av personuppgifter som den Personuppgiftsansvarige väljer att lagra eller behandla med hjälp av Tjänsterna, inklusive men inte begränsat till namn, kontaktinformation, finansiell data, hälsodata eller andra särskilda kategorier av uppgifter. Kategorier av registrerade: Bestäms av den Personuppgiftsansvarige. Kan inkludera den Personuppgiftsansvariges kunder, anställda, uppdragstagare, leverantörer, slutanvändare eller andra individer vars uppgifter den Personuppgiftsansvarige behandlar. Behandlingsaktiviteter: Lagring, hämtning, säkerhetskopiering, replikering, kryptering, överföring och radering av data som del av infrastrukturtjänsterna.

3. Den Personuppgiftsansvariges skyldigheter

Den Personuppgiftsansvarige ska: • Säkerställa att det finns en giltig rättslig grund för behandlingen av personuppgifter enligt GDPR • Tillhandahålla dokumenterade instruktioner till Personuppgiftsbiträdet avseende behandlingen av personuppgifter • Säkerställa att de registrerade har informerats om behandlingen i enlighet med artiklarna 13 och 14 i GDPR • Ansvara för personuppgifternas riktighet, kvalitet och laglighet som tillhandahålls Personuppgiftsbiträdet • Genomföra konsekvensbedömningar avseende dataskydd (DPIA) där så krävs enligt artikel 35 i GDPR

4. Personuppgiftsbiträdets skyldigheter

Personuppgiftsbiträdet ska: • Behandla personuppgifter enbart enligt dokumenterade instruktioner från den Personuppgiftsansvarige, såvida inte behandling krävs enligt EU-rätt eller svensk lag (i sådana fall ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om det rättsliga kravet före behandling, såvida inte detta är förbjudet enligt lag) • Säkerställa att personer som har behörighet att behandla personuppgifter har åtagit sig tystnadsplikt eller omfattas av en lämplig lagstadgad tystnadsplikt • Vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt beskrivning i avsnitt 7 • Inte anlita ett annat biträde (underbiträde) utan föregående specifikt eller generellt skriftligt godkännande från den Personuppgiftsansvarige, enligt beskrivning i avsnitt 5 • Bistå den Personuppgiftsansvarige med att uppfylla sina skyldigheter avseende den registrerades begäranden, enligt beskrivning i avsnitt 9 • Bistå den Personuppgiftsansvarige med att säkerställa efterlevnad av skyldigheterna enligt artiklarna 32–36 i GDPR, med beaktande av behandlingens art och den information som är tillgänglig för Personuppgiftsbiträdet • Enligt den Personuppgiftsansvariges val, radera eller återlämna alla personuppgifter efter att tjänsterna upphört och radera befintliga kopior såvida inte EU-rätt eller svensk lag kräver fortsatt lagring • Göra all information som är nödvändig för att visa efterlevnad av skyldigheterna i artikel 28 i GDPR tillgänglig för den Personuppgiftsansvarige, och tillåta och bidra till revisioner, inklusive inspektioner, enligt beskrivning i avsnitt 10

5. Underbiträden

Den Personuppgiftsansvarige ger generellt godkännande för Personuppgiftsbiträdet att anlita underbiträden, med förbehåll för villkoren i detta avsnitt. Personuppgiftsbiträdet ska upprätthålla en aktuell lista över underbiträden som finns tillgänglig på begäran. Vid detta PUB-avtals ikraftträdande är följande underbiträden anlitade: • Swedbank Pay (betalningshantering) — EU/EES-databehandling, svensk/EU-baserad leverantör (del av Swedbank-koncernen) • Samlokalisationsdatacenterleverantör (fysisk hosting) — EU/EES-plats, ingen tillgång till Kunddata Personuppgiftsbiträdet ska meddela den Personuppgiftsansvarige skriftligen minst 30 dagar innan ett underbiträde läggs till eller byts ut, med angivande av namn, plats och beskrivning av behandlingsaktiviteter. Den Personuppgiftsansvarige kan invända mot ett nytt underbiträde på rimliga grunder relaterade till dataskydd inom 30 dagar från meddelandet. Om den Personuppgiftsansvarige invänder och parterna inte kan nå en lösning, kan den Personuppgiftsansvarige säga upp de berörda Tjänsterna utan påföljd. Personuppgiftsbiträdet ska ålägga varje underbiträde dataskyddsskyldigheter som motsvarar dem som anges i detta PUB-avtal genom avtal.

6. Internationella överföringar

All behandling av personuppgifter enligt detta PUB-avtal sker uteslutande inom EU/EES. Personuppgiftsbiträdet ska inte överföra personuppgifter till ett land utanför EU/EES utan den Personuppgiftsansvariges föregående skriftliga samtycke och enbart om lämpliga skyddsåtgärder har vidtagits i enlighet med kapitel V i GDPR (såsom standardavtalsklausuler eller ett beslut om adekvat skyddsnivå av Europeiska kommissionen).

7. Säkerhetsåtgärder

Personuppgiftsbiträdet ska vidta och upprätthålla lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i enlighet med artikel 32 i GDPR. Dessa åtgärder inkluderar men är inte begränsade till: • Kryptering av personuppgifter i vila (AES-256) och under överföring (TLS 1.2+) • Åtkomstkontroll och autentisering (multifaktorautentisering, rollbaserad åtkomstkontroll) • Nätverkssäkerhet (brandväggar, intrångsdetektions-/skyddssystem, DDoS-skydd) • Fysisk säkerhet i datacenter (åtkomstkontroller, övervakning, miljökontroller) • Regelbundna säkerhetstester och sårbarhetsbedömningar • Utbildning i säkerhetsmedvetenhet för personal • Loggning och övervakning av åtkomst till system som behandlar personuppgifter • Rutiner för säkerhetskopiering och katastrofåterställning • Rutiner för incidenthantering Personuppgiftsbiträdet ska regelbundet utvärdera och vid behov uppdatera dessa åtgärder för att upprätthålla en lämplig säkerhetsnivå.

8. Anmälan av personuppgiftsincident

Personuppgiftsbiträdet ska meddela den Personuppgiftsansvarige utan onödigt dröjsmål, och under alla omständigheter inom 24 timmar, efter att ha fått kännedom om en personuppgiftsincident som berör den Personuppgiftsansvariges personuppgifter. Meddelandet ska innehålla: • En beskrivning av incidentens art, inklusive kategorierna av och det ungefärliga antalet berörda registrerade och uppgiftsposter • Namn och kontaktuppgifter för Personuppgiftsbiträdets kontaktperson för ytterligare information • En beskrivning av de sannolika konsekvenserna av incidenten • En beskrivning av de åtgärder som vidtagits eller föreslås för att åtgärda incidenten, inklusive åtgärder för att mildra dess eventuella negativa effekter Personuppgiftsbiträdet ska samarbeta med den Personuppgiftsansvarige och vidta rimliga åtgärder för att bistå vid utredning, begränsning och åtgärdande av incidenten. Den Personuppgiftsansvarige ansvarar för att anmäla till tillsynsmyndigheten (IMY) och berörda registrerade enligt kraven i artiklarna 33 och 34 i GDPR.

9. Den registrerades begäranden

Personuppgiftsbiträdet ska utan dröjsmål meddela den Personuppgiftsansvarige om det mottar en begäran från en registrerad om att utöva sina rättigheter enligt GDPR (tillgång, rättelse, radering, begränsning, portabilitet eller invändning). Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att uppfylla sin skyldighet att svara på sådana begäranden, med beaktande av behandlingens art. Denna assistans inkluderar att ge den Personuppgiftsansvarige teknisk möjlighet att hämta, korrigera eller radera personuppgifter som lagras i Tjänsterna. Personuppgiftsbiträdet ska inte svara direkt på en registrerads begäran såvida det inte har instruerats att göra det av den Personuppgiftsansvarige eller krävs enligt tillämplig lag.

10. Revisionsrättigheter

Den Personuppgiftsansvarige har rätt att granska Personuppgiftsbiträdets efterlevnad av detta PUB-avtal. Revisioner kan utföras av den Personuppgiftsansvarige eller en oberoende tredjepartsrevisor utsedd av den Personuppgiftsansvarige, med förbehåll för rimliga sekretessåtaganden. Revisioner ska genomföras med rimligt förhandsvarsel (minst 30 dagar, utom vid misstänkt personuppgiftsincident) och ska utföras under normal arbetstid på ett sätt som minimerar störning av Personuppgiftsbiträdets verksamhet. Personuppgiftsbiträdet ska tillhandahålla all information som rimligen behövs för att visa efterlevnad av artikel 28 i GDPR och ska bidra till revisioner och inspektioner. Personuppgiftsbiträdet kan uppfylla revisionskrav genom att tillhandahålla aktuella tredjepartsrevisionsrapporter (t.ex. SOC 2, ISO 27001-certifieringar) där de täcker de relevanta behandlingsaktiviteterna.

11. Återlämnande och radering av data

Vid uppsägning av tjänsteavtalet ska Personuppgiftsbiträdet, enligt den Personuppgiftsansvariges val: • Återlämna alla personuppgifter till den Personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format; eller • Radera alla personuppgifter och skriftligen intyga sådan radering Den Personuppgiftsansvarige har 30 dagar efter uppsägning att begära återlämnande av data. Efter denna period ska Personuppgiftsbiträdet radera alla personuppgifter såvida inte EU-rätt eller svensk lag kräver fortsatt lagring. Radering inkluderar alla kopior, säkerhetskopior och repliker, och ska slutföras inom 30 dagar från raderingsbegäran eller utgången av lagringsperioden.

12. Ansvar

Varje parts ansvar enligt detta PUB-avtal är underkastat de begränsningar som anges i Användarvillkoren, utom där sådana begränsningar inte är tillåtna enligt GDPR. Varje part ska vara ansvarig för skada orsakad av behandling som strider mot GDPR i enlighet med artikel 82 i GDPR. Personuppgiftsbiträdet ska vara ansvarigt för skada orsakad av behandling enbart om det inte har uppfyllt skyldigheter som specifikt riktas till personuppgiftsbiträden enligt GDPR, eller om det har agerat utanför eller i strid med den Personuppgiftsansvariges lagliga instruktioner.

13. Kontakt

Har du frågor om detta personuppgiftsbiträdesavtal, vänligen kontakta: Svenska Moln AB E-post: dpa@frostmoln.se Box 10074 434 21 Kungsbacka Sverige