Detta dokument (nedan ”Biträdesavtalet”) utgör ett personuppgiftsbiträdesavtal mellan å ena sidan Cloudgruppen Sverige AB (”Personuppgiftsbiträdet”) och en part (”Personuppgiftsansvarig”) med vilken Personuppgiftsbiträdet träffat ett separat avtal (”Tjänsteavtalet”) om en eller flera tjänster (”Tjänsten”) som hänvisar till detta dokument avseende villkoren för personuppgiftsbehandling.
Personuppgiftsbiträdet och Personupgiftsansvarig benämns i det följande gemensamt för ”Parterna” och var för sig ”Part”. Genom att signera Tjänsteavtalet har Parterna även bekräftat att de tagit del av, och accepterar, dessa villkor inklusive alla bilagor.

1. BAKGRUND
1.1. Personuppgiftsbiträdet levererar Tjänsten i samarbete med ett antal samarbetspartners, vilka tillhandahåller den för Tjänsten nödvändiga funktionaliteten och infrastrukturen. Dessa samarbetspartners utgör underbiträden till Personuppgiftsbiträdet med stöd av detta avtal.

1.2. Detta Biträdesavtal reglerar Personuppgiftsbiträdets och dess underbiträdens behandling av personuppgifter för vilka den Personuppgiftsansvarige är ansvarig enligt tillämplig dataskydds-lagstiftning.

2. DEFINITIONER, BEGREPP OCH BILAGOR
2.1. Begrepp i detta Biträdesavtal ska, om de inte särskilt definierats i detta Biträdesavtal eller Tjänsteavtalet tolkas i enlighet med tillämplig dataskyddslagstiftning.

2.2. Till detta Biträdesavtal hör följande bilagor (”Underbilagor”)
(a) Instruktion för behandlingen av personuppgifter Underbilaga 1
(b) Godkända underbiträden Underbilaga 2

3. BEHANDLING AV PERSONUPPGIFTER
3.1. Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifter enligt dokumenterade instruktioner från Personuppgiftsansvarig, såvida inte annat följer av tillämplig dataskydds¬lagstift¬ning. Den Personuppgiftsansvariges ursprungliga instruktioner till Personuppgiftsbiträdet om behandlingens föremål och varaktighet, behandlingens karaktär och ändamål, typ av person¬uppgifter och kategorier av registrerade anges i detta Biträdesavtal och i Underbilaga 1.

3.2. I syfte att uppfylla sina skyldigheter enligt Tjänsteavtalet kommer Personuppgiftsbiträdet vid behov att göra en kopia av Personuppgiftsansvarigs databas för att utföra tester i sådan kopia istället för direkt i Personuppgiftsansvarigs databas. Denna kopia av den Personuppgiftsansvariges databas kommer att sparas av Personuppgiftsbiträdet i fjorton (14) dagar efter slutförandet av sådana tester och kommer sedan automatiskt att raderas av Personuppgift¬sbiträdet.

3.3. Den Personuppgiftsansvarige bekräftar att Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal, inklusive Underbilaga 1 utgör den instruktion som ska följas av Personuppgiftsbiträdet. Alla ändringar i den Personuppgiftsansvariges instruktioner ska förhandlas separat och ska, för att bli gällande, dokumenteras skriftligt och undertecknas av båda Parter. Den Personuppgiftsansvarige är skyldigt att inte, utan sådan skriftlig överenskommelse, låta Personuppgiftsbiträdet behandla andra kategorier av personuppgifter, eller behandla personuppgifter om andra kategorier av registrerade, än vad som anges i Underbilaga 1.

3.4. Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt tillämplig dataskyddslagstiftning och enligt den Personuppgiftsansvariges skriftliga instruktioner i varje enskilt fall, bistå den Person¬uppgifts¬ansvarige vid fullgörandet av dennes skyldigheter enligt tillämplig dataskydds¬lagstiftning.
3.5. Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Person-uppgifts¬biträdet anser att en instruktion från den Personuppgiftsansvarige strider mot tillämplig dataskyddslagstiftning.

4. UTLÄMNANDE OCH MOTTAGANDE PERSONUPPGIFTER
4.1. Om den Personuppgiftsansvarige till följd av ett avtal med en tredje part om att sådan tredje part ska tillhandahålla tjänster till den Personuppgiftsansvarige som ska integreras med Tjänsterna, aktiverar och godkänner sådan integration bekräftar härmed Parterna att Person-uppgifts¬biträdet är skyldigt, samt berättigad, att till sådan tredje part lämna ut och motta de person¬uppgifter som är nödvändiga för Personuppgiftsbiträdet att lämna ut, respektive motta, för att sådan tredje part och Personuppgiftsbiträdet, ska kunna fullgöra sina respektive förpliktelser mot den Personuppgiftsansvarige.

4.2. Med undantag för sådan behandling som anges i punkt 3.4 och 4.1 ovan förbinder sig Personuppgiftsbiträdet att inte utan föregående skriftligt medgivande från den Personuppgifts-ansvarige utlämna eller på annat sätt göra personuppgifter som behandlats enligt detta Biträde¬savtal tillgängliga för tredje part, om annat inte följer av svensk eller europeisk lag, domstols- eller myndighetsbeslut.

4.3. Om en registrerad begär information från Personuppgiftsbiträdet om behandlingen av dennes personuppgifter ska Personuppgiftsbiträdet utan onödigt dröjsmål hänskjuta sådan begäran till den Personuppgiftsansvarige.

4.4. Om behörig myndighet begär information från Personuppgiftsbiträdet om behandlingen av person¬uppgifter ska Personuppgiftsbiträdet utan onödigt dröjsmål informera den Personuppgiftsansvarige om detta, om annat inte följer av svensk eller europeisk tillämplig lag, domstols- eller myndighets¬beslut. Personuppgiftsbiträdet får inte i något avseende handla för den Personuppgiftsansvariges räkning eller som ombud för denne, och får inte utan föregående medgivande från den Personuppgiftsansvarige överföra eller på annat sätt lämna ut personuppgifter eller andra uppgifter rörande behandlingen av personuppgifter till tredje part, om annat inte följer av svensk eller europeisk tillämplig lag, domstols- eller myndighetsbeslut.

4.5. Om det enligt tillämplig svensk eller europeisk lag begärs att Personuppgiftsbiträdet ska utlämna personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning, är Personuppgiftsbiträdet skyldigt att omgående meddela den Personuppgiftsansvarige om detta, om annat inte följer av aktuell lag, domstols- eller myndighetsbeslut, och att i samband med utlämnandet begära att uppgifterna behandlas med sekretess.

5. UNDERBITRÄDEN OCH TREDJELANDSÖVERFÖRINGAR
5.1. Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet får anlita underbiträden inom och utanför EU/EES och får överföra personuppgifter utanför EU/EES. Personuppgiftsbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt detta Biträdesavtal. Underbilaga 2 innehåller en lista på i förhand godkända underbiträden från och med dagen för ikraftträdandet av detta Biträdesavtal. Personuppgiftsbiträdet har rätt att när som helst ändra eller komplettera Underbilaga 2.

5.2. Om personuppgifter överförs till, eller åtkomst möjliggörs från, plats utanför EU/EES ska Person¬uppgifts¬biträdet säkerställa att det finns en laglig grund för överföringen enligt tillämplig data¬skyddslagstiftning, till exempel EU-kommissionens modellklausuler. Personuppgiftsansvarig ger Personuppgiftsbiträdet fullmakt att själv eller genom underbiträde för Personuppgiftsansvariges räkning ingå EU-kommis¬sionens modellklausuler med underbiträden.

5.3. Om Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt underbiträde för att behandla personuppgifter som omfattas av detta Biträdesavtal ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om detta. Eventuella invändningar ska ske skriftligen utan oskäligt dröjsmål från det att den Personuppgiftsansvarige fått informationen. Personuppgiftsbiträdet ska vid förfrågan förse den Person¬uppgiftsansvarige med all information som denne skäligen kan begära för att bedöma om anlitandet av det föreslagna underbiträdet kommer att säkerställa efterlevnaden av den Personuppgifts¬ansvariges skyldigheter enligt detta Biträdesavtal och tillämplig dataskydds¬lagstiftning. Om efterlevnaden av dessa skyldigheter, enligt Personuppgiftsansvariges befogade uppfattning, inte möjliggörs genom det föreslagna underbiträdet och Personuppgiftsbiträdet trots Personuppgiftsansvariges invändning vill anlita det föreslagna underbiträdet, har Personuppgifts¬ansvarige rätt att säga upp Biträdesavtalet utan extra kostnad. Om invändningen inte är befogad har den Personuppgiftsansvarige inte rätt att säga upp Tjänsteavtalet. Om Personuppgiftsbiträdet bedömer att Tjänsten inte kan levereras i enlighet med Tjänsteavtalet utan anlitande av ett underbiträde mot vilket den Personuppgiftsansvarige har invänt emot, äger Personuppgiftsbiträdet säga upp Tjänsteavtalet med omedelbar verkan vid sådan invändning.

6. DATASÄKERHET OCH SEKRETESS
6.1. Personuppgiftsbiträdet är skyldigt att fullgöra sina rättsliga förpliktelser avseende informations¬säkerhet under tillämplig dataskyddslagstiftning och ska i samtliga fall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.

6.2. Personuppgiftsbiträdet ska följa de säkerhetsåtgärder som framgår av Underbilaga 1 och sina egna säkerhetsföreskrifter. Personuppgiftsbiträdet får ändra sina egna säkerhetsföreskrifter utan föregående skriftligt medgivande från den Personuppgiftsansvarige förutsatt att ändringen inte står i strid med tillämplig dataskyddslagstiftning.

6.3. Personuppgiftsbiträdet är skyldigt att säkerställa att endast sådan personal som direkt måste ha tillgång till personuppgifter för att kunna fullgöra Personuppgiftbiträdets skyldigheter enligt detta Biträdesavtal får tillgång till sådana uppgifter. Personuppgiftsbiträdet ska säkerställa att sådan personal omfattas av en sekretessförbindelse.

6.4. För det fall Personuppgiftsbiträdet, till följd av den verksamhet som den Personuppgiftsansvarige bedriver, kommer att behandla känsliga personuppgifter förbinder sig den Personuppgifts¬ansvarige att innan sådan behandling påbörjas ta del av de säkerhetsåtgärder som kan komma att krävas vid sådan behandling av personuppgifter. Den Personuppgiftsansvarige är skyldigt att inte, utan att ha vidtagit de säkerhetsåtgärder som krävs enligt tillämplig dataskydddslagstiftning, låta Personuppgiftsbiträdet behandla känsliga personuppgifter. En översikt avseende funktioner i Tjänsten som kan kräva säkerhetsåtgärder finns på Cloudgruppens integritets och säkerhetssida

7. PERSONUPPGIFTSINCIDENTER
7.1. Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige efter att ha fått vetskap om en personuppgiftsincident.

7.2. Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med den information som rimligen kan krävas för att uppfylla dennes skyldighet att anmäla personuppgiftsincidenter.

8. RÄTT TILL GRANSKNING
8.1. Den Personuppgiftsansvarige ska, i sin egenskap av personuppgiftsansvarig, ha rätt att vidta erforderliga åtgärder för att verifiera att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta Biträdesavtal och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa fullgörs.

8.2. Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige all information som krävs för att visa att de skyldigheter som anges i detta Biträdesavtal efterlevs, samt att möjliggöra för och medverka till sådan granskning, inklusive kontroll på plats, som genomförs av den Personuppgiftsansvarige eller annan granskare som utsetts av denne, under förutsättning att de personer som utför granskningen ingår lämpliga sekretessavtal.

9. AVTALSTID
9.1. Bestämmelserna i detta Biträdesavtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter för vilka den Personuppgiftsansvarige är personuppgiftsansvarig.

10. ÅTGÄRDER NÄR BEHANDLINGEN AV PERSONUPPGIFTER HAR AVSLUTATS
10.1. När detta Biträdesavtal upphör har den Personuppgiftsansvarige trettio (30) dagar på sig att hämta ut alla personuppgifter som behandlats enligt detta Biträdesavtal, varefter Personuppgiftsbiträdet kommer att radera personuppgifterna om inte lagring av personuppgifterna krävs enligt svensk eller europeisk lagstiftning.

10.2. På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna efter behandlingens avslutande enligt punkt 10.1 ovan.

11. ERSÄTTNING
11.1. Personuppgiftsbiträdet har rätt till ersättning enligt Personuppgiftsbiträdets vid var tid gällande prislista för det arbete som utförts på grund av skyldigheterna i punkterna 3.4, 3.5, 4, 7.2, 8 och 10 i detta Biträdesavtal.

12. ANSVARSBEGRÄNSNING
12.1. De ansvarsbegränsningar som finns i Tjänsteavtalet ska tillämpas för Personuppgifts¬biträdets ansvar enligt detta Biträdesavtal.

_________________________________________________________________
Version 1 antaget den [19/12/2022] 

Underbilaga 1
Instruktioner för databehandlingen

En detaljerad beskrivning av för tjänsterna nödvändig databehandling återfinns här. Den person-uppgiftsansvarige instruerar Personuppgiftsbiträdet att utföra personuppgiftsbehandling i enlighet därmed, i korthet följande:

ÄNDAMÅL
Ändamål för vilka personuppgifterna ska behandlas av Personuppgiftsbiträdet:
• Fullgöra sina skyldigheter enligt Tjänsteavtalet, eventuella tjänstespecifika villkor och detta Biträdesavtal samt Personuppgiftsbiträdets skyldigheter enligt tillämplig dataskyddslagstiftning i samband därmed.

KATEGORIER AV UPPGIFTER
Vilka kategorier av personuppgifter som ska behandlas varierar beroende på vilka av Tjänsterna som används av den Personuppgiftsansvarige. Exempel på personuppgifter som ska behandlas i samband med Tjänsterna är:

• Kontaktuppgifter, såsom till exempel namn, e-postadress och adress.
• Faktureringsinformation, såsom till exempel kundnummer, adress och referens.
• Personaluppgifter, såsom personnummer samt personuppgifter om hälsa såsom sjukfrånvaro.

Känsliga personuppgifter såsom till exempel uppgifter som avslöjar religiös övertygelse, politiska åsikter och medlemskap i fackförening kan behandlas av Personuppgiftsbiträdet beroende på vilken verksamhet som den Personuppgiftsansvarige väljer att använda Tjänsterna inom.
Kategorier av registrerade Personuppgifter som ska behandlas av Personuppgiftsbiträdet:

• Användare
• Den Personuppgiftsansvarige, om denne är en enskild firma.
• Den Personuppgiftsansvariges anställda, kunder, medlemmar och leverantörer samt andra kategorier av registrerade vars personuppgifter som den Personuppgiftsansvarige beslutar.
• Beroende på vilken verksamhet som den Personuppgiftsansvarige väljer att använda Tjänsten inom kan Personuppgiftsbiträdet komma att behandla personuppgifter om minderåriga.

BEHANDLINGSAKTIVITETER
Behandlingsaktiviteter som kommer att utföras av Personuppgiftsbiträdet:
• Organisering, strukturering, lagring och insamling av personuppgifterna i form av filimport.
• Överföring av personuppgifterna för att fullgöra Personuppgiftsbiträdets skyldigheter i enlighet med punkt 4 i Biträdesavtalet.
• Bearbetning eller ändring, kopiering, justering eller sammanförande och radering av personuppgifterna för att på begäran av den Personuppgiftsansvarige fullgöra Personuppgifts¬biträdets skyldigheter enligt punkt 3.2 i Biträdesavtalet.
• Samkörning av den Personuppgiftsansvariges personuppgifter med externa register.

PLATS FÖR BEHANDLING AV PERSONUPPGIFTERNA
Alla platser där personuppgifter kommer att behandlas av Personuppgiftsbiträdet.
Plats för behandlingen varierar beroende på vilka funktionerna som används av den Personuppgifts-ansvarige. En fullständig översikt avseende platser för respektive behandling finns här.

INFORMATIONSSÄKERHET
Kryptering sker vid all kommunikation från och till Seven Time’s servrar och underleverantörer. Personuppgiftsbiträdet har implementerat tillräckliga processer och rutiner för behandlingen av personuppgifter. Mer information finns på här.

Underbilaga 2

Godkända underbiträden

En fullständig förteckning över godkända underbiträden återfinns under fliken integritetspolicy här.