Junglemap

Bitradesavtal

Gemensamt benämnda ”Parterna“, och var för sig ”Part”, har denna dag följande överenskommelse träffats. 

  1. Definitioner
    1. Detta biträdesavtal tillämpas och tolkas efter och har motsvarande definitioner som återfinns i Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan ”GDPR”, jämte tillämpliga nationella regler och förordningar.
  1. Innehåll och syfte
    1. Personuppgiftsansvarig har genom att beställa en NanoLearningutbildning av Junglemap, givit Junglemap i uppdrag att leverera en tjänst för digitalt lärande (”E-learning”) till Personuppgiftsansvarig. Junglemap kommer att såsom personuppgiftsbiträde i samband med detta behandla personuppgifter för Personuppgiftsansvarig räkning. 
    2. Syftet med detta biträdesavtal är att reglera parternas rättigheter och skyldigheter med anledning av den personuppgiftsbehandling som sker, för att på så vis säkerställa att personuppgifterna behandlas i enlighet med de bestämmelser som följer av GDPR och eventuell senare lagstiftning som ersätter eller kompletterar dessa.
  1. Personuppgiftsbiträdets ansvar och instruktion
    1. Junglemap åtar sig att endast behandla Personuppgifterna i enlighet med detta biträdesavtal. 
    2. Junglemap åtar sig vidare att behandla Personuppgifterna enligt vid var tid gällande applicerbart regelverk och praxis samt tillsynsmyndighetens föreskrifter, ställningstaganden och rekommendationer avseende personuppgiftsbehandling. 
    3. Junglemap ska i enlighet med vid var tid gällande regelverk föra ett register över alla kategorier av behandling av Personuppgifter som utförs för den Personuppgiftsansvariges räkning. 
    4. Junglemap ska tillse att samtliga anställda, konsulter och övriga som Junglemap svarar för och som behandlar Personuppgifterna är informerade om hur behandling av Personuppgifterna får ske.
    5. Junglemap åtar sig att assistera Personuppgiftsansvarig genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Personuppgiftsansvarig kan fullgöra sin skyldighet gentemot de registrerade i enlighet med vid var tid gällande regelverk. För det fall Junglemap mottar en förfrågan från en registrerad skall Junglemap meddela Personuppgiftsansvarig för dennes åtgärdande.
    6. Junglemap ska utan onödigt dröjsmål underrätta Personuppgiftsansvarig vid upptäckt av fullbordade fall av eller försök till oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till Personuppgifterna, eller vid andra former av liknande personuppgiftsincidenter. Underrättelsen ska åtminstone:
      1. Beskriva incidentens art, inbegripet de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs.
      2. Innehålla namnet på och kontaktuppgifterna till Junglemaps dataskyddsombud eller andra kontaktuppgifter där mer information om incidenten kan erhållas.
      3. Beskriva de sannolika konsekvenserna av incidenten.
      4. Beskriva de åtgärder som Junglemap har vidtagit eller föreslår för att åtgärda incidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
    7. Om Junglemap inte har möjlighet att tillhandahålla Personuppgiftsansvarig all den information som anges i punkt 3.6 samtidigt, ska informationen tillhandahållas i omgångar utan ytterligare dröjsmål, vilket även gäller för det fall Personuppgiftsansvarig begär kompletterande information från Junglemap.
    8. Junglemap åtar sig att bistå Personuppgiftsansvarig enligt vid var tid gällande lagstiftning och tillsynsmyndighets rekommendationer för det fall Personuppgiftsansvarig genomför en konsekvensbedömning av den planerade behandlingens konsekvenser för skyddet av Personuppgifterna.
    9. Junglemaps skyldigheter enligt p. 3.6 - 3.8 ovan ska fullgöras med beaktande av typen av behandling som äger rum och den information som Junglemap har att tillgå.
    10. Junglemap ska efter biträdesavtalets upphörande tillse att Personuppgifter raderas i enlighet med Personuppgiftsansvarigs skriftliga instruktioner, såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt.  
  1. Sekretess
    1. Vardera parten förbinder sig att inte utan den andra partens medgivande till tredje man utlämna eller avslöja personuppgifter samt uppgifter om den andra partens verksamhet som rimligen är att betrakta som affärs- eller yrkeshemlighet. Som affärs- eller yrkeshemlighet ska alltid betraktas information som parten angivit är konfidentiell. Sekretesskyldighet gäller inte sådan information som part kan visa blivit känd för honom på annat sätt än genom uppdraget eller som är allmänt känd. Sekretesskyldighet gäller ej heller när part är skyldig enligt lag att lämna ut uppgifter. 
    2. Part ska genom sekretessförbindelse med personal eller andra lämpliga åtgärder tillse att sekretess enligt ovan iakttas. Part ansvarar även för att anlitad underleverantör samt dess eller egna anställda som berörs av uppdraget undertecknar en sekretessförbindelse av motsvarande innehåll till förmån för den andra parten, samt endast tar del av sådan information i den mån det är nödvändigt för utförandet av uppdraget.
    3. Oaktat ovanstående ska Junglemaps allmänna villkor avseende sekretess gälla i den utsträckning det innehåller mer långtgående sekretessförbindelser för endera parten jämfört med biträdesavtalet.
  1. Säkerhet
    1. Junglemap ska minst uppfylla de säkerhetsåtgärder som framgår av Bilaga 2. Oaktat dessa ska Junglemap vidta sådana tekniska och organisatoriska säkerhetsåtgärder som krävs för att skydda Personuppgifterna i enlighet med vid var tid gällande regelverk, för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt:
      1. Pseudonymisering och kryptering av Personuppgifter.
      2. Förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och tjänsterna. 
      3. Förmågan att återställa tillgängligheten och tillgången till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident. 
      4. Ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. 
    2. Vid bedömningen av en lämplig säkerhetsnivå enligt punkt 5.1 ska särskild hänsyn tas till de risker som behandling medför, i synnerhet avseende oavsiktlig eller olaglig förstöring, förlust eller ändring, obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt behandlats.
    3. Junglemap ska vidare, med beaktande av typen av behandling och den information som finns att tillgå, bistå den Personuppgiftsansvarige med att se till att GDPR art 32 fullgörs. 
    4. Junglemap ska på begäran ge Personuppgiftsansvarig tillgång till all information som krävs för att visa att de skyldigheter som åligger Junglemap enligt biträdesavtalet har fullgjorts avseende de personuppgifter som behandlas i enlighet med Huvudavtalet. Junglemap ska vidare möjliggöra och bidra till de granskningar, inbegripet inspektioner, som Personuppgiftsansvarig eller av den Personuppgiftsansvarige utsedd revisor har rätt att göra enligt vid var tid gällande regelverk, dock endast avseende den Personuppgiftsansvariges Personuppgifter.  
    5. Junglemap ska följa eventuella av tillsynsmyndighet fattade beslut vad avser Personuppgifterna samt tekniska och organisatoriska åtgärder för att skydda dem.
  1. Skyldigheter efter avtalets upphörande
    1. Parterna är överens om att Junglemap efter behandlingens upphörande och beroende på vad Personuppgiftsansvarig beslutar, antingen ska återsända alla Personuppgifter och kopior av dessa till Personuppgiftsansvarig, eller förstöra alla Personuppgifter och intyga för Personuppgiftsansvarig att så skett.
  1. Ersättning för skada
    1. Junglemap ska hålla Personuppgiftsansvarig skadeslös i händelse av att Personuppgiftsansvarig åsamkas skada som är hänförlig till Junglemaps behandling av Personuppgifter i strid med biträdesavtalet, gällande lagstiftning eller i strid med instruktion från Personuppgiftsansvarig.
    2. Junglemap ska omedelbart informera Personuppgiftsansvarig om Junglemap anser att en instruktion strider mot tillämplig lagstiftning, och har i så fall rätt att inte vidta åtgärder i enlighet med instruktionen till dess Personuppgiftsansvarig genom behörig person skriftligen meddelar att instruktionen i befintlig eller omarbetad version ska följas.
    3. Den Personuppgiftsansvarige ska hålla Junglemap skadeslös från varje krav som ställs som grundas på den Personuppgiftsansvariges rutiner och instruktioner. Junglemap är inte i något fall ersättningsskyldig om Personuppgiftsansvarig orsakats skada på grund av dennes instruktion. 
  1. Underbiträde
    1. Junglemap äger rätt att anlita de underbiträden som anges i Bilaga 3 till detta avtal för att utföra hela eller delar av behandlingen av personuppgifter. Om Junglemap anlitar ytterligare underbiträden, eller byter någon av de som anges i Bilaga 3, ska Junglemap informera den Personuppgiftsansvarige om detta via de kontaktuppgifter som framgår av avtalsingressen, senast tre månader innan förändringen sker. Om Personuppgiftsansvarige inte accepterar det nya underbiträdet har Personuppgiftsansvarige rätt att säga upp Huvudavtalet med en (1) månads varsel.
    2. Junglemap är fullt ansvarig gentemot Personuppgiftsansvarig om underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd.
  1. Tredjelandsöverföring
    1. Junglemap får endast överföra Personuppgifter utanför EU om Personuppgiftsansvarig dessförinnan skriftligen godkänt sådan överföring. Junglemap får vidare överföra Personuppgifter till sådant tredjeland om rättslig grund för överföring finns. Junglemap förbinder sig att skyndsamt eller utan oskäligt dröjsmål informera personuppgiftsansvarig om detta sker.
    2. Junglemap ska inte använda underleverantörer utanför EU / EES ("Tredje land") för behandling av personuppgifter om den inte föregås av personuppgiftsansvarige skriftliga medgivande. Om Junglemap använder underleverantörer utanför EU / EES ("tredjeland") för behandling av personuppgifter, måste behandlingen ske i enlighet med EU: s standardavtal för överföring till tredjeland och när det finns laglig grund för överföringar mellan EU och USA eller andra accepterade och specifikt angivna skäl för överföring till tredje land.Detsamma gäller om informationen lagras i EU / EES men kan nås av personal utanför EU / EES.
    3. Om personuppgiftsansvarige godkänner att en sådan överföring får ske, ska Junglemap samarbeta med den personuppgiftsansvarige för att säkerställa överföringarna sker i enlighet med gällande lag och med en enligt dataskyddsförordningen adekvat skyddsnivå.
    4.  Personuppgiftsansvarig kan i enskilda fall bemyndiga Junglemap att ingå avtal om överföring till tredjeland på den personuppgiftsansvariges vägnar. Ett sådant avtal skall följa EU: s standardavtal för överföring till tredjeländer med underbiträdet utanför EU / EES, i enlighet med detta personuppgiftsbiträdesavtal. Junglemap ska utan begäran och utan onödigt dröjsmål skicka personuppgiftsansvarig en kopia av det avtal som ingåtts med underleverantör som behandlar personuppgifter på den personuppgiftsansvariges vägnar.
  1. Den personuppgiftsansvariges skyldigheter
    1. Den Personuppgiftsansvarige bekräftar att denne har;
      1. Rättslig grund för behandling av personuppgifter.
      2. Rätt till, och ansvar för lagligheten av, överföringen av personuppgifter till Junglemap, och Junglemaps behandling av dessa i enlighet med Huvudavtalet.
      3. Ansvaret för riktigheten, integriteten, innehållet, tillförlitligheten och lagligheten av personuppgifterna.
      4. Informerat den/de registrerade personerna som personuppgifterna avser i enlighet med gällande lagstiftning.
    2. Den Personuppgiftsansvarige är ansvarig för att anmäla personuppgiftsincident till tillsynsmyndigheten.
  1. Ändringar
    1. Junglemap kan komma ändra detta avtal på grund av lagändringar eller säkerhetsfrågor. Junglemap ska meddela sådan ändring per e-post samt från vilken dag ändringen gäller. Ändringen anses accepterad av den Personuppgiftsansvarige om inte denne skriftligen begär förhandling om ändringen inom 14 dagar från erhållande av Junglemaps varsel om ändring.
  1. Tvist
    1. Svensk lag skall tillämpas på detta biträdesavtal. Tvist i anledning av detta biträdesavtal skall avgöras av svensk allmän domstol.
  1. Avtalets giltighet
    1. Biträdesavtalet gäller så länge som behandlingen pågår. Detta biträdesavtal anses således uppsagt till samma tidpunkt som någon part skriftligen säger upp biträdesavtalet.

Bilaga 1 - Instruktioner till Junglemap 

Denna bilaga utgör del av Personuppgiftsansvarigs instruktioner till Junglemap enligt PUBA och är därmed en del av PUBA. 

  1. Behandling av Personuppgifter 
    1. Ändamål med behandlingen av Personuppgifterna 

Tillhandahålla tjänst för digital utbildning (e-Learning) till Personuppgiftsansvariges medarbetare. 

Personuppgiftsansvarig kan i vissa fall självständigt använda plattformen och genom denna samla in personuppgifter på sätt som Junglemap inte kan påverka.  

  1. Kategorier av registrerade respektive personuppgifter 
    1. Kategorier av registrerade 

i. Anställd 

ii. Konsult 

iii. Annan (beroende på Personuppgiftsansvarigs nyttjande av plattform)

  1. Kategorier av personuppgifter

i. e-postadress (obligatoriskt)

ii. avdelning (frivilligt) 

iii. chef (frivilligt)

iv. resultat från kunskapstest och kursutvärderingar

v.  sådan information som efterfrågas av Personuppgiftsansvarig i den mån Personuppgiftsansvarig nyttjar plattformen.

  1. Särskilda kategorier av personuppgifter 

i. Nej

Personuppgiftsansvarig får endast använda plattformen på sådant sätt att känsliga personuppgifter enligt GDPR art 9 icke behandlas av Junglemap om inte parterna dessförinnan träffar överenskommelse om annat.

  1. Behandlingens varaktighet, typ och art 

Behandlingen varar så länge huvudavtalet gäller (till en början 12 månader med möjlighet till förlängning). Efter avtalets upphörande skall alla personuppgifter raderas om inte Personuppgiftsansvarig meddelar annat i enlighet med p 3.10.

Personuppgifter kan komma att behandlas av Junglemap om det krävs för att tillhandahålla tjänsterna enligt Tjänsteavtalet. 

Detta kan, från tid till annan, inkludera:

  1. Stödja Personuppgiftsansvarige i uppsättning och distribution av kurser till Personuppgiftsansvariges medarbetare.
  2. Stödja Personuppgiftsansvarige i att ta fram rapporter och statistik för uppföljning och effektmätning.
  3. Behandla supportärenden, samtal och andra supportförfrågningar från den Personuppgiftsansvarige.
  4. Lagring av personuppgifter under Huvudavtalets löptid, om inget annat stadgas därom.
  5. Överföring av personuppgifter till Personuppgiftsansvarig, såsom loggar eller resultat (i identifierbar eller icke direkt identifierbar form).
  6. Geografisk placering av behandlingar samt underbiträden 

Alla behandlingar av personuppgifter skall göras inom EU/EES.

Bilaga 2 - Säkerhetsinstruktioner 

Denna bilaga utgör del av Personuppgiftsansvarigs säkerhetsinstruktioner till Junglemap enligt PUBA.t och därmed en del av PUBA:t. 

Alla personuppgifter som Personuppgiftsansvarige tillhandahåller Junglemap ska hanteras som konfidentiella, vilket innebär: 

- All tillgång och åtkomst till Personuppgifterna är på en need-to-know basis och Junglemap ska se till att endast de personer som absolut behöver ska kunna se Personuppgifterna. 

  1. Behörighetskontroll

Ett tekniskt system för behörighetskontroll ska styra åtkomsten till personuppgifterna för Junglemap. Behörigheten ska begränsas till dem som behöver uppgifterna för sitt arbete och denna krets ska inte vara större än vad som krävs för fullgörandet av Huvudavtalet. Det ska finnas rutiner för tilldelning och borttagning av behörigheter.

Personuppgiftsansvarig kan, om så önskas, anonymisera uppgifter, samt helt eller delvis begränsa Junglemaps tillgång till uppgifterna.  

  1. Tillträdeskontroll

För att säkerställa att enbart behörig personal får tillträde till utrymmen där det finns IT-utrustning ska det finnas rutiner för tillträdeskontroll.

  1. Överföring och kommunikation

Personuppgifter då de överförs via öppna nät ska skyddas mot förstöring, ändring och förvanskning. Vidare ska personuppgifterna skyddas mot obehörig åtkomst och anslutningar ska skyddas mot obehörig trafik. Skyddet ska anpassas till hur känsliga uppgifterna är. Personuppgifterna ska vara krypterade såväl under överföring som lagring om så överenskommits. 

  1. Loggning 

Åtkomst till personuppgifterna ska kunna följas upp i efterhand genom en logg eller liknande underlag. Junglemap ska upprätthålla loggning av system-, program-, databas- och nätverksnivå som gör det möjligt att identifiera och registrera säkerhetshändelser (t.ex. misslyckade inloggningsförsök, icke auktoriserad radering eller kopiering av uppgifter) och säkerställa integriteten av sådana loggar. Underlaget ska kunna kontrolleras av Junglemap och återrapporteras till den personuppgiftsansvarige. 

  1. Skydd mot elak kod/malware

Datasystem ska vara skyddad mot skadegörande programvara såsom virus, maskar och trojaner.

  1. Utplåning

När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre ska användas för sitt ändamål ska personuppgifterna raderas på sådant sätt att de inte kan återskapas. 

Bilaga 3 - Lista över underbiträden

Parterna har kommit överens om att Junglemap får anlita underbiträdet; 

Microsoft Corp (Windows Azure) för drift av tjänsten. 

Microsoft Ireland Operations Ltd, VAT Reg. No. IE 8256796 U, Atrium Building Block B, Carmenhall Road, Sandyford Industrial Estate, Dublin 18, Ireland. Microsoft Corp har sitt datacenter i Nederländerna (”Data Center West”).