Personuppgiftsbiträdesavtal

Tidigare versioner av PUB-avtalet finns tillgängliga på Leverantörens webbplats.

1. Bakgrund och tillämpning

Detta personuppgiftsbiträdesavtal ("PUB-avtalet") gäller mellan DynamicTime AB, org. nr 559515-6901, Forskargatan 3, 781 70 Borlänge ("Personuppgiftsbiträdet" eller "Leverantören") och den näringsidkare som genom godkännande av Leverantörens allmänna villkor för Tjänsten ("Villkoren") köper eller registrerar ett konto för Tjänsten ("Personuppgiftsansvarig" eller "Kunden"). Personuppgiftsbiträdet och Personuppgiftsansvarig benämns gemensamt "Parterna" och var för sig "Part".

PUB-avtalet utgör en integrerad del av Villkoren. Genom att godkänna Villkoren godkänner Kunden även detta PUB-avtal. Vid motstridighet mellan PUB-avtalet och Villkoren avseende behandling av personuppgifter ska PUB-avtalet ha företräde.

PUB-avtalet uppfyller kraven i artikel 28 i Europaparlamentets och rådets förordning (EU) 2016/679 ("GDPR") samt vid var tid gällande svensk dataskyddslagstiftning (gemensamt benämnt "Dataskyddslagstiftningen").

2. Definitioner

I PUB-avtalet har följande begrepp den innebörd som anges nedan. Begrepp som inte definieras här har den betydelse som anges i Villkoren eller i Dataskyddslagstiftningen.

Behandling: Sådan behandling av personuppgifter som avses i artikel 4.2 GDPR.

Personuppgift: Sådan information som avses i artikel 4.1 GDPR.

Personuppgiftsincident: Sådan incident som avses i artikel 4.12 GDPR.

Registrerad: Sådan person vars personuppgifter behandlas enligt detta PUB-avtal, exempelvis Kundens anställda, konsulter eller andra användare av Tjänsten.

Tjänsten: Den molnbaserade SaaS-tjänsten DynamicTime enligt definition i Villkoren.

Underbiträde: Sådant biträde som Leverantören anlitar för att bistå vid behandling av personuppgifter enligt detta PUB-avtal.

3. Föremål, art och varaktighet för behandlingen

Föremålet för Behandlingen, Behandlingens art och ändamål, kategorier av Personuppgifter och Registrerade samt Behandlingens varaktighet framgår av punkt 13 nedan.

Leverantören får endast behandla Personuppgifter inom ramen för fullgörandet av Villkoren, för de ändamål som anges i punkt 13 och i enlighet med Kundens dokumenterade instruktioner.

4. Kundens ansvar och instruktioner

4.1 Kunden som personuppgiftsansvarig

Kunden är personuppgiftsansvarig för Behandlingen och ansvarar för att Behandlingen sker i enlighet med Dataskyddslagstiftningen, inklusive att:

1. erforderlig rättslig grund finns för Behandlingen;
2. de Registrerade har erhållit erforderlig information enligt artiklarna 13 och 14 GDPR;
3. eventuell konsekvensbedömning avseende dataskydd har utförts om sådan krävs enligt artikel 35 GDPR;
4. övriga skyldigheter enligt Dataskyddslagstiftningen som åligger en personuppgiftsansvarig fullgörs; och
5. tillämpliga arbetsrättsliga regler, kollektivavtal samt informations- och förhandlingsskyldigheter enligt MBL och annan tillämplig lagstiftning beaktas vid användning av Tjänsten för behandling avseende Kundens anställda.

4.2 Instruktioner

Villkoren, detta PUB-avtal (inklusive punkt 13) och Kundens användning av Tjänsten genom dess konfigurationsmöjligheter utgör Kundens fullständiga och dokumenterade instruktioner till Leverantören vid PUB-avtalets ingående.

Om Leverantören anser att en instruktion strider mot Dataskyddslagstiftningen ska Leverantören utan dröjsmål informera Kunden.

5. Leverantörens skyldigheter

5.1 Begränsning av användning för egna ändamål

Leverantören ska inte:

1. behandla Personuppgifter för egna ändamål utöver vad som krävs för att tillhandahålla Tjänsten enligt Villkoren;
2. använda Personuppgifter för att träna, utveckla eller förbättra generella AI-modeller eller maskininlärningsmodeller; eller
3. dela Personuppgifter med tredje man utöver vad som följer av detta PUB-avtal eller tvingande lag.

Leverantören får dock använda anonymiserad och aggregerad statistik enligt vad som anges i Villkoren, under förutsättning att sådan statistik inte kan härledas till någon Registrerad eller Kunden.

5.2 Konfidentialitet

Leverantören ska säkerställa att personer som har behörighet att behandla Personuppgifter har förbundit sig att iaktta konfidentialitet eller omfattas av lagstadgad tystnadsplikt.

Leverantören ska säkerställa att endast sådan personal som direkt behöver åtkomst till Personuppgifter för att fullgöra Leverantörens skyldigheter får sådan åtkomst, samt att åtkomst styrs genom lämpliga behörighets- och inloggningskontroller.

5.3 Säkerhet (artikel 32 GDPR)

Leverantören ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för de Registrerades rättigheter och friheter, i enlighet med artikel 32 GDPR. Sådana åtgärder ska omfatta vad som anges i punkt 14 nedan.

5.4 Bistånd vid registrerades rättigheter

Leverantören ska, med beaktande av Behandlingens art, genom lämpliga tekniska och organisatoriska åtgärder bistå Kunden så långt det är möjligt så att Kunden kan fullgöra sin skyldighet att svara på begäranden om utövande av de Registrerades rättigheter enligt kapitel III GDPR (rätt till information, åtkomst, rättelse, radering, begränsning, dataportabilitet, invändning samt automatiserat beslutsfattande).

Tjänsten innehåller funktioner som gör det möjligt för Kunden att själv exportera, rätta och radera Personuppgifter.

5.5 Bistånd vid säkerhet, anmälan och konsekvensbedömning

Leverantören ska bistå Kunden med att säkerställa att skyldigheterna enligt artiklarna 32 till 36 GDPR fullgörs, med beaktande av Behandlingens art och den information som Leverantören har tillgång till. Detta omfattar bistånd vid:

1. säkerhetsåtgärder enligt artikel 32 GDPR;
2. anmälan om Personuppgiftsincident enligt artikel 33 GDPR;
3. information till Registrerade om Personuppgiftsincident enligt artikel 34 GDPR;
4. konsekvensbedömning avseende dataskydd enligt artikel 35 GDPR; och
5. förhandssamråd med tillsynsmyndighet enligt artikel 36 GDPR.

5.6 Information vid begäran från tredje man

Om en Registrerad, en tillsynsmyndighet eller annan tredje man vänder sig direkt till Leverantören med begäran avseende Behandlingen ska Leverantören utan onödigt dröjsmål vidarebefordra begäran till Kunden och inte själv besvara den, om inte Leverantören är skyldig att svara enligt tvingande lag.

6. Underbiträden

6.1 Generellt godkännande

Kunden ger Leverantören ett generellt skriftligt godkännande att anlita Underbiträden för Behandlingen, förutsatt att villkoren i denna punkt 6 uppfylls.

Bolag inom Leverantörens koncern (Hellman Dynamic-koncernen) får anlitas som Underbiträden utan att de behöver framgå av förteckningen enligt punkt 6.2.

6.2 Lista över godkända Underbiträden

Leverantören upprätthåller en förteckning över godkända Underbiträden som tillhandahålls Kunden på begäran via support@dynamictime.se. Förteckningen anger Underbiträdets namn, behandlingens art, plats för behandling samt eventuell överföringsmekanism vid behandling utanför EU/EES.

6.3 Förändringar av Underbiträden

Leverantören ska informera Kunden om planerat anlitande av nytt Underbiträde eller ersättning av befintligt Underbiträde minst trettio (30) dagar i förväg, via e-post till Kundens registrerade kontaktadress eller via meddelande i Tjänsten.

Kunden har rätt att inom denna trettiodagarsperiod skriftligen invända mot det nya Underbiträdet om det finns sakliga skäl avseende Dataskyddslagstiftningen. Om Parterna inte når enighet har Kunden rätt att säga upp Villkoren med verkan från den dag det nya Underbiträdet börjar anlitas.

6.4 Krav på avtal med Underbiträden

Leverantören ska genom skriftligt avtal ålägga varje Underbiträde minst samma dataskyddsskyldigheter som de som åligger Leverantören enligt detta PUB-avtal. Leverantören ansvarar gentemot Kunden fullt ut för Underbiträdets fullgörande av sina skyldigheter.

7. Tredjelandsöverföring

Leverantören ska sträva efter att behandla Personuppgifter inom EU/EES så långt det är möjligt.

Överföring av Personuppgifter till ett land utanför EU/EES, eller åtkomst till Personuppgifter från ett sådant land, får ske endast om någon av förutsättningarna i kapitel V GDPR är uppfyllda, exempelvis genom:

1. ett beslut om adekvat skyddsnivå enligt artikel 45 GDPR;
2. EU-kommissionens standardavtalsklausuler enligt artikel 46.2(c) GDPR; eller
3. annan mekanism enligt kapitel V GDPR.

Eventuella överföringar utanför EU/EES anges i förteckningen enligt punkt 6.2 tillsammans med tillämplig överföringsmekanism och eventuella kompletterande skyddsåtgärder.

8. Personuppgiftsincidenter

Leverantören ska underrätta Kunden utan onödigt dröjsmål, och senast inom fyrtioåtta (48) timmar från det att Leverantören fått kännedom om en Personuppgiftsincident som berör Personuppgifter som behandlas enligt detta PUB-avtal.

Underrättelsen ska, så långt det är möjligt vid tidpunkten för underrättelsen, innehålla:

1. en beskrivning av Personuppgiftsincidentens art, inklusive de kategorier och det ungefärliga antalet Registrerade som berörs samt de kategorier och det ungefärliga antalet Personuppgifter som berörs;
2. namn och kontaktuppgifter till en kontaktpunkt hos Leverantören där mer information kan erhållas;
3. en beskrivning av de sannolika konsekvenserna av Personuppgiftsincidenten; och
4. en beskrivning av de åtgärder som Leverantören har vidtagit eller föreslagit att vidta för att åtgärda Personuppgiftsincidenten, inklusive åtgärder för att mildra dess potentiella negativa effekter.

Om det inte är möjligt att tillhandahålla all information samtidigt får informationen lämnas etappvis utan ytterligare onödigt dröjsmål.

Leverantören ansvarar inte för Kundens anmälan av Personuppgiftsincident till tillsynsmyndighet eller information till Registrerade. Sådan skyldighet åvilar Kunden i egenskap av personuppgiftsansvarig.

9. Granskning och revision

Leverantören ska göra all information som krävs för att visa att skyldigheterna enligt artikel 28 GDPR har fullgjorts tillgänglig för Kunden.

Kunden, eller annan revisor som Kunden bemyndigat och som inte är konkurrent till Leverantören, har rätt att en gång per kalenderår, efter skriftlig begäran med minst trettio (30) dagars varsel, genomföra revision av Leverantörens behandling enligt detta PUB-avtal. Revision får inte oskäligt störa Leverantörens verksamhet och ska genomföras under normal kontorstid.

Leverantören har rätt att i första hand uppfylla revisionsskyldigheten genom att tillhandahålla:

1. dokumentation av tekniska och organisatoriska åtgärder enligt punkt 14;
2. relevanta certifieringar och granskningsrapporter, exempelvis ISO 27001; eller
3. svar på skäliga skriftliga frågor från Kunden.

Leverantören har rätt till skälig ersättning för revisioner som går utöver tillhandahållande av dokumentation och certifieringar enligt ovan, samt vid revisioner oftare än en gång per år, om sådana inte föranletts av en konstaterad incident eller en motiverad begäran från tillsynsmyndighet.

Vid revision ska Kunden iaktta lämplig sekretess och får inte få åtkomst till information som rör andra kunder hos Leverantören.

10. Ansvar och skadestånd

Vardera Part ansvarar för administrativa sanktionsavgifter och skadestånd som följer av Partens egna brott mot Dataskyddslagstiftningen eller detta PUB-avtal.

Begränsningar i Parts ansvar enligt Villkoren gäller även avseende detta PUB-avtal i den utsträckning sådana begränsningar är förenliga med Dataskyddslagstiftningen och artikel 82 GDPR.

Om en Registrerad eller annan tredje man riktar krav mot Kunden på grund av Leverantörens behandling i strid med detta PUB-avtal eller Dataskyddslagstiftningen ska Leverantören hålla Kunden skadeslös för krav som beror på Leverantörens brott mot sina skyldigheter.

Om en Registrerad eller annan tredje man riktar krav mot Leverantören på grund av Kundens instruktioner eller Kundens brott mot detta PUB-avtal eller Dataskyddslagstiftningen ska Kunden hålla Leverantören skadeslös för sådana krav.

11. Avtalstid och åtgärder vid upphörande

11.1 Avtalstid

Detta PUB-avtal träder i kraft samtidigt som Villkoren och gäller så länge Leverantören behandlar Personuppgifter för Kundens räkning, oavsett om Villkoren upphört att gälla.

11.2 Radering och återlämnande av Personuppgifter

Vid Villkorens upphörande, eller annars på Kundens begäran, ska Leverantören enligt Kundens val antingen:

1. radera samtliga Personuppgifter som behandlas enligt detta PUB-avtal; eller
2. återlämna samtliga Personuppgifter till Kunden i ett strukturerat, allmänt använt och maskinläsbart format,

samt radera befintliga kopior, om inte Dataskyddslagstiftningen eller annan unionsrätt eller medlemsstats nationella rätt kräver lagring av Personuppgifterna.

Radering eller återlämnande ska ske inom trettio (30) dagar från Villkorens upphörande, eller från det att Kunden lämnat skriftlig begäran om radering. Detta gäller även Personuppgifter hos Underbiträden.

Säkerhetskopior som innehåller Personuppgifter raderas i enlighet med Leverantörens vid var tid gällande rutiner för säkerhetskopiering, vilka anges i punkt 14. Under tiden fram till radering omfattas Personuppgifterna av samma skyldigheter enligt detta PUB-avtal som övriga Personuppgifter.

11.3 Bestämmelser som överlever

Bestämmelserna i punkt 5.2 (Konfidentialitet), punkt 10 (Ansvar och skadestånd) samt punkt 12 (Tillämplig lag och tvistelösning) gäller även efter PUB-avtalets upphörande.

12. Ändringar och tillämplig lag

12.1 Ändringar

Leverantören har rätt att ändra detta PUB-avtal i den utsträckning det krävs för att efterleva Dataskyddslagstiftningen, beslut eller riktlinjer från tillsynsmyndighet, eller motsvarande omständigheter. Sådana ändringar meddelas Kunden minst trettio (30) dagar i förväg via e-post.

12.2 Tillämplig lag och tvistelösning

På detta PUB-avtal ska svensk materiell rätt tillämpas, med undantag för dess lagvalsregler.

Tvist i anledning av detta PUB-avtal ska avgöras av allmän domstol med Falu tingsrätt som första instans.

13. Behandlingens art, ändamål, varaktighet och kategorier

13.1 Föremål för Behandlingen

Behandling av Personuppgifter som tillhör Kundens anställda, konsulter och övriga användare av Tjänsten samt personer som förekommer i Kundens kalenderdata, e-postdata och övrig data som integreras med Tjänsten, i syfte att tillhandahålla Tjänsten DynamicTime enligt Villkoren.

13.2 Behandlingens art

Behandlingen omfattar bland annat:

• Insamling av data från Kundens anslutna tredjepartstjänster (såsom Microsoft 365 och Google Workspace);
• Lagring och strukturering av Personuppgifter i Leverantörens system;
• Automatiserad analys och AI-baserad klassificering för att generera förslag till tidrapporter;
• Tillhandahållande av användargränssnitt för Kundens granskning, redigering och godkännande av Personuppgifter;
• Export av Personuppgifter och tidrapporter till av Kunden anslutna system (såsom Fortnox, Visma m.fl.);
• Säkerhetskopiering;
• Support och felsökning;
• Radering vid avtalets upphörande.

Behandlingen innefattar inte automatiserade beslut med rättslig verkan eller motsvarande betydande inverkan enligt artikel 22 GDPR. AI-genererade förslag är icke-bindande och kräver Kundens manuella granskning och godkännande innan de används.

13.3 Ändamål

Att tillhandahålla Tjänsten DynamicTime, som omfattar automatiserad tidsrapportering med AI-baserade förslag, inklusive integrationer med Kundens befintliga system för kalender, e-post, fakturering och lönehantering.

13.4 Behandlingens varaktighet

Personuppgifter behandlas så länge Villkoren gäller och därefter i högst trettio (30) dagar för radering enligt punkt 11.2, om inte tvingande lag kräver annat eller Kunden begärt tidigare radering.

13.5 Kategorier av Registrerade

• Kundens anställda;
• Kundens konsulter och uppdragstagare;
• Kundens administratörer och övriga användare av Tjänsten;
• Personer som förekommer i Kundens kalender, e-post eller övrig data som integreras med Tjänsten (exempelvis möteskontakter, kunder och samarbetspartners hos Kunden).

13.6 Kategorier av Personuppgifter

Behandlingen omfattar de kategorier av personuppgifter som förekommer i de av Kunden anslutna källsystemen och som är nödvändiga för Tjänstens ändamål enligt punkt 13.3. För närvarande omfattas i huvudsak följande kategorier, vilka kan komma att utökas i takt med att Tjänsten integreras med ytterligare källsystem:

• Identitetsuppgifter (namn, e-postadress, användar-ID, anställningsnummer);
• Anställnings- och organisationsuppgifter (titel, avdelning, chef, kostnadsställe);
• Kalenderdata (mötestitlar, mötestider, deltagare, mötesbeskrivningar, plats). Mötesbeskrivningar och annat fritextinnehåll behandlas endast tillfälligt under analys och lagras inte permanent; endast metadata (rubriker, tidpunkter, deltagare i form av domäner) sparas;
• E-postdata (rubriker, innehåll, kategorier, mottagare, avsändare). Innehåll behandlas endast tillfälligt under analys och lagras inte permanent; endast metadata (rubriker, tidpunkter, mottagar- och avsändardomäner) sparas;
• Uppgifter om dokument och filer (titlar, redigeringstider, samarbetspartners). Dokumentinnehåll behandlas endast tillfälligt under analys och lagras inte permanent; endast metadata sparas;
• Kommunikations- och samarbetsdata från chatt-, ärende- och utvecklingsverktyg (kanaler, ärenden, deltagare, tidpunkter). Meddelande- och ärendeinnehåll behandlas endast tillfälligt under analys och lagras inte permanent; endast metadata sparas;
• Tidrapporter och uppgifter om utförda arbetsaktiviteter;
• Tekniska uppgifter (IP-adress, enhetsinformation, loggar för säkerhet och felsökning);
• Motsvarande kategorier av personuppgifter från andra källsystem som Kunden ansluter till Tjänsten, exempelvis projektverktyg, ärendehanteringssystem, utvecklingsplattformar eller fakturerings- och lönesystem;
• Eventuella ytterligare uppgifter som Kunden väljer att tillgängliggöra för Tjänsten genom konfigurationsval.

Tjänsten är inte avsedd för behandling av särskilda kategorier av personuppgifter enligt artikel 9 GDPR eller uppgifter om lagöverträdelser enligt artikel 10 GDPR. Kunden ansvarar för att inte tillgängliggöra sådana uppgifter för Tjänsten.

14. Tekniska och organisatoriska åtgärder

Leverantören vidtar löpande tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR för att säkerställa en lämplig säkerhetsnivå. Åtgärderna omfattar bland annat följande.

14.1 Åtkomstkontroll och behörighet

• Rollbaserad åtkomstkontroll (RBAC) baserad på principen om minsta privilegium;
• Tvåfaktorautentisering (MFA) för administrativ åtkomst till produktionsmiljöer;
• Loggning och övervakning av administrativ åtkomst;
• Regelbunden granskning av behörigheter.

14.2 Kryptering

• Kryptering av data under överföring (TLS 1.2 eller senare);
• Kryptering av data i vila (encryption at rest) i databas och säkerhetskopior;
• Säker hantering och lagring av krypteringsnycklar.

14.3 Nätverk och infrastruktur

• Behandling i molninfrastruktur inom EU/EES (i regel Microsoft Azure i regionen Sverige);
• Brandväggar och nätverkssegmentering;
• Skydd mot DDoS-attacker;
• Loggning och övervakning av infrastruktur.

14.4 Applikationssäkerhet

• Säker utvecklingsprocess (Secure SDLC) med kodgranskning;
• Skydd mot vanliga sårbarheter enligt OWASP Top 10;
• Säkra autentiseringsmekanismer för slutanvändare;
• Sessionshantering med tidsbegränsade och nyckelroterande tokens.

14.5 Säkerhetskopiering och kontinuitet

• Automatisk säkerhetskopiering av databaser med definierad återställningstid och återställningspunkt;
• Säkerhetskopior bevaras endast så länge det är nödvändigt för Tjänstens kontinuitet och återställningsbehov, varefter de raderas automatiskt;
• Geografiskt redundant lagring inom EU/EES;
• Återkommande tester av återställningsrutiner.

14.6 Personalsäkerhet

• Sekretessförbindelse för all personal med åtkomst till Personuppgifter;
• Utbildning i informationssäkerhet och dataskydd;
• Bakgrundskontroll av personal med särskild åtkomst till känslig miljö.

14.7 Incidenthantering

• Definierade rutiner för identifiering, eskalering och hantering av Personuppgiftsincidenter;
• Loggning som möjliggör utredning av incidenter;
• Rutiner för underrättelse till Kund inom fyrtioåtta (48) timmar enligt punkt 8.

14.8 Pseudonymisering och dataminimering

• Tjänsten är utformad enligt principen om dataminimering;
• Pseudonymisering tillämpas där det är praktiskt möjligt och förenligt med Tjänstens funktion.

14.9 Ledningssystem

• Leverantören är certifierad enligt ISO 9001, 14001 och 27001, och arbetar kontinuerligt efter gällande principer. Uppdaterade certifikat publiceras på Leverantörens webbplats.

DynamicTime AB · Org. nr 559515-6901 · Forskargatan 3, 781 70 Borlänge · support@dynamictime.se