Inledning

Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) utgör en bilaga till det uppdragsavtal (”Uppdragsavtalet”) som har ingåtts mellan FöreningsKraft AB med organisationsnummer 559239–4083 (nedan kallad ”FöreningsKraft”) och den i Uppdragsavtalet angivna uppdragsgivaren (nedan kallad ”Föreningen”). Föreningen och FöreningsKraft är nedan gemensamt refererade till som ”Parterna” och var för sig som ”Part”.

Biträdesavtalet ingås i enlighet med artikel 28 i EU:s allmänna dataskyddsförordning och reglerar: 

Föreningens rättigheter och skyldigheter som personuppgiftsansvarig för de personuppgifter som lämnas till FöreningsKraft inom ramen för uppdraget enligt Uppdragsavtalet och som FöreningsKraft behandlar för Föreningens räkning, och 

FöreningsKrafts rättigheter och skyldigheter som personuppgiftsbiträde vid behandling av dessa personuppgifter.

Bilagor

Följande bilagor har bifogats till detta Biträdesavtal:

• Bilaga: Instruktioner
• Bilaga: Underbiträden
• Bilaga: Säkerhetsåtgärder

Definitioner

I detta Biträdesavtal användes definitioner som överensstämmer med de som finns i EU:s allmänna dataskyddsförordning 2016/679 (”GDPR”), såsom ”personuppgifter”, ”behandling”, ”registrerad”, ”tillsynsmyndighet”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde” med flera. Var och en av dessa definitioner har samma innebörd som anges i artikel 4 i GDPR. För en fullständig lista och exakta definitioner, vänligen se denna artikel.

Den personuppgiftsansvariges intyganden och åtaganden

Föreningen intygar och bekräftar härmed att Föreningen:

1. följer bestämmelserna i GDPR avseende sin behandling av personuppgifterna som omfattas av detta Biträdesavtal;
2. är ensamt ansvarig för riktigheten, integriteten, innehållet, tillförlitligheten och lagenligheten av personuppgifterna som omfattas av detta Biträdesavtal;
3. utan dröjsmål ska meddela FöreningsKraft om eventuella ändringar i instruktionerna rörande behandlingen av personuppgifterna som omfattas av detta Biträdesavtal och tillhandahålla korrekt information till FöreningsKraft om tidigare tillhandahållna instruktioner är ofullständiga, felaktiga eller behöver ändras av andra skäl;
4. utan dröjsmål ska informera FöreningsKraft om eventuella relevanta förfrågningar från den registrerade, tillsynsmyndigheten eller någon annan tredje part med avseende på behandlingen av personuppgifterna som omfattas av detta Biträdesavtal; och
5. anser att de organisatoriska och tekniska säkerhetsåtgärderna som FöreningsKraft åtar sig att implementera och som definieras i Bilaga: Säkerhetsåtgärder är lämpliga för att skydda de registrerades rättigheter och personuppgifterna, och att FöreningsKraft lämnat tillräckliga garantier med avseende på detta.

Personuppgiftsbiträdets åtaganden 

FöreningsKraft ska:

1. endast behandla de personuppgifter som omfattas av detta Biträdesavtal i enlighet med dokumenterade instruktioner från Föreningen, inklusive vad gäller överföring till tredjeland eller internationella organisationer, såvida inte sådan behandling krävs enligt unionsrätten eller en medlemsstats nationella rätt som FöreningsKraft är bunden av. I sådant fall ska FöreningsKraft informera Föreningen om det rättsliga kravet innan behandlingen påbörjas, om inte sådan information är förbjuden med hänvisning till ett viktigt allmänintresse enligt tillämplig rätt;
2. omedelbart underrätta Föreningen om FöreningsKraft anser att en instruktion strider mot GDPR eller annan tillämplig dataskyddslagstiftning inom unionen eller dess medlemsstater. FöreningsKraft har rätt att tillfälligt avbryta den ifrågasatta behandlingen under den tid Föreningen utreder invändningen;
3. säkerställa att personer som ges behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet genom skriftligt avtal eller omfattas av en lämplig lagstadgad tystnadsplikt;
4. med beaktande av behandlingens art, hjälpa Föreningen genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Föreningen kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel 3 GDPR;
5. bistå Föreningen med att se till att skyldigheterna fullgörs avseende säkerhet i samband med behandlingen (artikel 32 GDPR), anmälan av en personuppgiftsincident till tillsynsmyndigheten (artikel 33 GDPR), information till den registrerade om en personuppgiftsincident (artikel 34 GDPR), konsekvensbedömning avseende dataskydd (artikel 35 GDPR) och  förhandssamråd med tillsynsmyndigheten (artikel 36 GDPR), med beaktande av typen av behandling och den information som FöreningsKraft har att tillgå;
6. beroende på vad Föreningen väljer, radera eller återlämna alla personuppgifter som omfattas av Biträdesavtalet till Föreningen efter det att tillhandahållandet av behandlingstjänsterna har avslutats, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt;
7. i den utsträckning det är praktiskt möjligt och lagligt, utan onödigt dröjsmål meddela Föreningen om förfrågningar om utlämnande av personuppgifter eller information som handlar om behandlingen, som erhållits från en registrerad, myndighet eller annan tredje part och ska vid sådana fall hänvisa till Föreningen. FöreningsKraft har inte rätt att företräda Föreningen eller agera för dennes räkning gentemot tillsynsmyndighet eller annan tredje part, såvida inte Föreningen skriftligen godkänner det; och
8. skriftligen informera Föreningen utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident beträffande personuppgifter som omfattas av detta Biträdesavtal. Meddelandet ska innehålla all nödvändig information för att Föreningen ska kunna uppfylla sina skyldigheter att rapportera eller informera berörda personer om incidenten.

Underbiträden

Föreningen ger härmed FöreningsKraft ett allmänt skriftligt förhandstillstånd att anlita andra personuppgiftsbiträden (nedan kallade ”Underbiträden”) för fullgörandet av uppdrag som omfattas av Uppdragsavtalet samt skyldigheterna enligt detta Biträdesavtal. FöreningsKraft ska respektera bestämmelserna i artiklarna 28.2 och 28.4 i GDPR vid anlitandet av Underbiträden. Vid var tid aktuella Underbiträden förtecknas i Bilaga: Underbiträden.

Om FöreningsKraft anlitar ett Underbiträde för att utföra en specifik behandling på Föreningens vägnar ska samma dataskyddsskyldigheter som fastställs i detta Biträdesavtal åläggas Underbiträdet genom ett avtal eller en annan rättsakt enligt unionsrätten eller medlemsstaternas lagstiftning. Underbiträdet ska även särskilt tillhandahålla tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i GDPR. 

Om Underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd, ska FöreningsKraft förbli fullt ansvarig gentemot Föreningen för fullgörandet av Underbiträdets skyldigheter. 

Om FöreningsKraft avser att ändra, lägga till eller ersätta ett Underbiträde ska Föreningen informeras om sådana ändringar minst tio (10) kalenderdagar innan ändringen träder i kraft. Föreningen ges därmed möjlighet att invända mot ändringarna inom denna period. 

Säkerhet

FöreningsKraft åtar sig att vidta alla åtgärder som krävs enligt artikel 32 GDPR, med hänsyn tagen till den senaste tekniken och implementationskostnader i förhållande till den risk som behandlingen innebär och typen av personuppgifter som ska skyddas. Detta innefattar bland annat att FöreningsKraft ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för fysiska personers rättigheter och friheter. Vid bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till risk för oavsiktlig eller olaglig förstöring, förlust, ändring eller till obehörigt röjande eller åtkomst till personuppgifterna. 

FöreningsKraft vidtar de tekniska och organisatoriska åtgärder som anges i Bilaga: Säkerhetsåtgärder. 

FöreningsKraft avgör hur åtgärderna ska implementeras inom sin verksamhet för att uppnå den skyddsnivå som krävs. FöreningsKraft har rätt att ändra de genomförda åtgärderna, under förutsättning att den säkerställda säkerhetsnivån inte är lägre, än den som säkerställs av de åtgärder som gäller vid Biträdesavtalets ingående.

FöreningsKraft intygar att dennes verksamhet bedrivs på sätt som säkerställer att bestämmelser och krav enligt GDPR avseende adekvat skydd för behandlingar efterlevs och uppnås.

Granskning 

FöreningsKraft ska ge Föreningen tillgång till all information samt tillhandahålla upplysningar och handlingar som krävs för att visa att de skyldigheter som åligger FöreningsKraft enligt detta Biträdesavtal och artikel 28 GDPR har fullgjorts. 

FöreningsKraft ska även möjliggöra och bidra till granskningar samt inspektioner avseende behandling av personuppgifterna som omfattas av detta Biträdesavtal, som genomförs av Föreningen eller annan revisor som denne bemyndigar. 

Sådan granskning och/eller inspektion ska genomföras på Föreningens bekostnad, och information om avsikten att genomföra en granskning ska meddelas till FöreningsKraft via e-post minst fjorton (14) kalenderdagar före det önskade datumet för genomförandet av granskningen. FöreningsKraft har rätt att föreslå ett nytt datum för granskningen, som ska infalla inom sju (7) arbetsdagar efter det av Föreningen föreslagna datumet.

Föreningen ansvarar för att tillse att FöreningsKraft får tillgång till en skriftlig rapport utan onödigt dröjsmål efter genomförd granskning, som innehåller sammanfattningar av resultaten av granskningen. Rapporten ska utgöra konfidentiell information som inte får delges till tredje part, utan FöreningsKrafts föregående skriftliga tillstånd, under förutsättning att delgivande inte krävs enligt tillämplig lag.

FöreningsKraft ska även tillåta statlig myndighet att genomföra de granskningar som krävs enligt lag avseende behandling av personuppgifter.

Ansvar

Om en registrerad tilldöms skadestånd eller sådan ersättning fastställs genom förlikning, till följd av felaktig behandling av personuppgifter i strid med detta Biträdesavtal och/eller tillämplig dataskyddslagstiftning, ska ansvarsfördelningen mellan Parterna regleras enligt artikel 82 i GDPR.

Administrativa sanktionsavgifter (inklusive böter) som beslutas enligt artikel 83 i GDPR eller enligt kapitel 6 i lagen (SFS 2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska betalas av den Part som sanktionsavgiften riktas mot. Om dock en sanktionsavgift åläggs en Part på grund av att den andra Parten har brutit mot detta Biträdesavtal eller tillämplig dataskyddslagstiftning, ska den felande Parten ersätta den andra Parten för eventuella kostnader och hålla denne skadeslös.

Den ersättningsskyldighet och skadeslöshet som följer av denna klausul utgör Parternas enda och exklusiva rättsmedel gentemot varandra i händelse av överträdelser av dataskyddsreglerna.

Avtalstid

Detta Biträdesavtal gäller så länge som FöreningsKraft behandlar personuppgifter för Föreningens räkning. 

FöreningsKraft ska behandla personuppgifterna under den tid som Uppdragsavtalet mellan Parterna gäller och för en rimlig tid därefter för att fullgöra eventuella efterföljande skyldigheter.

Tillämplig lag och tvistelösning

Biträdesavtalet ska tolkas och tillämpas i enlighet med svensk lag och rätt. 

Tvister som uppstår i anledning av detta Biträdesavtal ska slutligt avgöras genom det tvistelösningsförfarande som avtalats i Uppdragsavtalet.

Bilaga: Instruktioner 

Utöver vad som anges i Biträdesavtalet ska FöreningsKraft även följa nedanstående instruktioner vid behandling av personuppgifter för Föreningens räkning:

Ändamål med behandlingen

FöreningsKraft ska endast behandla personuppgifter för att fullgöra sina skyldigheter enligt Uppdragsavtalet mellan Parterna och i enlighet med Föreningens instruktioner, samt för att i övrigt fullgöra de skyldigheter som följer av villkoren i detta Biträdesavtal samt tillämplig dataskyddslagstiftning. 

Behandlingen av personuppgifter sker främst i samband med att FöreningsKraft utför avtalade tjänster enligt Uppdragsavtalet. Exempelvis kan uppdraget bestå av utförandet av följande tjänster för Föreningens räkning: 

• Löne- och arvodeshantering
• Hantering av leverantörsfakturor och utlägg och andra typer av betalningar
• Fakturering 
• Bokföring 
• Rapportering till myndigheter m.fl. (Skatteverket, Collectum, etc.) 
• Hantering av e-post från Föreningens medlemmar för Föreningens räkning
• Hantering av medlemsregister i Föreningens medlemssystem

Kategorier av registrerade 

FöreningsKraft ska behandla personuppgifter tillhörande de kategorier av registrerade som är nödvändiga för att fullgöra de uppdrag som omfattas av Uppdragsavtalet samt för att i övrigt fullgöra de skyldigheter som följer av villkoren i detta Biträdesavtal samt tillämplig dataskyddslagstiftning.

Behandlingen kan avse exempelvis följande kategorier av registrerade (beroende på uppdragets art och omfattning):

Föreningens:

• Företrädare (verkliga huvudmän, firmatecknare, styrelse, kontaktperson etc.);
• Medarbetare (anställda, konsulter etc.);
• Kunder (och om nödvändigt, dess ägare, firmatecknare, verklig huvudman, kontaktperson etc.);
• Medlemmar (och om nödvändigt, dess ägare, firmatecknare, verklig huvudman, kontaktperson etc.);
• Samarbetspartners (och om nödvändigt, dess ägare, firmatecknare, verklig huvudman, kontaktperson etc.).

Kategorier av personuppgifter 

FöreningsKraft ska behandla de kategorier av personuppgifter som är nödvändiga för att fullgöra de uppdrag som omfattas av Uppdragsavtalet samt för att i övrigt fullgöra de skyldigheter som följer av villkoren i detta Biträdesavtal samt tillämplig dataskyddslagstiftning.

Behandlingen kan avse följande kategorier av personuppgifter (beroende på uppdragets art och omfattning):

• Identifierande uppgifter: Förnamn, efternamn, personnummer, röstmeddelanden.
• Kontaktuppgifter: E-postadress, telefonnummer, postadress.
• Arbetsrelaterade uppgifter: Titel, roll, arbetsgivare, arbetsställe, anställningsform, löneuppgifter, arbetstid, anställningsnummer, information om medborgarskap.
• Ekonomiska uppgifter: Bank- och kontouppgifter, månadslön, pensionsuppgifter, förmåner, skatteuppgifter och försäkringsuppgifter.
• Metadata: Information som är inkluderad i material/underlag som tillhandahålls av Föreningen till FöreningsKraft.
• Särskilda kategorier av personuppgifter: Eventuella särskilda kategorier av personuppgifter som Föreningen har laglig grund att behandla och som överlämnas till FöreningsKraft, såsom information om sjukfrånvaro, hälsa, allergier. Föreningen intygar att denne inte kommer att överföra några särskilda kategorier av personuppgifter angivna i artikel 9 i GDPR till FöreningsKraft som inte behövs för att fullgöra uppdraget (tex. uppgift om etniskt ursprung, politiska åsikter, religiös övertygelse, sexuell läggning m.fl.).

Behandlingsaktiviteter

FöreningsKraft får utföra nödvändig behandlingsaktivitet eller uppsättning av behandlingsaktiviteter som utförs på personuppgifter eller på uppsättningar av personuppgifter, oavsett om det sker automatiskt eller inte, för att fullgöra sina avtalade åtaganden och förpliktelser enligt Uppdragsavtalet, uppfylla villkoren i detta Biträdesavtal och tillämplig dataskyddslagstiftning, såsom: 

• insamling, registrering, strukturering, lagring, läsning, bearbetning, radering, import/export av personuppgifter via filöverföring, kontroll av personuppgifter mot folkbokföringsregistret samt överföring av personuppgifter till myndigheter.

Plats för behandling av personuppgifterna

Inom EU/EES-området, samt genom av Föreningens godkända Underbiträden.

Bilaga: Underbiträden

Föreningen godkänner att  FöreningsKraft anlitar de nedan angivna Underbiträdena för behandling av personuppgifter för Föreningens räkning:

Bilaga: Säkerhetsåtgärder 

Denna bilaga beskriver de tekniska och organisatoriska säkerhetsåtgärder som FöreningsKraft vidtar för att skydda de personuppgifter som behandlas enligt detta Biträdesavtal. Åtgärderna syftar till att säkerställa en lämplig säkerhetsnivå i enlighet med artikel 32 i GDPR.

Tekniska säkerhetsåtgärder:

1. Kryptering av data: Personuppgifter kan krypteras vid överföring och lagring när det bedöms lämpligt.
2. Åtkomstkontroller: Endast behörig personal har tillgång till personuppgifter genom individuella användarkonton och rollbaserad behörighetsstyrning.
3. Starka autentiseringsmetoder: Tvåfaktorsautentisering (2FA) tillämpas där det är möjligt.
4. Regelbundna säkerhetsuppdateringar: Programvara och operativsystem uppdateras kontinuerligt med aktuella säkerhetspatchar.
5. Gallring av data: Personuppgifter som inte längre behövs raderas eller anonymiseras på ett säkert sätt enligt fastställda gallringsrutiner.

Organisatoriska säkerhetsåtgärder:

1. Tydliga åtkomstpolicyer: Åtkomst till personuppgifter begränsas till behörig personal baserat på arbetsuppgifter och behov.
2. Sekretessförbindelser: Medarbetare och underbiträden som hanterar personuppgifter omfattas av skriftliga sekretessåtaganden eller lagstadgad tystnadsplikt.
3. Regelbunden utbildning: Personal erhåller återkommande utbildning i GDPR, informationssäkerhet och korrekt hantering av personuppgifter.
4. Incidenthanteringsrutiner: Dokumenterade rutiner tillämpas för identifiering, rapportering och hantering av personuppgiftsincidenter.
5. Interna revisioner och kontroller: Interna kontroller och revisioner genomförs regelbundet för att säkerställa efterlevnad av tillämpliga dataskydds- och säkerhetskrav.
6. Utsedd kontaktperson: En kontaktperson med ansvar för personuppgiftsfrågor är utsedd inom organisationen.
7. Leverantörskontroller: Underbiträden utvärderas och följs upp för att säkerställa att de uppfyller kraven enligt GDPR och har tillräckliga säkerhetsåtgärder, vilket regleras i avtal.
8. Riktlinjer för datalagring och radering: Interna rutiner fastställs för lagringstid och säker radering av personuppgifter.

Regelbundna riskbedömningar: Riskbedömningar genomförs regelbundet för att identifiera och hantera potentiella hot mot personuppgifters säkerhet.