CASAI Personuppgiftsbiträdesavtal Ver 1, 2020-06-01
- Bakgrund
1.1 Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) reglerar Personuppgiftsbiträdets (enligt definition nedan) behandling av personuppgifter för den Personuppgiftsansvariges (enligt definition nedan) räkning i enlighet med de avtal avseende tillhandahållande av Personuppgiftsbiträdets mjukvaruprogram, onlinetjänster, datamedia, hjälpfunktioner och/eller handledningar samt ändringar eller annan utveckling av sådan produkt (”Produkten”) och, om tillämpligt, tillhandahållande av Personuppgiftsbiträdets tjänster (”Tjänsterna”) som träffats mellan Personuppgiftsansvarig och Personuppgiftsbiträdet (var för sig ”Produktavtalet” respektive ”Uppdragsavtalet” och gemensamt ”Avtalen”).
1.2 Genom att teckna Avtalen och/eller godkänna Diagonas allmänna villkor (”Allmänna villkoren”) och Biträdesavtalet blir Personuppgiftsansvarig och Personuppgiftsbiträdet bundna av detta Biträdesavtal vilket utgör en integrerad del av Avtalen.
1.3 Personuppgiftsansvarig bestämmer ändamålen och medlen för behandlingen av personuppgifter under detta Biträdesavtal och är därmed personuppgiftsansvarig för sådan behandling. För det fall Personuppgiftsansvarig agerar som personuppgiftsbiträde för en tredje parts räkning och Personuppgiftsbiträdet agerar som underbiträde ska detta Biträdesavtal gälla på motsvarande sätt.
1.4 Personuppgiftsbiträdet behandlar personuppgifter under detta Biträdesavtal för den Personuppgiftsansvariges räkning och är därmed personuppgiftsbiträde för sådan behandling.
- Definitioner och tolkning
2.1 Begrepp i detta Biträdesavtal ska tolkas i enlighet med tillämplig dataskyddslagstiftning (härefter ”Tillämplig Dataskyddslagstiftning”). Med Tillämplig Dataskyddslagstiftning avses, om inte annat särskilt överenskommits, alla vid var tid gällande lagar och förordningar som är tillämpliga på Personuppgiftsbiträdets behandling av personuppgifter inom ramen för Biträdesavtalet (inklusive, men inte begränsat till Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (”Dataskyddsförordningen”)) och tillsynsmyndighets bindande föreskrifter och beslut som är tillämpliga på behandlingen av personuppgifter inom ramen för Biträdesavtalet.
2.2 ”Personuppgiftsansvarig” avser den part som definierats som kund enligt Produktavtalet och/eller uppdragsgivare enligt Uppdragsavtalet.
2.3 ”Personuppgiftsbiträde” avser Diagona AB och i tillämpliga fall dess koncernbolag.
2.4 Begrepp med stor begynnelsebokstav i detta Biträdesavtal ska ha den innebörd som anges i de Allmänna villkoren.
2.5 Vid bristande överensstämmelse mellan Biträdesavtalet och Avtalen ska, avseende behandling av personuppgifter, bestämmelserna i Biträdesavtalet äga företräde framför Avtalen.
- Bilagor till Biträdesavtalet
- Behandling av personuppgifter
4.1 Instruktioner
4.1.1 Personuppgiftsansvarig är ansvarig för att behandling av personuppgifter sker i enlighet med Tillämplig Dataskyddslagstiftning. Personuppgiftsansvarig ansvarar för att Personuppgiftsbiträdet inte ska behandla andra kategorier av personuppgifter än sådana som anges i Bilaga 1 och i däri angiven omfattning.
4.1.2 Personuppgiftsbiträdet, och varje person som är behörig att utföra arbete för dess räkning, åtar sig att endast behandla personuppgifter i enlighet med Personuppgiftsansvarigs dokumenterade instruktioner som framgår av Bilaga 1 till detta Biträdesavtal, såvida inte Personuppgiftsbiträdet har en skyldighet enligt tillämplig lag att behandla personuppgifterna. I sådana fall ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om detta innan behandlingen påbörjas, i den mån det är tillåtet enligt aktuell reglering. Parterna ska säkerställa att den andra parten har rätt att behandla kontaktuppgifter, och eventuellt andra personuppgifter, till den första partens anställda om och i den utsträckning det behövs för att underlätta tillhandahållandet av Produkten och Tjänsterna.
4.1.3 Med undantag för det som framgår av punkten 4.1.2 ovan får Personuppgiftsbiträdet inte behandla personuppgifter för egna ändamål eller andra ändamål än de som framgår av Bilaga 1 samt Avtalen. Personuppgiftsbiträdet ska dock ha rätt att behandla personuppgifter i syfte att tillhandahålla, underhålla och lämna support i förhållande till Produkten, samt utveckla och förbättra Produkten om det uttryckligen framgår av Bilaga 1. Personuppgiftsbiträdet ska dessutom ha rätt att behandla personuppgifter i syfte att tillhandahålla, utveckla och förbättra Tjänsten om det uttryckligen framgår av Bilaga
4.1.4 Biträdesavtalet, inklusive Bilaga 1, utgör Personuppgiftsansvarigs samtliga instruktioner för behandlingen av personuppgifter under Biträdesavtalet, med undantag för de eventuella skriftliga instruktioner som Personuppgiftsansvarig under avtalstiden är skyldig att lämna för att kunna uppfylla Tillämplig Dataskyddslagstiftning. Andra eventuella ändringar ska överenskommas separat. Personuppgiftsbiträdet ska ha rätt till skälig ersättning vid ändrade skriftliga instruktioner. Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion strider mot Tillämplig Dataskyddslagstiftning. Personuppgiftsbiträdet är inte skyldig att implementera en sådan instruktion. Om Personuppgiftsbiträdet meddelar Personuppgiftsansvarig inom rimlig tid att Personuppgiftsbiträdet har sakliga skäl för att motsätta sig Personuppgiftsansvarigs ändrade instruktioner för uppfyllandet av Tillämplig Dataskyddslagstiftning, ska endera part ha rätt att skriftligen säga upp Avtalen till omedelbart upphörande. Om inte annat överenskommits ifråga om avgifter för förtida upphörande utan skäl, ska Personuppgiftsbiträdet återbetala eventuella avgifter som erlagts i förskott för icke utnyttjade produkter eller tjänster enligt Avtalen och Personuppgiftsansvarig ska ersätta Personuppgiftsbiträdets kostnader för Produktens, och om tillämpligt Tjänstens, förtida upphörande.
4.2 Säkerhetsåtgärder
4.2.1 Personuppgiftsbiträdet ska implementera de organisatoriska och tekniska åtgärder som krävs enligt Tillämplig Dataskyddslagstiftning och som i övrigt framgår av Avtalen för att skydda de personuppgifter som behandlas.
4.2.2 Personuppgiftsansvarig svarar för att de i punkt 4.2.1 avtalade säkerhetsåtgärderna uppfyller Personuppgiftsansvarigs skyldigheter enligt Tillämplig Dataskyddslagstiftning om krav på säkerhet för de personuppgifter som behandlas. Om Personuppgiftsansvarig begär ändring av säkerhetsåtgärderna gäller för sådan begäran samma bestämmelser som gäller för Personuppgiftsansvarigs instruktioner enligt punkt 4.1.4. Vid Personuppgiftsbiträdets begäran om ändrade säkerhetsåtgärder gäller vad som följer av punkten 4.2.3.
4.2.3 Om Personuppgiftsbiträdet upptäcker att avtalade säkerhetsåtgärder enligt punkten 4.2.1 helt eller delvis strider mot Tillämplig Dataskyddslagstiftning ska Personuppgiftsbiträdet inom skälig tid skriftligen meddela Personuppgiftsansvarig om sin inställning och invänta Personuppgiftsansvarigs skriftliga instruktioner om lämpliga säkerhetsåtgärder enligt punkt 4.1.4. Om Personuppgiftsansvarig trots uppmaning inte lämnar nya instruktioner inom skälig tid ska Personuppgiftsbiträdet ha rätt att på Personuppgiftsansvarigs bekostnad vidta skäliga och nödvändiga säkerhetsåtgärder för att uppfylla Tillämplig Dataskyddslagstiftning.
4.2.4 Personuppgiftsbiträdet ska se till att samtliga personer med behörighet att behandla personuppgifter för vilka den Personuppgiftsansvarige ansvarar åtar sig att iaktta konfidentialitet eller om relevant omfattas av en lämplig lagstadgad tystnadsplikt innan sådana personer får behörighet att behandla personuppgifterna.
4.3 Skyldighet att bistå Personuppgiftsansvarig
4.3.1 Personuppgiftsbiträdet ska, utöver vad som följer av punkt 4.2 implementera lämpliga tekniska och organisatoriska åtgärder för att på Personuppgiftsansvarigs skriftliga begäran assistera Personuppgiftsansvarig i uppfyllandet av de registrerades rättigheter enligt kapitel III i Dataskyddsförordningen, såsom insyn och villkor, information och tillgång till personuppgifter, rättelse och radering och rätt att göra invändningar samt automatiserat individuellt beslutsfattande. Personuppgiftsbiträdets skyldighet enligt denna punkt ska endast gälla i den mån detta är möjligt och i den utsträckning som behandlingens art kräver det.
4.3.2 Personuppgiftsbiträdet ska, med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå, därutöver vara skyldig att på Personuppgiftsansvarigs skriftliga begäran bistå Personuppgiftsansvarig så att denne kan fullgöra de skyldigheter som Personuppgiftsansvarig har avseende säkerhet, personuppgiftsincidenter, konsekvensbedömningar och förhandssamråd enligt Tillämplig Dataskyddslagstiftning.
4.3.3 Om annat inte skriftligen överenskommits, ska Personuppgiftsbiträdet ha rätt till skälig ersättning för det bistånd som Personuppgiftsbiträdet tillhandahåller Personuppgiftsansvarig enligt denna punkt 4.3.
- Utlämnande av personuppgifter
5.1 Personuppgiftsbiträdet ska inte till registrerad eller tredje part lämna ut eller annars röja personuppgifter som omfattas av Biträdesavtalet, om annat inte följer av Avtalen eller av lag, domstols- eller myndighetsbeslut. I de fall Personuppgiftsbiträdet måste lämna ut sådan information på grund av lag, domstols- eller myndighetsbeslut ska Personuppgiftsbiträdet, såvida detta inte är förbjudet enligt lag, domstols- eller myndighetsbeslut, meddela Personuppgiftsansvarig detta.
5.1.1 Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarig om en registrerad begär information som rör dess behandling av personuppgifter under Biträdesavtalet, samt hänvisa den registrerade till Personuppgiftsansvarig. Personuppgiftsbiträdet ska i enlighet med punkt 4.3 bistå Personuppgiftsansvarig med att besvara en sådan förfrågan.
5.2.2 Personuppgiftsbiträdet och dess företrädare är enligt Tillämplig Dataskyddslagstiftning skyldig att samarbeta med tillsynsmyndigheten för dataskydd vid tillsynsåtgärder, om tillsynsmyndigheten för dataskydd begär det. Personuppgiftsbiträdet åtar sig att utan oskäligt dröjsmål underrätta Personuppgiftsansvarig om förfrågningar från tillsynsmyndigheten för dataskydd eller annan tillsynsmyndighet som specifikt rör dess behandling av personuppgifter under Biträdesavtalet. Personuppgiftsbiträdet ska inte ha rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarigs räkning vid sådana förfrågningar. Personuppgiftsbiträdet ska ha rätt till skälig ersättning vid sådant begärt samarbete som hänför sig specifikt till behandlingen av Personuppgiftsansvarigs personuppgifter och som inte är en följd av att Personuppgiftsbiträdet brutit mot sina åtaganden enligt Biträdesavtalet om behandlingen av personuppgifter.
- Underbiträden
6.1 Personuppgiftsbiträdet har, om annat inte framgår av Avtalen, rätt att anlita underbiträden inom och utanför EU/EES för behandlingen av personuppgifter. Personuppgiftsbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem samma skyldigheter vid behandlingen av personuppgifter som de skyldigheter som gäller enligt Biträdesavtalet. Om underbiträdet inte uppfyller de skyldigheter som följer av Biträdesavtalet, ska Personuppgiftsbiträdet vara fullt ansvarig gentemot Personuppgiftsansvarig för utförandet av underbiträdets skyldigheter.
6.2 Personuppgiftsbiträdet ska tillhandahålla en lista över sådana underbiträden som Personuppgiftsbiträdet anlitar från tid till annan på https://casai.io/gdpr. Personuppgiftsbiträdet kommer att uppdatera den Personuppgiftsansvarige i skälig tid innan Personuppgiftsbiträdet anlitar nya eller ersätter befintliga underbiträden. Personuppgiftsansvarig ska utan dröjsmål skriftligen invända mot sådana förändringar om den Personuppgiftsansvarige har rimliga skäl att tvivla på det nya underbiträdets förmåga att efterleva Tillämplig Dataskyddslagstiftning. Personuppgiftsansvarig ska framföra eventuella invändningar mot nya eller ersatta underbiträden inom fem (5) arbetsdagar från den dag då Personuppgiftsbiträdet meddelade Personuppgiftsansvarig om det nya eller ersatta underbiträdet. Om Personuppgiftsansvarig inte har framfört några invändningar mot ett nytt eller ersatt underbiträde inom tidsfristen ska Personuppgiftsansvarig anses ha accepterat underbiträdet. Den Personuppgiftsansvarige förstår och accepterar att sådan invändning kan resultera i att Personuppgiftsbiträdet inte kan uppfylla sina åtaganden enligt Avtalen i den utsträckning sådant åtagande är relaterat till underbiträdet i fråga.
- Tredjelandsöverföringar
7.1 Personuppgiftsbiträdet ska säkerställa att det finns en laglig grund för överföring av personuppgifter till, eller tillgängliggörande från, en plats utanför EU/EES, exempelvis genom användandet av EU-kommissionens standardavtalsklausuler för överföring av personuppgifter till tredje land eller bestämmelser som ersätter dessa. I det fall Personuppgiftsbiträdet anlitar underbiträden och ett sådant anlitande involverar behandling av personuppgifter för den Personuppgiftsansvariges räkning, ger Personuppgiftsansvarig härmed fullmakt till Personuppgiftsbiträdet att för Personuppgiftsansvarigs räkning och i dess namn ingå de avtal som krävs enligt tillämplig lag för att Personuppgiftsbiträdet ska kunna överföra personuppgifter till underbiträden utom EU/EES, vilket kan inkludera ingående av bindande avtal i enlighet med EU-kommissionens standardavtalsklausuler för överföring av personuppgifter till tredje land (i vilka Personuppgiftsansvarig ska anses som uppgiftsutförare och, beroende på vad som är tillämpligt, Personuppgiftsbiträdet eller underbiträdet som uppgiftsinförare).
- Underrättelse vid dataintrång
8.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige efter att ha fått vetskap om en personuppgiftsincident.
8.2 En sådan underrättelse ska, med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå:
a) beskriva personuppgifts- incidentens art, och, om möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
b)beskriva de sannolika konsekvenserna av personuppgiftsincidenten, samt
c)beskriva de åtgärder som har vidtagits eller bör vidtas för att åtgärda personuppgiftsincidenten eller mildra dess potentiella negativa effekter.
8.3 Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
8.4 Om Personuppgiftsansvarig i strid med Tillämplig Dataskyddslagstiftning inte informerar den registrerade om en personuppgiftsincident och tillsynsmyndigheten för dataskydd förelägger Personuppgiftsbiträdet att åtgärda bristen, ska Personuppgiftsansvarig ersätta Personuppgiftsbiträdets kostnader för att uppfylla sådant beslut av tillsynsmyndigheten för dataskydd.
- Konsekvensbedömning avseende dataskydd
9.1 Personuppgiftsbiträdet ska, med beaktande av typen av behandling och den information som är tillgänglig för Personuppgiftsbiträdet, genom lämpliga tekniska och organisatoriska åtgärder bistå den Personuppgiftsansvarige med att fullgöra den Personuppgiftsansvariges skyldigheter avseende konsekvensbedömning avseende dataskydd samt föregående samråd enligt Tillämplig Dataskyddslagstiftning.
- Rätt till granskning
10.1 Personuppgiftsbiträdet ska, utöver vad som följer av Avtalen, ge Personuppgiftsansvarig tillgång till all information som krävs för att visa att de skyldigheter som följer av Tillämplig Dataskyddslagstiftnings krav på personuppgiftsbiträden har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Personuppgiftsansvarig eller av Personuppgiftsansvarig utsedd revisor (vilken inte får vara en direkt eller indirekt konkurrent till Personuppgiftsbiträdet). Den Personuppgiftsansvarige eller en av den Personuppgiftsansvarige utsedd revisor har högst en gång per år eller fler gånger om det är påkallat av en särskild händelse rätt att utföra granskning (inklusive inspektion) under normal kontorstid av Personuppgiftsbiträdets efterlevnad av detta Biträdesavtal. I det fall Personuppgiftsansvarig önskar genomföra en inspektion ska Personuppgiftsansvarig informera Personuppgiftsbiträdet om detta i skälig tid i förväg och samtidigt specificera inspektionens innehåll och omfattning. Innehållet och omfattningen av en granskning får inte överstiga vad som är nödvändigt med hänsyn till syftet med granskningen. Samtliga kostnader relaterade till granskning ska bäras av den Personuppgiftsansvarige. Personuppgiftsbiträdets skäliga kostnader i samband med genomförande av sådan granskning får debiteras Personuppgiftsansvarig.
10.2 Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarig om Personuppgiftsbiträdet anser att information, inbegripet inspektioner, enligt punkt 10.1 inte krävs eller strider mot Tillämplig Dataskyddslagstiftning. Om annat inte följer av Avtalen, får inspektion endast göras om granskning enligt Tillämplig Dataskyddslagstiftning inte kan fullgöras genom Personuppgiftsbiträdets tillhandahållande av information.
10.3 En granskning enligt punkt 10.1 förutsätter att Personuppgiftsansvarig, eller av Personuppgiftsansvarig utsedd revisor, har träffat nödvändiga sekretessåtaganden och följer Personuppgiftsbiträdets säkerhetsbestämmelser på platsen där inspektionen ska genomföras samt att inspektionen genomförs utan att den riskerar att hindra Personuppgiftsbiträdets verksamhet eller skyddet för andra kunders information. Information som samlas in som en del av granskningen ska raderas efter fullgjord inspektion eller när den inte längre behövs för ändamålet med granskningen.
- Avtalstid
11.1 Bestämmelserna i detta Biträdesavtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.
- Åtgärder när behandlingen av personuppgifter avslutats
12.1 När detta Biträdesavtal upphör ska Personuppgiftsbiträdet, beroende på vad den Personuppgiftsansvarige väljer, enligt den Personuppgiftsansvariges instruktion radera eller återlämna alla personuppgifter som behandlats enligt Biträdesavtalet inom trettio (30) dagar efter Avtalens upphörande, om inte lagring av personuppgifterna krävs enligt svensk eller europeisk lagstiftning. Personuppgiftsbiträdets ansvar enligt denna punkt 12.1 gäller endast sådant ansvar för radering och återföring av personuppgifter som följer av Tillämplig Dataskyddslagstiftning.
12.2 På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna efter behandlingens avslutande enligt punkt 12.1 ovan.
- Ersättning
13.1 Utöver vad som annars följer av Biträdesavtalet, ska Personuppgiftsbiträdet ha rätt till skälig ersättning för att följa Personuppgiftsansvarigs skriftliga instruktioner om den begärda åtgärden inte specifikt framgår av Avtalen i övrigt. Om Personuppgiftsbiträdet har rätt till ersättning för utfört arbete ska Personuppgiftsbiträdets vid var tid gällande prislista gälla för sådant arbete.
- Ansvar
14.1 Part som blir föremål för krav från registrerade ska inom skälig tid skriftligen underrätta den andra parten om framförda krav när det är sannolikt att krav mot andra parten kan komma att framställas och låta den andra parten få insyn i den registrerades och partens handlingar i sådant mål och låta den andra parten lämna synpunkter på detta.
14.2 Skadeståndskrav respektive regresskrav avseende skadestånd som utbetalats till registrerad enligt Tillämplig Dataskyddslagstiftning ska framställas av part senast inom 6 månader från det att skadan uppstod respektive då part utbetalat skadestånd till registrerad.
14.3 Utöver vad som anges i denna punkt 14 framgår begränsning av parts ansvar under Biträdesavtalet av de Allmänna villkoren.
- Ändringar och tillägg
15.1 Ändringar och tillägg till detta Biträdesavtal och/eller instruktionerna i Bilaga 1 till detta Biträdesavtal, inklusive denna punkt 15.1, ska för att vara bindande upprättas skriftligen och undertecknas av både Personuppgiftsbiträdet och Personuppgiftsansvarig.
- Tillämplig lag och tvistelösning
16.1 Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt, dock med undantag för sådana internationellt privaträttsliga bestämmelser som medför tillämpning av rätten i någon annan jurisdiktion.
16.2 Tvist angående tolkning eller tillämpning av detta Biträdesavtal ska lösas i enlighet med de Allmänna villkoren.
Bilaga 1 – Specifikation för personuppgiftsbehandling
Dessa instruktioner utgör en integrerad del av Biträdesavtalet och ska följas av Person- uppgiftsbiträdet vid behandlingen av personuppgifter för den Personuppgifts- ansvariges räkning. Genom godkännande av Biträdesavtalet bekräftar Personuppgiftsbiträdet att biträdet fått del av dessa instruktioner. Alla ändringar och tillägg till dessa instruktioner ska vara skriftliga för att gälla.
Typ av behandling
Personuppgiftsbiträdet får endast vidta de behandlingar som behövs för att utföra Produktavtalet och, om tillämpligt, Uppdragsavtalet. Personuppgiftsbiträdet kommer inom ramen för Uppdragsavtalet att bistå den Personuppgiftsansvarige med bokföringsuppdrag, bokslutsuppdrag, årsbokslut eller årsredovisningsuppdrag och liknande åtgärder som är nödvändiga för att fullgöra Uppdragsavtalet.
Ändamål för behandling
Ändamålen med behandlingen är t.ex. att Personuppgiftsbiträdet ska kunna tillhandahålla Produkten som är beskriven i Produktavtalet och, om tillämpligt, tillhandahålla Tjänsterna som är beskrivna i Uppdragsavtalet till den Personuppgiftsansvarige.
Kategorier av personuppgifter
Personuppgiftsbiträdet kommer att behandla de personuppgifter som den Personuppgiftsansvarige tillgängliggjort inom ramen för Produkten. Inom ramen för utförande av Tjänster enligt ett tecknat Uppdragsavtal kan Personuppgiftsbiträdet komma att behandla personuppgifter av följande slag:
- kontaktuppgifter som t.ex. namn, adress, telefonnummer och e-postadresser,
- uppgifter om anställning som t.ex. anställningsnummer, avdelningstillhörighet, befattning och anställningstid,
- uppgifter om hälsa och frånvaro, t.ex. läkarintyg och uppgifter om sjukfrånvaro, tjänstledighet eller föräldraledighet,
- uppgift om medlemskap i Svenska kyrkan (kyrkoskatt),
- personnummer/samordningsnummer,
- uppgifter om ekonomiska förhållanden som t.ex. bankkontouppgifter, uppgifter om lön och andra förmåner, försäkringsuppgifter, fordonsuppgifter,
- bankkontonummer, och
- löneuppgifter (lönelistor).
Kategorier av registrerade
De personuppgifter som Personuppgiftsbiträdet kommer att behandla rör följande kategorier av registrerade: t.ex. den Personuppgiftsansvariges anställda och konsulter samt kontaktuppgifter hänförliga till anställda och konsulter hos den Personuppgiftsansvariges kunder och leverantörer.
Mottagare av personuppgifter
Personuppgifterna kan komma att göras tillgängliga för följande mottagare som inte är Underbiträden, t.ex. Skatteverket (vid skatterevision), Bolagsverket (årsredovisning).
Gallring
Gallring sker i enlighet med vad som anges i Avtalen.
Tekniska och organisatoriska åtgärder
Följande tekniska och organisatoriska säkerhetsåtgärder ska vidtas vid behandling av personuppgifter: t.ex. åtkomstskydd, säkerhetskopiering, behörighetskontroll, loggning, kryptering.