Junglemap

 PERSONUPPGIFTSBITRÄDESAVTAL 
 

Mellan  

PERSONUPPGIFTSANSVARIG, ORG NUMMER, ADRESS (”Personuppgiftsansvarig”) 

och 

Junglemap AB, 559043-6720, Hammarbybacken 27, 120 30 Stockholm (”Junglemap”). 

Gemensamt benämndaParterna“, och var för sig ”Part”, har denna dag följande överenskommelse träffats.  
 

    1. 1. Definitioner 

      1. 1.1 Detta personuppgiftsbiträdesavtal (”PUBA”) tillämpas och tolkas efter och har motsvarande definitioner som återfinns i Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan ”GDPR”, jämte tillämpliga nationella regler och förordningar (gemensamt ”Dataskyddslagstiftning”). 

      2.  

      1. 2. Innehåll och syfte 


      2. 2.1 Personuppgiftsansvarig har genom ”Avtal om tjänster” mellan Personuppgiftsansvarig och Junglemap, med tillhörande bilagor och tillägg (”Huvudavtalet”), givit Junglemap i uppdrag att leverera en tjänst för digitalt lärande (”E-learning”) till Personuppgiftsansvarig. Junglemap kommer att såsom personuppgiftsbiträde i samband med detta behandla personuppgifter för Personuppgiftsansvarig räkning.  


      3. 2.2 Syftet med detta PUBA är att reglera parternas rättigheter och skyldigheter med anledning av den personuppgiftsbehandling som sker, för att på så vis säkerställa att personuppgifterna behandlas i enlighet med de bestämmelser som följer av GDPR och eventuell senare lagstiftning som ersätter eller kompletterar dessa. 

      4.  

      5. 2.3 För det fall Huvudavtalet och PUBA i någon del är motstridiga, och motstridigheten avser personuppgiftsbehandling, ska detta PUBA äga tillämpning före Huvudavtalet. 

 

 

    1.  3. Personuppgiftsbiträdets ansvar och instruktion 


    2. 3.1 Junglemap åtar sig att endast behandla personuppgifterna angivna i Bilaga 1 (hädanefter ”Personuppgifterna”) i enlighet med detta PUBA, Huvudavtalet och Personuppgiftsansvarigs skriftliga, och vid var tid gällande, instruktioner enligt Bilaga 1, samt endast i den utsträckning som är nödvändigt för att kunna fullgöra sina åtaganden enligt Huvudavtalet. Vid fall av motstridigheter ska den vid var tid gällande instruktionen i Bilaga 1 ha företräde framför PUBA och Huvudavtal. 


    3. 3.2       Junglemap åtar sig vidare att behandla Personuppgifterna enligt vid var tid gällande Dataskyddslagstiftning, inklusive praxis samt tillsynsmyndighetens föreskrifter, ställningstaganden och rekommendationer avseende personuppgiftsbehandling.  

    4.  

    5. 3.3 Junglemap ska i enlighet med vid var tid gällande Dataskyddslagstiftning föra ett register över alla kategorier av behandling av Personuppgifter som utförs för den Personuppgiftsansvariges räkning.   

    6.  

    7. 3.4 Junglemap ska tillse att samtliga anställda, konsulter och övriga som Junglemap svarar för och som behandlar Personuppgifterna är informerade om kraven enligt detta PUBA och om hur behandling av Personuppgifterna får ske. 

    8.  

    9. 3.5 Junglemap åtar sig att assistera Personuppgiftsansvarig genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Personuppgiftsansvarig kan fullgöra sin skyldighet gentemot de registrerade i enlighet med vid var tid gällande Dataskyddslagstiftning. För det fall Junglemap mottar en förfrågan från en registrerad skall Junglemap meddela Personuppgiftsansvarig härom och hänvisa sådan registrerad till Personuppgiftsansvarig. 

    10.  

    11. 3.6 Junglemap ska utan onödigt dröjsmål underrätta Personuppgiftsansvarig vid upptäckt av fullbordade fall av, eller försök till, oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till Personuppgifterna, eller vid andra former av liknande personuppgiftsincidenter. Underrättelsen ska åtminstone: 

    12.  

    13. 3.6.1 Beskriva incidentens art, inbegripet de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs. 

    14.  

    15. 3.6.2 Innehålla namnet på och kontaktuppgifterna till Junglemaps dataskyddsombud eller andra kontaktuppgifter där mer information om incidenten kan erhållas. 

    16.  

    17. 3.6.3 Beskriva de sannolika konsekvenserna av incidenten. 

    18.  

    19. 3.6.4 Beskriva de åtgärder som Junglemap har vidtagit eller föreslår för att åtgärda incidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter. 

    20.  

    21. 3.7 Om Junglemap inte har möjlighet att tillhandahålla Personuppgiftsansvarig all den information som anges i punkt 3.6 samtidigt, ska informationen tillhandahållas i omgångar utan ytterligare onödigt dröjsmål, vilket även gäller för det fall Personuppgiftsansvarig begär kompletterande information från Junglemap. 

    22.  

    23. 3.8 Junglemap åtar sig att bistå Personuppgiftsansvarig enligt vid var tid gällande Dataskyddslagstiftning, inklusive tillsynsmyndighets rekommendationer, för det fall Personuppgiftsansvarig genomför en konsekvensbedömning av den planerade behandlingens konsekvenser för skyddet av Personuppgifterna. 

    24.  

    25. 3.9 Junglemaps skyldigheter enligt p. 3.6 - 3.8 ovan ska fullgöras med beaktande av typen av behandling som äger rum och den information som Junglemap har att tillgå.  

    26.  

    27. 3.10 Junglemap ska efter Huvudavtalets upphörande tillse att Personuppgifter raderas eller återlämnas i enlighet med Personuppgiftsansvarigs skriftliga instruktioner, såvida inte lagring av Personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt.  

    1. 4. Sekretess 

    1. 4.1 Vardera parten förbinder sig att inte utan den andra partens medgivande till tredje man utlämna eller avslöja Personuppgifter samt uppgifter om den andra partens verksamhet som rimligen är att betrakta som affärs- eller yrkeshemlighet. Som affärs- eller yrkeshemlighet ska alltid betraktas information som parten angivit är konfidentiell. Sekretesskyldighet gäller inte sådan information som part kan visa blivit känd för honom på annat sätt än genom uppdraget eller som är allmänt känd. Sekretesskyldighet gäller ej heller när part är skyldig enligt lag att lämna ut uppgifter.  

    1. 4.2 Part ska genom sekretessförbindelse med personal eller andra lämpliga åtgärder tillse att sekretess enligt ovan iakttas. Part ansvarar även för att anlitad underleverantör samt dess eller egna anställda som berörs av uppdraget undertecknar en sekretessförbindelse av motsvarande innehåll till förmån för den andra parten, samt endast tar del av sådan information i den mån det är nödvändigt för utförandet av uppdraget. 

    1. 4.3 Oaktat ovanstående ska Huvudavtalets reglering avseende sekretess gälla i den utsträckning det innehåller mer långtgående sekretessförbindelser för endera parten jämfört med PUBA:t. 

    1. 5. Säkerhet 

    1. 5.1 Junglemap ska minst uppfylla de säkerhetsåtgärder som framgår av Bilaga 2. Oaktat dessa ska Junglemap vidta sådana tekniska och organisatoriska säkerhetsåtgärder som krävs för att skydda Personuppgifterna i enlighet med vid var tid gällande regelverk, för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt: 

    1. 5.1.1 Pseudonymisering och kryptering av Personuppgifter. 

    1. 5.1.2 Förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och tjänsterna.  

    1. 5.1.3 Förmågan att återställa tillgängligheten och tillgången till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident.  

    1. 5.1.4 Ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.  

    1. 5.2 Vid bedömningen av en lämplig säkerhetsnivå enligt punkt 5.1 ska särskild hänsyn tas till de risker som behandling medför, i synnerhet avseende oavsiktlig eller olaglig förstöring, förlust eller ändring, obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt behandlats. 

    1. 5.3 Junglemap ska vidare, med beaktande av typen av behandling och den information som finns att tillgå, i skälig utsträckning bistå den Personuppgiftsansvarige för att möjliggöra den senares efterlevnad av artikel 32 GDPR 

    1. 5.4 Junglemap ska på begäran ge Personuppgiftsansvarig tillgång till all information som krävs för att visa att de skyldigheter som åligger Junglemap enligt PUBA har fullgjorts avseende de Personuppgifter som behandlas i enlighet med Huvudavtalet (”Informationsbegäran”). En Informationsbegäran ska göras skriftligen av Personuppgiftsansvarige, och Junglemap ska ges skälig tid att besvara sådan begäran. Junglemap ska vidare möjliggöra och bidra till de granskningar, inbegripet inspektioner, som Personuppgiftsansvarig eller av den Personuppgiftsansvarige utsedd revisor har rätt att göra enligt vid var tid gällande Dataskyddslagstiftning, dock endast avseende den Personuppgiftsansvariges Personuppgifter som behandlas av Junglemap under PUBA (”Granskning”).  

      1. 5.5 Personuppgiftsansvarig är berättigad till att göra en (1) Informationsbegäran eller en (1) Granskning per kalenderår. För de fall Personuppgiftsansvarig önskar genomföra ytterligare Informationsbegäran eller Granskning, är Junglemap berättigad till att erhålla skälig ersättning för de merkostnader som Junglemap ådrar sig till följd av sådan ytterligare Informationsbegäran eller Granskning. Ovannämnda rätt till ersättning ska inte gälla för de fall ytterligare Informationsbegäran eller Granskning begärs på grund av att en allvarlig personuppgifts- eller säkerhetsincident har inträffat hos Junglemap som berör Personuppgifterna 

      1. 5.6 Junglemap ska följa eventuella av tillsynsmyndighet fattade beslut vad avser Personuppgifterna samt tekniska och organisatoriska åtgärder för att skydda dem. 

      1. 6. Ersättning för skada 

      1. 6.1 Junglemap ska hålla Personuppgiftsansvarig skadeslös i händelse av att Personuppgiftsansvarig åsamkas skada som är hänförlig till Junglemaps behandling av Personuppgifter i strid med PUBA:t, gällande Dataskyddslagstiftning eller i strid med skriftlig instruktion från Personuppgiftsansvarig. 

      1. 6.2 Junglemap ska omedelbart informera Personuppgiftsansvarig om Junglemap anser att en instruktion strider mot tillämplig Dataskyddslagstiftning, och har i så fall rätt att inte vidta åtgärder i enlighet med instruktionen till dess Personuppgiftsansvarig genom behörig person skriftligen meddelar att instruktionen i befintlig eller omarbetad version ska följas. Om Junglemap alltjämt är av uppfattningen att instruktionen strider mot Dataskyddslagstiftning, ska Junglemap ha rätt att säga upp Huvudavtalet omedelbart utan något ersättningsansvar eller någon skadeståndsskyldighet i förhållande till Personuppgiftsansvarig. 

      1. 6.3 Den Personuppgiftsansvarige ska hålla Junglemap skadeslös från varje krav som riktas mot Junglemap och som grundas på, eller går att hänföra till, den Personuppgiftsansvariges överträdelse av PUBA:t, Dataskyddslagstiftning och/eller dess instruktioner. Junglemap är inte i något fall ersättningsskyldig om Personuppgiftsansvarig orsakats skada på grund av att Junglemap har agerat i enlighet med dennes instruktion.  

      2.  

    1. 7. Underbiträde 

    1. 7.1 Junglemap äger rätt att anlita underbiträden för att utföra hela eller delar av behandlingen av Personuppgifter. Om Junglemap anlitar ytterligare underbiträden ska Junglemap informera den Personuppgiftsansvarige om detta via de kontaktuppgifter som framgår av avtalsingressen, senast tre månader innan förändringen sker. Om Personuppgiftsansvarige inte accepterar det nya underbiträdet har Personuppgiftsansvarige rätt att säga upp Huvudavtalet med en (1) månads varsel. 

    1. 7.2 Junglemap ska säkerställa att samtliga underbiträden åläggs motsvarande skyldigheter och åtaganden avseende Personuppgifterna som de som åligger Junglemap enligt detta PUBA. Junglemap är fullt ansvarig gentemot Personuppgiftsansvarig om underbiträdet inte fullgör sina skyldigheter i fråga om behandlingen av Personuppgifterna. I bilaga 3 listas de underbiträden som Junglemap har.

    1. 8. Tredjelandsöverföring 

    1. 8.1 Junglemap ska inte använda underleverantörer utanför EU / EES (”Tredje land”) eller annars överföra Personuppgifter till mottagare i Tredje land, utan Personuppgiftsansvarigs föregående skriftliga medgivande. Om Junglemap, efter Personuppgiftsansvarigs medgivande, använder underleverantörer utanför EU / EES för behandling av Personuppgifter eller annars avser överföra Personuppgifter till mottagare i Tredje land, får sådan överföring av Personuppgifter endast ske under förutsättning att:  

  1. a) ett beslut om adekvat skyddsnivå i enlighet med artikel 45 GDPR föreligger avseende det Tredje land till vilket Personuppgifterna kommer överföras 

  1.  

  2. b) Junglemap har ingått ett avtal med underleverantören eller mottagaren som innehåller EU:s standardavtalsklausuler för överföring av personuppgifter till Tredje land (inklusive, när nödvändigt, sådana ytterligare säkerhetsåtgärder som krävs för att tillförsäkra en i allt väsentligt likvärdig skyddsnivå för Personuppgifterna i det Tredje landet som inom EU / EES), i enlighet med artikel 46.2 (c) GDPR; eller 

  1.  

  2. c) Junglemap och underleverantören eller mottagaren har ingått bindande företagsbestämmelser i enlighet med artikel 47.  

 

Junglemap åtar sig att alltid tillhandahålla Personuppgiftsansvarig med information om vilken av omständigheterna i a) – c) ovan som Junglemap förlitar sig på avseende en viss överföring till Tredje land.  

      1. 8.2 Om Personuppgiftsansvarig godkänner att en sådan överföring får ske, ska Junglemap och Personuppgiftsansvarig samarbeta med varandra för att säkerställa att överföringarna sker i enlighet med gällande Dataskyddslagstiftning, särskilt vad avser behovet av att vidta ytterligare säkerhetsåtgärder i enlighet med punkt 8.1 b) ovan.  

      1. För de fall Junglemap förlitar sig på punkt 8.1 b) ovan, ska Junglemap på Personuppgiftsansvarigs begäran utan onödigt dröjsmål skicka Personuppgiftsansvarig en kopia av det avtal som ingåtts med underleverantören eller mottagaren. 

      1. 9. Den Personuppgiftsansvariges skyldigheter 

      1. 9.1 Den Personuppgiftsansvarige bekräftar att denne har; 

      1. 9.1.1 Rättslig grund för behandlingen av Personuppgifterna i enlighet med artikel 6 GDPR. 

      1. 9.1.2 Rättslig grund till, och ensamt ansvar för lagligheten av, överföringen av Personuppgifter till Junglemap, och Junglemaps behandling av dessa i enlighet med Huvudavtalet, detta PUBA och vid var tid gällande skriftliga instruktioner. 

      1. 9.1.3 Ansvaret för riktigheten, integriteten, innehållet, tillförlitligheten och lagligheten av Personuppgifterna. 

      1. 9.1.4 Lämnat erforderlig information, i enlighet med artikel 12 – 14 GDPR, till den/de registrerade avseende överföringen och behandlingen av Personuppgifterna enligt detta PUBA. 

      1. 9.2 Den Personuppgiftsansvarige är ensamt ansvarig för att anmäla personuppgiftsincidenter till tillsynsmyndigheten. 

      1. 10. Ändringar 

      1. 10.1 Junglemap kan komma ändra detta PUBA på grund av lagändringar eller säkerhetsfrågor. Junglemap ska meddela sådan ändring per e-post samt från vilken dag ändringen gäller. Ändringen anses accepterad av den Personuppgiftsansvarige om inte denne skriftligen begär förhandling om ändringen inom 14 dagar från erhållande av Junglemaps varsel om ändring. 

      1. 11. Tvist 

      1. 11.1 Svensk lag skall tillämpas på detta PUBA. Tvist i anledning av detta PUBA skall avgöras av svensk allmän domstol. 

      1. 12. Avtalets giltighet 

      1. 12.1 PUBA:t gäller så länge som Huvudavtalet gäller och till dess behandlingen av Personuppgifter med anledning av Huvudavtalet upphör. Detta PUBA anses således uppsagt till samma tidpunkt som gäller för Huvudavtalet för det fall Huvudavtalet sägs upp. 


 

Detta personuppgiftsbiträdesavtal har upprättats i två likalydande exemplar varav Parterna har tagit varsitt.  

 

 

Bilaga 1 - Instruktioner till Junglemap  

Denna bilaga utgör del av Personuppgiftsansvarigs instruktioner till Junglemap enligt PUBA och är därmed en del av PUBA 

 

  1. 1. Behandling av Personuppgifter  

  1.  

  2. 1.1 Ändamål med behandlingen av Personuppgifterna  

Tillhandahålla tjänst för digital utbildning (e-Learning) till Personuppgiftsansvariges medarbetare.  

 

Personuppgiftsansvarig kan i vissa fall självständigt använda plattformen och genom denna samla in personuppgifter på sätt som Junglemap inte kan påverka, och behandling av personuppgifter i sådana fall omfattas följaktligen inte av detta PUBA. 

 

  1. 1.2 Kategorier av registrerade respektive personuppgifter  

  1.  

  2. 1.2.1 Kategorier av registrerade  

i. Anställd  

ii. Konsult  

iii. Annan individ som Personuppgiftsansvarig bereder tillgång till Junglemaps plattform 

 

  1. 1.2.2 Kategorier av personuppgifter 

i. e-postadress (obligatoriskt) 

ii. avdelning (frivilligt)  

iii. chef (frivilligt) 

iv. resultat från kunskapstest och kursutvärderingar 

v.  sådan information som efterfrågas av Personuppgiftsansvarig i den mån Personuppgiftsansvarig nyttjar plattformen. 

 

  1. 1.2.3 Särskilda kategorier av personuppgifter  

  2.  

i. Nej 

 

Personuppgiftsansvarig får endast använda plattformen på sådant sätt att känsliga personuppgifter enligt GDPR art 9 icke behandlas av Junglemap. Om Personuppgiftsansvarig vill använda plattformen på ett annat sätt, innebärandes att känsliga personuppgifter kan komma att behandlas av Junglemap, förutsätter det en föregående separat överenskommelse mellan Parterna. 

 

  1. 1.3 Behandlingens varaktighet, typ och art  

  2.  

Behandlingen varar så länge huvudavtalet gäller (till en början 12 månader med möjlighet till förlängning). Efter Huvudavtalets upphörande skall alla personuppgifter raderas om inte Personuppgiftsansvarig meddelar annat i enlighet med punkt 3.10 ovan. 

Personuppgifter kan komma att behandlas av Junglemap om det krävs för att tillhandahålla tjänsterna enligt Huvudavtalet 

 

Detta kan, från tid till annan, inkludera: 

  1. 1) Stödja Personuppgiftsansvarige i uppsättning och distribution av kurser till Personuppgiftsansvariges medarbetare. 

  1. 2) Stödja Personuppgiftsansvarige i att ta fram rapporter och statistik för uppföljning och effektmätning. 

  1. 3) Behandla supportärenden, samtal och andra supportförfrågningar från den Personuppgiftsansvarige. 

  1. 4) Lagring av personuppgifter under Huvudavtalets löptid, om inget annat stadgas därom. 

  1. 5) Överföring av personuppgifter till Personuppgiftsansvarig, såsom loggar eller resultat (i identifierbar eller icke direkt identifierbar form). 

 

  1. 1.4 Geografisk placering av behandlingar samt underbiträden  

Alla behandlingar av personuppgifter skall göras inom EU/EES, om inte annat överenskommits i enlighet med punkt 8 i PUBA. 

  

Bilaga 2 - Säkerhetsinstruktioner  

  1. 2. Säkerhetsinstruktioner till Junglemap 

Denna bilaga utgör del av Personuppgiftsansvarigs säkerhetsinstruktioner till Junglemap enligt PUBA:t och därmed en del av PUBA:t.  

Alla personuppgifter som Personuppgiftsansvarige tillhandahåller Junglemap ska hanteras som konfidentiella, vilket innebär:  

- All tillgång och åtkomst till Personuppgifterna är på en need-to-know basis och Junglemap ska se till att endast de personer som absolut behöver ska kunna se Personuppgifterna.  

 

  1. 2.1 Behörighetskontroll 

Ett tekniskt system för behörighetskontroll ska styra åtkomsten till personuppgifterna för Junglemap. Behörigheten ska begränsas till dem som behöver uppgifterna för sitt arbete och denna krets ska inte vara större än vad som krävs för fullgörandet av Huvudavtalet. Det ska finnas rutiner för tilldelning och borttagning av behörigheter. 

 

Personuppgiftsansvarig kan, om så önskas, anonymisera uppgifter, samt helt eller delvis begränsa Junglemaps tillgång till uppgifterna.   

 

  1. 2.2 Tillträdeskontroll

För att säkerställa att enbart behörig personal får tillträde till utrymmen där det finns IT-utrustning ska det finnas rutiner för tillträdeskontroll. 

 

  1. 2.3 Överföring och kommunikation 

Personuppgifter då de överförs via öppna nät ska skyddas mot förstöring, ändring och förvanskning. Vidare ska personuppgifterna skyddas mot obehörig åtkomst och anslutningar ska skyddas mot obehörig trafik. Skyddet ska anpassas till hur känsliga uppgifterna är. Personuppgifterna ska vara krypterade såväl under överföring som lagring om så överenskommits.  

 

  1. 2.4 Loggning  

Åtkomst till personuppgifterna ska kunna följas upp i efterhand genom en logg eller liknande underlag. Junglemap ska upprätthålla loggning av system-, program-, databas- och nätverksnivå som gör det möjligt att identifiera och registrera säkerhetshändelser (t.ex. misslyckade inloggningsförsök, icke auktoriserad radering eller kopiering av uppgifter) och säkerställa integriteten av sådana loggar. Underlaget ska kunna kontrolleras av Junglemap och återrapporteras till den Personuppgiftsansvarige.  

 

  1. 2.5 Skydd mot elak kod/malware 

Datasystem ska vara skyddad mot skadegörande programvara såsom virus, maskar och trojaner. 

 

  1. 2.6 Utplåning 

När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre ska användas för sitt ändamål ska personuppgifterna raderas på sådant sätt att de inte kan återskapas.  

 

Bilaga 3 till PUBA- Underbiträde 

 
 

Lista över underbiträde/ underleverantörer 

 

 

Microsoft Corp (Windows Azure) för drift av tjänsten.   

 

Microsoft Ireland Operations Ltd, VAT Reg. No. IE 8256796 U, Atrium Building Block B, Carmenhall Road, Sandyford Industrial Estate, Dublin 18, Ireland.  

 

 
Microsoft Corp har sitt datacenter i Nederländerna (”Data Center West”).