Personuppgifts­biträdesavtal

1. Parter och tillämpning

Detta personuppgiftsbiträdesavtal ("PUBA") utgör en bilaga till och en integrerad del av det avtal som reglerar Kundens användning av Talentwises tjänster ("Huvudavtalet"). PUBA gäller endast för den behandling av personuppgifter där Talentwise agerar som personuppgiftsbiträde enligt dataskyddsförordningen (EU) 2016/679 ("GDPR").

Personuppgiftsansvarig ("Kunden") avser den juridiska person som ingått Huvudavtalet. Personuppgiftsbiträde ("Talentwise") avser Talentwise AB, org.nr 556956-0351.

Behandling som sker inom ramen för Talentwises utgivningsbevis enligt Yttrandefrihetsgrundlagen (YGL) omfattas inte av GDPR och regleras därför inte av detta PUBA.

2. Behandlingens art, ändamål och omfattning

2.1. Talentwise behandlar personuppgifter för att tillhandahålla de tjänster som Kunden har beställt enligt Huvudavtalet och respektive Tjänsteavtal.

2.2. Behandlingen kan omfatta lagring, strukturering, åtkomstkontroll, tekniskt tillhandahållande, support och andra nödvändiga driftaktiviteter.

2.3. Kategorier av personuppgifter och registrerade framgår av respektive Tjänsteavtal eller av Kundens instruktioner.

2.4. Behandlingen sker under avtalstiden samt under gallringsperioder som framgår av Tjänsteavtal eller Kundens instruktioner.

2.5. Detaljerade instruktioner för behandling enligt respektive tjänst framgår av Bilaga 2.1 till detta PUBA.

3. Biträdets skyldigheter

3.1. Talentwise ska endast behandla personuppgifter enligt detta PUBA, Huvudavtalet och Kundens dokumenterade instruktioner.

3.2. Talentwise ska säkerställa att endast behörig personal har tillgång till personuppgifter och att denna personal omfattas av sekretess genom anställningsavtal, instruktioner eller annat bindande sekretessåtagande.

3.3. Talentwise och dess personal får inte obehörigen röja eller använda personuppgifter som behandlas enligt detta PUBA. Undantag gäller när utlämnande krävs enligt lag eller myndighetsbeslut.

3.4. Talentwise ska, i den mån det är möjligt, bistå Kunden med information som krävs för att uppfylla dennes skyldigheter enligt artiklarna 32-36 i GDPR, visa efterlevnad av detta avtal samt möjliggöra och bidra till nödvändiga revisioner.

3.5. Talentwise ska utan onödigt dröjsmål rätta, radera eller blockera personuppgifter på Kundens begäran eller enligt dennes instruktioner, i den mån detta är förenligt med gällande lagstiftning och tekniska begränsningar. Efter avslutad behandling ska radering samt eventuell återlämning ske enligt punkt 9.

3.6. Talentwise ska utan onödigt dröjsmål, dock senast inom fyrtioåtta (48) timmar efter att ha fått kännedom om en personuppgiftsincident eller försök till obehörig åtkomst, underrätta Kunden i enlighet med artikel 33 GDPR. Underrättelsen ska innehålla de uppgifter som krävs för att Kunden ska kunna uppfylla sina skyldigheter enligt GDPR, inklusive en beskrivning av incidentens art, sannolika konsekvenser samt vidtagna eller planerade åtgärder för att hantera incidenten.

4. Underbiträden och externa leverantörer

4.1. Kunden lämnar härmed ett allmänt skriftligt tillstånd att Talentwise får anlita underbiträden för att uppfylla sina skyldigheter enligt PUBA.

4.2. Varje underbiträde ska genom skriftligt avtal åläggas samma skyldigheter som gäller för Talentwise enligt detta PUBA när underbiträdet behandlar personuppgifter som personuppgiftsbiträde.

4.3. Lista över vid var tid gällande underbiträden finns på www.refapp.se/dataskydd. Listan med aktuella underbiträden vid Huvudavtalets ingående återfinns i Bilaga 2.2.

4.4. Talentwise ska informera Kunden skriftligen minst trettio (30) dagar innan ett nytt underbiträde anlitas eller ett befintligt underbiträde ersätts. Kunden har rätt att invända mot förändringen om det finns objektivt rimliga skäl kopplade till dataskydd eller informationssäkerhet. Om Parterna inte kan enas om lämpliga åtgärder ska Kunden ha rätt att säga upp Huvudavtalet innan ändringen träder i kraft, med beaktande av reglerna för förskottsbetalda perioder enligt Huvudavtalet.

4.5. På Kundens begäran ska Talentwise tillhandahålla information om underbiträdens identitet, plats för behandling och beskrivning av tjänstens art, i den mån detta kan ske utan att röja affärskänslig information.

5. Plats för behandling och överföring till tredje land

5.1. Personuppgifter behandlas inom den driftsmiljö Kunden valt i Tjänsteavtalet.

5.2. Talentwise får endast överföra personuppgifter utanför EU/EES i den utsträckning det sker i enlighet med kapitel V i GDPR och Kundens instruktioner.

5.3. Kunden godkänner att Talentwise får använda underbiträden i tredje land förutsatt att lämpliga skyddsåtgärder enligt artikel 46 GDPR har vidtagits.

6. Kundens ansvar

6.1. Kunden ansvarar för att:

• (i) det finns rättslig grund för all behandling,
• (ii) registrerade informeras enligt artiklarna 13-14 GDPR,
• (iii) instruktioner till Talentwise är lagliga, tydliga och aktuella,
• (iv) Kundens egen behandling och lagring är GDPR-förenlig,
• (v) Kunden inte instruerar Talentwise att vidta olaglig behandling.

7. Registrerades rättigheter

7.1. Talentwise ska bistå Kunden vid hantering av begäranden från registrerade genom att:

• (i) tillhandahålla relevant information,
• (ii) på begäran utföra åtgärder som ligger inom Talentwises kontroll,
• (iii) bistå Kunden i övrigt i den utsträckning GDPR kräver.

7.2. Kunden är ansvarig för kommunikationen med registrerade och beslutar om åtgärder ska vidtas. Talentwise svarar inte direkt till registrerade, om inte Kunden uttryckligen instruerar detta.

8. Säkerhet

8.1. Talentwise tillämpar lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med artikel 32 i GDPR För att skydda personuppgifter mot obehörig åtkomst, förlust, ändring eller otillåten spridning.

Säkerhetsåtgärderna inkluderar bland annat:

• Kryptering: all identifierande information lagras krypterad med modern krypteringsteknik (t.ex. AES-baserad kryptering) och kommunikation skyddas med TLS.
• Åtkomstkontroll: roll-och behörighetsstyrning, MFA För administratörsåtkomst och loggning av åtkomsthändelser.
• Loggning: systemloggar och säkerhetsloggar förs och övervakas för att upptäcka avvikande beteende.
• Backup och återställning: säkerhetskopior utförs regelbundet och sparas under begränsad tid för återställning vid incident.
• Redundans: driftmiljön använder redundanta komponenter (inklusive nätverk, ström och kylning) för att säkerställa hög tillgänglighet.
• Incidenthantering: etablerade processer finns för att upptäcka, hantera och rapportera säkerhetsincidenter.
• Utbildning: personal får regelbundna utbildningar i informationssäkerhet i och dataskydd.
• Datamigreringar: vid behov kan Talentwise skapa tillfälliga krypterade kopior av produktionsdata vid databasmigreringar. Sådana kopior sparas endast under den tid som krävs för migreringen (max 30 dagar) och raderas därefter.

9. Revision

9.1. Kunden får genom oberoende revisor och efter minst 30 dagars förhandsavisering genomföra revision av Talentwises efterlevnad av detta PUBA. Revision får ske en gång per kalenderår, eller vid motiverad misstanke om bristande efterlevnad.

9.2. Revisionen ska ske under normal arbetstid, inte störa Talentwises verksamhet, inte avslöja andra kunders data eller affärshemligheter, begränsas till de system och processer som omfattas av detta PUBA.

9.3. Talentwise får tillhandahålla tredjepartsrapporter (t.ex. ISAE, SOC, ISO) som alternativ till revision.

10. Gallring och lagring

10.1. Talentwise ska radera eller, när det är lämpligt och möjligt, anonymisera personuppgifter i enlighet med detta PUBA och tillhörande bilagor. Detaljerade lagrings- och gallringsprinciper framgår av respektive Tjänsteavtal och Bilaga 2.1 till detta PUBA.

10.2. Radering eller anonymisering ska ske utan onödigt dröjsmål efter att lagringsperioden löpt ut, om inte lag eller myndighetsbeslut kräver längre bevarande.

11. Varaktighet och upphörande

11.1. Detta PUBA gäller så länge Talentwise behandlar personuppgifter för Kundens räkning enligt GDPR och utgör en integrerad del av Huvudavtalet. PUBA kan inte sägas upp separat utan följer Huvudavtalets giltighetstid. Vid uppsägning eller upphörande av Huvudavtalet ska behandlingen avslutas i enlighet med detta PUBA, utöver det som krävs för säkerhetskopior och loggar enligt ordinarie gallringsrutiner.

11.2. Kunden har rätt att säga upp PUBA med omedelbar verkan om Talentwise gör sig skyldig till ett väsentligt brott mot detta avtal och inte vidtar rättelse inom trettio (30) dagar efter skriftlig begäran.

11.3. Om Kunden inte accepterar ändringar av detta PUBA eller av underbiträden enligt punkt 4 har Kunden rätt att säga upp Huvudavtalet innan ändringen träder i kraft, med beaktande av reglerna för förskottsbetalda perioder enligt Huvudavtalet.

11.4. När behandlingen avslutas ska Talentwise, efter Kundens val, radera eller återlämna samtliga personuppgifter, om inte lag eller myndighetsbeslut kräver fortsatt lagring.

12. Tillämplig lag och tvist

12.1. Vid motstridigheter mellan detta PUBA och de Allmänna Villkoren ska detta PUBA ha företräde i frågor som rör personuppgiftsbehandling.

12.2. Bestämmelser om tillämplig lag och tvistelösning följer Huvudavtalet.

Versionshistorik

Version	Datum	Ändring / Kommentar
2025.02	2025-11-01	Ny struktur för att anpassas till att Talentwise tillhandahåller flera tjänster, anpassning till Bakgrundskontroll och diverse andra förtydliganden (bl.a. gällande hantering av personuppgifter).