JobMatch Center – Personuppgiftsbiträdesavtal
Avtal mellan personuppgiftsansvarig och personuppgiftsbiträde
Introduktion
Här följer en sammanfattande introduktion till vad detta avtal innebär. Sammanfattningen ersätter inte avtalet.
Personuppgiftsbiträdesavtalet är mellan dig som kund, och oss, i relation till hantering av personuppgifter i enlighet med GDPR i vårt online testsystem JobMatch Center.
Avtalet reglerar de rättigheter och skyldigheter båda parter har för att uppfylla kraven i gällande Dataskyddsförordning EU 2016/679 (GDPR).
Avtalet specificerar vilka personuppgifter som registreras och behandlas i vårt online testsystem JobMatch Center.
Du som kund ansvarar för att uppgifter som registreras i JobMatch Centret administreras i enlighet med gällande riktlinjer. Detta innebär bland annat att information endast får sparas så länge den har relevans och att era testtagare har rätt att få information borttagen.
Vi som leverantör ansvarar för den tekniska säkerheten, så som säker inloggning, kryptering, backup och att personuppgifterna lagras enligt GDPR:s förskrifter.
Som er leverantör skall vi också se till att ni har bra funktioner för att pseudonymisera, anonymisera och radera information i JobMatch Center.
I tillfälle av en säkerhetsincident är det vår skyldighet att inom 24 timmar underrätta dig som kund om incidenten.
Detta avtal regleras av och tolkas i enlighet med svensk lag.
JobMatch Sweden AB
1.0 Parter
1.1 Personuppgiftsansvarig (PuA):
Personuppgiftsansvarig är den juridiska person som har ingått en kundrelation med JobMatch Sweden AB om användning av online-tjänsten JobMatch Center, JMC (www.jobmatchcenter.com).
1.2 Användare
De personer som är utsedda av PuA att lägga in och administrera Personuppgifter i online-tjänsten JobMatch Center (JMC) och som på förhand godkänt Användarvillkoren för JMC.
1.3 Testtagare
Testtagare definieras som de personer som lägger in personlig information om sig själva i JMC. Detta kan vara i form av namn kön, ålder, e-postadress, personnummer, adress, CV data samt testsvar.
1.4 Personuppgiftsbiträde (PuB): JobMatch Sweden AB, org.nr 556781-8330, Box 14001, 400 20 Göteborg. JobMatch Sweden är Personuppgiftbiträde genom att vi tillhandahåller ett online testsystem för våra kunder där personliga uppgifter kan registreras.
Parterna är eniga om att detta avtal är gällande när PuA ingår en kundrelation med JobMatch Sweden AB. Avtalet skickas i form av e-post när en kundrelation ingås. Avtalet finns också i kundens JMC.
Användare godkänner Användarvillkor när de första gången loggar in i JMC: www.jobmatchcenter.com.
2.0 Bakgrund
Syftet med detta avtal är att reglera parters rättigheter och skyldigheter i relation till registrering och behandling av Personuppgifter och annan information, för att på så vis säkerställa att Personuppgifterna behandlas i enlighet med de bestämmelser som följer av gällande Dataskyddsförordning EU 2016/679 (GDPR).
a) Genom att etablera en kundrelation har kunden (PuA) och JobMatch Sweden AB (PuB) ingått ett avtal under vilket JobMatch Sweden AB, tillhandahåller ett online administrationssystem av psykometriska testverktyg, JMC, genom www.jobmatchcenter.com.
b) Det är PuAs användare och PuA, som ansvarar för informationen som läggs in i JMC och att denna information administreras korrekt i förhållande till GDPR:s riktlinjer. Användarvillkor godkänns online första gången Användaren loggar in i JMC.
c) När Testtagare loggar in för att besvara ett test, tar de samtidigt del av Information om behandling av personuppgifter. Testtagare måste bekräfta att de tagit del av informationen innan registrering påbörjas.
d) JobMatch Sweden garanterar att följa de tekniska och organisatoriska riktlinjer som krävs för att uppfylla GDPR:s regelverk för PuAs räkning.
3.0 Definitioner
Begreppen ”Personuppgiftsansvarig”, ”Personuppgiftsbiträde”, ”Personuppgift”, ”Behandling” ska ha samma betydelse som i Dataskyddsförordningen Artikel 4 EU 2016/679 (”GDPR”).
I detta avtal avses med begreppet ”Gällande Dataskyddslagstiftning” vid var tid gällande lagstiftning på området, dvs. Artikel 4 EU 2016/679 (GDPR), samt eventuell senare lagstiftning som ersätter eller kompletterar denna.
a) ”Personuppgiftsansvarig”: Den som ensam eller tillsammans med andra lägger in Personuppgifter i JMC.
b) ”Personuppgiftsbiträde”: Avser den som behandlar personuppgifter för den Personuppgiftsansvariges räkning. I detta fall JobMatch Sweden AB genom administrationsverktyget JMC.
c) ”Behandling av Personuppgifter”: Avser behandling av Testtagares kontaktuppgifter, testsvar för beräkning av testresultat, matchning mot profil och generering av rapporter både i skriftlig och grafisk framställning.
d) ”Personuppgifter”: Avser all slags information som direkt eller indirekt kan hänföras till en fysisk person. I JobMatch Center kan e-post, mobilnummer, namn, ålder samt kön registreras, och för screeningändamål namn, personnummer, kontaktinformation, meddelanden och CV-information. All information läggs in av PuA eller testtagare.
4.0 Uppdraget
JobMatch Sweden AB (PuB) arbetar på uppdrag av kunden (PuA). Uppdraget går ut på att tillhandahålla ett online administrationssystem för administrering och testning av Testtagare. Detta inkluderar jobbkandidater, medarbetare och andra personer där psykometrisk testning är relevant.
Uppdraget inkluderar behandling av testsvar och generering av olika typer av rapporter (testresultat), samt registrering av Personuppgifter, såsom e-post, mobilnummer, namn/pseudonym, kön, ålder, samt i fall av screeningtest eventuellt personnummer, kontaktinformation och CV-information.
JobMatch Sweden har också som uppdrag att säkerställa att systemet och behandlingen av informationen följer gällande GDPR:s regelverk.
JobMatch Sweden AB kan komma att använda Testtagares testsvar i anonymiserad form till sammanställning av statistik och för olika forskningsändamål. Inga uppgifter kan här kopplas till fysisk person.
5.0 Behandling av Personuppgifter
5.1 JobMatch Sweden AB (PuB) äger endast rätt att behandla de av PuA lämnade Personuppgifter samt de av PuAs Testtagare lämnade Personuppgifter utifrån i detta avtal beskrivet uppdrag. Dessa Personuppgifter sparas och behandlas i JMC.
I JMC finns funktioner där Användaren, alternativt utsedd Ansvarig JMC-administratör själv kan definiera regler för anonymisering och radering av testresultat och Personuppgifter. JMC-administratörer kan också välja tidsinställning för automatisk anonymisering, som längst 24 månader.
Om JMC-administratören inte själv definierar regler för anonymisering/radering, kommer JMC automatiskt, varje månad, att påminna när testresultat funnits i systemet i 24 månader och uppmana till anonymisering eller radering.
Det åligger PuA att radera samtliga testresultat som inte längre är relevanta att spara.
Uppgifter som registreras i JobMatch Center är:
Den till närsomhelst tid lämnade information av PuA och eller PuAs Testtagare i JMC.
Dessa uppgifter inkluderar för JobMatch Talent och JobMatch LogiQ:
Testtagares förnamn och efternamn, alternativt av PuA angiven pseudonym, kön, ålder, datum för testningen samt testsvar och testresultat. Testtagares e-postadress pseudonymiseras (som exempel j**@jo**.com) gentemot Användaren samtidigt som testtagaren skickar in sina svar till JMC, men finns kvar i krypterad form i systemet. Testsvaren registreras online, men PuA/Användare har inte tillgång till testsvaren.
För JobMatch Screen gäller:
De registrerade uppgifterna kan inkludera (valbara alternativ) Testtagares fullständiga namn, e-postadress, personnummer, kontaktinformation, CV-information, meddelanden, kön, ålder, datum för testningen samt testsvar och testresultat. Testsvaren registreras online, men PuA/Användare har inte tillgång till testsvaren.
5.2 JobMatch Sweden AB har inte rätt att överföra eller ge åtkomst till Personuppgifterna till tredje part utan kundens (PuA) uttryckliga förhandstillstånd.
5.3 Driften av systemet sker av Underbiträde Amazon webservices, som vi har kontrollerat uppfyller GDPR. https://aws.amazon.com/compliance/gdpr-center.
5.4 Lagring av data sker av underbiträde, Amazon webservices, som vi har kontrollerat uppfyller GDPR. https://aws.amazon.com/compliance/gdpr-center.
5.5 I fall JobMatch Sweden AB (PuB) byter eller får nytt Underbiträde är det JobMatch Sweden ABs ansvar att kontrollera och verifiera att nytt Underbiträde uppfyller GDPR-regelverket.
5.6 JobMatch Sweden AB (PuB) kontrollerar att alla Personuppgifter lagras inom EU/ESS i enlighet med GDPR-regelverket.
6.0 Säkerhet
6.1 JobMatch Sweden (PuB) har vidtagit tekniska och organisatoriska åtgärder som skyddar de Personuppgifter som behandlas till en nivå som är lämplig med hänsyn till hur känsliga Personuppgifterna är och som överensstämmer med riktlinjerna för GDPR.
Dessa inkluderar:
- SSL säkerhetscertifikat på våra webtjänster.
- Krypterad end to end kommunikation.
- Krypterad databas – vilket innebär att all information är krypterad.
- Krypterad login med krav på lösenord.
- Möjlighet för tvåstegsverifiering (rekommenderas).
- Omedelbar automatisk pseudonymisering av kontaktinformation gällande JobMatch Talent och JobMatch LogiQ.
- Automatisk påminnelse att anonymisera/radera testresultat och uppgifter som är äldre än 24 månader.
6.2 Backup
All information lagras på servrar hos Amazon webservices, som garanterar att servrarna är lokaliserade i EU/ESS. Där genomförs automatisk backup varje dag på all information. Backupen lagras på separata servrar under Amazon webservices. All backup sker genom krypterade linjer och all information är krypterad. https://aws.amazon.com/compliance/gdpr-center.
Personuppgifterna är skyddade mot otillåten behandling som till exempel ändring, förstörelse eller otillåten tillgång och spridning. Det är PuA och PuAs Användares ansvar att sköta och administrera inloggningsinformation och lösenord så ingen person utan befogenhet får tillgång till JMC och den registrerade informationen. Vi rekommenderar tvåstegsverifiering.
JobMatch Sweden AB följer IMY beslut om åtgärder för att uppfylla GDPR:s krav på säkerhet.
JobMatch Sweden lämnar inte ut Personuppgifter eller annan information om behandlingen av Personuppgifter – allt administreras av PuA och PuAs Användare.
6.3 PuA har rätt att kontrollera att JobMatch Sweden AB (PuB) vidtar de säkerhetsåtgärder som anges ovan. JobMatch Sweden AB (PuB) ska härvid ge skälig hjälp för sådan kontroll.
6.4 JobMatch Sweden AB (PuB) och dess personal ska vid behandling av Personuppgifter för vilka PuA är ansvarig iaktta sekretess, vilket innebär att uppgifter om fysisk eller juridisk person inte får röjas.
7.0 Tystnadsplikt och behörigheter
JobMatch Sweden AB (PuB) säkerställer att personer med behörighet att behandla Personuppgifterna omfattas av tystnadsplikt. Tystnadsplikten ska gälla även efter det att detta Personuppgiftsbiträdesavtal upphört att gälla. Åtkomst till Personuppgifterna är begränsade till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter.
8.0 Incidentrapportering
JobMatch Sweden AB (PuB) ska skyndsamt, dock senast inom 24 timmar, underrätta kunden (PuA) om säkerhetsincidenter som har medfört oavsiktlig eller olovlig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till Personuppgifterna. Alla sådana incidenter ska dokumenteras av JobMatch Sweden AB (PuB) och dokumentationen ska överlämnas utan oskäligt dröjsmål till kunden (PuA).
JobMatch Sweden AB (PuB) skall omedelbart efter att personuppgiftsincidenten kommit till JobMatch Swedens kännedom vidta lämpliga avhjälpande åtgärder för att förhindra nya incidenter.
I de fall en incident ska rapporternas till Tillsynsmyndighet, ska JobMatch Sweden AB (PuB) skyndsamt bistå den Personuppgiftsansvarige med all information som efterfrågas.
9.0 Bistånd för att fullgöra skyldigheter gentemot de registrerade
JobMatch Sweden AB (PuB) bistår den Personuppgiftsansvarige att fullgöra sina skyldigheter när de registrerade utövar sin rätt till insyn, rättelse, radering, dataportabilitet etc. enligt gällande Dataskyddslagstiftning.
9.1 Pseudonymisering och Anonymisering
I online-systemet JMC finns funktioner som gör det möjligt för kunden (PuA) och PuAs användare/JMC-administratör att radera information, pseudonymisera och anonymisera testresultat. Varje JMC-administratör kan själv ställa in hur ofta hen vill att JMC ska påminna om anonymisering/radering, dock som längst 24 månader. Se vidare under punkt 5.0 ovan.
10.0 Utbildning
JobMatch Sweden AB (PuB) tillhandahåller lämplig utbildning om integritetsskydd, sekretess och de krav på informationssäkerhet som ställs i detta avtal till alla personer som arbetar under JobMatch Swedens överinseende och som har tillgång till Personuppgifter som omfattas av detta avtal.
11.0 Omförhandling och ändringar
Båda parter har rätt att påkalla omförhandling av detta avtal inklusive instruktioner och andra bilagor, för det fall att:
a) den andre partens ägarförhållanden ändras väsentligt.
b) tillämplig lagstiftning eller tolkningen av den, ändras på ett sätt som påverkar behandlingen av Personuppgifter som omfattas av detta avtal.
11.1 Ändringar och tillägg
Ändringar och tillägg till detta avtal ska vara skriftliga och kan skickas till PuA via epost.
12.0 Avtalstid
Detta avtal gäller så länge JobMatch Sweden (PuB) behandlar personuppgifter för PuAs räkning enligt uppdragsbeskrivningen i detta avtal.
Avtalet träder i kraft den 25 maj 2018 eller på varje senare tidpunkt där ett kund/leverantörsförhållande inträffar mellan parterna.
13.0 Upphörande av behandling av personuppgifter
Vid upphörande av JobMatch Swedens uppdrag för PuA räkning, kommer JobMatch Sweden på PuAs begäran att anonymisera all information rörande testning, så att endast oidentifierbara testresultat kvarstår. Vid begäran från PuA att radera all information rörande kund/leverantörsförhållandet kommer JobMatch Sweden att radera informationen inom 30 dagar.
14.0 Lagval och jurisdiktion m.m.
Detta avtal ska regleras av och tolkas i enlighet med svensk lag utan hänsyn till dess principer om lagkonflikt. Tvist regleras i svensk allmän domstol med start i Tingsrätten i Göteborg.
JobMatch Sweden AB