JobMatch Center – Personuppgiftsbiträdesavtal

Avtal mellan personuppgiftsansvarig och personuppgiftsbiträde

Introduktion

Här följer en sammanfattande introduktion till vad detta avtal innebär. Sammanfattningen ersätter inte avtalet.

Personuppgiftsbiträdesavtalet är mellan dig som kund, och oss, i relation till hantering av personuppgifter i enlighet med GDPR i vårt online testsystem JobMatch Center.

Avtalet reglerar de rättigheter och skyldigheter båda parter har för att uppfylla kraven i gällande Dataskyddsförordning EU 2016/679 (GDPR).

Avtalet specificerar vilka personuppgifter som registreras och behandlas i vårt online testsystem JobMatch Center.

Du som kund ansvarar för att uppgifter som registreras i JobMatch Centret administreras i enlighet med gällande riktlinjer. Detta innebär bland annat att information endast får sparas så länge den har relevans och att era testtagare har rätt att få information borttagen.

Vi som leverantör ansvarar för den tekniska säkerheten, så som säker inloggning, kryptering, backup och att personuppgifterna lagras enligt GDPRs förskrifter.

Som er leverantör skall vi också se till att ni har bra funktioner för att pseudonymisera och radera information i JobMatch Center.

I tillfälle av en säkerhetsincident är det vår skyldighet att inom 24 timmar underrätta dig som kund om incidenten.

Detta avtal regleras av och tolkas i enlighet med svensk lag.

JobMatch Sweden AB

1.0 Parter

1.1 Personuppgiftsansvarig (PuA)

Personuppgiftsansvarig är den juridiska person som har ingått en kundrelation med JobMatch Sweden AB om användning av online tjänsten JobMatch Center (JMC). (www.jobmatchcenter.com).

1.2 Användare

De personer som är utsedda av PuA att lägga in och administrera personuppgifter i online-tjänsten JobMatch Center och som på förhand godkänt Användarvillkoren för JobMatch Center.

1.3 Testtagare

Testtagare definieras som de personer som lägger in personlig information om sig själva i JobMatch online testsystem. Detta kan vara i form av kön, ålder, e-postadress, personnummer, adress, CV data samt testsvar.

1.4 Personuppgiftsbiträde (PuB): JobMatch Sweden AB, org.nr 556781-8330, Box 14001, 400 20 Göteborg. JobMatch Sweden är personuppgiftbiträde genom att vi tillhandahåller ett online testsystem för våra kunder där personliga uppgifter kan registreras.

Parterna är eniga om att detta avtal är gällande när PuA ingår en kundrelation med JobMatch Sweden AB. Avtalet skickas i form av e-post när en kundrelation ingås. Avtalet finns också i kundens online jobmatchcenter.com.

Användare godkänner Användarvillkor när de första gången loggar in på online systemet: www.jobmatchcenter.com.

2.0 Bakgrund

Syftet med detta avtal är att reglera parters rättigheter och skyldigheter i relation till registrering och behandling av personuppgifter och annan information, för att på så vis säkerställa att personuppgifterna behandlas i enlighet med de bestämmelser som följer av gällande Dataskyddsförordning EU 2016/679 (GDPR).

a) Genom att etablera en kundrelation har kunden (PuA) och JobMatch Sweden AB (PuB) ingått ett avtal under vilket JobMatch Sweden AB, tillhandahåller ett online administrationssystem av psykometriska testverktyg genom jobmatchcenter.com.

b) Det är PuAs användare och PuA, som ansvarar för informationen som läggs in i jobmatchcenter.com och att denna information administreras korrekt i förhållande till GDPRs riktlinjer. Användarvillkor godkänns online första gången användaren loggar in i det online administrationsverktyget: Jobmatchcenter.com.

c) När testtagare loggar in för att besvara ett test, tar de samtidigt del av villkoren i form av ett Integritets- och personuppgiftsavtal, vilket aktivt måste godkännas innan registrering påbörjas. Detta avtal skickas därefter via e-post till testtagaren samt sparas i JobMatch Centret under varje testtagare som dokumentation på samtycket. 

d) JobMatch Sweden garanterar att följa de tekniska och organisatoriska riktlinjer som krävs för att uppfylla GDPRs regelverk för PuAs räkning.

3.0 Definitioner

Begreppen ”Personuppgiftsansvarig”, ”Personuppgiftsbiträde”, ”Personuppgift”, ”Behandling” ska ha samma betydelse som i Dataskyddsförordningen Artikel 4 EU 2016/679 (”GDPR”).

I detta avtal avses med begreppet ”Gällande Dataskyddslagstiftning” vid var tid gällande lagstiftning på området, dvs. Personuppgiftslagen (1998:205) (”PUL”) och/eller GDPR, samt eventuell senare lagstiftning som ersätter eller kompletterar dessa.

a) ”Personuppgiftsansvarig”: Den som ensam eller tillsammans med andra lägger in personuppgifter i jobmatchcenter.com.

b) ”Personuppgiftsbiträde”: Avser den som behandlar personuppgifter för den personuppgiftsansvariges räkning. I detta fall JobMatch Sweden AB genom administrationsverktyget jobmatchcenter.com.

c) ”Behandling av personuppgifter”: Avser behandling av testtagares kontaktuppgifter, anonymiserade testsvar för beräkning av testresultat, matchning mot profil och generering av rapporter både i skriftlig och grafisk framställning.

d) ”Personuppgifter”: Avser all slags information som direkt eller indirekt kan hänföras till en fysisk person. I JobMatch Center kan e-post, förnamn och efternamns begynnelsebokstav, ålder samt kön registreras, och för screeningändamål efternamn, personnummer, kontaktinformation, meddelanden och CV information. All information läggs in av PuA eller testtagare.

4.0 Uppdraget

JobMatch Sweden AB (PuB) arbetar på uppdrag av kunden (PuA). Uppdraget går ut på att tillhandahålla ett online administrationssystem för administrering och testning av testtagare. Detta inkluderar jobb-kandidater, medarbetare och andra personer där psykometrisk testning är relevant.

Uppdraget inkluderar behandling av anonymiserade testsvar (test scoring), och generering av olika typer av rapporter (testresultat), samt registrering av personinformation såsom e-post (anonymiseras i samband med att testtagare skickar in sina svar till JobMatch Talent eller JobMatch Logic i online systemet), förnamn/pseudonym, kön, ålder, samt i fall av screeningtest eventuellt personnummer, fullständigt namn, kontaktinformation och CV information.

JobMatch Sweden har också som uppdrag att säkerställa att systemet och behandlingen av informationen följer gällande GDPR regelverk.

JobMatch Sweden AB kan komma att använda testtagares anonymiserade testsvar till sammanställning av statistik och för olika forskningsändamål. Inga uppgifter kan här kopplas till fysisk person.

5.0 Behandling av personuppgifter

5.1 JobMatch Sweden AB (PuB) äger endast rätt att behandla de av PuA lämnade personuppgifter samt de av PuAs testtagare lämnade personuppgifter utifrån i detta avtal beskrivet uppdrag, såvida inte behandlingen i fråga krävs enligt tillämplig lag (i EU eller i ett av EU:s medlemsländer). Om en behandling som den personuppgiftsansvarige ej instruerat personuppgiftsbiträdet att utföra krävs enligt tillämplig lag ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt tillämplig lag (artikel 28.3.a). Dessa personuppgifter sparas och behandlas i online systemet jobmatchcenter.com. 

Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om personuppgiftsbiträdet anser att en instruktion strider mot dataskyddsförordningen eller annan tillämplig dataskyddslagstiftning (artikel 28.3, 2a st). 

I JobMatch Center finns funktioner där användaren själv kan definiera regler för pseudonymisering och radering av testresultat och personuppgifter.

JobMatch Center kommer automatiskt, varje månad, att påminna användaren när testresultat funnits i systemet i 24 månader.

Det åligger PuA att radera samtliga testresultat som inte längre är relevanta att spara.

Uppgifter som registreras i JobMatch Center är:

Den till närsomhelst tid lämnade information av PuA och eller PuAs testtagare i www.jobmatchcenter.com.

Dessa uppgifter inkluderar för JobMatch Talent och JobMatch Logic:

Testtagares förnamn och begynnelsebokstaven i efternamnet, alternativt av PuA angiven pseudonym, kön, ålder, datum för testningen samt testsvar och testresultat. Testtagares e-postadress anonymiseras samtidigt som testtagaren skickar in sina svar till JobMatch Center. Testsvaren registreras online, men kan inte spåras till fysisk person i våra system, då de anonymiseras så fort de kommer in. PuA har inte tillgång till testsvaren.

För JobMatch Screen gäller:

De registrerade uppgifterna kan inkludera (valbara alternativ) testtagares fullständiga namn, e-postadress, personnummer, kontaktinformation, CV-information, meddelanden, kön, ålder, datum för testningen samt testsvar och testresultat. Testsvaren registreras online, men kan inte spåras till fysisk person i våra system, då de anonymiseras så fort de kommer in. PuA har inte tillgång till testsvaren.

5.2 JobMatch Sweden AB har inte rätt att överföra eller ge åtkomst till personuppgifterna till tredje part utan kundens (PuA) uttryckliga förhandstillstånd.

Om ett allmänt skriftligt tillstånd har erhållits ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya underbiträden eller ersätta underbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.

När underbiträden anlitas ska personuppgiftsbiträdet se till att varje underbiträde har samma skyldigheter som personuppgiftsbiträdet gentemot den personuppgiftsansvarige.

Om ett underbiträde inte fullgör sina skyldigheter i fråga om dataskydd ska personuppgiftsbiträdet vara fullt ansvarig gentemot den personuppgiftsansvarige för utförandet av underbiträdets skyldigheter (artikel 28.2, 28.3.d, 28.4). 

5.3 Driften av systemet sker av underbiträde Amazon webservices, som vi har kontrollerat uppfyller GDPR. https://aws.amazon.com/compliance/gdpr-center.

5.4 Lagring av data sker av underbiträde, Amazon webservices, som vi har kontrollerat uppfyller GDPR. https://aws.amazon.com/compliance/gdpr-center.

5.5 I fall JobMatch Sweden AB (PuB) byter eller får nytt underbiträde är det JobMatch Sweden ABs ansvar att kontrollera och verifiera att nytt underbiträde uppfyller GDPR regelverket.

5.6 JobMatch Sweden AB (PuB) kontrollerar att alla personuppgifter lagras inom EU/ESS i enlighet med GDPR regelverket.

6.0 Säkerhet

6.1 JobMatch Sweden (PuB) har vidtagit tekniska och organisatoriska åtgärder som skyddar de personuppgifter som behandlas till en nivå som är lämplig med hänsyn till hur känsliga personuppgifterna är och som överensstämmer med riktlinjerna för GDPR.

Dessa inkluderar:

SSL säkerhetscertifikat på våra webtjänster.

Krypterad end to end kommunikation.

Krypterad databas – vilket innebär att all information är krypterad.

Krypterad login med krav på lösenord. Möjlighet för tvåfaktorauktoriseringar. Omedelbar automatisk pseudonymisering (anonymisering) av kontaktinformation gällande JobMatch Talent och JobMatch Logic.

Automatisk påminnelse att pseudonymisera/radera testresultat och uppgifter som är äldre än 24 månader.

6.2 Backup All information lagras på servrar hos Amazon webservices, som garanterar att servrarna är lokaliserade i EU/ESS. Där genomförs automatisk backup varje dag på all information. Backupen lagras på separata servers under Amazon webservices. All backup föregår genom krypterade linjer och all information är krypterad. https://aws.amazon.com/compliance/gdpr-center.

Personuppgifterna är skyddade mot otillåten behandling som till exempel ändring, förstörelse eller otillåten tillgång och spridning. Det är PuA och PuAs användares ansvar att sköta och administrera login information och lösenord så ingen person utan befogenhet får tillgång till online systemet och den registrerade informationen.

JobMatch Sweden AB följer Datainspektionens beslut om åtgärder för att uppfylla GDPRs krav på säkerhet.

JobMatch Sweden lämnar inte ut personuppgifter eller annan information om behandlingen av personuppgifter – allt administreras av PuA och PuAs användare.

6.3 PuA har rätt att kontrollera att JobMatch Sweden AB (PuB) vidtar de säkerhetsåtgärder som anges ovan. 

Personuppgiftsbiträdet ska ge den personuppgiftsansvarige tillgång till den information som krävs a) för att bevisa att de skyldigheter som anges i artikel 28 har fullgjorts

b) för att möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige (artikel 28.3.h). 

6.4 JobMatch Sweden AB (PuB) och dess personal ska vid behandling av personuppgifter för vilka PuA är personuppgiftsansvarig iaktta sekretess, vilket innebär att uppgifter om fysisk eller juridisk person inte får röjas.

7.0 Tystnadsplikt och behörigheter

JobMatch Sweden AB (PuB) säkerställer att personer med behörighet att behandla personuppgifterna omfattas av tystnadsplikt. Tystnadsplikten ska gälla även efter det att detta Personuppgiftsbiträdesavtal upphört att gälla. Åtkomst till personuppgifterna är begränsade till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter.

8.0 Incidentrapportering

JobMatch Sweden AB (PuB) ska skyndsamt, dock senast inom 24 timmar, underrätta kunden (PuA) om säkerhetsincidenter som har medfört oavsiktlig eller olovlig förstörelse, förlust, ändring, obehörigt utlämnande av eller åtkomst till Personuppgifterna. Alla sådana incidenter ska dokumenteras av JobMatch Sweden AB (PuB) och dokumentationen ska överlämnas utan oskäligt dröjsmål till kunden (PuA).

JobMatch Sweden AB (PuB) skall omedelbart efter att personuppgiftsincidenten kommit till JobMatch Swedens kännedom vidta lämpliga avhjälpande åtgärder för att förhindra nya incidenter.

I de fall en incident ska rapporternas till tillsynsmyndigheten, ska JobMatch Sweden AB (PuB) skyndsamt bistå den Personuppgiftsansvarige med all information som efterfrågas.

Personuppgiftsbiträdet ska, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå, bistå den personuppgiftsansvarige vid utförandet av en konsekvensbedömning som hänför sig till en behandling vilken helt eller delvis utförs av personuppgiftsbiträdet (artikel 28.3.f, 35). 

9.0 Bistånd för att fullgöra skyldigheter gentemot de registrerade

JobMatch Sweden AB (PuB) bistår den Personuppgiftsansvarige att fullgöra sina skyldigheter när de registrerade utövar sin rätt till insyn, rättelse, radering, dataportabilitet etc. enligt gällande Dataskyddslagstiftning.

9.1 Pseudonymisering I online systemet jobmatchcenter.com finns funktioner som gör det möjligt för kunden (PuA) och PuAs användare att radera information och helt anonymisera tester. I screening finns en automatisk funktion som tar bort kontaktinformationen (anonymiserar) efter 12 månader. Varje användare kan själv administrera detta och göra den automatiska funktionen kortare eller längre, dock som längst 24 månader.

10.0 Utbildning

JobMatch Sweden AB (PuB) tillhandahåller lämplig utbildning om integritetsskydd, sekretess och om de krav på informationssäkerhet som ställs i detta avtal till alla personer som arbetar under JobMatch Swedens överinseende och som har tillgång till personuppgifter som omfattas av detta avtal.

11.0 Omförhandling och ändringar

Båda parter har rätt att påkalla omförhandling av detta avtal inklusive instruktioner och andra bilagor, för det fall att: 

a) den andre partens ägarförhållanden ändras väsentligt. 

b) tillämplig lagstiftning eller tolkningen av den, ändras på ett sätt som påverkar behandlingen av personuppgifter som omfattas av detta avtal.

11.1 Ändringar och tillägg Ändringar och tillägg till detta avtal ska vara skriftliga och kan skickas till PuA via epost.

12.0 Avtalstid

Detta avtal gäller så länge JobMatch Sweden (PuB) behandlar personuppgifter för PuAs räkning enligt uppdragsbeskrivningen i detta avtal. 

Avtalet träder i kraft den 25 maj 2018 eller på varje senare tidpunkt där ett kund/leverantörsförhållande inträffar mellan parterna.

13.0 Upphörande av behandling av personuppgifter

Vid upphörande av JobMatch Swedens uppdrag för PuA räkning, kommer JobMatch Sweden att, inom 30 dagar, anonymisera all information rörande screeningtester, således att endast oidentifierbara testresultat kvarstår. Övriga tester är redan automatiskt anonymiserade. PuA, kan begära att JobMatch Sweden raderar all information rörande kund/leverantörsförhållandet, vilket i så fall kommer ske inom 30 dagar, såvida inte fortsatt lagring av personuppgifterna krävs enligt tillämplig lag (artikel 28.3.g). 

14.0 Lagval och jurisdiktion m.m.

Detta avtal ska regleras av och tolkas i enlighet med svensk lag utan hänsyn till dess principer om lagkonflikt. Tvist regleras i svensk allmän domstol med start i Tingsrätten i Göteborg.