Common use of PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN Clause in Contracts

PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN. PuB förbinder sig att behandla personuppgifterna i enlighet med PuA:s instruktioner och med tillämpning av gällande lag, föreskrifter och praxis samt därtill hålla sig informerad om eventuella förändringar som kan ske i lagstiftningen som har betydelse för detta personuppgiftsbiträdesavtal. Dokumentet Instruktion till Personuppgiftsbiträde skall fyllas i och bifogas. PuB ska säkerställa att var och en som utför arbete under dennes överinseende och som får tillgång till personuppgifterna som omfattas av detta avtal, endast behandlar dessa i enlighet med givna instruktioner. För det fall att PuB saknar instruktioner som PuB bedömer är nödvändiga för att genomföra uppdraget ska PuB, utan dröjsmål, informera PuA om sin inställning och invänta instruktioner som PuA bedömer erfordras. För de fall att registrerad, Datainspektionen eller annan tredje man begär information från PuB som rör behandling av personuppgifter, ska PuB hänvisa till PuA. Av punkten 4.1. och 4.2. ovan och punkten 4.5 nedan följer bland annat att PuB inte får lämna ut personuppgifter eller annan information om behandlingen av personuppgifter, utan instruktion från PuA. PuB ska utan dröjsmål informera PuA om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandlingen av personuppgifterna. PuB har inte rätt att företräda PuA eller agera för PuA:s räkning gentemot Datainspektionen, registrerad eller annan tredje man. PuB ska vara PuA behjälplig med att förse Datainspektionen, registrerad eller tredje man information inom ramen för detta avtal. PuB ska när detta avtal upphör att gälla radera eller överlämna personuppgifterna på av PuA angivet lagringsmedium enligt avtal och förvissa sig om att det inte finns några personuppgifter kvar i egna systemen. Hur detta skall gå till skall regleras i dokumentet ”Instruktion Personuppgiftsbiträde”. PuB ska rätta, blockera, ändra eller gallra Personuppgifter enligt PuAs instruktioner. Om PuA begär att Personuppgift ska raderas ska sådan radering ske inom [xx] dagar. När Personuppgifter raderats ska PuB skriftligen informera PuA om detta. PuB ska, utöver vad som anges i Tjänsteavtalet, vidta de åtgärder som avses i dataskyddsförordningen samt övrig lagstiftning gällande tekniska, administrativa och organisatoriska åtgärder som syftar till att skydda personuppgifter mot obehörig åtkomst, förstörelse och ändring. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. PuA har rätt att själv eller genom tredje man kontrollera att PuB följer detta avtal. PuB ska därvid vara PuA behjälplig. PuA ska ha rätt att inspektera den hårdvara och mjukvara som används för behandlingen av de personuppgifter som omfattas av detta avtal samt ska ges tillträde till den fysiska lokal där utrustning och annan hårdvara och mjukvara är förvarad. PuB ska följa av Datainspektionen fattade beslut om åtgärder för att uppfylla dataskyddsfördordningens säkerhetskrav. PuB ska tillåta inspektioner från Datainspektionen. PuB förbinder sig att inte lämna ut till tredje man eller eljest röja information om behandling av personuppgifter som omfattas av detta avtal eller annan information som PuB erhållit till följd av detta avtal. Detta åtagande gäller inte information som PuB föreläggs utge till Datainspektionen. PuB ska genast överlämna till PuA en eventuell begäran från domstol, annan myndighet eller enskild om att få ta del av uppgifter som behandlas enligt detta avtal. PuB får inte utnyttja personuppgifterna för egna ändamål. PuB får [anlita/ej anlita, behåll det som passar] underbiträden för behandling av Personuppgifterna. Om PuB skall anlita underbiträde måste detta i förväg skriftligen godkännas av PuA. Varje underbiträde har samma skyldigheter som PuB. PuB är fullt ansvarig för underbiträdens uppfyllande av de skyldigheter som följer av detta personuppgiftsbiträdesavtal. PuB ska tillhandahålla och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till Personuppgifterna. Vid händelse av en personuppgiftsincident ska PuB utan dröjsmål skriftligen underrätta PuA om händelsen.

PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN. PuB förbinder Personuppgiftsbiträdet åtar sig att behandla personuppgifterna särskilt att: • ha en lämplig teknisk och organisatorisk säkerhet och vidta de säkerhetsåtgärder som framgår av artikel 32 i enlighet med PuA:s instruktioner och med tillämpning av gällande lag, föreskrifter och praxis samt därtill hålla sig informerad om eventuella förändringar som kan ske i lagstiftningen som har betydelse för detta personuppgiftsbiträdesavtal. Dokumentet Instruktion till Personuppgiftsbiträde skall fyllas i och bifogas. PuB ska säkerställa att var och en som utför arbete under dennes överinseende och som får tillgång till personuppgifterna som omfattas av detta avtal, endast behandlar dessa i enlighet med givna instruktioner. För det fall att PuB saknar instruktioner som PuB bedömer är nödvändiga GDPR för att genomföra uppdraget ska PuB, utan dröjsmål, informera PuA om sin inställning och invänta instruktioner skydda de Personuppgifter som PuA bedömer erfordras. För de fall Behandlas under detta Avtal; • bistå Personuppgiftsansvarig att registreradsjälva uppfylla kraven avseende säkerhet som framgår av artikel 32-36 i GDPR uppfylls; • till Personuppgiftsansvarig hänvisa den vars Personuppgifter Behandlas, Datainspektionen eller annan tredje man som begär information från PuB Personuppgiftsbiträdet som rör behandling Behandling av personuppgifter, ska PuB hänvisa till PuA. Av punkten 4.1Personuppgifter. och 4.2. ovan och punkten 4.5 nedan följer bland annat att PuB inte får lämna ut personuppgifter eller annan information om behandlingen av personuppgifter, utan instruktion från PuA. PuB ska Personuppgiftsbiträdet skall utan dröjsmål informera PuA Personuppgiftsansvarig om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandlingen Behandlingen av personuppgifternaPersonuppgifter; • beroende på vad Personuppgiftsansvarig väljer radera, anonymisera eller återlämna alla Personuppgifter till Personuppgiftsansvarig när Avtalet upphör, oavsett anledning därtill, inklusive att radera samtliga kopior vilka inte enligt GDPR måste sparas; • i övrigt ge Personuppgiftsansvarig tillgång till sådan information som krävs för att Personuppgiftsansvarig ska kunna uppfylla sina skyldigheter gentemot Datainspektionen och/eller enskilda; • inte överföra Personuppgifterna till land utanför EU/EES eller en internationell organisation såvida detta inte krävs enligt GDPR varvid Personuppgiftsbiträdet omedelbart ska informera Personuppgiftsansvarig innan Personuppgifterna Behandlas, såvida sådan information inte är förbjuden. PuB har • Personuppgiftsbiträdet åtar sig vidare att alltid Behandla Personuppgifter i enlighet med GDPR. Detta inkluderar, men är inte rätt begränsat till, att företräda PuA föra ett register över alla kategorier av Behandlingar som utförs, att på begäran av en enskild eller agera för PuA:s räkning gentemot Datainspektionen, registrerad eller annan tredje man. PuB ska vara PuA behjälplig med Personuppgiftsansvarig tillhandahålla ett registerutdrag på genomförda Behandlingar och att förse Datainspektionen, registrerad eller tredje man information inom ramen för detta avtal. PuB ska när detta avtal upphör att gälla radera eller överlämna personuppgifterna på av PuA angivet lagringsmedium enligt avtal och förvissa sig omedelbart informera Personuppgiftsansvarig om Personuppgiftsbiträdet misstänker att det inte finns några personuppgifter kvar i egna systemen. Hur detta skall gå till skall regleras i dokumentet ”Instruktion Personuppgiftsbiträde”. PuB ska rätta, blockera, ändra eller gallra Personuppgifter enligt PuAs instruktioner. Om PuA begär att Personuppgift ska raderas ska sådan radering ske inom [xx] dagar. När Personuppgifter raderats ska PuB skriftligen informera PuA om detta. PuB ska, utöver vad som anges i Tjänsteavtalet, vidta de åtgärder som avses i dataskyddsförordningen samt övrig lagstiftning gällande tekniska, administrativa och organisatoriska åtgärder som syftar till att skydda personuppgifter mot obehörig åtkomst, förstörelse och ändring. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. PuA har rätt att själv eller genom tredje man kontrollera att PuB följer detta avtal. PuB ska därvid vara PuA behjälplig. PuA ska ha rätt att inspektera den hårdvara och mjukvara som används för behandlingen av de personuppgifter som omfattas av detta avtal samt ska ges tillträde till den fysiska lokal där utrustning och annan hårdvara och mjukvara är förvarad. PuB ska följa av Datainspektionen fattade beslut om åtgärder föreligger en risk för att uppfylla dataskyddsfördordningens säkerhetskrav. PuB ska tillåta inspektioner från Datainspektionen. PuB förbinder sig att inte lämna ut till tredje man eller eljest röja information om behandling av personuppgifter som omfattas av detta avtal eller annan information som PuB erhållit till följd av detta avtal. Detta åtagande gäller inte information som PuB föreläggs utge till Datainspektionen. PuB ska genast överlämna till PuA en eventuell begäran från domstol, annan myndighet eller enskild om att få ta del av uppgifter som behandlas enligt detta avtal. PuB får inte utnyttja personuppgifterna för egna ändamål. PuB får [anlita/ej anlita, behåll det som passar] underbiträden för behandling av Personuppgifterna. Om PuB skall anlita underbiträde måste detta i förväg skriftligen godkännas av PuA. Varje underbiträde har samma skyldigheter som PuB. PuB är fullt ansvarig för underbiträdens uppfyllande av de skyldigheter som följer av detta personuppgiftsbiträdesavtal. PuB ska tillhandahålla enskildas fri och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till Personuppgifterna. Vid händelse av en personuppgiftsincident ska PuB utan dröjsmål skriftligen underrätta PuA om händelsenrättigheter kränks.

PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN. PuB förbinder 3.1 Personuppgiftsbiträdet ska iaktta Företagets skriftliga instruktioner avseende behandling av personuppgifter och åtar sig att följa för Personuppgiftsbiträdet tillämpliga Dataskyddsregler. 3.2 Personuppgiftsbiträdet får bara behandla personuppgifterna personuppgifter för Ändamålet och Tjänsten i enlighet med PuA:s Företagets skriftliga instruktioner och på de villkor som anges i Avtalet. Detta inbegripet när det gäller överföringar av personuppgifter till ett tredje land eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Personuppgiftsbiträdet omfattas av, och i så fall ska Personuppgiftbiträdet informera Företaget om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med tillämpning hänvisning till ett viktigt allmänintresse enligt denna rätt. Personuppgiftsbiträdet ska omedelbart informera Företaget om Personuppgiftsbiträdet anser att en instruktion strider mot tillämpliga Dataskyddsregler eller mot andra av gällande lag, föreskrifter och praxis samt därtill hålla sig informerad om eventuella förändringar som kan ske i lagstiftningen som har betydelse för detta personuppgiftsbiträdesavtal. Dokumentet Instruktion till Personuppgiftsbiträde skall fyllas i och bifogas. PuB ska säkerställa att var och en som utför arbete under dennes överinseende och som får tillgång till personuppgifterna som omfattas av detta avtal, endast behandlar dessa i enlighet med givna instruktioner. unionens eller medlemsstaternas dataskyddsbestämmelser. 3.3 För det fall att PuB saknar instruktioner som PuB bedömer är nödvändiga för att genomföra uppdraget ska PuB, utan dröjsmål, informera PuA om sin inställning och invänta instruktioner som PuA bedömer erfordras. För de fall att registrerad, Datainspektionen registrerad eller annan tredje man (t.ex. berörd tillsynsmyndighet) begär information från PuB Personuppgiftsbiträdet som rör behandling av personuppgifter, personuppgifter ska PuB Personuppgiftsbiträdet utan dröjsmål hänvisa vederbörande till PuA. Företaget. Av punkten 4.1. och 4.2. punkt 3.2 ovan och punkten 4.5 punkt 3.5 nedan följer bland annat att PuB Personuppgiftsbiträdet inte får lämna ut personuppgifter eller annan information om behandlingen behandling av personuppgifter, personuppgifter till tredje man utan att ha fått skriftlig instruktion om att göra det från PuA. PuB Företaget. Personuppgiftsbiträdet äger rätt att använda och lämna ut anonymiserad Svarsinformation som underlag för affärs- och metodutveckling och statistik. 3.4 Personuppgiftsbiträdet ska utan dröjsmål informera PuA Företaget om eventuella kontakter från Datainspektionen tredje man (t.ex. berörd tillsynsmyndighet) som rör eller kan vara behandling av betydelse för behandlingen av personuppgifternapersonuppgifter. PuB Personuppgiftsbiträdet har inte rätt att företräda PuA Företaget eller agera för PuA:s Företagets räkning gentemot Datainspektionen, registrerad eller annan tredje man. PuB . 3.5 Personuppgiftsbiträdet ska vara PuA behjälplig med att förse Datainspektionen, registrerad eller tredje man information inom ramen för detta avtal. PuB ska när detta avtal upphör att gälla radera eller överlämna personuppgifterna på av PuA angivet lagringsmedium enligt avtal och förvissa sig om att det inte finns några personuppgifter kvar i egna systemen. Hur detta skall gå till skall regleras i dokumentet ”Instruktion Personuppgiftsbiträde”. PuB ska rätta, blockera, ändra eller gallra Personuppgifter enligt PuAs instruktioner. Om PuA begär att Personuppgift ska raderas ska sådan radering ske inom [xx] dagar. När Personuppgifter raderats ska PuB skriftligen informera PuA om detta. PuB ska, utöver vad som anges i Tjänsteavtalet, vidta de åtgärder som avses i dataskyddsförordningen samt övrig lagstiftning gällande tekniska, administrativa tekniska och organisatoriska åtgärder som syftar erfordras enligt tillämpliga Dataskyddsregler och därvid vidta alla åtgärder avseende säkerhet i samband med behandlingen enligt artikel 32 i Dataskyddsförordningen. Personuppgiftsbiträdet ska vidare (i) bistå Företaget med att tillse att Företagets skyldigheter enligt artiklarna 32-36 i Dataskyddsförordningen fullgörs, med beaktande av typen av behandling och den information Personuppgiftsbiträdet har att tillgå samt (ii) med tanke på behandlingens art, hjälpa Företaget genom tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Företaget kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen. 3.6 Personuppgiftsbiträdet ska ge Företaget tillgång till all information som krävs för att visa att Personuppgiftsbiträdets skyldigheter som anges i artikel 28 i Dataskyddsförordningen har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Företaget eller av en revisor som bemyndigats av Företaget. Personuppgiftsbiträdet ska tillse att Företaget kan uppfylla eventuell skyldighet att möjliggöra dataportabilitet avseende personuppgifter som Personuppgiftsbiträdet behandlar för Företagets räkning. 3.7 Personuppgiftsbiträdet får inte tillhandahålla Företaget Svarsinformation annat än i anonymiserad och avidentifierad form. Personuppgiftsbiträdet ska, när detta Avtal upphör att gälla och inom skälig tid efter Företaget begärt det, återlämna eller radera, beroende på vad Företaget väljer, alla personuppgifter samt Svarsinformation med anonymiserade personuppgifter på av Företaget angivet vedertaget medium och med följande undantag se till att skydda personuppgifter mot obehörig åtkomstinte längre behandlas av Personuppgiftsbiträdet samt radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstats nationella rätt. Personuppgiftsbiträdet äger dock rätt att behålla, förstörelse använda och ändringlämna ut anonymiserad Svarsinformation som underlag för affärs- och metodutveckling och statistik. 3.8 Personuppgiftsbiträdet får anlita andra personuppgiftsbiträden. Vid bedömningen (”underbiträden”) för tillhandahållande av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medförTjänsten eller del därav, i synnerhet från oavsiktlig Personuppgiftsbiträdet anlitar underbiträde(-n) enligt xxxxx://xxx.xxxxxxxxxx.xxx/xx/xxxx-xxxxxxxxxxxxx, vilket/vilka underbiträde(-n) inklusive dess underbiträde(-n) Företaget härigenom godtar. Personuppgiftsbiträdet åtar sig att informera Företaget om eventuella planer på att anlita nya underbiträden eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlatsersätta underbiträden genom att med email lämna Företaget information härom minst 30 dagar innan ett nytt underbiträde avses tillträda. PuA Företaget har rätt att själv eller motsätta sig nytt underbiträde genom tredje man kontrollera att PuB inom 90 dagar från det att Företaget sålunda informerats om planen att anlita nytt underbiträde säga upp Tjänsteavtalet inklusive Avtalet till omedelbart upphörande, utan annan rätt i anledning härav. I det fall Personuppgiftsbiträdet anlitar ett underbiträde ska underbiträdet genom ett skriftligt avtal åläggas samma skyldigheter i fråga om dataskydd som Personuppgiftsbiträdet har gentemot Företaget och därvid framför allt ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder så att behandlingen av personuppgifter uppfyller kraven i tillämpliga Dataskyddsregler. Om det anlitade underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska Personuppgiftsbiträdet vara fullt ansvarig gentemot Företaget för utförandet av underbiträdets skyldigheter, dock i enlighet med de begränsningar som följer detta avtalav punkt 3.9 nedan. PuB ska därvid vara PuA behjälplig. PuA ska ha rätt att inspektera den hårdvara Personuppgiftsbiträdet ska, på Företagets begäran, tillhandahålla Företaget med en korrekt och mjukvara uppdaterad lista utvisande vilka underbiträden som används anlitats för behandlingen av de personuppgifter personuppgifter, kontaktuppgifter till dessa samt den geografiska placeringen för sådan behandling. 3.9 Personuppgiftsbiträdet ska ersätta Företaget för krav på sådan betalning som omfattas av detta avtal samt ska ges tillträde till den fysiska lokal där utrustning och annan hårdvara och mjukvara är förvarad. PuB ska följa av Datainspektionen fattade beslut om åtgärder för att uppfylla dataskyddsfördordningens säkerhetskrav. PuB ska tillåta inspektioner från Datainspektionen. PuB förbinder sig att inte lämna ut Företaget måste utge till tredje man eller eljest röja information om man, inklusive registrerade och berörda tillsynsmyndigheter, till följd av Personuppgiftsbiträdets behandling av personuppgifter som omfattas i strid med dess åtaganden enligt Avtalet (detta Personuppgiftsbiträdesavtal). Personuppgiftsbiträdet kan dock aldrig hållas ansvarigt för Företagets förlorade eller uteblivna affärer eller för någon form av detta avtal eller annan information som PuB erhållit till följd av detta avtal. Detta åtagande gäller inte information som PuB föreläggs utge till Datainspektionen. PuB ska genast överlämna till PuA en eventuell begäran från domstol, annan myndighet eller enskild om att få ta del av uppgifter som behandlas enligt detta avtal. PuB får inte utnyttja personuppgifterna för egna ändamål. PuB får [anlita/ej anlita, behåll det som passar] underbiträden för behandling av Personuppgifterna. Om PuB skall anlita underbiträde måste detta i förväg skriftligen godkännas av PuA. Varje underbiträde har samma skyldigheter som PuB. PuB är fullt ansvarig för underbiträdens uppfyllande av de skyldigheter som följer av detta personuppgiftsbiträdesavtal. PuB ska tillhandahålla och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till Personuppgifterna. Vid händelse av en personuppgiftsincident ska PuB utan dröjsmål skriftligen underrätta PuA om händelsenindirekt skada.

PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN. PuB förbinder 2.1 Personuppgiftsbiträdet åtar sig särskilt att: (a) ha en lämplig teknisk och organisatorisk säkerhet och vidta de säkerhetsåtgärder som framgår av artikel 32 i GDPR för att skydda de personuppgifter som behandlas under detta Biträdesavtal, vilket bland annat inbegriper att personer hos Personuppgiftsbiträdet med behörighet att behandla personuppgifterna dessa personuppgifter åläggs lämplig sekretesskyldighet; (b) bistå Personuppgiftsansvarige att uppfylla kraven avseende säkerhet som framgår av artikel 32-36 i enlighet med PuA:s instruktioner och med tillämpning av gällande lagGDPR, föreskrifter och praxis samt därtill hålla sig informerad om eventuella förändringar som kan ske Personuppgiftsansvariges skyldigheter avseende individuella rättigheter i lagstiftningen som har betydelse för detta personuppgiftsbiträdesavtal. Dokumentet Instruktion Kapitel III i GDPR uppfylls; (c) till Personuppgiftsbiträde skall fyllas i och bifogas. PuB ska säkerställa att var och en som utför arbete under dennes överinseende och som får tillgång till personuppgifterna som omfattas av detta avtal, endast behandlar dessa i enlighet med givna instruktioner. För det fall att PuB saknar instruktioner som PuB bedömer är nödvändiga för att genomföra uppdraget ska PuB, utan dröjsmål, informera PuA om sin inställning och invänta instruktioner som PuA bedömer erfordras. För de fall att registreradPersonuppgiftsansvarige hänvisa den vars personuppgifter behandlas, Datainspektionen eller annan tredje man som begär information från PuB Personuppgiftsbiträdet som rör behandling av personuppgifter, ska PuB hänvisa till PuA. Av punkten 4.1. och 4.2. ovan och punkten 4.5 nedan följer bland annat att PuB inte får lämna ut personuppgifter eller annan information om behandlingen av personuppgifter, utan instruktion från PuA. PuB ska Personuppgiftsbiträdet skall utan dröjsmål informera PuA Personuppgiftsansvarige om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandlingen behandling av personuppgifternapersonuppgifter, (d) beroende på vad Personuppgiftsansvarige väljer radera, anonymisera eller återlämna alla personuppgifter till Personuppgiftsansvarige när Biträdesavtalet upphör, oavsett anledning därtill, inklusive att radera samtliga kopior vilka inte enligt GDPR måste sparas, (e) i övrigt ge Personuppgiftsansvarige tillgång till sådan information som krävs för att Personuppgiftsansvarige ska kunna uppfylla sina skyldigheter såsom personuppgiftsansvarig gentemot Datainspektionen och/eller enskilda, (f) inte överföra personuppgifterna till tredje land eller en internationell organisation såvida detta inte krävs enligt GDPR varvid Personuppgiftsbiträdet omedelbart ska informera Personuppgiftsansvarige, såvida sådan information inte är förbjuden. 2.2 Personuppgiftsbiträdet åtar sig vidare att alltid behandla personuppgifter i enlighet med GDPR. PuB har Detta inkluderar, men är inte rätt begränsat till, att företräda PuA föra ett register över alla kategorier av behandlingar som utförs, att på begäran av en enskild eller agera för PuA:s räkning gentemot Datainspektionen, registrerad eller annan tredje man. PuB ska vara PuA behjälplig med Personuppgiftsansvarige tillhandahålla ett registerutdrag på genomförda behandlingar och att förse Datainspektionen, registrerad eller tredje man information inom ramen för detta avtal. PuB ska när detta avtal upphör att gälla radera eller överlämna personuppgifterna på av PuA angivet lagringsmedium enligt avtal och förvissa sig omedelbart informera Personuppgiftsansvarige om Personuppgiftsbiträdet misstänker att det inte finns några personuppgifter kvar i egna systemen. Hur detta skall gå till skall regleras i dokumentet ”Instruktion Personuppgiftsbiträde”. PuB ska rätta, blockera, ändra eller gallra Personuppgifter enligt PuAs instruktioner. Om PuA begär att Personuppgift ska raderas ska sådan radering ske inom [xx] dagar. När Personuppgifter raderats ska PuB skriftligen informera PuA om detta. PuB ska, utöver vad som anges i Tjänsteavtalet, vidta de åtgärder som avses i dataskyddsförordningen samt övrig lagstiftning gällande tekniska, administrativa och organisatoriska åtgärder som syftar till att skydda personuppgifter mot obehörig åtkomst, förstörelse och ändring. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. PuA har rätt att själv eller genom tredje man kontrollera att PuB följer detta avtal. PuB ska därvid vara PuA behjälplig. PuA ska ha rätt att inspektera den hårdvara och mjukvara som används för behandlingen av de personuppgifter som omfattas av detta avtal samt ska ges tillträde till den fysiska lokal där utrustning och annan hårdvara och mjukvara är förvarad. PuB ska följa av Datainspektionen fattade beslut om åtgärder föreligger en risk för att uppfylla dataskyddsfördordningens säkerhetskrav. PuB ska tillåta inspektioner från Datainspektionen. PuB förbinder sig att inte lämna ut till tredje man eller eljest röja information om behandling av personuppgifter som omfattas av detta avtal eller annan information som PuB erhållit till följd av detta avtal. Detta åtagande gäller inte information som PuB föreläggs utge till Datainspektionen. PuB ska genast överlämna till PuA en eventuell begäran från domstol, annan myndighet eller enskild om att få ta del av uppgifter som behandlas enligt detta avtal. PuB får inte utnyttja personuppgifterna för egna ändamål. PuB får [anlita/ej anlita, behåll det som passar] underbiträden för behandling av Personuppgifterna. Om PuB skall anlita underbiträde måste detta i förväg skriftligen godkännas av PuA. Varje underbiträde har samma skyldigheter som PuB. PuB är fullt ansvarig för underbiträdens uppfyllande av de skyldigheter som följer av detta personuppgiftsbiträdesavtal. PuB ska tillhandahålla enskildas fri och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till Personuppgifterna. Vid händelse av en personuppgiftsincident ska PuB utan dröjsmål skriftligen underrätta PuA om händelsenrättigheter kränks.

PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN. PuB förbinder Personuppgiftsbiträdet åtar sig att behandla tillämpa gällande svensk lagstiftning vid personuppgiftsbehandlingen. Personuppgiftsbiträdet får inte överföra personuppgifterna till tredje land om adekvat skyddsnivå i enlighet med PuA:s instruktioner mottagarlandet ej kan säkerställas eller om särskilda garantier saknas för att uppgifterna och med tillämpning av gällande lag, föreskrifter och praxis samt därtill hålla de registrerades rättigheter skyddas. Personuppgiftsbiträdet åtar sig informerad om eventuella förändringar att endast lämna ut personuppgifterna till de inom sin egen organisation som kan ske i lagstiftningen som har betydelse behöver tillgång till uppgifterna för detta personuppgiftsbiträdesavtal. Dokumentet Instruktion till Personuppgiftsbiträde skall fyllas i och bifogas. PuB ska säkerställa att var och en som utför arbete under dennes överinseende kunna utföra sina arbetsuppgifter och som är bundna av sekretessavtal. Personuppgiftsbiträdet får inte lämna ut personuppgifterna eller annan information om personuppgiftsbehandlingen till tredje man annat än efter Personuppgiftsansvariges i förväg lämnade skriftliga samtycke, med undantag för när sådant utlämnande kan krävas enligt lag. Personuppgiftsbiträdet åtar sig att bistå Personuppgiftsansvarig i dennes uppfyllande av sina förpliktelse i egenskap av personuppgiftsansvarig. Personuppgiftsbiträdet äger rätt till skälig ersättning för sådant bistånd. Personuppgiftsbiträdet åtar sig att, inom skälig tid efter begäran, tillhanda dokumentation för att möjliggöra och bidra till granskningar, oavsett om dessa granskningar inletts av Personuppgiftsansvarig eller tredje part. Under inga omständigheter medför detta åtagande en rätt för Personuppgiftsansvarig att bereda sig tillgång till personuppgifterna Personuppgiftsbiträdets lokaler, servrar eller på annat sätt få direkt tillgång till information som omfattas tillhör, eller annars behandlas av, Personuppgiftsbiträdet. Om Personuppgiftsbiträdets uppfyllande av sina åtaganden enligt detta avtal, endast behandlar dessa i enlighet med givna instruktionerstycke medför en icke obetydlig arbetsinsats äger Personuppgiftsbiträdet rätt till skälig ersättning för nedlagd arbetstid och andra kostnader. För det fall att PuB saknar instruktioner som PuB bedömer är nödvändiga för att genomföra uppdraget ska PuB, utan dröjsmål, informera PuA om sin inställning och invänta instruktioner som PuA bedömer erfordras. För de fall att registrerad, Datainspektionen myndighet eller annan tredje man begär ut information från PuB Personuppgiftsbiträdet som rör behandling av personuppgifter, personuppgiftsbehandlingen ska PuB hänvisa till PuA. Av punkten 4.1. och 4.2. ovan och punkten 4.5 nedan följer bland annat att PuB inte får lämna ut personuppgifter eller annan information om behandlingen av personuppgifter, utan instruktion från PuA. PuB ska Personuppgiftsbiträdet utan dröjsmål informera PuA om eventuella kontakter från Datainspektionen vidarebefordra sådan framställan till Personuppgiftsansvarig. Personuppgiftsbiträdet ska vid behov assistera Personuppgiftsansvarig med att ta fram information som rör eller kan vara begärts av betydelse för behandlingen av personuppgifterna. PuB har inte rätt att företräda PuA eller agera för PuA:s räkning gentemot Datainspektionen, registrerad eller annan tredje man. PuB ska vara PuA behjälplig med att förse Datainspektionen, registrerad eller tredje man information inom ramen för detta avtal. PuB ska när detta avtal upphör att gälla radera eller överlämna personuppgifterna på av PuA angivet lagringsmedium enligt avtal och förvissa sig om att det inte finns några personuppgifter kvar i egna systemen. Hur detta skall gå till skall regleras i dokumentet ”Instruktion Personuppgiftsbiträde”. PuB ska rätta, blockera, ändra eller gallra Personuppgifter enligt PuAs instruktioner. Om PuA begär att Personuppgift ska raderas ska sådan radering ske inom [xx] dagar. När Personuppgifter raderats ska PuB skriftligen informera PuA om detta. PuB ska, utöver vad som anges i Tjänsteavtalet, vidta de åtgärder som avses i dataskyddsförordningen samt övrig lagstiftning gällande tekniska, administrativa och organisatoriska åtgärder som syftar till att skydda personuppgifter mot obehörig åtkomst, förstörelse och ändring. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. PuA har rätt att själv eller genom tredje man kontrollera att PuB följer detta avtal. PuB ska därvid vara PuA behjälplig. PuA ska ha rätt att inspektera den hårdvara och mjukvara som används för behandlingen av de personuppgifter som omfattas av detta avtal samt ska ges tillträde till den fysiska lokal där utrustning och annan hårdvara och mjukvara är förvarad. PuB ska följa av Datainspektionen fattade beslut om åtgärder för att uppfylla dataskyddsfördordningens säkerhetskrav. PuB ska tillåta inspektioner från Datainspektionen. PuB förbinder sig att inte lämna ut till tredje man eller eljest röja information om behandling av personuppgifter som omfattas av detta avtal eller annan information som PuB erhållit till följd av detta avtal. Detta åtagande gäller inte information som PuB föreläggs utge till Datainspektionen. PuB ska genast överlämna till PuA en eventuell begäran från domstol, annan myndighet eller enskild om att få ta del av uppgifter som behandlas enligt detta avtal. PuB får inte utnyttja personuppgifterna för egna ändamål. PuB får [anlita/ej anlita, behåll det som passar] underbiträden för behandling av Personuppgifterna. Om PuB skall anlita underbiträde måste detta i förväg skriftligen godkännas av PuA. Varje underbiträde har samma skyldigheter som PuB. PuB är fullt ansvarig för underbiträdens uppfyllande av de skyldigheter som följer av detta personuppgiftsbiträdesavtal. PuB ska tillhandahålla och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till Personuppgifterna. Vid händelse av en personuppgiftsincident ska PuB utan dröjsmål skriftligen underrätta PuA om händelsen.

PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN. 6.1 PuB förbinder sig att, vad gäller all behandling av personuppgifter som PuB utför för PuA:s räkning med anledning av detta Biträdesavtal, att endast behandla personuppgifterna för de syften i enlighet med PuA:s instruktioner som anges i Bilaga 1 och för att följa Tillämplig Dataskyddslag, annan tillämplig lagstiftning med tillämpning avseende på behandling av gällande lagpersonuppgifter, föreskrifter och praxis samt därtill för att hålla sig informerad om eventuella förändringar som kan ske i lagstiftningen som har betydelse för detta personuppgiftsbiträdesavtal. Dokumentet Instruktion till Personuppgiftsbiträde skall fyllas i och bifogas. tillämplig gällande rätt. 6.2 PuB ska säkerställa vidta åtgärder för att var och en som utför arbete under dennes överinseende och som får tillgång till skydda personuppgifterna som omfattas mot alla slag av detta avtal, endast behandlar dessa i enlighet med givna instruktioner. otillåtna behandlingar. 6.3 För det fall att PuB saknar finner att PuA:s instruktioner är otydliga, olagliga eller saknas, och som PuB bedömer är nödvändiga för att genomföra uppdraget sina åtaganden ska PuBdenne, utan dröjsmål, informera PuA om sin inställning detta och invänta nya instruktioner. PuB har dock ingen rätt att avbryta uppdraget med anledning av detta. 6.4 För det fall det skulle finnas behandlingar som PuB enligt tvingande lag måste utföra utöver de dokumenterade instruktioner som PuA bedömer erfordras. För de fall att registrerad, Datainspektionen eller annan tredje man begär information från PuB som rör behandling lämnats av personuppgifterPuA, ska PuB hänvisa till PuA. Av punkten 4.1. underrätta PuA innan sådan behandling påbörjas, om det inte föreligger hinder mot att lämna sådan information enligt tvingande lag. 6.5 Behandlingen under detta Biträdesavtal ska utföras endast så länge som behandlingen behövs för det aktuella syftet såsom instruerats av PuA, och 4.2. ovan PuB ska följa instruktioner från PuA kring, exempelvis men inte uttömmande, gallring, återlämning och punkten 4.5 nedan följer bland annat att PuB inte får lämna ut personuppgifter eller annan information om behandlingen radering av personuppgifter, utan instruktion från PuA. . 6.6 PuB ska utan dröjsmål informera på begäran från PuA om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandlingen av personuppgifterna. PuB har inte rätt bistå denne vid konsekvensbedömningar och förhandssamråd samt att företräda PuA eller agera för PuA:s räkning gentemot Datainspektionen, registrerad eller annan tredje man. PuB ska vara PuA behjälplig med att förse Datainspektionen, registrerad eller tredje man ta fram information inom ramen för detta avtal. gällande Huvudavtal. 6.7 PuB ska när ge PuA all tillgång till information som krävs för att visa att de skyldigheter som fastställs i detta avtal upphör att gälla radera Biträdesavtal har fullgjorts, inklusive information om eventuell underleverantörs behandling av personuppgifter i enlighet med Punkt 12 nedan. Överföringar av personuppgifter till ett s.k. tredjeland eller överlämna personuppgifterna på av PuA angivet lagringsmedium enligt avtal och förvissa sig om att det inte finns några personuppgifter kvar en internationell organisation får endast ske efter dokumenterad instruktion från PuA, i egna systemen. Hur detta skall gå till skall regleras i dokumentet ”Instruktion Personuppgiftsbiträde”. PuB ska rätta, blockera, ändra eller gallra Personuppgifter enligt PuAs instruktioner. Om PuA begär att Personuppgift ska raderas ska sådan radering ske inom [xx] dagar. När Personuppgifter raderats ska PuB skriftligen informera PuA om detta. PuB ska, utöver enlighet med vad som anges i Tjänsteavtaletpunkt 13 nedan. 6.8 PuB åtar sig att säkerställa att samtliga personer som arbetar under dennes ledning följer vad som framgår av detta Biträdesavtal och vid var tid gällande instruktion från XxX, vidta samt att de åtgärder som avses i dataskyddsförordningen samt övrig lagstiftning gällande tekniska, administrativa informeras om relevant lagstiftning. 6.9 PuB åtar sig att bistå PuA genom lämpliga tekniska och organisatoriska åtgärder som syftar till att skydda personuppgifter mot obehörig åtkomst, förstörelse och ändring. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medföråtgärder, i synnerhet från oavsiktlig eller olaglig förstöringden mån det är möjligt, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. så att PuA har rätt att själv eller genom tredje man kontrollera att PuB följer detta avtal. PuB ska därvid vara PuA behjälplig. PuA ska ha rätt att inspektera den hårdvara och mjukvara som används för behandlingen av de personuppgifter som omfattas av detta avtal samt ska ges tillträde till den fysiska lokal där utrustning och annan hårdvara och mjukvara är förvarad. PuB ska följa av Datainspektionen fattade beslut om åtgärder för att uppfylla dataskyddsfördordningens säkerhetskrav. PuB ska tillåta inspektioner från Datainspektionen. PuB förbinder sig att inte lämna ut till tredje man eller eljest röja information om behandling av personuppgifter som omfattas av detta avtal eller annan information som PuB erhållit till följd av detta avtal. Detta åtagande vad gäller inte information som PuB föreläggs utge till Datainspektionen. PuB ska genast överlämna till PuA en eventuell begäran från domstolregistrerade om t.ex. information rörande eller utlämning, annan myndighet rättelse, radering eller enskild om att få ta del blockering av uppgifter som behandlas enligt detta avtal. PuB får inte utnyttja personuppgifterna för egna ändamål. PuB får [anlita/ej anlitapersonuppgifter, behåll det som passar] underbiträden för behandling av Personuppgifterna. Om PuB skall anlita underbiträde måste detta kan fullgöra sina skyldigheter mot dessa registrerade i förväg skriftligen godkännas av PuA. Varje underbiträde har samma skyldigheter som PuB. PuB är fullt ansvarig för underbiträdens uppfyllande av de skyldigheter som följer av detta personuppgiftsbiträdesavtal. PuB ska tillhandahålla och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till Personuppgifterna. Vid händelse av en personuppgiftsincident ska PuB utan dröjsmål skriftligen underrätta PuA om händelsenenlighet med Tillämplig Dataskyddslag.

PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN. PuB förbinder sig att behandla personuppgifterna i enlighet med PuA:s instruktioner och med tillämpning av gällande lag, föreskrifter och praxis samt därtill hålla sig informerad om eventuella förändringar som kan ske i lagstiftningen som har betydelse för detta personuppgiftsbiträdesavtal. Dokumentet Instruktion till Personuppgiftsbiträde skall fyllas i och bifogas. PuB ska säkerställa att var och en som utför arbete under dennes överinseende och som får tillgång till personuppgifterna som omfattas av detta avtal, endast behandlar dessa i enlighet med givna instruktioner. För det fall att PuB saknar instruktioner som PuB bedömer är nödvändiga för att genomföra uppdraget ska PuB, utan dröjsmål, informera PuA om sin inställning och invänta instruktioner som PuA bedömer erfordras. För de fall att registrerad, Datainspektionen eller annan tredje man begär information från PuB som rör behandling av personuppgifter, ska PuB hänvisa till PuA. Av punkten 4.1. och 4.2. ovan och punkten 4.5 nedan följer bland annat att PuB inte får lämna ut personuppgifter eller annan information om behandlingen av personuppgifter, utan instruktion från PuA. PuB ska utan dröjsmål informera PuA om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandlingen av personuppgifterna. PuB har inte rätt att företräda PuA eller agera för PuA:s räkning gentemot Datainspektionen, registrerad eller annan tredje man. PuB ska vara PuA behjälplig med att förse Datainspektionen, registrerad eller tredje man information inom ramen för detta avtal. PuB ska när detta avtal upphör att gälla radera eller överlämna personuppgifterna på av PuA angivet lagringsmedium enligt avtal och förvissa sig om att det inte finns några personuppgifter kvar i egna systemen. Hur detta skall gå till skall regleras i dokumentet ”Instruktion Personuppgiftsbiträde”. PuB ska rätta, blockera, ändra eller gallra Personuppgifter enligt PuAs instruktioner. Om PuA begär att Personuppgift ska raderas ska sådan radering ske inom [xx] dagar. När Personuppgifter raderats ska PuB skriftligen informera PuA om detta. PuB ska, utöver vad som anges i Tjänsteavtalet, vidta de åtgärder som avses i dataskyddsförordningen samt övrig lagstiftning gällande tekniska, administrativa och organisatoriska åtgärder som syftar till att skydda personuppgifter mot obehörig åtkomst, förstörelse och ändring. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. PuA har rätt att själv eller genom tredje man kontrollera att PuB följer detta avtal. PuB ska därvid vara PuA behjälplig. PuA ska ha rätt att inspektera den hårdvara och mjukvara som används för behandlingen av de personuppgifter som omfattas av detta avtal samt ska ges tillträde till den fysiska lokal där utrustning och annan hårdvara och mjukvara är förvarad. PuB ska följa av Datainspektionen fattade beslut om åtgärder för att uppfylla dataskyddsfördordningens säkerhetskrav. PuB ska tillåta inspektioner från Datainspektionen. PuB förbinder sig att inte lämna ut till tredje man eller eljest röja information om behandling av personuppgifter som omfattas av detta avtal eller annan information som PuB erhållit till följd av detta avtal. Detta åtagande gäller inte information som PuB föreläggs utge till Datainspektionen. PuB ska genast överlämna till PuA en eventuell begäran från domstol, annan myndighet eller enskild om att få ta del av uppgifter som behandlas enligt detta avtal. PuB får inte utnyttja personuppgifterna för egna ändamål. PuB får [anlita[Anlita/ej anlita, anlita - behåll det som passar] passar] underbiträden för behandling av Personuppgifterna. Om PuB skall ska anlita underbiträde måste detta i förväg skriftligen godkännas av PuA. Vilka PuB som godkänts av PuA framgår av bilaga [nr], Instruktion till personuppgiftsbiträde. Varje underbiträde har samma skyldigheter som PuB. PuB är fullt ansvarig för underbiträdens uppfyllande av de skyldigheter som följer av detta personuppgiftsbiträdesavtal. PuB ska tillhandahålla och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till Personuppgifterna. Vid händelse av en personuppgiftsincident ska PuB utan dröjsmål skriftligen underrätta PuA om händelsen.