Personuppgiftsbiträdesavtal mellan trafiknämnden/trafik- kontoret Göteborgs Stad och [Ange Personuppgiftsbiträde]
Dnr:Ange dnr
Personuppgiftsbiträdesavtal mellan trafiknämnden/trafik- kontoret Göteborgs Stad och [Ange Personuppgiftsbiträde]
Innehåll
Personuppgiftsbiträdesavtal mellan trafiknämnden/trafikkontoret Göteborgs Stad och [Ange Personuppgiftsbiträde] 1
1. PARTER, PARTERNAS STÄLLNING, KONTAKTUPPGIFTER OCH KONTAKTPERSONER 3
4. DEN PERSONUPPGIFTSANSVARIGES ANSVAR 4
5. PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN 5
8. GRANSKNING, TILLSYN OCH REVISION 6
9. HANTERING AV RÄTTELSER OCH RADERING M.M 7
10. PERSONUPPGIFTSINCIDENTER 7
12. LOKALISERING OCH ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND 8
13. ANSVAR FÖR SKADA OCH SANKTIONSAVGIFTER I SAMBAND MED BEHANDLING 8
15. PUB-AVTALETS AVTALSTID OCH UPPSÄGNING SAMT ÄNDRINGAR OCH TILLÄGG I PUB-AVTALET 9
16. ÅTGÄRDER VID PUB-AVTALETS UPPHÖRANDE 9
17. MEDDELANDEN OCH KONTAKTUPPGIFTER 10
18. PARTERNAS UNDERTECKNANDEN AV PUB-AVTALET 11
Bilaga 1 Instruktioner för hantering av Personuppgifter 12
Bilaga 2 Förteckning över Underbiträden 15
1. PARTER, PARTERNAS STÄLLNING, KONTAKTUPPGIFTER OCH KON- TAKTPERSONER
Personuppgiftsansvarig | Personuppgiftsbiträde |
Trafiknämnden/trafikkontoret, Göteborgs Stad | Ange organisationens fullständiga namn |
Organisationsnummer | Organisationsnummer |
212000-1355 | Ange organisationsnummer |
Postadress | Postadress |
Box 2403 Xxxxxxxxxxxx 00 000 00 Xxxxxxxx | Ange organisationens postadress |
Kontaktperson för administration av detta Personuppgiftsbiträdesavtal | Kontaktperson för administration av detta Per- sonuppgiftsbiträdesavtal |
Namn: Ange kontaktpersonens (handläggarens) för- och efternamn E-post: Ange kontaktpersonens e-post Tfn: Ange kontaktpersonens telefonnummer | Namn: Ange kontaktpersonens för- och efternamn E-post: Ange kontaktpersonens e-post Tfn: Ange kontaktpersonens telefonnummer |
Utöver de begrepp som definieras i löptext, i detta Personuppgiftsbiträdesavtal, ska dessa definitioner oavsett om de används i plural eller singular, i bestämd eller obestämd form, ha nedanstående innebörd när de anges med versal som begynnelsebokstav. I de fall defi- nitionerna återfinns i Allmänna dataskyddsförordningen EU 2016/679, härefter Data- skyddsförordningen, hänvisas dit.
Behandling | Se art. 4 Dataskyddsförordningen. |
Dataskyddslagstiftning | Avser all integritets- och personuppgiftslagstiftning, samt all annan even- tuell lagstiftning (inklusive förordningar och föreskrifter), som är tillämp- lig på den personuppgiftsbehandling som sker enligt detta PUB-avtal, in- klusive nationell sådan lagstiftning och EU-lagstiftning. |
Personuppgiftsansvarig | Se art. 4 Dataskyddsförordningen. |
Instruktion | De skriftliga Instruktioner som närmare anger föremål, varaktighet, art och ändamål, typ av Personuppgifter samt kategorier av Registrerade och särskilda behov som omfattas av Behandlingen. |
Logg | Logg är resultatet av Loggning. |
Loggning | Loggning är ett kontinuerligt insamlande av uppgifter om den Behandling av Personuppgifter som utförs enligt detta PUB-avtal och som kan knytas till en enskild fysisk person. |
Känsliga Personuppgif- ter | Se särskilda kategorier Personuppgifter enligt art. 9 Dataskyddsförord- ningen. |
Personuppgiftsbiträde | Se art. 4 Dataskyddsförordningen. |
Personuppgift | Se art. 4 Dataskyddsförordningen |
Personuppgiftsincident | Se art. 4 Dataskyddsförordningen. |
Registrerad | Fysisk person vars Personuppgifter Behandlas. |
Tredje land | En stat som inte ingår i Europeiska unionen (EU) eller inte är ansluten till Europeiska ekonomiska samarbetsområdet (EES). |
Underbiträde | Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som i egenskap av underleverantör till Personuppgiftsbiträdet Be- handlar Personuppgifter för Personuppgiftsansvariges räkning. |
3.1 Med detta Personuppgiftsbiträdesavtal inklusive dess bilagor (”PUB-avtalet”) reglerar den Personuppgiftsansvarige Personuppgiftsbiträdets Behandling av Personuppgifter åt den Personuppgiftsansvarige. PUB-avtalets syfte är att säker- ställa den Registrerades fri- och rättigheter vid Behandlingen, i enlighet med vad stadgas i Allmänna dataskyddsförordningen EU 2016/679 (”Dataskyddsför- ordningen”), art. 28.3.
3.2 Den Personuppgiftsansvarige utser härmed Personuppgiftsbiträdet att utföra Be- handlingen för den Personuppgiftsansvariges räkning enligt vad som stadgas i detta PUB-avtal.
3.3 Personuppgiftsbiträdet ska utföra Behandling av Personuppgifter åt den Person- uppgiftsansvarige för ändamålet att tillhandahålla tjänsterna i enlighet med Ange namn och dnr på Huvudavtal/Huvudavtalen
3.4 PUB-avtalet och Huvudavtalet är inbördes avhängiga och kan inte sägas upp var för sig annat än enligt detta PUB-avtal punkt 15.2, 15.3 och 15.4. PUB-avtalet kan dock, utan att Huvudavtalet sägs upp, ersättas av ett annat giltigt PUB-avtal.
3.5 Om det skulle uppstå mot varandra stridande bestämmelser eller uppgifter mel- lan PUB-avtalet och Huvudavtalet gäller PUB-avtalet framför Huvudavtalet av- seende villkor om Behandlingen.
3.6 Villkor i PUB-avtalet kan inte undanta Personuppgiftsbiträdet från skyldigheter som Personuppgiftsbiträdet har enligt Dataskyddsförordningen eller annan lag- stiftning.
4. DEN PERSONUPPGIFTSANSVARIGES ANSVAR
4.1 Den Personuppgiftsansvarige ansvarar för att det vid var tid finns laglig grund för Behandlingen och för att utforma korrekta Instruktioner så att Personupp- giftsbiträdet och Underbiträdet kan fullgöra sitt eller sina uppdrag enligt detta PUB-avtal och Huvudavtal i förekommande fall.
4.2 Den Personuppgiftsansvarige ska utan onödigt dröjsmål informera Personupp- giftsbiträdet om förändringar i Behandlingen vilka påverkar Personuppgiftsbi- trädets skyldigheter enligt Dataskyddslagstiftningen.
4.3 Den Personuppgiftsansvarige ansvarar för att informera Registrerade om Be- handlingen och för att tillvarata Registrerades rättigheter enligt Dataskyddslag- stiftningen samt vidta varje annan åtgärd som åligger den Personuppgiftsansva- rige enligt Dataskyddslagstiftningen.
4.4 Den Personuppgiftsansvarige har ansvar och skyldighet att bestämma ändamål och medel för Behandlingen.
5. PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN
5.1 Personuppgiftsbiträdet förbinder sig att endast utföra Behandlingen i enlighet med PUB-avtalet och Instruktioner samt att följa Dataskyddslagstiftningen. Per- sonuppgiftsbiträdet förbinder sig även att fortlöpande hålla sig informerad om gällande rätt på området.
5.2 Personuppgiftsbiträdet ska vidta åtgärder för att skydda Personuppgifterna mot alla slag av Behandlingar som inte är förenliga med PUB-avtalet, Instruktioner och Dataskyddslagstiftningen.
5.3 Personuppgiftsbiträdet åtar sig säkerställa att samtliga fysiska personer som ar- betar under dess ledning följer PUB-avtalet och Instruktioner samt att de fysiska personerna informeras om relevant lagstiftning.
5.4 Personuppgiftsbiträdet ska på begäran från den Personuppgiftsansvarige bistå denne med att säkerställa att skyldigheterna enligt Dataskyddsförordningen, art. 32-36, fullgörs och svara på begäran om utövande av den Registrerades rättig- heter i enlighet med Dataskyddsförordningen, kap. III, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå.
5.5 För det fall att Personuppgiftsbiträdet finner att Instruktioner är otydliga, i strid med Dataskyddslagstiftningen eller saknas och Personuppgiftsbiträdet bedömer att nya eller kompletterande Instruktioner är nödvändiga för att genomföra sina åtaganden ska Personuppgiftsbiträdet utan dröjsmål informera den Personupp- giftsansvarige, tillfälligt upphöra med Behandlingen och invänta nya Instrukt- ioner.
6.1 Personuppgiftsbiträdet ska vidta alla tekniska och organisatoriska säkerhetsåt- gärder som krävs för att förhindra Personuppgiftsincidenter, genom att säker- ställa att Behandlingen uppfyller kraven i Dataskyddsförordningen och att den Registrerades rättigheter skyddas.
6.2 Personuppgiftsbiträdet ska fortlöpande säkerställa att den tekniska och organi- satoriska säkerheten i samband med Behandlingen medför en adekvat nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft. Vid behandling av Känsliga Personuppgifter är kravet på åtgärder högre för att uppnå ett adekvat säkerhetsskydd.
6.3 Eventuella tillkommande eller ändrade krav på skyddsåtgärder från den Person- uppgiftsansvarige, efter parternas tecknande av PUB-avtalet, ska betraktas som nya Instruktioner enligt PUB-avtalet.
6.4 Personuppgiftbiträdet ska genom behörighetskontrollsystem endast ge åtkomst till Personuppgifterna för sådana fysiska personer som arbetar under Personupp- giftsbiträdets ledning och som behöver åtkomsten för att kunna utföra sina ar- betsuppgifter.
6.5 Personuppgiftsbiträdet åtar sig att kontinuerligt Logga åtkomst till Personupp- gifterna enligt PUB-avtalet i den utsträckning det är nödvändigt och krävs enligt
Instruktionen. Loggar får gallras först fem (5) år efter Loggningstillfället om inte annat anges i Instruktionen eller följer av lag. Loggar ska omfattas av erfor- derliga skyddsåtgärder, i enlighet med Dataskyddslagstiftningen.
6.6 Personuppgiftsbiträdet ska systematiskt testa, undersöka och utvärdera effekti- viteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behand- lingens säkerhet.
7.1 Personuppgiftsbiträdet och samtliga fysiska personer som arbetar under dess ledning ska vid Behandlingen iaktta såväl sekretess som tystnadsplikt. Person- uppgifterna får inte nyttjas eller spridas för andra ändamål, vare sig direkt eller indirekt, såvida inte annat avtalats eller följer av lag eller myndighetsbeslut.
7.2 Om Behandlingen inte omfattas av straffsanktionerad tystnadsplikt ska Person- uppgiftsbiträdet tillse att samtliga fysiska personer som arbetar under dess led- ning, vilka deltar i Behandlingen, är bundna av sekretessförbindelse. Motsva- rande bestämmelser om sekretess/tystnadsplikt ska gälla Underbiträde och samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behand- lingen.
7.3 Personuppgiftsbiträdet ska skyndsamt underrätta den Personuppgiftsansvarige om eventuella kontakter med tillsynsmyndighet eller den Registrerade avseende Behandlingen. Personuppgiftsbiträdet har inte rätt att företräda den Personupp- giftsansvarige eller agera för den Personuppgiftsansvariges räkning gentemot tillsynsmyndigheter eller den Registrerade i frågor avseende Behandlingen.
8. GRANSKNING, TILLSYN OCH REVISION
8.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål, på den Personuppgiftsansva- riges begäran, tillhandahålla den information om tekniska och organisatoriska säkerhetsåtgärder som den Personuppgiftsansvarige behöver för att kunna fast- ställa att Personuppgiftsbiträdet uppfyller sina åtaganden enligt PUB-avtalet och Dataskyddsförordningen, art. 28.3 h.
8.2 Personuppgiftsbiträdet åtar sig att minst en (1) gång om året granska säkerheten avseende Behandlingen genom en egenkontroll för att säkerställa att Behand- lingen följer PUB-avtalet. Resultatet av sådan egenkontroll ska på begäran del- ges den Personuppgiftsansvarige.
8.3 Den Personuppgiftsansvarige äger rätt att, själv eller genom annan av denne ut- sedd tredje part (som inte får vara en konkurrent till Personuppgiftsbiträdet), följa upp att Personuppgiftsbiträdet uppfyller PUB-avtalets, Instruktionernas och Dataskyddslagstiftningens krav. Personuppgiftsbiträdet ska vid sådan granskning i skälig omfattning bistå den Personuppgiftsansvarige, eller den som utför granskningen i den Personuppgiftsansvariges ställe, med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna granska Personuppgiftsbiträdets efterlevnad av PUB-avtalet, Instruktioner och Dataskyddslagstiftningen. Den Personuppgiftsansvarige ska säkerställa att per- sonal som genomför granskningen är underkastade sekretess eller tystnadsplikt enligt lag eller avtal.
8.4 Personuppgiftbiträdet ska bereda tillsynsmyndighet, eller annan myndighet som har laglig rätt till det, möjlighet att göra tillsyn enligt myndighetens begäran i enlighet med vid var tid gällande lagstiftning samt bistå med förmedling av den information som begärs enligt myndighetsbeslut eller omfattas av lagkrav.
9. HANTERING AV RÄTTELSER OCH RADERING M.M.
9.1 För det fall den Personuppgiftsansvarige begärt rättelse eller radering på grund av Personuppgiftsbiträdets felaktiga Behandling ska Personuppgiftsbiträdet vidta lämplig åtgärd utan onödigt dröjsmål, senast inom trettio (30) dagar, från det att Personuppgiftsbiträdet mottagit erforderlig information från den Person- uppgiftsansvarige. När den Personuppgiftsansvarige begärt radering får Person- uppgiftsbiträdet endast utföra Behandling av den aktuella Personuppgiften som ett led i processen för radering.
10.1 Personuppgiftsbiträdet ska ha förmåga att återställa tillgängligheten och till- gången till Personuppgifterna i rimlig tid vid en fysisk eller teknisk incident en- ligt Dataskyddsförordningen, art. 32.1 c.
10.2 Personuppgiftbiträdet åtar sig att med beaktande av Behandlingens art, och den information som Personuppgiftsbiträdet har att tillgå, bistå den Personuppgifts- ansvarige med att fullgöra dennes skyldigheter vid en Personuppgiftsincident beträffande Behandlingen. Personuppgiftbiträdet ska på den Personuppgiftsan- svariges begäran även bistå med att utreda misstankar om eventuell obehörigs Behandling och/eller åtkomst till Personuppgifterna.
10.3 Vid Personuppgiftsincidenter, vilka Personuppgiftbiträdet fått vetskap om, ska Personuppgiftsbiträdet utan onödigt dröjsmål skriftligen underrätta den Person- uppgiftsansvarige om händelsen med den vetskap som Personuppgiftsbiträdet har. Underrättelsen ska åtminstone innehålla uppgifter enligt Dataskyddsförord- ningen art. 33.
10.4 Om det inte är möjligt att meddela samtliga uppgifter enligt ovan samtidigt, ska Personuppgiftsbiträdet skriftligen meddela Personuppgiftsansvarig detta samt ange en uppskattad tid för när uppgifterna kan delges.
11.1 Personuppgiftsbiträdet ansvarar fullt ut för Underbiträdets Behandling gentemot den Personuppgiftsansvarige och för att Underbiträdet har kapacitet och för- måga att uppfylla sina skyldigheter enligt Dataskyddslagstiftningen.
11.2 Om Personuppgiftsbiträdes anlitar ett Underbiträde ansvarar Personuppgiftsbi- trädet för att teckna ett Personuppgiftsbiträdesavtal med Underbiträdet där Un- derbiträdet åläggs samma skyldigheter som Personuppgiftsbiträdet åläggs enligt detta PUB-avtal.
11.3 Vid anlitande av Underbiträde ska Personuppgiftsbiträdet skriftligen meddela den Personuppgiftsansvarige om
1. Underbiträdets namn, organisationsnummer och säte (adress och land),
2. vilken typ av uppgifter och kategorier av Registrerade som behandlas,
3. var Personuppgifterna ska behandlas.
11.4 Om Personuppgiftsbiträdes anlitar ett Underbiträde ansvarar Personuppgiftsbi- trädet för att teckna ett Personuppgiftsbiträdesavtal med Underbiträdet där Un- derbiträdet åläggs samma skyldigheter som Personuppgiftsbiträdet åläggs enligt detta PUB-avtal.
11.5 Den Personuppgiftsansvarige äger inom 30 dagar rätt att invända mot Person- uppgiftsbiträdets anlitande av ett nytt Underbiträde och att, med anledning av sådan invändning, säga upp detta PUB-avtal att upphöra i enlighet med vad stad- gas i PUB-avtalet, punkt 15.4.
11.6 När Personuppgiftsbiträdet upphör med att anlita Underbiträdet ska Personupp- giftsbiträdet skriftligen meddela den Personuppgiftsansvarige om att det upphör med att anlita Underbiträdet.
12. LOKALISERING OCH ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND
12.1 Personuppgiftsbiträdet ska säkerställa att Behandlingen sker inom EU/EES av en fysisk eller juridisk person som är etablerad inom EU/EES, såvida inte Per- sonuppgiftsansvarige på förhand skriftligen godkänt att Behandlingen får ske utanför EU/EES.
12.2 Överföring till Tredje land för Behandling får endast ske om den är förenlig med Dataskyddslagstiftningen och uppfyller de krav på Behandlingen vilka ställs i PUB-avtalet och Instruktioner.
13. ANSVAR FÖR SKADA OCH SANKTIONSAVGIFTER I SAMBAND MED BEHANDLING
13.1 Vid ersättning för skada i samband med Behandling som, genom fastställd dom eller förlikning, ska utgå till den Registrerade på grund av överträdelse av be- stämmelse i PUB-avtalet, Instruktioner och/eller tillämplig bestämmelse i Data- skyddslagstiftningen ska art. 82 i Dataskyddsförordningen tillämpas.
13.2 Sanktionsavgifter enligt Dataskyddsförordningen, art. 83, eller Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning 6 kap. 2 § ska bäras av den av PUB-avtalets parter som har utfört eller beställt Behandling i strid med detta PUB-avtal, Dataskyddsförordningen eller Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning för vilket sankt- ionsavgift utdöms för, oavsett vilken av parterna som av tillsynsmyndighet har påförts sanktionsavgift.
13.3 Om endera part får kännedom om omständighet som kan leda till skada eller personuppgiftsincident för motparten ska parten omedelbart informera motpar- ten om förhållandet och aktivt arbeta tillsammans med motparten för att för- hindra och minimera sådan skada.
13.4 Personuppgiftsbiträdet ansvarar fullt ut mot den Personuppgiftsansvarige för Underbiträdets Behandling i strid med villkor och bestämmelser i detta PUB- avtal, Dataskyddsförordningen eller Lag (2018:218) med kompletterande be- stämmelser till EU:s dataskyddsförordning, för vilket utdöms ersättning eller sanktionsavgift.
13.5 Oaktat vad sägs i Huvudavtalet gäller detta PUB-avtal, bestämmelser enligt punkter 13.1 - 13.5, före andra regler om fördelning mellan Parterna av krav sinsemellan såvitt avser Behandlingen.
14.1 För detta avtal gäller svensk rätt. Eventuell tolkning eller tvist i anledning av PUB-avtalet, som parterna inte kan lösa på egen hand, ska avgöras av svensk allmän domstol.
15. PUB-AVTALETS AVTALSTID OCH UPPSÄGNING SAMT ÄNDRINGAR OCH TILLÄGG I PUB-AVTALET
15.1 PUB-avtalet gäller från och med datum för undertecknande från behörig före- trädare för båda parter och gäller därefter tillsvidare så länge som Behandlingen sker på uppdrag från den Personuppgiftsansvarige.
15.2 PUB-avtalet upphör vid samma tidpunkt som Huvudavtalet utan särskild upp- sägning. PUB-avtalet kan dock upphöra utan att Huvudavtalet upphör såvida ingen Behandling sker i Huvudavtalet. Uppsägning av endast PUB-avtalet ska i sådana fall ske skriftligen för bindande verkan. För verkan vid uppsägning se avsnitt 16.
15.3 PUB-avtalet ska vara gällande så länge som Behandling utförs av Personupp- giftsbiträdet. Oavsett uppsägning av Huvudavtalet eller PUB-avtalet ska PUB- avtalets villkor vara gällande till dess att all Behandling av Personuppgiftsbiträ- det och/eller eventuella Underbiträden upphört.
15.4 Om den Personuppgiftsansvarige invänder mot Personuppgiftsbiträdets anli- tande av ett nytt Underbiträde, enligt detta PUB-avtal, punkt 11.5 har den Per- sonuppgiftsansvarige rätt att säga upp PUB-avtalet att upphöra med omedelbar verkan. Om Personuppgiftsbiträdet Behandlar Personuppgifterna efter den tid- punkt som anges i punkt 16.2 gäller vad stadgas i punkter 16.3-16.4.
15.5 Endera part i PUB-avtalet äger rätt att påkalla omförhandling av PUB-avtalet om motpartens ägarförhållanden ändras väsentligt eller om tillämplig lagstift- ning, eller tolkningen av den, ändras på ett för Behandlingen avgörande sätt. Påkallande av omförhandling enligt första meningen innebär inte att PUB-avta- let till någon del upphör att gälla utan endast att en omförhandling om PUB- avtalet ska påbörjas.
15.6 Tillägg till, och ändringar i, PUB-avtalet ska vara skriftliga och undertecknade av båda parter för bindande verkan.
15.7 När någon av parterna får kännedom om att motparten agerar i strid med PUB- avtalet, Instruktioner och/eller Dataskyddslagstiftningen, ska parten utan dröjs- mål meddela motparten om agerandet. Därefter äger parten rätt att med omedel- bar verkan upphöra att utföra sina förpliktelser enligt PUB-avtalet till den tid- punkt motparten förklarat att agerandet upphört och förklaringen accepterats av den part som påtalat agerandet.
16. ÅTGÄRDER VID PUB-AVTALETS UPPHÖRANDE
16.1 Vid uppsägning av PUB-avtalet ska den Personuppgiftsansvarige utan onödigt dröjsmål begära att Personuppgiftsbiträdet överlämnar samtliga Personuppgifter
till den Personuppgiftsansvarige eller raderar dem, enligt dennes önskemål, så- vida inte Personuppgiftsbiträdet är tvingad att behålla Personuppgifter med stöd av lag eller myndighetsbeslut. Om Personuppgifterna överlämnas ska det ske i ett öppet och standardiserat format. Med samtliga Personuppgifter avses alla Personuppgifter vilka har omfattats av Behandlingen samt annan tillhörande in- formation såsom Loggar, Instruktioner, systemlösningar, beskrivningar och andra handlingar som Personuppgiftsbiträdet erhållit genom informationsutbyte enligt PUB-avtalet.
16.2 Överlämning och radering enligt PUB-avtalet, punkt 16.1, ska vara utförda sen- ast trettio (30) dagar räknat från den tidpunkt uppsägningen har gjorts enligt detta PUB-avtal, punkt 16.1, eller annat datum som Personuppgiftsansvarige har angett. Personuppgiftsbiträdet ansvarar för att säkerställa att samtliga Person- uppgifter har överlämnats till Personuppgiftsansvarige innan radering sker.
16.3 Behandling som utförs av Personuppgiftsbiträdet efter den tidpunkt som stadgas i PUB-avtalet punkt 16.2 är att betrakta som en otillåten Behandling
16.4 Bestämmelser om sekretess/tystnadsplikt i PUB-avtalet 7. kap. ska fortsätta gälla även om PUB-avtalet i övrigt upphör av gälla.
17. MEDDELANDEN OCH KONTAKTUPPGIFTER
17.1 Meddelanden inom ramen för PUB-avtalet och dess administration ska ske skriftligen och skickas till respektive parts kontaktperson för PUB-avtalet enligt punkt 1.
17.2 Varje part ansvarar för att de uppgifter som anges i PUB-avtalet 1 kap. alltid är aktuella.
18. PARTERNAS UNDERTECKNANDEN AV PUB-AVTALET
18.1 Detta PUB-avtal tillhandahålls i två likalydande exemplar varav parterna har tagit varsitt.
18.2 Undertecknande av PUB-avtalet Personuppgiftsansvariges undertecknande av PUB-avtalet
Ort | Datum | |
Göteborg | [Ange datum] | |
[Ange namn och befattning] | ||
Undertecknande | Namnförtydligande/befattning |
Personuppgiftsbiträdets undertecknande av PUB-avtalet
Ort | Datum | |
[Ange ort] | [Ange datum] | |
Undertecknande | Namnförtydligande/befattning |
Bilaga 1 Instruktioner för hantering av Personuppgifter
Utöver vad som redan framgår av PUB-avtalet och tillhörande Huvudavtal, ska Personuppgifts- biträdet följa nedanstående Instruktioner.
Personuppgiftsbiträdet ansvarar även för att Underleverantör behandlar Personuppgifter enligt dessa Instruktioner, Huvudavtalet och Tillämplig lag.
Ändamål och beskrivning av Behandling
Ange samtliga ändamål och ge en kort beskrivning av behandlingen. Exempel: behandling sker för administrering av ansökningar om parkeringstillstånd.
Kategorier av Personuppgifter
Ange samtliga kategorier av Personuppgifter som behandlas. Exempel: Namn, efternamn, per- sonnummer, adress, kontaktuppgifter såsom telefonnummer, e-postadress.
Behandlas Känsliga Personuppgifter: ☐JA ☐NEJ
Följande kategorier av Känsliga Personuppgifter behandlas
Ange samtliga kategorier av Känsliga Personuppgifter som behandlas
Kategorier av Registrerade
Ange samtliga kategorier av Registrerade. Exempel: Personal, arbetssökande, webbesökare, befintliga kunder, potentiella kunder, konsulter, partners etc.
Överföring av Personuppgifter till Tredje land utanför EU/EES
Välj ett objekt. Om överföring utanför EU/EES ange till vilket land och under vilka villkor.
Tid för behandling samt upphörande av behandling
Ange tid för behandling och hantering vid upphörande av behandling. Exempel: Personupp- gifter ska behandlas tillsvidare dock endast så länge som ändamålet med Behandlingen enligt Huvudavtalet kvarstår. När ändamål med Behandling har upphört ska Personuppgifterna rade- ras eller återlämnas på den Personuppgiftsansvariges begäran inom 60 dagar och i övrigt en- ligt Personuppgiftsansvariges Instruktioner.
Typ av Behandling och eventuella hanteringskrav
Ange vilka typer av hantering Personuppgiftsbiträdet ska utföra. Exempel: Insamling av adresser, registrering av namn, lagring av bilder
Ange om några särskilda hanteringskrav finns. Exempel:
• Personuppgifter ska gallras efter x år.
• Säkerhetskopior får inte sparas längre än x år.
• Biträdet får endast publicera information på webbplats x som innehåller förnamn.
• Se Huvudavtal s. XX
Teknisk och organisatoriska säkerhetsåtgärder
Personuppgiftsbiträdet ska tillse att all Behandling alltid sker med en adekvat säkerhetsnivå. Ange tillägg om relevant – annars ta bort. Exempel:
Personuppgiftsbiträdet ska särskilt beakta att Behandlingen omfattar:
• En stor mängd Personuppgifter tillhörande ett stort antal Registrerade
• Innehåller Känsliga Personuppgifter som omfattas av Dataskyddsförordningens art.9 om särskilda kategorier av Personuppgifter
Personuppgiftbiträdet ansvarar för att se till att en adekvat säkerhetsnivå för Behandlingen upprätthålls och att själv bedöma vilka tekniska och organisatoriska säkerhetsåtgärder som sammantaget krävs vid var tid för att upprätthålla säkerhetsnivån.
Personuppgiftsbiträdet ska dock minst alltid vidta följande åtgärder:
A- Säkerhetsåtgärder när Personuppgiftsbiträdet hanterar Personuppgifter på/i den Per- sonuppgiftsansvariges lagringsytor och system:
• Sekretessklausuler i anställningsavtal.
• Kontinuerlig säkerhetsutbildning av personal.
• Dokumenterade rutiner som tydligt kan visa på att de särskilda säkerhetskraven enligt denna bilaga följs.
• Behandling får endast utföras i system, lagringsytor och miljöer som den Personupp- giftsansvarige anvisar och tillhandahåller.
• Personliga användaridentiteter och lösenord som tillhandahålls av den Personuppgifts- ansvarige ska användas
• Personuppgiftsbiträdet ska inte utföra Behandling som försvårar utförandet eller kring- går någon av de säkerhetsåtgärder eller som den Personuppgiftsansvarige beslutar om i syfte att säkerställa ett lämpligt skydd för data i den Personuppgiftsansvariges tillhan- dahållna system, lagringsytor och miljöer.
• Personuppgiftsbiträdet ska delta i genomförandet av de säkerhetsåtgärder som den Personuppgiftsansvarige genomför i den utsträckning de är förenliga och relevanta för utförandet av grunduppdraget enligt Huvudavtalet och PUB-avtalet.
B- Säkerhetsåtgärder när Personuppgiftsbiträdet hanterar Personuppgifter på/i egna lag- ringsytor och system:
• Sekretessklausuler i anställningsavtal.
• Säker datatransport över publika nätverk.
• Uppdaterade brandväggar.
• Virusskydd och kontinuerlig påläsning av säkerhetspatchar.
• Behörighetskontroll för tillgång till system och data där behörigheter begränsas till dem som behöver uppgifterna för sitt arbete.
• Personliga användaridentiteter och lösenord.
• Lagring av Personuppgifter på sätt som möjliggör radering och eller ändring av enskil- das Personuppgifter, vid begäran från Personuppgiftsansvarig såvida inte Personupp- giften särskilt ska arkiveras utifrån en rättslig grund.
• Kontinuerlig säkerhetsutbildning av personal.
• Relevant teknisk infrastruktur och dokumenterade rutiner som tydligt kan visa på att de särskilda säkerhetskraven enligt denna bilaga följs.
C- Säkerhetsåtgärder när Personuppgiftsbiträdet hanterar Känsliga Personuppgifter:
• Kontinuitetsplaner och rutiner för snabb och säker återställning efter Personuppgiftsin- cident.
• Dokumentation om tydliga rutiner för att kontrollera obehörigt intrång, uppgiftsmani- pulering eller uppgiftsförlust.
• Användning av kryptografiska säkerhetsåtgärder.
• Fysiska avgränsningar ska definieras och användas för att skydda områden som inne- håller antingen känslig eller kritisk information och informationsbehandlingsresurser.
• Loggning och kontroll av tillgång till system och databaser.
Ange ytterligare krav på säkerhetsåtgärder om sådana finns. Exempel på ytterligare krav som kan ställas utifrån relevans:
• Backup av databaser samt krypterad backup.
• Produktionsmiljö och backup miljö på fysiskt skilda orter.
• Destruktion av avvecklad lagringsmedia.
• Regelbundna säkerhetstester utförd av extern part (t.ex. penetrationstester).
• Förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och mot- ståndskraft hos informationssystemet samt e-tjänster.
• Förtydligande av Personuppgiftsincidenter, där någon form av obehörig hantering eller annat som leder till Personuppgiftsförlust eller förvanskning, ska utan dröjsmål vid upptäckandet rapporteras till Personuppgiftsansvarig.
Bilaga 2 Förteckning över Underbiträden
Denna bilaga innehåller förteckning över de Underbiträden/Underleverantörer som, vid da- tum för undertecknande av PUB-avtalet har godkänts av den Personuppgiftsansvarige att på uppdrag från Personuppgiftbiträdet behandla Personuppgifter för den Personuppgiftsan- svariges räkning enligt Huvudavtalet.
Underbiträden (bolagsnamn) | All behandling av Personuppgifter sker inom EU/ EES* | Geografisk plats för behandling | Tjänst som tillhan- dahålls av Under- biträde |
Ange fullständigt namn | *med all Behandling menas att samtliga serv- rar, backup, teknisk-och organisatorisk support avseende behandling av Personuppgifter sker inom EU/EES. | Ange de länder där re- spektive bolag är eta- blerat och från vilka personal kan komma att behandla Personuppgif- ter | Specificera kategorier; (exempel Driftpersonal, support mm.) |
[Ange namn] | Ja ☐ Nej ☐ | [Ange plats för be- handling] | [Ange tjänst som tillhandahålls] |
[Ange namn] | Ja ☐ Nej ☐ | [Ange plats för be- handling] | [Ange tjänst som tillhandahålls] |
[Ange namn] | Ja ☐ Nej ☐ | [Ange plats för be- handling] | [Ange tjänst som tillhandahålls] |
[Ange namn] | Ja ☐ Nej ☐ | [Ange plats för be- handling] | [Ange tjänst som tillhandahålls] |
[Ange namn] | Ja ☐ Nej ☐ | [Ange plats för be- handling] | [Ange tjänst som tillhandahålls] |
[Ange namn] | Ja ☐ Nej ☐ | [Ange plats för be- handling] | [Ange tjänst som tillhandahålls] |
[Ange namn] | Ja ☐ Nej ☐ | [Ange plats för be- handling] | [Ange tjänst som tillhandahålls] |