MALL för avtal om gemensamt personuppgiftsansvar 1
MALL för avtal om gemensamt personuppgiftsansvar 1
[Detta avtal utgör en bilaga till Huvudavtalet XXX, dnr: XXX. ]
[Gulmarkerad text inom hakparenteser tas bort innan avtalet upprättas.]
[Detta dokument är en mall för ett avtal om ett gemensamt personuppgiftsansvar enligt den nämnda bestämmelsen. Personuppgiftsansvariga behöver modifiera och anpassa utkastet utifrån de specifika förutsättningarna i avtalsförhållandet. Avtal upprättade enligt denna mall ska läsas tillsammans med Huvudavtalet.]
Innehåll
1. Parter, kontaktuppgifter och kontaktpersoner 2
6. Personuppgiftsansvariges generella åtaganden 4
7. Överföring till och Behandling av personuppgifter i tredje land 5
8. Registrerades rättigheter och information 5
11. Skyldigheter efter detta avtals upphörande 8
13. Ansvar för skada i samband med Behandling 8
Parterna i detta avtal framgår av bilaga 1 och kommer nedan benämnas som Parter respektive Parterna.
Utöver de begrepp som definieras i löptext, i detta avtal, ska dessa definitioner, oavsett om de används i plural eller singular, i bestämd eller obestämd form, ha nedanstående innebörd när de anges med versal som begynnelsebokstav.
Behandling
En åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Dataskyddslagstiftningen
Avser all vid var tid gällande integritets- och personuppgiftslagstiftning, samt annan lagstiftning, förordningar och föreskrifter som är tillämpliga på den Behandling som sker enligt detta avtal, inklusive nationell sådan lagstiftning och EU-lagstiftning.
Personuppgiftsansvarig
Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamål och medlen för Behandlingen av Personuppgifter.
Personuppgiftsbiträde
Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.
Personuppgift
Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgiftsincident
En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.
Registrerad
Fysisk person vars Personuppgifter Behandlas.
Tredje land
En stat som inte ingår i Europeiska unionen (EU) eller inte är ansluten till Europeiska ekonomiska samarbetsområdet (EES).
3.1 Detta avtal har till syfte att fastställa ansvarsfördelningen mellan två eller flera Personuppgiftsansvariga i samband med Parternas gemensamma Behandling av Personuppgifter.
3.2 Avtalet är utformat med beaktande av kraven i artikel 26 i EU:s dataskyddsförordning (EU) 2016/679 (”Dataskyddsförordningen”).
3.3 Detta avtal kan utgöra ett av flera avtalsdokument inom ramen för ett avtalsförhållande. I dessa fall är detta avtal en bilaga till den huvudsakliga överenskommelsen, som benämns ”Huvudavtalet” .
3.4 Detta avtal tecknas med anledning av att Parterna har nått en överenskommelse som framgår av Huvudavtalet. Överenskommelsen innebär att Parterna gemensamt kommer att behandla personuppgifter.
3.5 För det fall något av det som stadgas i detta avtal regleras på annat sätt i Huvudavtalet, ska Huvudavtalets reglering ha företräde när det gäller punkt 5.1, 12.1 och 15.1.
3.6 Dataskyddsrättsliga begrepp används med samma innebörd som i Dataskyddsförordningen.
3.7 Behandlingar som Part har ett självständigt Personuppgiftsansvar för regleras inte i detta avtal.
4.1 Beskrivning av Datadelningsförhållandet framgår av bilaga 2.
5.1 Detta avtal gäller från och med den tidpunkt det undertecknats av samtliga Parter och tills vidare. Parterna äger ömsesidig rätt att säga upp detta avtal med trettio (30) dagars varsel eller annan tid som Parterna kommer överens om.
5.2 Detta avtal är giltigt under tid som Huvudavtalet är giltigt, samt under den efterföljande tid som krävs för att Parterna ska kunna uppfylla sina kvarvarande skyldigheter enligt detta avtal.
5.3 Parternas ansvar enligt punkt 13 gäller även för skada som uppstår efter det att detta avtal upphört att gälla, om skadan inträffat inom ramen för den gemensamma Behandlingen.
6. Personuppgiftsansvariges generella åtaganden
6.1 Part ska följa Dataskyddslagstiftningen vid Behandling av Personuppgifter enligt detta avtal.
Part ansvarar självständigt för att det alltid finns rättslig grund för dennes Behandling av Personuppgifterna. Den rättsliga grunden ska anges av respektive Part i detta avtal, se bilaga 2.
6.2 Parterna ansvarar gemensamt för att kravet i artikel 35 i Dataskyddsförordningen om konsekvensbedömning av dataskydd uppfylls. Parterna är vidare skyldiga att iaktta kraven i artikel 36 Dataskyddsförordningen om förhandssamråd med Integritetsskyddsmyndigheten, när det behövs.
6.3 Respektive Part ska vidta tillräckliga åtgärder inom dennes verksamhet så att verksamheten bedrivs på ett sätt som säkerställer krav på lämpliga tekniska och organisatoriska åtgärder och skydd för den Registrerades rättigheter enligt Dataskyddslagstiftningen.
6.4 Respektive Part åtar sig att i sin verksamhet säkerställa att berörd personal följer detta avtal och att de hålls informerade om innehållet i Dataskyddslagstiftningen.
6.5 Respektive Part garanterar att personer som får tillgång till Personuppgifter har åtagit sig att iaktta tystnadsplikt om personerna i fråga inte omfattas av lagstadgad tystnadsplikt.
7. Överföring till och Behandling av personuppgifter i tredje land
7.1 Om det inom ramen för Parternas gemensamma Behandling kommer att överföras Personuppgifter till Tredje land ansvarar Parterna gemensamt för att det finns en rättslig lösning enligt Dataskyddsförordningen till stöd för överföringen till och Behandling i det landet. I tillämpliga fall ska en Part som omfattas av offentlighets- och sekretesslagen (2009:400) ansvara för att det finns förutsättningar för överföring även enligt den lagen.
7.2 Part som inom ramen för Parternas gemensamma Behandling, utan annan Parts medgivande, har överfört Personuppgifter till och Behandlat Personuppgifter i Tredje land ansvarar fullt ut för skada gentemot den Registrerade enligt punkt 13.2.
8. Registrerades rättigheter och information
8.1 Den Part som har kontaktats av en Registrerad ansvarar för att vidta erforderliga åtgärder avseende den Registrerades rättigheter för Parternas räkning. Detta ska göras med beaktande av typen av Behandling och den information som respektive Personuppgiftsansvarig har att tillgå.
8.2 Parterna ska hantera eventuella klagomål från Registrerade personer rörande Behandling som Parterna enligt detta avtal ansvarar för. Part som mottar ett klagomål som enligt detta avtal ska hanteras av en annan Part, ska så snart som möjligt vidarebefordra detta till Parten i fråga. Den Part som först mottagit klagomålet ska underrätta den Registrerade om att klagomålet hanteras av annan Part till detta avtal.
Den Registrerade måste, i samband med Parts överföring av ett klagomål eller en del därav, informeras av den mottagande Parten om det väsentliga innehållet i detta avtal.
8.3 Parterna har ett gemensamt ansvar för att fullgöra informationsplikten enligt artikel 12–14 i Dataskyddsförordningen.
8.4 När Personuppgifter erhålls från annan än den Registrerade, ska den Part som erhåller
Personuppgifterna lämna den information som behövs enligt artikel 14 i Dataskyddsförordningen till den Registrerade.
9. Personuppgiftsincidenter
9.1 Den Part som i sin verksamhet upptäcker en Personuppgiftsincident rörande Personuppgifter som omfattas av detta avtal ska vidta åtgärder i enlighet med artikel 33 i Dataskyddsförordningen. Upptäcker Part Personuppgiftsincident hos annan Part ska den omedelbart informera den Parten om detta.
9.2 Vid Personuppgiftsincidenter som omfattas av anmälningsplikt enligt artikel 33 i Dataskyddsförordningen och som påverkar den gemensamma Behandlingen av Personuppgifter, ska den Part som fått vetskap om incidenten utan onödigt dröjsmål skriftligen underrätta övriga Parter om incidenten. Part ska, med beaktande av typen av Behandling och den information som respektive Personuppgiftsansvarig har att tillgå, även tillhandahålla övriga Parter en skriftlig beskrivning av Personuppgiftsincidenten.
För det fall det är möjligt ska beskrivningen minst redogöra för:
Personuppgiftsincidentens art och, om möjligt, de kategorier och antalet Registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
de sannolika konsekvenserna av Personuppgiftsincidenten, och
åtgärder som har vidtagits till följd av Personuppgiftsincidenten, förslag för att ytterligare åtgärda Personuppgiftsincidenten samt förslag på åtgärder för att mildra Personuppgiftsincidentens potentiella negativa effekter.
9.3 Om det inte är möjligt att tillhandahålla hela beskrivningen enligt punkt 9.2 samtidigt får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
10. Tillsyn och revision
10.1 Part ska utan dröjsmål informera övriga Parter om eventuella kontakter med tillsynsmyndigheten som rör, eller kan vara av betydelse för, Parternas gemensamma Behandling av Personuppgifter. Åtagandet gäller inte om Part är förhindrad att lämna den aktuella informationen enligt tvingande lagstiftning.
10.2 Part har inte rätt att företräda övriga Parter eller agera för dennes räkning gentemot tillsynsmyndigheten.
10.3 Part äger rätt att själv eller genom en utsedd oberoende tredje part följa upp att annan Part uppfyller detta avtal och Dataskyddsförordningens krav på lämpligt sätt. Part ska när det är möjligt tillmötesgå den granskande Partens önskemål om vilka åtgärder som ska vidtas för att genomföra granskningen.
11. Skyldigheter efter detta avtals upphörande
11.1 Det åligger respektive Part att i samband med Huvudavtalets upphörande gallra personuppgifterna i enlighet med Dataskyddsförordningen, såvida fortsatt Behandling inte krävs enligt bindande regelverk, exempelvis tillämpliga författningar om arkiv. Bestämmelser om tystnadsplikt i punkt 6.5 ska fortsätta gälla även om detta avtal i övrigt upphör att gälla.
12. Ändringar i detta avtal
12.1 Part har rätt att påkalla ändring av detta avtal. Påkallande av omförhandling enligt första meningen innebär inte att avtalet till någon del upphör att gälla utan endast att en omförhandling av det ska påbörjas.
13. Ansvar för skada i samband med Behandling
13.1 Vid ersättning för skada i samband med Behandling som, genom lagakraftvunnet avgörande, skiljedom eller till följd av förlikning som godkänts av berörda Parter i detta avtal, utgått till den Registrerade på grund av överträdelse av bestämmelse i avtalet, och/eller bestämmelse i Dataskyddslagstiftningen, ska artikel 82 Dataskyddsförordningen tillämpas.
13.2 För det fall en Registrerad har bedömts berättigad till sådan ersättning som avses i punkt 13.1 ska Parterna i god anda diskutera orsaken till ersättningen och sinsemellan reglera den procentuella del av ersättningen som respektive Part ska vara ansvarig för. För det fall en Part hålls ansvarig för sådan överträdelse som avses i punkt 13.1 och överträdelsen uteslutande beror på den Parten ska övriga Parter hållas skadeslösa för kostnader, avgifter och andra förluster som de lider på grund av överträdelsen.
13.3 Sanktionsavgifter ska enligt artikel 83 Dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till Dataskyddsförordningen bäras av de av detta avtals Parter som påförts en sådan avgift.
13.4 Part som får kännedom om omständighet som kan leda till skada för någon annan Part ska omedelbart informera Parten i fråga om förhållandet och aktivt arbeta tillsammans med denne för att förhindra och minimera sådan skada.
14. Gemensam kontaktpunkt för Personuppgiftsbiträden
14.1 Parterna ska bestämma att en av Parterna är gemensam kontaktpunkt mot Personuppgiftsbiträden.
15. Tvistelösning
15.1 Vid tolkning och tillämpning av detta avtal gäller svensk rätt med undantag för lagvalsreglerna. Tvister ska avgöras av behörig svensk domstol.
16. Parternas undertecknande av detta avtal
16.1 Detta
avtal tillhandahålls antingen i digitalt format för elektroniskt
undertecknande eller i pappersformat för egenhändigt
undertecknande. I sistnämnda fall upprättas avtalet i flera
likalydande exemplar, varav Parterna erhåller varsitt.
16.2 Om avtalet
undertecknas elektroniskt lämnas signatursidan utan avseende.
_____________
[Resten
av sidan har avsiktligen lämnats tom. Signatursida följer.]
[Ange organisationens fullständiga namn]
Ort och datum:
[Ange ort och datum för
signatur]
______________________________________
Namnförtydligande
______________________________________Signatur
[Ange
organisationens fullständiga namn]
Ort och
datum: [Ange ort och datum för signatur]
__________________________________
Namnförtydligande
______________________________________Signatur
1 Allmänna dataskyddsförordningen EU 2016/679 föreskriver i artikel 26 att om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade.
