Bilaga X till upphandlingsdokumentet vid upphandling av avfallshämtning

Bilaga X till upphandlingsdokumentet vid upphandling av avfallshämtning


Bilaga X, Personuppgiftsbiträdesavtal


Denna bilaga är ett förslag på personuppgiftsbiträdesavtal. Se det som ett exempel och gör egna anpassningar för att just er upphandling. Sveriges Kommuners och Landstings (SKL:s) Personuppgiftsbiträdesavtal, version 3, 2018-06-27 har använts som utgångspunkt, men exemplen i bilaga 1 har justerats för att passa avfallshämtning. Beroende på vad som ingår i uppdraget och vad entreprenören har tillgång till för uppgifter behöver detta avtal vara mer eller mindre omfattande.


Om entreprenören till exempel endast utför insamlingstjänst och beställaren ansvarar för kundtjänst, registerhållning och abonnentfakturering behöver avtalet inte vara lika omfattande. Avgörande är vad entreprenören behandlar för personuppgifter. SKL har tagit fram checklista för bedömning av personuppgiftsbiträdesavtal m.m., läs mer: xxxxx://xxx.xx/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxxxx.00000.xxxx


Personuppgiftsbiträdesavtal enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/6791


Detta personuppgiftsbiträdesavtal är träffat (datum) mellan:

Kommunnamn (nedan kallad “Personuppgiftsansvarig”), organisationsnummer XXXXXX-XXXX, med adress XXXX

och

Entreprenörsnamn (nedan kallad “Personuppgiftsbiträde”), organisationsnummer XXXXXX-XXXX, med adress XXX (gemensamt benämnda ”Parterna”) har denna dag träffat följande Personuppgiftsbiträdesavtal.


  1. Bakgrund och syfte

1.1 Kommunnamn ansvarar för insamlingen av avfall i Kommunnamn kommun. För insamlingen av avfall anlitas entreprenör. För att kunna utföra uppdraget korrekt krävs tillgång till personuppgifter från Kommunnamns kundregister, vilket medför att det ingår i uppdraget att hantera personuppgifter.


1.2 Detta personuppgiftsbiträdesavtal är en del av ett huvudavtal om tillhandahållandet av tjänster som ingåtts mellan Kommunnamn och Entreprenörsnamn och ska läsas och förstås mot bakgrund av detta. Personuppgiftsbiträdesavtalet reglerar Personuppgiftsbiträdets behandling av personuppgifter för Personuppgiftsansvarigs räkning samt den integritetsnivå som ska uppnås vid behandlingen (nedan kallad behandling/en).

1.3 Detta personuppgiftsbiträdesavtal syftar till att säkerställa de registrerades fri- och rättigheter när Kommunen anlitar ett Personuppgiftsbiträde vid behandling av personuppgifter och till att uppfylla artikel 28.3 Allmänna Dataskyddsförordningen EU 2016/679, i det följande kallad Dataskyddsförordningen.


1.4 Detta personuppgiftsbiträdesavtal reglerar inte Personuppgiftsbiträdets rätt till ersättning för tjänsterna utan denna rätt regleras genom huvudavtalet.


  1. Definitioner 2

Behandling av personuppgifter

Åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Dataskyddslagstiftning








Loggning




Personuppgiftsansvarig

Avser sådan integritets- och personuppgiftslagstiftning samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på den personuppgiftsbehandling som sker under detta avtal, inklusive nationell sådan lagstiftning och EU-lagstiftning, såsom denna kan komma att förändras över tid.


Ett kontinuerligt insamlande av uppgifter om den befattning med personuppgifterna som utförs enligt avtalet och som kan knytas till en enskild fysisk person.


Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

Personuppgiftsbiträde





Personuppgifter










Personuppgiftsincident





Register





Registrerad

Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den Personuppgiftsansvariges räkning.


Varje upplysning som avser en identifierad eller identifierbar fysisk person (registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.


En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.


En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.


Den som personuppgiften avser.

Tredje land

En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.


  1. Behandling av personuppgifter, ändamål och typ av personuppgifter


3.1 Syftet med behandlingen av personuppgifterna (infoga en beskrivning av ändamålet och var uppgifterna finns).

Personuppgiftsbiträdet får endast behandla den Personuppgiftsansvariges personuppgifter i enlighet med detta avtal och tillhörande skriftliga instruktioner för att fullgöra sitt uppdrag åt den Personuppgiftsansvarige.

  1. Personuppgiftsansvariges ansvar

4.1 Den Personuppgiftsansvarige åtar sig att säkerställa att det finns en laglig grund för aktuella behandlingar enligt punkt 3 och att utforma skriftliga instruktioner för att Personuppgiftsbiträdet och eventuella underbiträden ska kunna fullgöra sitt uppdrag enligt detta personuppgiftsbiträdesavtal (bilaga 1).


4.2 Den Personuppgiftsansvarige åtar sig att utan dröjsmål informera Personuppgiftsbiträdet om förändringar i behandlingen vilka påverkar Personuppgiftsbiträdets skyldigheter enligt Dataskyddslagstiftningen eller annan relevant lagstiftning.


4.3 Den Personuppgiftsansvarige ansvarar för att informera registrerade om behandlingarna enligt avtalet och för att, i de fall det krävs, inhämta samtycke från den registrerade samt tillvarata de registrerades rätt till insyn och radering m.m.


  1. Personuppgiftsbiträdets åtaganden

5.1 Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifterna för de syften i enlighet med Personuppgiftsansvarigs instruktioner som anges i bilaga 1 och att följa dataskyddslagstiftningen eller annan relevant lagstiftning med avseende på behandling av personuppgifter samt att hålla sig informerad om gällande rätt på området.


5.2 Personuppgiftsbiträdet ska vidta åtgärder för att skydda personuppgifterna mot alla slag av otillåtna behandlingar.


5.3 Personuppgiftsbiträdet åtar sig att säkerställa att samtliga personer som arbetar under dennes ledning följer vad som framgår av detta personuppgiftsbiträdesavtal och vid var tid gällande instruktion från Personuppgiftsansvarig, samt att de informeras om relevant lagstiftning.


5.4 Personuppgiftsbiträdet ska på begäran från Personuppgiftsansvarig bistå denne vid konsekvensbedömningar och förhandssamråd samt att ta fram information inom ramen för gällande huvudavtal.


5.5 För det fall att Personuppgiftsbiträdet finner att Personuppgiftsansvarigas instruktioner, enligt bilaga 1, är otydliga, olagliga eller saknas, och som Personuppgiftsbiträdet bedömer är nödvändiga för att genomföra sina åtaganden ska denne, utan dröjsmål, informera Personuppgiftsansvarig om detta och invänta nya instruktioner.

  1. Säkerhetsåtgärder

6.1 Personuppgiftsbiträdet åtar sig att vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med dataskyddslagstiftningen eller annan relevant lagstiftning samt vidta eventuella åtgärder som framgår av instruktionerna3 för att skydda personuppgifterna.


6.2 I de fall Personuppgiftsbiträdet behandlar känsliga personuppgifter vilka omfattas av sekretess, kan Personuppgiftsansvarig ställa ytterligare krav på säkerhetsåtgärder.

6.3 Personuppgiftsbiträdet ska ha rutiner och verktyg som förhindrar obehörig behandling av, eller obehörig åtkomst till, personuppgifter. Personuppgiftsbiträdet ska kunna spåra behandlingen av personuppgifter genom loggning. Dessa loggar ska omfattas av erforderliga skyddsåtgärder.

6.4 Personuppgiftsbiträdet ska genom behörighetskontrollsystem aktivt kunna begränsa åtkomsten till personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av avtalen mellan Personuppgiftsbiträdet och Personuppgiftsansvarig.

6.5 Personuppgiftsbiträdet åtar sig att kontinuerligt logga åtkomst till personuppgifter enligt detta avtal i den utsträckning det krävs enligt instruktionen (bilaga 1). Loggar får gallras först fem (5) år efter loggningstillfället om inte annat anges i instruktionerna.


  1. Sekretess

7.1 Personuppgiftsbiträdet och den personal som arbetar under detta personuppgiftsbiträdesavtal ska vid behandling av personuppgifter iaktta såväl handlingssekretess som tystnadsplikt. Personuppgifter som hanteras inom ramen för detta avtal får inte nyttjas eller spridas för andra ändamål, vare sig direkt eller indirekt, om inte Personuppgiftsansvarig skriftligen medgivit detta.

7.2. Personuppgiftsbiträdet ska tillse att samtliga anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar personuppgifterna, är bundna av en sekretessförbindelse. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag. Personuppgiftsbiträdet åtar sig även att tillse att det finns sekretessavtal med eventuella underbiträden samt sekretessförbindelser mellan underbiträdet och dess personal.

7.3 Personuppgiftsbiträdet ska skyndsamt underrätta Personuppgiftsansvarig om eventuella kontakter med tillsynsmyndighet avseende behandling av personuppgifterna. Personuppgiftsbiträdet har inte rätt att företräda personuppgiftsansvarig eller agera för personuppgiftsansvarigs räkning gentemot tillsynsmyndigheter i frågor avseende sådan behandling.

7.4 Om den registrerade, tillsynsmyndighet eller tredje man begär information från Personuppgiftsbiträdet som rör behandling av personuppgifter, ska Personuppgiftsbiträdet informera Personuppgiftsansvarig. Information om behandlingen av personuppgifter får inte lämnas ut till tredje man utan skriftligt medgivande från Personuppgiftsansvarig, såvida det inte framgår av tvingande lag att information ska lämnas.

Personuppgiftsbiträdet ska bistå med förmedling av den informationen som omfattas av ett medgivande eller lagkrav.


  1. Granskning, tillsyn och revision

8.1 Personuppgiftsbiträdet ska utan dröjsmål, på Personuppgiftsansvariges begäran, tillhandahålla all information, t.ex. tekniska och organisatoriska säkerhetsåtgärder som den Personuppgiftsansvarige behöver för att kunna granska och utöva sin insyn i Personuppgiftsbiträdets behandling av personuppgifter som följer av detta Personuppgiftsbiträdesavtal.

8.2 Personuppgiftsbiträdet åtar sig att minst en gång om året revidera säkerheten i personuppgiftsbehandlingen genom en intern revision för att kontrollera att Personuppgiftsbiträdets behandling av personuppgifter följer detta personuppgiftsbiträdesavtal. Resultatet ska på begäran delges Personuppgiftsansvarig.

8.3 Personuppgiftsansvarig äger rätt att, själv eller genom annan av denne utsedd tredje part (som inte får vara en konkurrent till Personuppgiftsbiträdet) följa upp att Personuppgiftsbiträdet lever upp till den Personuppgiftsansvariges krav på behandlingen. Personuppgiftsbiträdet ska vid sådan uppföljning bistå Personuppgiftsansvarig eller den som utför granskningen med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna följa upp Personuppgiftsbiträdets efterlevnad av detta personuppgiftsbiträdesavtal.


8.4 Personuppgiftsbiträdet äger dock rätt att erbjuda alternativa tillvägagångssätt för uppföljning, exempelvis granskning genomförd av oberoende tredje part. Personuppgiftsansvarig ska i sådant fall äga rätt, men inte skyldighet att tillämpa detta alternativa tillvägagångssätt för uppföljning. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge Personuppgiftsansvarig eller en tredje part den assistans som behövs för genomförandet.


8.5 Personuppgiftsbiträdet ska bereda tillsynsmyndighet, eller annan myndighet som det rör eller kan vara av betydelse för behandling av personuppgifter, möjlighet att göra tillsyn på plats.

8.6 Personuppgiftsbiträdet ska även tillförsäkra Personuppgiftsansvarig motsvarande rättigheter i förhållande till anlitade underbiträden.


  1. Rättelse och radering av personuppgifter samt Drift och underhåll

9.1 Personuppgiftsbiträdet åtar sig att utan dröjsmål vidta rättelse av felaktiga eller ofullständiga personuppgifter efter instruktioner från Personuppgiftsansvarig. Efter det att Personuppgiftsansvarig begärt rättelse som innebär borttagande av personuppgift får Personuppgiftsbiträdet endast behandla personuppgiften som ett led i rättelseprocessen och åtar sig att vidta åtgärden utan dröjsmål, dock senast inom 30 dagar.


  1. Personuppgiftsincidenter

10.1 Personuppgiftsbiträdet åtar sig att bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en personuppgiftsincident. Personuppgiftsbiträdet ska tillhandahålla stöd för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till personuppgifterna.

10.2 Vid personuppgiftsincidenter, samt risker för sådana, ska Personuppgiftsbiträdet utan onödigt dröjsmål skriftligen underrätta Personuppgiftsansvarig om händelsen. Personuppgiftsbiträdet ska tillhandahålla Personuppgiftsansvarig en skriftlig beskrivning av personuppgiftsincidenten. En sådan ska redogöra för:

1. personuppgiftsincidentens art och, om möjligt, de kategorier och antalet registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,

2. sannolika konsekvenserna av personuppgiftsincidenten, och

3. åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra personuppgiftsincidentens potentiella negativa effekter.


  1. Underbiträden

11.1. Personuppgiftsbiträdet är skyldig att informera Personuppgiftsansvarig då nya underbiträden anlitas. Personuppgiftsbiträdet åtar sig att teckna avtal och säkerställa att alla underbiträden omfattas av samma villkor som gäller Personuppgiftsbiträdet. Personuppgiftsbiträdet ansvarar fullt ut för de underbiträden som anlitas gentemot Personuppgiftsansvarige.

11.2 Om Personuppgiftsbiträdet avser att anlita Underbiträden ska denne tillhandahålla information om vilken typ av uppgifter och kategorier av registrerade ett visst Underbiträde ska befatta sig med samt dess kapacitet och förmåga att leva upp till sina skyldigheter enligt Dataskyddslagstiftningen och annan relevant lagstiftning med avseende på behandling av personuppgifter.

11.3 Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran översända en kopia på personuppgiftsbiträdesavtalet med underbiträdet.

11.4 Personuppgiftsbiträdet åtar sig även att informera Personuppgiftsansvarig om eventuella planer på att upphöra att använda sig av ett godkänt underbiträde.


  1. Överföring av personuppgifter till tredje land och lokalisering

12.1 Personuppgiftsbiträdet ska tillse att personuppgifterna (hanteras och) lagras inom EU/EES, om inte parterna kommer överens om något annat.

12.2 Personuppgiftsbiträdet äger endast rätt att överföra personuppgifter till tredje land, för exempelvis service, support, underhåll, utveckling, drift eller liknande hantering, om den Personuppgiftsansvarige godkänt sådan överföring och utfärdat särskilda instruktioner (bilaga 1).


12.3 Överföring till tredje land får endast ske om Dataskyddslagstiftningen och annan relevant lagstiftning samt detta avtal med tillhörande instruktioner är uppfyllda.


  1. Ansvar för skada

13.1 Vid ersättning för skada som, genom fastställd dom eller annat beslut, utgått till registrerad på grund av överträdelse av någon bestämmelse i detta avtal, instruktion från Personuppgiftsansvarig eller tillämplig dataskyddsbestämmelse ska artikel 82 Dataskyddsförordningen tillämpas.

13.2 Sanktionsavgifter enligt artikel 83 i Dataskyddsförordningen eller 6 kap. 2 § lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska bäras av den Part som påförts en sådan avgift.

13.3 Om Personuppgiftsansvarig får kännedom om omständighet som kan leda till skadestånd eller betalningsansvar för Personuppgiftsbiträde ska Personuppgiftsansvarig omedelbart informera Personuppgiftsbiträdet om förhållande och aktivt arbeta tillsammans med Personuppgiftsbiträdet för att förhindra och minimera sådant skadestånd eller betalningsansvar.

13.4 Oaktat vad som anges i huvudavtalet och dess bilagor gäller 13.1 och 13.2 före andra regler om fördelning mellan parterna av krav sinsemellan såvitt avser behandling av personuppgifter.


  1. Lagval och tvistlösning

14.1 För detta avtal gäller svensk rätt. Eventuell tolkning eller tvist i anledning av avtalet, som parterna inte kan lösa på egen hand, ska avgöras av svensk allmän domstol.

  1. Tillägg, ändring eller uppsägning av avtal

15.1 Tillägg och ändringar av detta personuppgiftsbiträdesavtal ska, för att vara giltiga, vara skriftliga och undertecknas av båda parter.

15.2 Parterna har rätt att påkalla omförhandling av detta avtal och andra bilagor, för det fall att

  1. motpartens ägarförhållanden ändras väsentligt, eller

  2. tillämplig lagstiftning eller tolkningen av den, ändras på ett sätt som påverkar behandlingen av personuppgifter som omfattas av detta avtal, eller

  3. Personuppgiftsansvarig har invändningar mot anlitande av underbiträde (se 15.5 nedan).

15.3 En begäran om ändring av endera parten innebär inte att Personuppgiftsbiträdesavtalet bryts utan endast att en omförhandling påbörjas.

15.4 Vardera part har rätt att skriftligen säga upp tjänsten om motparten gör sig skyldig till väsentligt brott mot bestämmelse i detta avtal, och underlåter att vidta rättelse inom trettio (30) dagar från mottagande av skriftlig begäran därom från den andra Parten.

15.5 Om den Personuppgiftsansvarige invänder mot ett ev. utbyte av underbiträde har denne rätt att säga upp tjänsten och erhålla återbetalning av erlagda avgifter för kvarvarande period.

15.6 Vid uppsägning av avtalet gäller en uppsägningstid om tre (3) månader.

  1. Avtalstid och upphörande av behandling

16.1 Detta personuppgiftsbiträdesavtal gäller tillsvidare och upphör först när Personuppgiftsbiträdet slutat behandla personuppgifter för Personuppgiftsansvarigs räkning. När Personuppgiftsbiträdes-avtal upphör, oavsett orsak, ska samtliga personuppgifter på begäran av Personuppgiftsansvarig överlämnas till Personuppgiftsansvarig i ett överenskommet standardiserat eller öppet format eller raderas.

16.2 Radering av personuppgifter ska ske omgående om inte annat överenskommits, dock senast inom 30 dagar. Vid överlämning av personuppgifter gäller samma tidsfrist efter det att överlämning skett. Detta gäller även annan tillhörande information såsom, instruktioner, systemlösningar, beskrivningar eller andra handlingar som Personuppgiftsbiträdet erhållit genom informationsutbyte enligt detta personuppgiftsbiträdesavtal

16.3 Personuppgiftsbiträdet ska även lämna ut loggarna till den Personuppgiftsansvarige i överenskommet standardiserat eller öppet format om detta avtal upphör att gälla.


16.4 Bestämmelser om sekretess i punkten 7 ska fortsätta att xxxxx även efter detta personuppgiftsbiträdesavtal i övrigt upphört av gälla.

  1. Övrigt

17.1 Parterna ska utse var sin kontaktperson med ansvar för parternas samarbete. Ändring av kontaktperson eller kontaktuppgifter ska skriftligen meddelas den andra parten.

17.2 Reglering av ersättning med anledning av detta personuppgiftsbiträdesavtal och de eventuella merkostnader Personuppgiftsbiträdet har för att fullgöra sina skyldigheter enligt detta avtal regleras av huvudavtalet.


Biträdesavtal har upprättats i två (2) exemplar, varav parterna har tagit var sitt.


Behörig firmatecknare för Behörig firmatecknare för

Personuppgiftsansvarig Personuppgiftsbiträdet


________________________ ________________________

Ort och datum Ort och datum


________________________ ________________________

Underskrift Underskrift


________________________ ________________________

Namnförtydligande Namnförtydligande









Bilaga 1 till Personuppgiftsbiträdesavtal – Instruktion för hantering av personuppgifter

Utöver vad som redan framgår av detta avtal ska Personuppgiftsbiträdet även följa nedanstående instruktioner:

Personuppgiftsbehandling


Ändamål

Beskriv kortfattat syftet med de personuppgifter som biträdet kommer behandla.


Beskriv var informationen kommer lagras.

(Infoga en beskrivning av samtliga ändamål och var uppgifterna finns).

Personuppgiftsbiträdet kommer att behandla personuppgifter för ändamålet att tillhandahålla tjänsterna i enlighet med upphandlingskontraktet.
Syftet med behandlingen av personuppgifterna är att administrera insamling av hushållsavfall som utförs på entreprenad. Personuppgifter hanteras i XX kommuns verksamhetssystem för ändamålet XXX. Leverantör XXX.

Eller mer specificerat:

Ändamålet med behandlingen av personuppgifter är att tillhandahålla avfallstjänster, vilket innebär att hantera tömning av kärl, fakturera abonnenter, hantera kundkontakt och genomföra kvalitetsuppföljning av de entreprenörer som utför den faktiska avfallshanteringen på uppdrag av XX kommun. Personuppgifter behandlas också för att planera och samordna avfallshanteringen och i övrigt följa upp och kontrollera organisationens uppdrag från XX kommun och YY kommun.

Behandlingen omfattar följande typer av personuppgifter


Ange vilka personuppgifter biträdet kommer ha åtkomst till.

Infoga till exempel;

Följande kategorier kan förekomma i behandlingen av personuppgifter.

  1. Personuppgifter hänförliga till sophämtningsabonnenter, såsom namn, personnummer, adress, fastighetsbeteckning, eventuella kontaktuppgifter, såsom telefonnummer och/eller e-postadress, hämtadress, uppgifter om antal kärl och kärlens storlek, avfallsslag, tömningsfrekvens, eventuell dragväg och hinder.

  2. Uppgifter kan även inhämtas om reklamationer. Även uppgifter som de entreprenörer som utför avfallstjänster på uppdrag av XX:s kommun inhämtat för XX kommuns räkning får behandlas.

  3. Uppgifterna som inhämtas är avläsning av kärlens RFID-kod (Radio Frekvens Identifiering), koordinater för tömningen, samt körlista och körordning. Information kan även inhämtas angående avvikelser från den beställda avfallstjänsten. Till vissa avvikelser kan fotografi förekomma, för att förtydliga vad avvikelsen rör.

Behandlingen omfattar kategorier av registrerade personer

Ange vilka kategorier av registrerade vars uppgifter Personuppgiftsbiträdet har åtkomst till eller kommer behandla.

Infoga till exempel;

Kategorierna av registrerade inkluderar den Personuppgiftsansvariges:

  1. Personal;

Anställda
Konsulter

Användare i IT-systemet (AD-login)

  1. Abonnenter/kunder;

  2. Fler

Ange särskilda hanteringskrav vad gäller personuppgiftsbehandlingen som utförs av Personuppgiftsbiträdet.


Lägg till förtydligande beskrivningar i förekommande fall till exempel avseende gallring

Infoga till exempel;

Exempel 1;

  • Personuppgifter ska gallras efter x år

  • Säkerhetskopior får inte sparas längre än x år

  • Biträdet får endast publicera information på webbplats x som innehåller förnamn.


Exempel 2;

Se huvudavtal rubrik x.x

Ange särskilda tekniska skyddsåtgärder vad gäller personuppgiftsbehandlingen som utförs av Personuppgiftsbiträdet.


Lägg till förtydligande beskrivningar i förekommande fall.

Infoga till exempel;

Exempel 1;

Leverantören ska uppfylla de krav som anges utifrån Personuppgiftsansvariges informationsklassning samt redovisa status för dessa på begäran.


Exempel 2;

Se huvudavtal rubrik x.x

Instruktion för registrering av avvikelser

Infoga till exempel;

Registrering av avvikelser skall ske enligt, vid var tid av Personuppgiftsansvarig fastställd, avvikelsehanteringsplan. I de fall där fritext anges för en avvikelse, så får inte anges stötande text, personliga reflektioner eller annat som inte beskriver problemet anges.

Datauttag i samband med optimering av körturer

Infoga till exempel;

I samband med optimering av körturer erhåller Personuppgiftsbiträdet datautttag i Excelformat över samtliga hämtningstjänster. Detta utdrag får endast användas i samband med ruttoptimeringen och ska raderas efter användandet

Ange särskilda loggningskrav vad gäller personuppgiftsbehandlingen samt vilka som ska tillgång till dem.

Infoga till exempel;

Exempel 1

Loggning av vidtagna förändringar sker i Personuppgiftsansvarigs system XX som finns på server hos XX kommun.

I loggarna framgår:

1. vilka åtgärder som har vidtagits med uppgifter om en registrerad person,

2. det av loggarna vid vilken tidpunkt åtgärderna vidtagits,

3. användarens och den registrerades identitet


Exempel 2;

Inga särskilda krav utöver vad som framgår av huvudavtalet.

Överföring av personuppgifter till tredje land

Om detta är aktuellt infoga infoga till exempel;

Som en del av Personuppgiftsbiträdets fullgörande av tjänsterna som levereras enligt upphandlingskontraktet kan avidentifierade personuppgifter relaterade till supportärenden samt personuppgifter i form av kontaktuppgifter såsom namn, telefonnummer och e-postadress hänförliga till den Personuppgiftsansvariges personal komma att föras över till Personuppgiftsbiträdets underleverantör, se Bilaga 2.

(Ev. underbiträden i USA ska vara anslutna till Privacy Shield.)




Bilaga 2 till personuppgiftsbiträdesavtal - Lista över underbiträden


Inom parentes anges de länder där respektive bolag är etablerat och från vilka personal kan komma att behandla personuppgifter.


Behandla supportärenden, samtal och andra supportförfrågningar från den Personuppgiftsansvarige.


• Ex. Personuppgiftsbiträdet Limited (Storbritannien)

• Ex. Personuppgiftsbiträdet (Irland)

• (Ex. Personuppgiftsbiträdet Corporation (USA))


Upprätta fjärråtkomst till den Personuppgiftsansvariges system för att undersöka och åtgärda tekniska problem.


• Externa bolag (underbiträden):

• Ex. underbiträdet ABC AB (Sverige)

• Ex. underbiträdet CDE AB (Sverige)



Bilaga X, Formulär Genomförande


Frågorna är exempel på vad beställaren kan begära beskrivningar av. Beställaren kan lägga till och ta bort, t.ex. kan beskrivning av kvalitetsarbetet i uppdraget vara en begärd beskrivning.


Anbudsgivare:

Shape1


För genomförande av uppdraget bifogas begärd beskrivning med bilagor och numrering enligt nedan: A1, A2 och så vidare.


Uppdragets genomförande ska beskrivas av anbudsgivaren. Bifoga gärna exempel på det som beskrivs, till exempel hur kraven i upphandlingsdokumentet ska uppnås.



A Organisation


A1) Beskriv hur den lokala etableringen kommer att se ut. Var planerar ni att lokalisera expedition och uppställningsplats för fordon?


A2) Hur kommer arbetsledning för driften att organiseras? Ange antal personer och hur stor del av deras tjänst som kommer att avse detta uppdrag.


A3) Ange hur många personer som kommer att arbeta med insamling av alla förekommande avfallsfraktioner och uppdrag. Ange även hur många timmar per vecka var och en kommer att arbeta.


A4) Vilka stödfunktioner för detta uppdrag finns hos er, t.ex. centralt placerade kvalitets- eller arbetsmiljösamordnare eller administrativ personal?



B Personal


B1) Vilka utbildningar kommer personalen att ha/få under avtalstiden?


B2) Hur kommer företaget att arbeta med anställnings-, bemannings- och vikariefrågor, introduktion av nyanställda samt personalutveckling i detta uppdrag?


B3) Hur kommer företaget att arbeta för jämställdhet och mot diskriminering i detta uppdrag?



C Miljö


C1) Vilka åtgärder kommer att vidtas för att miljöbelastningen i uppdraget ska vara så låg som möjligt?



D Arbetsmiljö

D1) Beskriv hur arbetsmiljöarbetet kommer att bedrivas i detta uppdrag.




E Trafiksäkerhet


E1) Beskriv hur trafiksäkerhetsarbetet kommer att bedrivas i detta uppdrag.



F Entreprenadstart


F1) Beskriv hur företaget avser att planera och organisera arbetet inför starten av uppdraget.



G Fordon och drivmedel


G1) Hur många och vilken typ/funktion av fordon kommer att användas vid utförandet av uppdraget? Ange även eventuella reservfordon.


Bilaga X - Förteckning över utförda liknande uppdrag de senaste tre åren för anbudsgivare ………………………

Fyll i uppgift eller sätt X i rutan. Använd flera sidor om inte en räcker till.


Uppdrag i följande kommuner

Hel eller del av

Avtalstid

Invånarantal som upp-draget avser

Ungefärlig års-omsättning

Mat- och restavfall

Annat avfall

Registre-ring

Kontaktperson

Tfn

kontakt-

person
































































































































































































Beställaren kan lägga till och ta bort i listan, så att det man vill veta om utförda uppdrag ingår.

Koncept till

Upphandlingskontrakt

för avfallshämtning i kommunnamn kommun ååååmmddååååmmdd



1 § PARTER

Beställare:

KOMMUN

Adress

Postadress

Organisationsnummer


Entreprenör:

FÖRETAG

Adress

Postadress

Organisationsnummer


2 § UPPDRAGET

Entreprenören åtar sig att för beställarens räkning utföra avfallshämtning i kommunnamn kommun i överensstämmelse med

  1. detta kontrakt,

  2. inkomna frågor och svar i upphandlingen,

  3. upphandlingsdokumentet daterat åååå-mm-dd,

  4. anbud daterat åååå-mm-dd.


Om det finns motstridiga uppgifter i handlingarna gäller de, om inte omstän­digheterna uppenbarligen föranleder annat, sinsemellan i ovan angiven ordning.


3 § OMFATTNING

Entreprenörens åtagande i denna entreprenad omfattar

  1. hämtning av mat- och restavfall

  2. hämtning av grovavfall

  3. hämtning av trädgårdsavfall

  4. hämtning av latrin

  5. hämtning av elavfall

  6. hämtning av farligt avfall

  7. hämtning av slam från enskilda avloppsanläggningar

  8. hämtning av fettavfall


4 § AVTALSTID

Avtalet träder i kraft åååå-mm-dd och upphör att gälla åååå-mm-dd utan föregående uppsägning. På beställarens begäran förlängs avtalet antingen med tre år direkt eller med ett år i taget. I så fall ska beställaren senast åååå-mm-dd och, om avtalet redan har förlängts med ett år, senast åååå-mm-dd meddela detta.


5 § UNDERENTREPRENÖR

Som underentreprenör för hämtning av x kommer entreprenören att anlita x.



6 § SÄKERHET

Som säkerhet för rätta fullgörandet överlämnar entreprenören till beställaren ett förhandsbesked från bank om säkerhet på xxx kronor i samband med avtalstecknandet. Säkerheten/bankgarantin ska överlämnas till beställaren senast dagen innan avtalet träder i kraft.


Ta med säkerhet om så har krävts i upphandlingsdokumentet. Om tillstånd för transport av avfall ännu inte har kunnat uppvisas för beställaren kan det vara bra att skriva in något om det, se punkt 3.3. i upphandlingsdokumentet.



7 § ERSÄTTNING

De överenskomna ersättningarna framgår av anbud daterat åååå-mm-dd.



8 § ÖVRIGT

Ta med eventuella övriga villkor som behöver vara med.



Detta kontrakt är upprättat i två likalydande exemplar, varav parterna tagit var sitt.



Kommunnamn den ____________________ Ort den ___________________________


För beställaren För entreprenören


____________________________________ __________________________________

Namn Namn

Företag

Titel Titel



Bilaga X, Formulär Kvalificering


Anbudsgivare:

Shape2

Organisationsnummer:

Shape3

Förteckning över liknande uppdrag (beställarens bilaga X ifylld), bilaga nr:

Shape4

Referenser, bilaga nr:

Shape5

Anbudsgivarens kvalitetssäkringssystem, bilaga nr:

Shape6

Anbudsgivarens miljöledningssystem, bilaga nr:

Shape7

Eventuell underentreprenör, bilaga nr:

Shape8

Kopior på aktuella tillstånd för transport av avfall, bilaga nr:

Shape9

Förfrågningar angående anbud ska ställas till:

Namn:

Shape10

E-postadress:

Shape11

Telefon: Mobil:

Shape12

Tilldelningsbeslutet ska skickas till följande e-postadress:


Shape13

Härmed bekräftas att alla krav enligt upphandlingsdokumentet punkt 3.1-3.3 uppfylls och att samtliga krav på tjänsten samt avtalsvillkoren i övrigt kommer att uppfyllas.


Underskrift av behörig företrädare för anbudsgivaren:



Shape14

Namnförtydligande:

Shape15



1 Allmänna Dataskyddsförordningen EU 2016/679 föreskriver att det ska finnas ett skriftligt avtal om Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning.

2 Jfr. artikel 4 Allmänna dataskyddsförordningen EU 2016/679

3 Om huvudavtalet innebär att sekretessreglerade uppgifter ska göras tekniskt tillgängliga för en aktör som inte behöver ta del av uppgifterna i fråga, bör avtalet utformas så att det är osannolikt att tjänsteleverantören eller någon annan obehörig faktiskt kommer att ta del av uppgifterna. I en sådan situation bör uppgifterna inte betraktas som röjda i offentlighets- och sekretesslagens mening.



Document Metadata

Filed: May 4th, 2018