personuppgiftsbiträdesavtal MELLAN (Personuppgiftsansvarige) OCH Sveriges akademikers centralorganisation

_______________________________________________________________________

personuppgiftsbiträdesavtal

MELLAN

(Personuppgiftsansvarige)

OCH

Sveriges akademikers centralorganisation

___________________________________________________________________

INNEHÅLL

1. BAKGRUND OCH SYFTE 1

2. Definitioner 1

3. personuppgiftsbiträdets åtaganden 2

4. säkerhet 3

5. sekretess 4

6. underbiträde 4

7. Immateriella rättigheter m.m. 5

8. ersättning 5

9. Avtalstid 5

10. Tvist 5

Personuppgiftsbiträdesavtal

mellan

1. [ ], org. nr. [ ], [adress] (”Personuppgiftsansvarige”),

och

2. Sveriges akademikers centralorganisation, org. nr. 802000-0850, Xxxxx Xxxxxxx 00 00000 Xxxxxxxxx ("Saco” eller "Personuppgiftsbiträdet")

1.BAKGRUND OCH SYFTE

1. Personuppgiftsansvarige och Personuppgiftsbiträdet har ingått en överenskommelse inom vilken Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvariges räkning i och med Personuppgiftsbiträdets drift och underhåll av lokal webbplats åt den Personuppgiftsansvarige. EU:s nya dataskyddsförordning (Europaparlamentets och rådets förordning 2016/679 av den 27 april 2016) uppställer krav på att skriftligt avtal ingås när ett personuppgiftsbiträde ska behandla personuppgifter för en personuppgiftsansvarigs räkning. Detta avtal har till syfte att uppfylla nämnda krav i dataskyddsförordningen. Skyddet för de registrerades personliga integritet är av största vikt för Personuppgiftsansvarige och syftet med detta avtal är vidare att tillse att Personuppgiftsbiträdet behandlar personuppgifterna i enlighet med Personuppgiftsansvariges anvisningar och i enlighet med dataskyddsförordningen, tillämpliga lagar, föreskrifter och branschnormer.

2.Definitioner

2.1Detta avtal har motsvarande definitioner som återfinns i dataskyddsförordningen, vilket bland annat innebär följande.

Med "personuppgifter" avses varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Med "registrerad' avses i detta avtal den som en personuppgift avser.

Med "behandling" en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

3.personuppgiftsbiträdets åtaganden

3.1Personuppgiftsbiträdet förbinder sig att säkerställa att all behandling av personuppgifter sker enligt dataskyddsförordningen, tillämpliga lagar, föreskrifter och branschnormer. Personuppgiftsbiträdet förbinder sig att hålla sig informerad om regelverket avseende dataskydd samt förändringar däri.

3.2Personuppgiftsbiträdet, och den eller de personer som arbetar under dennes ledning, får bara behandla personuppgifter, inklusive överföringar av personuppgifter till ett tredjeland eller en internationell organisation, i enlighet med de skriftliga instruktioner som från tid till annan lämnas av Personuppgiftsansvarige, såvida inte en behandling krävs enligt unionsrätten eller tillämplig nationell rätt som gäller för Personuppgiftsbiträdet. I det sistnämnda fallet ska Personuppgiftsbiträdet informera Personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt tillämplig rätt.

3.3Instruktion för Personuppgiftsbiträdets behandling av personuppgifterna framgår av Bilaga 1 till detta avtal.

3.4För det fall att registrerad, Datainspektionen eller annan tredje man begär information från Personuppgiftsbiträdet som rör behandling av personuppgifter enligt detta avtal, ska Personuppgiftsbiträdet hänvisa till Personuppgiftsansvarige. Personuppgiftsbiträdet får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan uttrycklig instruktion från Personuppgiftsansvarige. Personuppgiftsbiträdet ska bistå Personuppgiftsansvarige med att ta fram information som begärts av Datainspektionen eller av registrerad så att Personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i dataskyddsförordningen.

3.5Personuppgiftsbiträdet ska utan dröjsmål informera Personuppgiftsansvarige om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandlingen av personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvariges räkning gentemot Datainspektionen eller annan tredje man.

3.6Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32–36 (säkerhet för personuppgifter, konsekvensbedömning avseende dataskydd och förhandssamråd) i dataskyddsförordningen fullgörs, med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå.

3.7Personuppgiftsbiträdet ska ge Personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i detta avtal har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Personuppgiftsansvarige eller av en annan revisor som bemyndigats av Personuppgiftsansvarig. Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion strider mot detta avtal, dataskyddsförordningen eller mot andra unionsrättsliga eller nationella dataskyddsbestämmelser.

3.8Personuppgiftsbiträdet ska, när detta avtal upphör att gälla, återlämna samtliga personuppgifter på av Personuppgiftsansvarige angivet medium och se till att det inte finns några personuppgifter kvar hos Personuppgiftsbiträdet eller, enligt skriftlig överenskommelse mellan parterna radera alla data som innehåller personuppgifter, samt skriftligen bekräfta att personuppgifterna har utplånats på samtliga media som har använts för behandlingen på ett sådant sätt att de inte kan återskapas.

4.säkerhet

1. Personuppgiftsbiträdet ska i enlighet med artikel 32 (säkerhet i samband med behandlingen) i dataskyddsförordningen vidta de tekniska och organisatoriska åtgärder som krävs för att skydda personuppgifterna.

2. Personuppgiftsbiträdet ska på begäran av Personuppgiftsansvarige förse Personuppgiftsansvarige med en sammanställning av de tekniska och organisatoriska åtgärderna som har vidtagits.

3. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med hänsyn till den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

4. Åtgärderna omfattar, bl.a.,

4.4.1förmågan att fortlöpande säkerställa sekretess, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och -tjänsterna,

4.4.2förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,

4.4.3ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

4.5Personuppgiftsbiträdet ska under hela avtalstiden upprätthålla en god säkerhet för personuppgifterna. Personuppgifterna ska av Personuppgiftsbiträdet skyddas mot förstöring, förlust, ändring, obehörigt röjande och otillåten tillgång.

4.6Personuppgiftsbiträdet ska bl.a. säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta sekretess enligt punkten 6 nedan eller omfattas av en lämplig lagstadgad tystnadsplikt samt säkerställa att dessa personer endast behandlar personuppgifterna i enlighet med instruktion från Personuppgiftsansvarige, om inte unionsrätten eller tillämplig nationell rätt ålägger denne att göra det.

7. Personuppgiftsansvarige har rätt att vidta nödvändiga åtgärder för att förvissa sig om att Personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som ska vidtas enligt ovan, samt för att förvissa sig om att Personuppgiftsbiträdet verkligen vidtar dessa åtgärder. Personuppgiftsbiträdet åtar sig att se till att Personuppgiftsansvarige får den assistans som skäligen kan krävas för att på ett enkelt sätt ska kunna förvissa sig om detta.

5.sekretess

5.1Personuppgiftsbiträdet förbinder sig att inte till tredje man (med denna benämning menas här utanför Sacofederationen) lämna ut eller eljest röja information om behandling av personuppgifter som omfattas av detta avtal eller annan information som Personuppgiftsbiträdet erhållit till följd av detta avtal eller annan information som Personuppgiftsbiträdet erhållit i sin roll som personuppgiftsbiträde. Personuppgiftsbiträdet åtar sig att inte utnyttja personuppgifterna för egna ändamål.

5.2Åtagandet i punkten 5.1 första meningen gäller inte

1. information som part kan visa var allmänt känd vid tidpunkten för mottagandet, eller

2. information som part föreläggs att utge till myndighet.

5.3Sekretessåtagandet gäller även efter det att detta avtal i övrigt har upphört att gälla.

6.underbiträde

6.1Om Personuppgiftsbiträde önskar anlita ett nytt underbiträde så ska Personuppgiftsansvarig informeras om detta i förväg. Underbiträde ska i skriftligt avtal åläggas samma skyldigheter i fråga om dataskydd som de som anges i detta avtal. Personuppgiftsbiträdet såväl som underbiträde ska ge tillräckliga garantier för att lämpliga tekniska och organisatoriska åtgärder vidtas så att behandlingen uppfyller kraven i detta avtal samt i dataskyddsförordningen. Om underbiträdet inte fullgör sina skyldigheter är Personuppgiftsbiträdet fullt ansvarigt gentemot Personuppgiftsansvarige för utförandet av underbiträdets skyldigheter.

7.Immateriella rättigheter m.m.

7.1Samtliga immateriella rättigheter till samlingen av personuppgifter tillkommer Personuppgiftsansvarige och Personuppgiftsansvarige upplåter endast en icke-exklusiv rätt för Personuppgiftsbiträdet att nyttja personuppgifterna för utförandet av uppdrag enligt detta avtal.

8.ersättning

8.1Personuppgiftsbiträdet har inte rätt till särskild ersättning för behandling av personuppgifter enligt detta avtal.

9.Avtalstid

9.1Avtalet gäller från dess undertecknande och så länge Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvariges räkning.

10.Tvist

10.1Tvist angående tolkning eller tillämpning av detta avtal ska avgöras av allmän domstol.

Detta avtal har upprättats i två (2) exemplar, varav parterna har tagit var sitt.

Ort: Ort:

Datum: Datum:

[ NN, Personuppgiftsansvarige ] Xxxx Xxxxxx, Saco

_____________________________ ______________________________

BILAGA 1 – Instruktion

1. Syfte

   1. Denna Bilaga 1 (Instruktion) specificerar behandlingen av Person­uppgifter som Personuppgiftsbiträdet utför på uppdrag av Personuppgiftsansvarige under Person­uppgiftsbiträdesavtalet.

   2. Syftet med denna bilaga är att förtydliga vilka behand­lingar och vilka personuppgifter som omfattas av Avtalet och att uppfylla Tillämplig Dataskydds­lagstiftnings krav avse­ende skyldighet att precisera kategorier rörande ett person­uppgiftsbiträdes be­handling av personupp­gifter, se exempelvis Artikel 28.3 GDPR.

2. Föremålet, art och ändamålen för behandlingar under Personuppgiftsbiträdesavtalet

   1. Personuppgifterna behandlas för följande ändamål:

• Att Personuppgiftsbiträdet ska kunna utföra de avtalade tjänsterna i form av drift och underhåll av Personuppgiftsansvariges lokala webbplats.

3. Personuppgiftsbehandlingens varaktighet

   1. Omfattade personuppgifter lagras i 6 månader innan de raderas under förutsättning att Personuppgiftsansvarig ej har begärt att dessa ska raderas dessförinnan. En sådan begäran ska verkställas så snart som möjlig men senast inom 30 dagar från det att den kom Personuppgiftsbiträdet tillkänna.

4. Omfattade personuppgifter

   1. De personuppgifter som behandlas avser följande kategorier av person­uppgifter:

      1. Namn, personnummer, adress, e-postadress, telefonnummer

      2. Medlemskap i Saco, tillhörighet i lokala föreningar/Sacoföreningar

      3. Befattning och uppdrag i Saco, Sacoförbund eller i lokala föreningar/Sacoföreningar

5. Kategorier av registrerade

   1. De Omfattade Personuppgifterna avser följande kategorier av regi­strerade:

      1. Individer som kontaktar den lokala föreningen via kontaktformulär på den lokala webbplatsen

      2. Beställare av material från den lokala webbplatsen

      3. Individer som anmäler sig till event, möten och seminarier via den lokala webbplatsen

      4. Individer som anmäler intresse för att Xxx medlem på den lokala webbplatsen

      5. Förtroendevalda eller andra medlemmar med tillfälliga uppdrag vilket det informeras om på den lokala webbplatsen

6. Omfattade behandlingar

   1. Utan begränsning av Avtalets omfattning ska följande behandlingar om­fattas av Person­uppgiftsbiträdets behandling av Omfattade Person­uppgifter under Avtalet:

      1. Bearbetning och lagring av inkomna mail via kontaktformulär

      2. Registrering, bearbetning och lagring av inkomna beställningar av material

      3. Registrering, bearbetning och lagring av anmälningar till event, möten och seminarier

      4. Registrering, bearbetning och lagring av Bli medlem-ansökningar

      5. Lagring av namn och kontaktuppgifter över förtroendevalda som presenteras i informativt syfte

7. Underbiträden

   1. Personuppgiftsbiträdet har rätt att använda följande underbiträden för att behandla personuppgifter inom ramen för Person­uppgiftsbiträdesavtalet.

Underbiträde	Land
Making Waves AB, 556725-5889, webbyrå, drift och underhåll av webbsida	Sverige
Vizzit International AB, 556691-3116, verktyg för webbanalys	Sverige