Bilaga Utkast till personuppgiftsbiträdes-avtal
2023-02-25 Sida 16 (16)
Bilaga
Utkast till personuppgiftsbiträdes-avtal
Kammarkollegiets anvisningar: Detta dokument är ett utkast till personuppgiftsbiträdesavtal.
Personuppgiftsansvarig modifierar och anpassar utkastet utifrån de specifika förutsättningarna i avropet. Ramavtalet ska läsas tillsammans med personuppgiftsbiträdesavtalet.
Avsnitt 6 behandlar i första hand säkerhet och kan i Instruktion till personuppgiftsbiträdesavtalet anpassas utifrån den tänkta behandlingen.
De gula fälten måste hanteras inför avrop. Vissa delar framgår av ramavtalsleverantörens avropssvar och fylls i senast vid kontraktstecknande.
|
Innehåll
1 Personuppgiftsbiträdesavtalets syfte 3
3 Allmänt om Personuppgiftsbiträdesavtalet 4
5 Den personuppgiftsansvariges generella åtaganden 4
6 Personuppgiftsbiträdets generella åtaganden 4
7 Behandling av personuppgifter 5
8 Den registrerades rättigheter 6
11 Behandling med hjälp av underbiträden 8
12 Skyldigheter efter kontraktets upphörande 8
13 Ändringar i Personuppgiftsbiträdesavtalet 9
15 Ansvar för skada i samband med behandling 9
Instruktion till Personuppgiftsbiträdesavtalet 11
Avsnitt 1 Behandling som omfattas av Personuppgiftsbiträdesavtalet 11
Avsnitt 3 Tekniska och organisatoriska säkerhetsåtgärder 14
1Personuppgiftsbiträdesavtalets syfte
1.1Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) har till syfte att reglera personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. Avtalet är utformat med beaktande av kraven i EU:s dataskyddsförordning (EU) 2016/679 (”Dataskyddsförordningen”), men kan – med eventuellt nödvändiga justeringar – även användas för personuppgiftsbehandling som regleras av andra dataskyddsbestämmelser.
1.2Instruktion till Personuppgiftsbiträdesavtalet (”Instruktionen”) fylls i av parterna för att kraven i Dataskyddsförordningen, och annan tillämplig författning som reglerar behandling av personuppgifter, ska kunna uppfyllas.
2Parter
Personuppgiftsansvarig: |
|
Adress: |
|
Telefonnummer: |
|
E-postadress: |
|
Organisationsnummer: |
|
Personuppgiftsbiträde: |
|
Adress: |
|
Telefonnummer: |
|
E-postadress: |
|
Organisationsnummer |
|
3Allmänt om Personuppgiftsbiträdesavtalet
3.1Personuppgiftsbiträdesavtalet utgör en bilaga till avropet från ramavtalet XXX, dnr: XXX.
3.2Vissa begrepp som används i Personuppgiftsbiträdesavtalet definieras i ramavtalet. Dataskyddsrättsliga begrepp används med samma innebörd som i Dataskyddsförord-ningen.
3.3Om ramavtalsleverantör inte är personuppgiftsbiträde ska ramavtalsleverantör, genom sin underskrift, godkänna Personuppgiftsbiträdesavtalet.
3.4Personuppgiftsbiträdesavtalet gäller behandlingar av personuppgifter som personuppgifts-biträdet utför för den personuppgiftsansvariges räkning. Dessa behandlingar förtecknas i avsnitt 1 Instruktionen. Alla behandlingar av personuppgifter enligt Personuppgifts-biträdesavtalet omfattas av Dataskyddsförordningen, dataskyddslagen och kompletterande lagstiftning (sammantaget benämnt ”Dataskyddsregleringen”).
4Ersättning för kostnader
4.1Personuppgiftsbiträdet har rätt till ersättning för direkta, skäliga och verifierbara kostnader i samband med att denne bistår den personuppgiftsansvarige att utföra sina skyldigheter gentemot registrerade.
4.2I samband med revision enligt 10.4 svarar den personuppgiftsansvarige för kostnaden för granskningen om personuppgiftsbiträdet har fullgjort sina åtaganden. I annat fall ska personuppgiftsbiträdet stå för skäliga och verifierbara kostnader för granskningen.
5Den personuppgiftsansvariges generella åtaganden
5.1Den personuppgiftsansvarige ansvarar för att det vid var tid finns laglig grund för behandlingen och för att utforma korrekta instruktioner så att personuppgiftsbiträdet kan fullgöra sitt uppdrag enligt Personuppgiftsbiträdesavtalet.
5.2Den personuppgiftsansvarige ansvarar för att informera registrerade om behandlingen, tillvarata den registrerades rättigheter samt att vidta varje annan åtgärd som åligger den personuppgiftsansvarige enligt Dataskyddsregleringen.
6Personuppgiftsbiträdets generella åtaganden
6.1Personuppgiftsbiträdet garanterar att dennes verksamhet bedrivs på ett sätt som säkerställer Dataskyddsregleringens krav på lämpliga tekniska och organisatoriska åtgärder och att den registrerades rättigheter skyddas. Personuppgiftsbiträdet garanterar att det har tillräcklig kunskap och förfogar över tillräckliga resurser för att Dataskyddsregleringens krav ska kunna tillgodoses.
6.2Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till risken för oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörig åtkomst till den personuppgifts-ansvariges personuppgifter.
6.3Personuppgiftsbiträdet ska under alla förutsättningar vidta de säkerhetsåtgärder som framgår nedan, punkterna 6.4-6.9.
6.4När datorutrustning och löstagbara datamedier hos personuppgiftsbiträdet inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. För det fall eventuella bärbara datorer eller dylik utrustning används vid behandlingen ska personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade.
6.5Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas. Personuppgiftsbiträdet ska ha en rutin för regelbunden test av återläsning.
6.6Ett tekniskt system för behörighetskontroll ska styra åtkomsten till personuppgifterna för personuppgiftsbiträdet. Användaridentitet ska vara personlig och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter. Åtkomst till personuppgifter ska kunna följas upp genom en logg eller liknande underlag. Underlaget ska kunna kontrolleras av personuppgiftsbiträdet och återrapporteras till den personuppgiftsansvarige.
6.7Uppgifter i loggar som avser behandlingen av den personuppgiftsansvariges person-uppgifter får endast användas av personuppgiftsbiträdet för vad som krävs för upprätthållande av funktionalitet och kvalitet. Den personuppgiftsansvarige har rätt att ta del av de uppgifter som registreras i sådana loggar.
6.8Anslutning för extern datorkommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. För åtkomst till känsliga personuppgifter krävs stark autentisering. Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av personuppgiftsbiträdet ska skyddas med kryptering.
6.9När fasta eller löstagbara lagringsmedier, som innehåller personuppgifter, inte längre ska användas för sitt ändamål ska personuppgifterna raderas på sådant sätt att de inte kan återskapas.
6.10Om personuppgiftsbiträdet får överföra personuppgifter till eller behandla personuppgifter i tredje land ska det framgå av Instruktionen. Parterna måste i den situationen komma överens om en lämplig rättslig lösning för att överföringen till eller behandlingen i tredje land ska vara tillåten (jfr kap. V Dataskyddsförordningen eller motsvarande dataskyddsreglering).
6.11Ytterligare preciseringar av tekniska och organisatoriska säkerhetsåtgärder ska framgå av avsnitt 3 Instruktionen samt av övriga avtalshandlingar.
7Behandling av personuppgifter
7.1Personuppgiftsbiträdet får inte behandla den personuppgiftsansvariges personuppgifter på något annat sätt, för andra ändamål eller enligt andra instruktioner än de som framgår av Personuppgiftsbiträdesavtalet, inklusive avsnitt 1 Instruktionen. Behandlingen av personuppgifter ska ske med iakttagande av de tekniska och organisatoriska säkerhetsåtgärder som följer av Personuppgiftsbiträdesavtalet och avsnitt 3 Instruktionen.
Första stycket
gäller inte om en behandling krävs enligt unionsrätten eller
enligt en medlemsstats nationella rätt som personuppgiftsbiträdet
omfattas av. I sådana fall ska personuppgiftsbiträdet informera den
personuppgiftsansvarige om det rättsliga kravet innan uppgifterna
behandlas, såvida sådan information inte är förbjuden med
hänvisning till ett viktigt allmänintresse enligt denna rätt.
Innan personuppgiftsbiträdet behandlar personuppgifter enligt andra
stycket ska personuppgiftsbiträdet ha gjort en kvalificerad rättslig
prövning av om behandlingen får ske. I tveksamma fall eller om
prövningen visar att behandlingen inte får ske, ska
personuppgiftsbiträdet motsätta sig det rättsliga kravet på
behandling för att erhålla ett lagakraftvunnet avgörande i syfte
att säkerställa den registrerades rättigheter.
7.2För det fall att personuppgiftsbiträdet finner att instruktioner är otydliga, i strid med Dataskyddsregleringen eller saknas och personuppgiftsbiträdet bedömer att nya eller kompletterande instruktioner är nödvändiga för att genomföra sina åtaganden ska personuppgiftsbiträdet utan dröjsmål informera den personuppgiftsansvarige, tillfälligt upphöra med behandlingen och invänta nya instruktioner.
7.3Personuppgiftsbiträdet åtar sig, att i sin verksamhet, vid var tid tillse att berörd personal följer Personuppgiftsbiträdesavtalet och att de hålls informerade om innehållet i Dataskyddsregleringen.
7.4Personer som utför arbete under personuppgiftsbiträdets överinseende, t.ex. som anställda, och som får tillgång till personuppgifter, får endast behandla uppgifterna enligt den personuppgiftsansvariges instruktioner, såvida inte en skyldighet att göra något annat krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av. I sådana fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt. Endast personer som behöver uppgifterna för att kunna utföra sina arbetsuppgifter ska ges sådan tillgång.
7.5Personuppgiftsbiträdet garanterar att personer som får tillgång till personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av lämplig lagstadgad tystnadsplikt.
7.6Personuppgiftsbiträdet ska efter den personuppgiftsansvariges beslut om radering av personuppgifter avlägsna dessa permanent från alla lagringsmedier som biträdet förfogar över. Detta ska ske snarast, dock senast 180 dagar efter beslutet om radering. Som beslut om radering räknas t.ex. att uppgifter har raderats via användargränssnittet i den tjänst som omfattas av kontraktet.
8Den registrerades rättigheter
8.1Personuppgiftsbiträdet ska på begäran från den personuppgiftsansvarige bistå denne med att säkerställa att skyldigheterna enligt art. 32-36 Dataskyddsförordningen fullgörs och svara på begäran om utövande av den registrerades rättigheter i enlighet med kap. III Dataskyddsförordningen. Detta ska göras med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå.
9Personuppgiftsincidenter
9.1Personuppgiftsbiträdet ska ha förmåga att återställa tillgängligheten och tillgången till personuppgifterna i rimlig tid vid en fysisk eller teknisk incident enligt art. 32.1 c Dataskyddsförordningen.
9.2Personuppgiftsbiträdet åtar sig att, med beaktande av behandlingens art och den information som personuppgiftsbiträdet har att tillgå, bistå den personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en personuppgiftsincident beträffande behandlingen. Personuppgiftsbiträdet ska på den personuppgiftsansvariges begäran även bistå med att utreda misstankar om eventuell obehörig behandling och/eller åtkomst till personuppgifterna.
9.3Vid personuppgiftsincidenter, vilka personuppgiftsbiträdet fått vetskap om, ska personuppgiftsbiträdet utan onödigt dröjsmål skriftligen underrätta den personuppgiftsansvarige om händelsen. Personuppgiftsbiträdet ska med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå tillhandahålla den personuppgiftsansvarige en skriftlig beskrivning av personuppgiftsincidenten.
Beskrivningen ska minst redogöra för:
personuppgiftsincidentens art och, om möjligt, de kategorier och antalet registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
de sannolika konsekvenserna av personuppgiftsincidenten, och
åtgärder som har vidtagits till följd av personuppgiftsincidenten, förslag för att ytterligare åtgärda personuppgiftsincidenten samt förslag på åtgärder för att mildra personuppgiftsincidentens potentiella negativa effekter.
10Tillsyn och revision
10.1För det fall registrerade, tillsynsmyndigheten eller annan tredje man begär information från personuppgiftsbiträdet som rör behandlingen av personuppgifter, ska personuppgiftsbiträdet hänvisa till den personuppgiftsansvarige. Personuppgiftsbiträdet får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan uttrycklig instruktion från den personuppgiftsansvarige, såvida inte en sådan utlämnandeskyldighet krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av. I sådana fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida informationen inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.
10.2Personuppgiftsbiträdet ska utan dröjsmål informera den personuppgiftsansvarige om eventuella kontakter med tillsynsmyndigheten som rör, eller kan vara av betydelse för, personuppgiftsbiträdes behandling av personuppgifter. Åtagandet gäller inte om personuppgiftsbiträdet är förhindrat att lämna den aktuella informationen enligt tvingande lagstiftning.
10.3Personuppgiftsbiträdet har inte rätt att företräda den personuppgiftsansvarige eller agera för dennes räkning gentemot tillsynsmyndigheten.
10.4Den personuppgiftsansvarige äger rätt att själv eller genom en utsedd oberoende tredje part följa upp att personuppgiftsbiträdet uppfyller Personuppgiftsbiträdesavtalets, Instruktionens och Dataskyddsregleringens krav. Personuppgiftsbiträdet ska vid sådan granskning bistå den personuppgiftsansvarige, eller den som utför granskningen i den personuppgiftsansvariges ställe, med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna granska personuppgiftsbiträdets efterlevnad av Personuppgiftsbiträdesavtalet, Instruktionen och Dataskyddsregleringen. Den personuppgiftsansvarige ska säkerställa att personal som genomför granskningen är underkastad konfidentialitet enligt lag eller avtal.
11Behandling med hjälp av underbiträden
11.1Personuppgiftsbiträdet äger endast rätt att anlita ett annat personuppgiftsbiträde (underbiträde) för behandlingen av personuppgifter om detta anges i Instruktionen.
11.2Den personuppgiftsansvarige har i och med Personuppgiftsbiträdesavtalets ikraftträdande godkänt de underbiträden som angivits i Instruktionen.
11.3Om personuppgiftsbiträdet med stöd i Personuppgiftsbiträdesavtalet anlitar ett underbiträde för hela eller en del av behandlingen ska underbiträdet genom avtal åläggas samma skyldigheter avseende dataskydd som de som fastställs i Personuppgiftsbiträdesavtalet och vid varje tidpunkt gällande instruktioner rörande behandlingen.
11.4Vid en begäran om att få anlita ett nytt underbiträde ska personuppgiftsbiträdet lämna den personuppgiftsansvarige all relevant information om det föreslagna underbiträdet som krävs för en dataskyddsrättslig bedömning. Information ska därvid särskilt lämnas om i vilket land som underbiträdet kommer att behandla personuppgifterna och vilka typer av behandlingar som underbiträdet är tänkt att utföra.
11.5Personuppgiftsbiträdet ska tillse att underbiträde inte anlitar ett annat underbiträde utan den personuppgiftsansvariges skriftliga förhandstillstånd.
11.6Personuppgiftsbiträdet ska hålla en förteckning över de underbiträden som vid varje aktuell tidpunkt anlitas, samt göra denna förteckning tillgänglig för den personuppgiftsansvarige. Av förteckningen ska särskilt framgå vilka typer av behandlingar som underbiträdet utför, i vilka länder som underbiträdet behandlar personuppgifterna samt, om överföringar till tredje land kan förekomma, vilken rättslig lösning som då används enligt kap. V Dataskyddsförordningen. På begäran ska personuppgiftsbiträdet lämna den personuppgiftsansvarige information om ett underbiträdes rättsliga åtaganden samt övrig information som krävs för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter enligt Dataskyddsregleringen.
11.7Om ett underbiträde inte fullgör sina skyldigheter avseende dataskydd är personuppgiftsbiträdet fullt ansvarigt i förhållande till den personuppgiftsansvarige.
12Skyldigheter efter kontraktets upphörande
12.1I samband med kontraktets upphörande ska personuppgifterna återlämnas till den personuppgiftsansvarige såvida inte denne uttryckligen önskar att uppgifterna ska raderas. Kopior från använda lagringsmedier behöver inte raderas såvida lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt. Efter att personuppgifter har återlämnats eller raderats ska eventuella kopior raderas från använda lagringsmedier på ett sådant sätt att uppgifterna inte längre kan återskapas. Denna åtgärd ska vara fullt genomförd senast 180 dagar efter kontraktets upphörande.
12.2Såvida inte annat avtalats eller uppenbart följer av omständigheterna, ska personuppgifterna överlämnas i ett format som är läsbart och möjligt att använda i andra sammanhang. Detta innebär att, utöver personuppgifterna, även all annan logisk information som behövs för att kunna nyttja personuppgifterna ska tillhandahållas. Vidare ska också loggfiler, revisionsdata, accessdata och liknande metadata tillhandahållas. Även sådan data ska lämnas i ett sådant format att den är användbar för den personuppgiftsansvarige.
12.3Personuppgiftsbiträdet ska på den personuppgiftsansvariges eller en behörig tillsynsmyndighets begäran ställa relevanta delar av använda lagringsmedium till förfogande för en granskning av de åtgärder som anges i punkt 12.1.
13Ändringar i Personuppgiftsbiträdesavtalet
13.1Den personuppgiftsansvarige har rätt att påkalla ändring av Personuppgiftsbiträdes-avtalet.
13.2Ändring ska hanteras i enlighet med ramavtalet. Personuppgiftsbiträdet får inte motsätta sig ändringen om inte personuppgiftsbiträdet kan visa sakliga skäl för en sådan vägran. Om ramavtalsleverantör inte är personuppgiftsbiträde får inte heller ramavtalsleverantör motsätta sig en sådan ändring utan att kunna visa sakliga skäl.
13.3Om ramavtalsleverantör inte är personuppgiftsbiträde ska ramavtalsleverantör skriftligen godkänna ändringen.
14Giltighetstid
14.1Bestämmelser avseende uppsägning av kontraktet följer av ramavtalet.
14.2Personuppgiftsbiträdesavtalet gäller från undertecknandet och så länge som personuppgiftsbiträdet behandlar den personuppgiftsansvariges personuppgifter inom ramen för kontraktet, samt under den efterföljande tid som krävs för att personuppgiftsbiträdet ska kunna uppfylla sina kvarvarande skyldigheter enligt Personuppgiftsbiträdesavtalet.
15Ansvar för skada i samband med behandling
15.1Vid ersättning för skada i samband med behandling som, genom fastställd dom eller beslut, utgått till den registrerade på grund av överträdelse av bestämmelse i Personuppgifts-biträdesavtalet, Instruktionen och/eller bestämmelse i Dataskyddsregleringen ska art. 82 Dataskyddsförordningen tillämpas.
15.2Sanktionsavgifter ska enligt art. 83 Dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till Dataskyddsförordningen bäras av den av Personuppgiftsbiträdesavtalets parter som påförts en sådan avgift.
15.3Part som får kännedom om omständighet som kan leda till skada för motparten ska omedelbart informera motparten om förhållandet och aktivt arbeta tillsammans med motparten för att förhindra och minimera sådan skada.
15.4Den personuppgiftsansvarige har regressrätt gentemot ramavtalsleverantören avseende ansvar enligt 15.1, även för det fall att annan leverantör är personuppgiftsbiträde, med anledning av att ramavtalsleverantören är bunden av ramavtalet och har godkänt Personuppgiftsbiträdesavtalet.
15.5Parts ansvar för skada enligt detta avsnitt gäller även efter det att personuppgifts-biträdesavtalet upphört, om skadan är hänförlig till personuppgiftsbehandling inom ramen för parternas tidigare kontraktsrelation.
16Tvistelösning
16.1Bestämmelser om tvist samt tillämplig lag med anledning av Personuppgiftsbiträdes-avtalet regleras i ramavtalet.
Instruktion till Personuppgiftsbiträdesavtalet
Avsnitt 1 Behandling som omfattas av Personuppgiftsbiträdesavtalet
Denna del utgör den personuppgiftsansvariges instruktioner till personuppgiftsbiträdet.
Registrerade
Personuppgifter som rör följande kategorier av registrerade ska behandlas av personuppgiftsbiträdet:
Fylls i.
|
Typ av personuppgifter som behandlas
De personuppgifter som behandlas är av följande slag:
Fylls i.
|
Känsliga personuppgifter (i förekommande fall)
Behandlingen rör följande känsliga personuppgifter:
Fylls i.
|
Behandling
Personuppgifter kommer att behandlas på följande sätt:
Fylls i.
|
Art och ändamål med behandlingen
Behandlingen av personuppgifter sker i syfte att:
Fylls i.
|
Särskilda instruktioner angående behandlingen
Vid behandlingen av personuppgifter ska personuppgiftsbiträdet särskilt beakta:
Fylls i.
|
Behandling med hjälp av underbiträden
Välj ett av alternativen nedan.
Alternativ 1: Personuppgiftsbiträdet äger inte rätt att anlita ett annat personuppgiftsbiträde (underbiträde) enligt denna instruktion.
X
Alternativ 2: Personuppgiftsbiträdet får endast anlita ett annat personuppgiftsbiträde om ett skriftligt förhandstillstånd har inhämtats från den personuppgiftsansvarige.
X
Alternativ 3: Personuppgiftsbiträdet har en allmän rätt att anlita ett nytt personuppgiftsbiträde (underbiträde), som uppfyller dataskyddsregleringen och Personuppgiftsbiträdesavtalets krav. Ett nytt underbiträde får emellertid endast anlitas efter det att den personuppgiftsansvarige har underrättats om planerna och givits möjlighet att inom skälig tid göra invändningar mot valet.
Behandling av personuppgifter inom Sverige, EU/EES samt tredje land
Väj ett av alternativen nedan.
Alternativ 1: Personuppgifter får endast behandlas inom Sverige.
X
Alternativ 3: Personuppgifter får behandlas inom EU/EES samt får överföras till och behandlas i tredje land, territorium, sektor i tredje land och inom internationell organisation som vid varje tidpunkt har ett giltigt beslut från EU-kommissionen om adekvat skyddsnivå.
Behandling av personuppgifter i tredjeland eller inom internationell organisation utan beslut om adekvat skyddsnivå
Personuppgifter får överföras till och behandlas i nedan angivet tredje land eller inom internationell organisation utan beslut om adekvat skyddsnivå med stöd av nedan angiven rättslig lösning och eventuella skyddsåtgärder. Med skyddsåtgärder avses sådana som säkerställer att överföring och efterföljande behandling är förenlig med kap. V Dataskyddsförordningen.
Fylls i vid behov
Tredje land eller internationell organisation |
Rättslig lösning |
Eventuella skyddsåtgärder (hänvisa till bilaga vid behov) |
|
|
|
|
|
|
|
|
|
Avsnitt 2 Underbiträden
I detta avsnitt förtecknas underbiträden som har godkänts av den personuppgiftsansvarige. Enligt punkt 11.6 är personuppgiftsbiträdet skyldigt att hålla en vid varje tidpunkt aktuell förteckning över underbiträden som anlitas samt göra förteckningen tillgänglig för den personuppgiftsansvarige.
Underbiträde |
Organisations-nummer |
Bistår personuppgiftsbiträdet med följande |
Behandling sker i (land) |
Fylls i vid behov.
|
Fylls i vid behov.
|
Fylls i vid behov.
|
Fylls i vid behov.
|
|
|
|
|
|
|
|
|
|
|
|
|
Avsnitt 3 Tekniska och organisatoriska säkerhetsåtgärder
Detta avsnitt utgör kompletterande instruktioner till personuppgiftsbiträdet avseende tekniska och organisatoriska säkerhetsåtgärder.
Ange kompletterande instruktioner:
Fylls i vid behov.
På den personuppgiftsansvariges vägnar: På personuppgiftsbiträdets vägnar:
Namn (fullständigt): Namn (fullständigt):
Befattning: Befattning:
Ort och datum: Ort och datum:
…............................................................. ….............................................................
Namnteckning Namnteckning
På ramavtalsleverantörens vägnar (om denne inte är personuppgiftsbiträde):
Namn (fullständigt):
Befattning:
Ort och datum:
….............................................................
Namnteckning
Kammarkollegiets version 4.0 (2021-09-30)