Personuppgiftsbiträdesavtal enligt gällande rätt avseende personuppgiftsskydd – Bibblix



Utfärdare

Xxxxxx Xxxxxxxx

Personuppgifts-biträdesavtal

Version

2.0

Sida

1(7)



Referens

BKS



Personuppgiftsbiträdesavtal enligt gällande rätt avseende personuppgiftsskydd – Xxxxxxx

Parter



Personuppgiftsansvarig


Kommun

     

Organisationsnr

212000-nnnn

Adress

     

Postadress

     

Ombud

     

Telefonnr

     

E-post

     



Personuppgiftsbiträde


Föreningen Sambruk

Organisationsnr

802428-2785

Adress

Xxxxxxxxxx 00

Postadress

811 32 Sandviken

Ombud

Xxxxxx Xxxxxxxx

Telefonnr

0000-000 000

E-post

xxxxxx.xxxxxxxx@xxxxxxx.xx



Underbiträde


Ballou Internet Services AB

Organisationsnr

556520-1984

Adress

Ronnebygatan 36

Postadress

000 00 Xxxxxxxxxx

Ombud

Xxxxxx Xxxxxxx

Telefonnr

0455-55588

E-post

xxxxxx.xxxxxxx@xxxxxx.xx


Underbiträde


Axiell Media AB

Organisationsnr

556600-2126

Adress

Warfvinges väg 30

Postadress

112 51 Stockholm

Ombud

Xxx Xxxxxxxx

Telefonnr

0706-902267

E-post

xxx.xxxxxxxx@xxxxxx.xxx




Underbiträde


Stockholms stadsbibliotek

Organisationsnr

212000-0142

Adress

Stockholms stadsbibliotek

Postadress

113 80 Stockholm

Ombud

Xxxxxx Xxxxxxxxx

Telefonnr

08-50821214

E-post

xxxxxx.xxxxxxxxx@xxxxxxxxx.xx


  1. Bakgrund och syfte

Parterna har ingått avtal i vilket Föreningen Sambruk tillsammans med underbiträden tillhandahåller tjänsten Bibblix, med tillhörande kringtjänster, tillsammans benämnt ”tjänsterna”.

Syftet med detta Personuppgiftsbiträdesavtal är att säkerställa de registrerades fri- och rättigheter i samband med Personuppgiftsbiträdets behandling av personuppgifter, enligt ingånget avtal, enligt Dataskyddsförordningen Artikel 28.3.

Genom Personuppgiftsunderbiträdesavtal specificeras ansvars­förhållanden mellan parterna. Både Ballou Internet Services AB och Axiell Media AB definieras som Personuppgiftsbiträde till Föreningen Sambruk.

I detta avtal, inklusive instruktioner i Bilaga, regleras vilka person­uppgifter som Personuppgiftsbiträdet får behandla för personuppgifts­ansvarigs räkning, samt vilka säkerhetsåtgärder som Personuppgifts­biträdet ska vidta för att skydda de personuppgifter som behandlas, för att uppfylla Gällande rätt.

  1. Definitioner

Detta avtal har motsvarande definitioner som återfinns i gällande rätt avseende personuppgiftsskydd, enligt nedan

  • personuppgiftsansvarig, nedan kallad PuA, avser den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

  • personuppgiftsbiträde, nedan kallad PuB, avser den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

  • behandling av personuppgifter avser en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring



  • personuppgifter avser varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet

  • personuppgiftsincident, avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats och i övrigt behandlas

  • nu gällande lagstiftning avseende personuppgiftsskydd avser;

    • Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

    • Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

  1. Behandling av personuppgifter

PuB behandlar de personuppgifter som ingår i det system enligt pkt 1 som tillhandahålles PuA och som är nödvändiga för att PuA ska kunna fullgöra sin verksamhet och sitt uppdrag gentemot dess kunder och övriga intressenter.

  1. Instruktion

PuB får endast behandla de personuppgifter som är nödvändiga för att fullgöra sitt uppdrag för PuA. Åtkomsten till personuppgifter ska begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter. Personuppgifter ska endast behandlas för de syften som anges i detta avtal.

  1. PuA:s åtagande och ansvar

5.1 PuA ska tillse att behandlingen sker i enlighet med Gällande rätt avseende behandling och skydd av personuppgifter, samt Datainspektionens från tid till annan, tillämpliga regler och rekommendationer.




Detta innebär bland annat – men inte begränsat till – att PuA ansvarar för dokumentation av vilka kategorier av personuppgifter och kategorier av personer som behandlas, samt i tillämpliga fall inhämtande och dokumentering av samtycke från personer vars uppgifter behandlas.

5.2 PuA ska utan dröjsmål informera PuB om förändringar i behandlingen vilka påverkar PuB:s skyldigheter enligt detta avtal. PuA ska även informera PuB om tredje parts, däribland Datainspektionens och den registrerades, åtgärder med anledning av behandlingen.

5.3 PuA:s kontrollansvar enligt gällande rätt avseende personuppgifts­skydd, såvitt avser PuB:s uppfyllelse av detta avtal, sker på PuA:s bekostnad. Kontroll kan ske genom anlitande av tredje man.

  1. PuB:s åtagande och ansvar

6.1 PuB ska följa gällande rätt avseende behandling och skydd av person­uppgifter, samt dokumenterade instruktioner från PuA. Om PuB saknar instruktioner som PuB bedömer är nödvändiga för att genomföra det uppdrag PuB erhållit från PuA ska PuB, utan dröjsmål, informera PuA om detta och invänta de instruktioner som PuA bedömer behövs.
Om PuB anser att PuA:s instruktioner står i konflikt med Gällande rätt, ska PuB omedelbart underrätta PuA.

6.2 PuB ansvarar för att den eller de personer som arbetar under dennes ledning besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt detta avtal och Gällande rätt.

6.3 För det fall att registrerad eller annan tredje man begär ut information från PuB som rör behandling av personuppgifter ska PuB hänvisa till PuA. Om myndighet begär information från PuB ska PuB omedelbart informera PuA.

6.4 PuB ska utan dröjsmål informera PuA om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandling av personuppgifter. PuB har inte rätt att företräda PuA eller agera för PuA:s räkning gentemot Datainspektionen eller annan tredje man.

6.5 PuB är skyldig att vid en granskning lämna PuA nödvändig assistans inbegripet, men inte begränsat till, dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna granska Personuppgiftsbiträdets efterlevnad av avtalet.

6.6 PuB skall vid behov assistera PuA med att ta fram information som begärts av Datainspektionen eller registrerad.





6.7 PuB ska skriftligen och senast trettio (30) dagar innan en planerad ändring av behandlingsförfarandet, däribland tekniska och organisatoriska ändringar som kan påverka skyddet av personuppgifterna och PuB:s efterlevnad av Gällande rätt, informera PuA. Ändringarna får endast genomföras efter PuA:s skriftliga samtycke.

  1. Personuppgiftsbiträde

7.1 PuB äger endast rätt att kontraktera annat företag, som underbiträde, för behandling av personuppgifter enligt detta avtal, efter skriftligt godkännande av PuA. Först efter sådant godkännande av PuA får underbiträde behandla personuppgifter på PuA:s vägnar.

7.2 PuB ansvar för underbiträdets behandling av personuppgifter sker på samma villkor och med samma skydd av personuppgifter som definieras i detta avtal och att ett motsvarande avtal mellan PuB och underbiträde är undertecknat innan behandling kan ske.

7.3 PuB är ansvarig gentemot PuA för underbiträdets genomförande, eller brister däri, av uppdraget.

  1. Överföring av personuppgifter till tredje land

8.1 Part ska vara förhindrad att flytta personuppgifter till tredje land utan PuAs skriftliga godkännande.

8.2 Om personuppgifter överförs till och/eller behandlas i land utanför EU/EES – antingen genom PuB:s eller underbiträdets verksamhet – är PuB ansvarig för att säkerställa att behandling och skydd av personuppgifter upprätthålls enligt gällande rätt. Var och hur personuppgifter överförs/behandlas definieras i Bilaga.

  1. Säkerhet och sekretess

9.1 PuB ska vidta åtgärder som definieras i gällande rätt avseende person­uppgiftsskydd, vilket innebär att PuB ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, som behandlas å PuA:s vägnar, mot obehörig åtkomst, förstörelse och ändring. Dessa åtgärder ska specificeras på angiven plats i Bilaga.

9.2 PuB ska behandla personuppgifter med sekretess enligt lagen om offentlighet och sekretess (2009:400), samt att personer med behörighet att behandla personuppgifterna hos PuB har ingått särskild sekretessförbindelse eller upplysts om att särskild tystnadsplikt föreligger enligt avtal eller Gällande rätt.





9.3 PuB ska utan oskäligt dröjsmål, dock senast inom 24 timmar från att PuB upptäckt förekomst av eller risken för en personuppgiftsincident, underrätta PuA om detta.

9.4 Underrättelsen ska innehålla all nödvändig och tillgänglig information som PuA behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan av personuppgiftsincidenter till Datainspektionen.

  1. Särskild ersättning

PuB äger rätt till skälig ersättning vid assistans till PuA enligt beskrivning i punkterna 6.3 – 6.6 samt 11.

  1. Ansvar gentemot tredje man

11.1 PuB ska hålla PuA skadeslös för sådana krav som följer av att PuB inte efterföljt detta avtal. PuA ska omedelbart underrätta PuB i det fall skadeståndskrav mottagits. PuB ska biträda PuA i hantering av ärenden eller mål om skadestånd.

11.2 PuB ska inte hållas skyldig i det fall skadeståndskrav uppkommit på grund av PuA:s underlåtelse enligt Gällande rätt eller detta avtal.

  1. Avtalstid

Detta avtal gäller från dess undertecknande och så länge som PuB behandlar personuppgifter som härrör från PuA.

  1. Upphörande av behandling av personuppgifter

Vid upphörande av PuB:s behandling av personuppgifter för PuA:s räkning, ska PuB efter anmodan från PuA antingen återlämna alla data som innehåller personuppgifter på samtliga media som den behandlats/lagrats på, i överenskommet öppet format, eller radera samtliga personuppgifter.

På begäran av PuA ska PuB skriftligen intyga att alla personuppgifter antingen överlämnats eller raderats.

Radering av personuppgifter efter anmodan från personuppgiftsansvarig ska ske omgående om inte annat överenskommits, dock senast inom 30 dagar.








Avtalet har upprättats i två likalydande exemplar, varav parterna tagit var sitt.





Ort den dag/månad år Sandviken den dag/månad år





Behörig företrädare för XxX Xxxxxxx företrädare för PuB

Kommun Föreningen Sambruk





Namnförtydligande Xxxxxx Xxxxxxxx

Befattning/titel Verkställande tjänsteperson





BILAGA: Instruktion, till PuB, avseende behandling av personuppgifter



Document Metadata

Filed: October 27th, 2020