PERSONUPPGIFTSBITRÄDESAVTAL
PARTER
Företaget, i geneskap av “Personuppgiftsansvarig” OCH
Puls Solutions AB, 556816-1458, Xxxxxxxxxxxxx 00, 000 00 Xxxxx ”Personuppgiftsbiträdet”
Bakgrund
Den allmänna dataskyddsförordningen (EU 2016/679) ställer krav på skriftligt avtal när personuppgiftsbiträden ska behandla personuppgifter för en personuppgiftsansvarigs räkning. Personuppgiftsansvarig och Personuppgiftsbiträdet har ingått avtal som bland annat innebär att Personuppgiftsbiträdet ska behandla personuppgifter på uppdrag av Personuppgiftsansvarig till vilket detta personuppgiftsbiträdesavtal är en bilaga.
1 SYFTE OCH OMFATTNING AV PERSONUPPGIFTSBITRÄDESAVTALET
1.1 Personuppgiftsbiträdet erbjuder de tjänster som anges i Huvudavtalet. Detta Personuppgiftsbiträdesavtalet (Avtalet) ska klargöra de skyldigheter som föreligger då Personuppgiftsbiträdet behandlar personuppgifter för att kunna fullgöra de sitt uppdrag samt säkerställa att parterna uppfyller de krav som finns gällande svensk rätt.
1.2 Med ”behandling” avses nedan varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. De personuppgifter som omfattas av Avtalet behandlas främst genom registrering,
lagring, sammanställning och analyser för att få fram de resultat som krävs för att korrekt genomföra tjänsterna i Huvudavtalet.
1.3 Detta Personuppgiftsbiträdesavtal omfattar behandling av all relevant data för att Personuppgiftsbiträdet ska kunna fullgöra uppdraget enligt Huvudavtalet. De personuppgifter som behandlas omfattar, men är inte begränsade:
a) Anställds namn,
b) Anställds telefonnummer,
c) Anställds e-mail,
d) Anställds Chef,
e) Anställdas kön,
f) Anställdas födelsedatum,
g) Anställdas anställningstid,
h) Anställds avdelning och,
i) Information om anställdas tjänstledighet.
1.4 Utav de personuppgifter som behandlas inom detta Avtal är vissa kategoriserade som känsliga personuppgifter i enlighet med den allmänna dataskyddsförordningen.
2 PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN
2.1 Personuppgiftsbiträdet accepterar att följa gällande svensk lag, eller annan gällande förordning, som reglerar behandling av personuppgifter och att hålla sig informerad om denna.
2.2 Personuppgiftsbiträdet, och den eller de behöriga personer som arbetar under dennes överinseende, får endast behandla personuppgifter i enlighet med de dokumenterade instruktioner som lämnats av Personuppgiftsansvarig och för det ändamål som Personuppgiftsbiträdet anlitats för. Personuppgiftsbiträdet ska säkerställa att personuppgifterna inte behandlas eller används på annat sätt.
2.3 För det fall att Personuppgiftsbiträdet bedömer att det saknar instruktioner som Personuppgiftsbiträdet bedömer är nödvändiga för att genomföra uppdraget som Personuppgiftsbiträdet erhållit från Personuppgiftsansvarig ska Personuppgiftsbiträdet, utan dröjsmål, informera Personuppgiftsansvarig om sin inställning och invänta de instruktioner som Personuppgiftsansvarig bedömer erfordras.
2.4 Om Personuppgiftsbiträdet anser att en instruktion strider mot gällande rätt, eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser, ska Personuppgiftsbiträdet omedelbart meddela Personuppgiftsansvarig om detta.
2.5 Är Personuppgiftsbiträdet skyldig att genomföra viss behandling enligt unionsrätten eller annan medlemsstats nationella rätt som är bindande för Personuppgiftsbiträdet, ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om sådan laglig skyldighet innan behandlingen genomförs, om inte sådan information är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.
2.6 Är Personuppgiftsbiträdet skyldig att genomföra viss behandling enligt unionsrätten, eller annan medlemsstats nationella rätt som är bindande för Personuppgiftsbiträdet ska, Personuppgiftsbiträdet meddela Personuppgiftsansvarig om sådan laglig skyldighet innan behandlingen genomförs.
2.7 Personuppgiftsbiträdet ska föra ett register över alla kategorier av behandling som utförs för den Personuppgiftsansvariges räkning. Registret ska upprättas i elektronisk form och omfatta följande:
a) Namn och kontaktuppgifter till Personuppgiftsbiträdet, eventuella underbiträden, den Personuppgiftsansvarige, dataskyddsombudet samt, i tillämpliga fall, Personuppgiftsbiträdets företrädare.
b) De kategorier av varje behandling som har utförts för personuppgiftsansvariges räkning, inklusive behandlingar som utförts av underbiträde.
c) Om möjligt en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i den allmänna dataskyddsförordningen och har vidtagits av Personuppgiftsbiträdet för att skydda personuppgifterna.
2.8 På begäran av Personuppgiftsansvarig ska Personuppgiftsbiträdet göra registret tillgängligt för den Personuppgiftsansvarige eller Dataskyddsinspektionen.
2.9 Personuppgiftsbiträdet ska utan dröjsmål informera Personuppgiftsansvarig om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandlingen av personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarigs räkning gentemot Datainspektionen eller annan tredje man.
2.10 För det fall att Registrerade, Datainspektionen eller tredje man begär information från Personuppgiftsbiträdet som rör behandling av personuppgifter ska Personuppgiftsbiträdet hänvisa till Personuppgiftsansvarig. Personuppgiftsbiträdet får inte lämna ut personuppgifter eller annan information om behandling av personuppgifter utan uttrycklig instruktion från Personuppgiftsansvarig, om inte utlämnandet följer av laglig skyldighet.
2.11 Personuppgiftsbiträdet ska assistera Personuppgiftsansvarig med att ta fram den information som begärts av Datainspektionen eller registrerad.
2.12 Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med att, i den mån det är möjligt och i de fall personuppgifterna behandlas av Personuppgiftsbiträdet, fullgöra sin skyldighet att på begäran av den registrerade att ge tillgång till, ändra eller ta bort dennes personuppgifter i enlighet med dennes lagstadgade rättigheter.
3 TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER
3.1 Personuppgiftsbiträdet ska vidta de tekniska och organisatoriska åtgärder som är lämpliga i förhållande till de personuppgifter som behandlas för att skydda dessa mot obehörig åtkomst, oavsiktlig eller olaglig förstöring, förlust, ändring eller annan behandling som strider mot gällande rätt. Personuppgiftsbiträdet ska särskilt vidta alla lämpliga åtgärder i enlighet art. 32 allmänna dataskyddsförordningen. såsom bl.a. konfidentialitet, kryptering av personuppgifter. Personuppgiftsbiträdet ska även beakta Datainspektionens instruktioner i dess allmänna råd ”Säkerhet för personuppgifter” eller andra föreskrifter som Datainspektionen ger ut.
3.2 Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig, då denne begär det, med den information som är nödvändig för att Personuppgiftsansvarige för att visa att lämpliga tekniska och organisatoriska åtgärder tillämpas. En godkänd certifieringsmekanism får användas för att visa att kraven uppfylls.
4 PERSONUPPGIFTSINCIDENT
4.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål efter att ha fått vetskap om en överträdelse enligt gällande rätt eller detta avtal underrätta Personuppgiftsansvarig om personuppgiftsincidenten. Detta gäller även försök till sådan överträdelse. Personuppgiftsbiträdet ska biträda Personuppgiftsansvarig med nödvändig information för att Personuppgiftsansvarig ska kunna fullfölja sina obligationer enligt gällande rätt.
5 SKYLDIGHET ATT BISTÅ PERSONUPPGIFTSANSVARIG
5.1 Personuppgiftsbiträdet ska på instruktion av Personuppgiftsansvarig ändra, radera eller blockera uppgifter som behandlas av Personuppgiftsbiträdet för den Personuppgiftsansvariges räkning. Personuppgiftsbiträdet ska även hjälpa den Personuppgiftsansvarige att skydda de registrerades lagstadgade rättigheter rörande bland annat ändring, radering eller blockering av data genom att göra efterfrågad information tillgänglig och genomföra givna instruktioner. Om registrerad kontaktar Personuppgiftsbiträdet direkt ska denne omedelbart meddela Personuppgiftsansvarig.
5.2 Personuppgiftsbiträdet ska ge den Personuppgiftsansvarige eller, oberoende tredje part som bemyndigats av den Personuppgiftsansvarige, tillträde till sina lokaler och bidra till eventuella inspektioner som genomförs för att kontrollera att Personuppgiftsbiträdet fullgör sina skyldigheter enligt detta Avtal. Om en oberoende tredje part används ska detta meddelas Personuppgiftsbiträdet i förväg.
5.3 Personuppgiftsbiträdet ska på begäran av Personuppgiftsansvarige bistå denna, i förhållande till den behandling och information som Personuppgiftsbiträdet har att tillgå, att fullgöra sina skyldigheter enligt art. 32 – 36 allmänna dataskyddsförordningen.
6 UNDERBITRÄDE
6.1 Personuppgiftsbiträdet får endast använda sig av underbiträden för behandling av Personuppgiftsansvarigs personuppgifter i den mån Personuppgiftsansvarig har skriftligen godkänt detta i förväg. Personuppgiftsbiträdet ska hålla Personuppgiftsansvarig löpande informerad om användning av underbiträden.
6.2 Om godkännande till användning av underbiträde ges ger Personuppgiftsansvarig Personuppgiftsbiträdet mandat att ingå underbiträdesavtal med Underbiträden. Underbiträdesavtalet ska motsvara de krav som ställs på Personuppgiftsbiträdet i detta avtal (inklusive Personuppgiftsansvarigs revisionsrätt enligt Avtalet).
6.3 Om underbiträdet inte fullgör sina skyldigheter i fråga om behandling ska Personuppgiftsbiträdet vara fullt ansvarig gentemot den Personuppgiftsansvarige för utförandet av underbiträdets skyldigheter.
7 ÖVERFÖRING AV UPPGIFTER
7.1 Personuppgiftsbiträdet har inte rätt att föra ut personuppgifter som behandlas under Avtalet till land utanför EU/EES-området (tredje land), utan Personuppgiftsansvarig skriftliga godkännande i förväg. Godkännande förutsätter bl.a. att grund för överföring
föreligger genom att tredje land ratificerat dataskyddskonventionen eller att adekvat skyddsnivå garanteras genom att Parterna undertecknat EU:s standardavtalsklausuler för överföring av personuppgifter till registerförare i tredje land, eller att annan grund för överföring föreligger.
8 RÄTTEN ATT KONTROLLERA
8.1 Personuppgiftsansvarig har rätt att på egen bekostnad kontrollera att Personuppgiftsbiträdet följer detta Avtal och att de tekniska och organisatoriska åtgärder denne vidtagit är tillräckliga. Personuppgiftsbiträdet ska bistå med den assistans och dokumentation som erfordras för detta, inklusive inspektioner på plats. Denna kontroll får utövas av oberoende tredje part som bemyndigats av den Personuppgiftsansvarige, om detta meddelas Personuppgiftsbiträdet i förväg. Personuppgiftsbiträdet ska även bistå Personuppgiftsansvarig vid granskningar och inspektioner som genomförs av Datainspektionen genom att bland annat ta fram den information som begärs.
9 ÅTERLÄMNANDE/RADERING AV PERSONUPPGIFTER
9.1 Personuppgiftsbiträdet ska, när Huvudavtalet upphör att gälla, eller vid annan tidpunkt om Personuppgiftsansvarig så anvisar, överlämna alla personuppgifter och all data på av Personuppgiftsansvarig angivet medium och radera alla befintliga kopior hos Personuppgiftsbiträdet, såvida inte lagring av dessa krävs enligt unionsrätten eller medlemsstaternas nationella rätt.
10 PERSONUPPGIFTSANSVARIGS ANSVAR
10.1 Personuppgiftsansvarig ska se till att behandlingen sker i enlighet med gällande lag. Personuppgiftsansvarig ansvarar bland annat för att informera de Registrerade om
behandlingen, för att i nödvändiga fall inhämta samtycke från de registrerade och för att i tillämpliga fall anmäla behandlingen till Datainspektionen.
10.2 Personuppgiftsansvarig ska utan dröjsmål informera Personuppgiftsbiträdet om förändringar i behandlingen vilken påverkar Personuppgiftsbiträdets skyldigheter. Personuppgiftsansvarig ska tillika informera Personuppgiftsbiträdet om tredje parts, däribland Datainspektionen och registrerades åtgärder med anledning av behandlingen.
11 SEKRETESS
11.1 Personuppgiftsbiträdet, dess anställda och underbiträde förbinder sig att inte till tredje man lämna ut eller eljest röja information om behandling av personuppgifter som omfattas av detta avtal eller annan information som Personuppgiftsbiträdet erhållit till följd av detta avtal. Detta åtagande gäller inte information som Personuppgiftsbiträdet föreläggs utge till myndighet. Sekretessåtagandet gäller även efter att detta avtal i övrigt upphört att gälla.
12 AVTALSTID
12.1 Avtalet gäller från undertecknandet av Huvudavtalet och detta Avtal till och med att uppdraget slutförts, eller upphört enligt de allmänna villkoren, och samtliga personuppgifter återlämnats till Personuppgiftsansvarig.
13 SKILJEKLAUSUL
13.1 Vid tvist eller tolkning av detta Avtal ska de villkor som anges i de Allmänna villkoren tillämpas.