Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal
Undertecknad:
……………………………………….……., beläget på , härmed juridiskt företrädd av
herr/fru , hädanefter kallad: “Personuppgiftsansvarig”;
och
Spotter b.v. beläget på Xxxxxxxxxxxxxx 00x, Xxxxxxxxxxxxx, härmed juridiskt företrädd av xxxx X. Xxxxxx, hädanefter kallad: “Personuppgiftsbiträde”;
Tillsammans kallade Parter
Parterna tar hänsyn till följande:
• Personuppgiftsansvarig är som Personuppgiftsansvarig för personuppgifterna enligt Dataskyddsförordningen (hädanefter kallad: DSF) skyldig att ingå ett Personuppgiftsbiträdesavtal med Personuppgiftsbiträde
• Inom ramen för de aktiviteter som avtalats mellan parterna enligt ett huvudavtal, för vilket detta avtal är det skriftliga personuppgiftsbiträdesavtalet, kommer Personuppgiftsbiträde att behandla personuppgifter för och på uppdrag av Personuppgiftsansvarig utan att vara föremål för Personuppgiftsansvarigs direkta befogenhet .
• Personuppgiftsbiträde kommer vid utförandet av arbetet att behandla personuppgifter i enlighet med instruktionerna och under Personuppgiftsansvarigs ansvar;
• Den insamlade platsinformationen skickas av hårdvaran till Personuppgiftsbiträdes online- portal. Personuppgiftsansvarig har tillgång till denna portal för att kunna använda uppgifterna för sina egna ändamål.
• Syftet för samarbetet mellan parter är att med hjälp av registrering av platsangivelser leverera en track and trace service till personuppgiftsansvarig.
• Personuppgiftsansvarig och Personuppgiftsbiträde har tagit del av Nederländska riktlinjer om skydd av personuppgifter, februari 2013, se xxxx://xxxxxx.xxxxxxxx.xx/XXXX0000000 och artikel 32 i DSF för att välja en lämplig skyddsnivå.
• Dessutom kan andra behandlingar instrueras av Personuppgiftsansvarig till Personuppgiftsbiträde skriftligen, vilket kommer att bifogas till detta personuppgiftsbiträdesavtal som en bilaga;
• Personuppgiftsbiträde kommer endast att utföra den databehandling som har instruerats skriftligen av Personuppgiftsansvarig;
• Vid behov kan Personuppgiftsansvarig och Personuppgiftsbiträde fastställa övriga villkor för tillhandahållande av tjänster i ett eller flera separata avtal;
• Om fler och andra personuppgifter behandlas på uppdrag av Personuppgiftsansvarig eller om de behandlas annorlunda än vad som beskrivs i bilaga 1, gäller detta personuppgiftsbiträdesavtal även för dessa behandlingar och personuppgifter.
Och kommer överens om följande:
Artikel 1: Uppdrag
1. Personuppgiftsansvarig utfärdar en order till Personuppgiftsbiträde, som godkänns av Personuppgiftsbiträde att behandla personuppgifter i enlighet med detta avtal.
2. Personuppgiftsansvarig förblir Personuppgiftsansvarig för databehandling. Personuppgiftsbiträde har inte självständig kontroll över de uppgifter som behandlas för Personuppgiftsansvarig i enlighet med detta personuppgiftsbiträdesavtal.
3. Personuppgiftsbiträde kommer att behandla de strikt nödvändiga personuppgifter som avses i bilaga I och som tillhandahålls av Personuppgiftsansvarig endast för det tilldelade arbetet som beskrivs där. Om tillämpligt kan ytterligare säkerhetsåtgärder också inkluderas i denna bilaga som Personuppgiftsbiträde kommer att följa. LÄGG TILL BILAGA 1🡪
4. Efter att de tilldelade uppgifterna har blivit utförda, ska Personuppgiftsbiträde på första, skriftliga begäran från Personuppgiftsansvarig returnera filer med insamlade (person)uppgifter och omedelbart förstöra kopiorna av personuppgifter från Personuppgiftsansvarig, såvida inte Personuppgiftsansvarig bestrider den tillhandahållna tjänsten och eller (person)uppgifter. Kopior av personuppgifter som ingår i Personuppgiftsbiträdes säkerhetskopieringsrutin ska tas bort av Personuppgiftsbiträde så snart som möjligt.
5. Uppgifterna ska vara tillgängliga i upp till 6 månader efter den senaste användningen, såvida det inte är tal om en situation som avses i punkt 4 i denna artikel.
6. Om Personuppgiftsansvarig lämnar in en begäran kommer Personuppgiftsbiträde att förklara att raderingen har skett i enlighet med bestämmelserna i punkt 5, såvida det inte är tal om en situation som avses i punkt 4 i denna artikel. Om Personuppgiftsbiträde har anlitat en underordnare med Personuppgiftsansvarigs samtycke, kommer Personuppgiftsbiträde att meddela denne underordnare om raderingsordern och instruera denna att agera enligt vad som anges häri.
7. Personuppgiftsbiträde kommer att avstå från att utföra andra handlingar som avses i artikel 1, om inte annat avtalats i bilaga I.
Artikel 2: Efterlevnad av lagar och förordningar
1. Vid behandling av personuppgifter enligt artikel 1 kommer Personuppgiftsbiträde att agera i enlighet med den allmänna dataskyddsförordningen och andra tillämpliga lagar och förordningar om dataskydd.
2. Både Personuppgiftsansvarig och Personuppgiftsbiträde ger varandra tillgång till den dokumentation som avses i artikel 30 i DSF, om tillämpligt.
Artikel 3: Ersättning och ansvar
Personuppgiftsansvarig håller Personuppgiftsbiträde skadeslös och Personuppgiftsbiträde håller Personuppgiftsansvarig skadeslös mot alla anspråk, utom vid uppsåt och/eller grov vårdslöshet av Personuppgiftsbiträde respektive Personuppgiftsansvarig, vid överträdelse av bestämmelserna i eller enligt lagar och förordningar ang. dataskydd eller genomförandet av detta avtal.
Artikel 4: Säkerhetsåtgärder, efterlevnad och incidenter
1. Personuppgiftsbiträde kommer, liksom Personuppgiftsansvarig, att vidta lämpliga tekniska och organisatoriska åtgärder, underhålla, utvärdera och vid behov justera och uppdatera personuppgifter för att skydda personuppgifter mot förlust, stöld eller mot någon form av olaglig behandling. Dessa åtgärder ska, med hänsyn till behandlingens art, omfattning, sammanhang och syfte, den senaste tekniken och kostnaderna för genomförandet, säkerställa en lämplig säkerhetsnivå med tanke på sannolikheten och allvaret av de olika risker som behandlingen för med sig och innebära att data ska skyddas och följa bestämmelserna i riktlinjerna och artikel 32 DSF.
2. På begäran av Personuppgiftsansvarig gör Personuppgiftsbiträde all information tillgänglig som är nödvändig för att visa att bestämmelserna i punkt 1 följs.
3. Om Personuppgiftsbiträde redigerar eller har behandlat Personuppgiftsansvarigs uppgifter i en annan medlemsstat i Europeiska Unionen kommer denne att göra det eller låta det göras i enlighet med de lagstadgade säkerhetsåtgärderna i den relevanta medlemsstaten.
4. Personuppgiftsbiträde gör det möjligt för Personuppgiftsansvarig att på sin första skriftliga begäran inspektera de åtgärder som vidtagits, i syfte att kontrollera vad som har bestämts i detta avtal.
5. Personuppgiftsbiträde kommer att samarbeta med detta och kommer att i god tid tillhandahålla all information som är relevant för revisionen och som är nödvändig för att visa efterlevnad av skyldigheterna enligt artikel 28 i DSF.
6. Personuppgiftsansvarig kommer i princip inte att genomföra en revision hos underordnade biträden eftersom Personuppgiftsbiträde själv är helt ansvarig för detta.
7. De personer som genomför en revision kommer att följa säkerhetsproceduren som gäller hos Personuppgiftsbiträde. Kostnaderna för en revision kommer att bäras av Personuppgiftsansvarig, såvida inte granskningen visar att Personuppgiftsbiträde har agerat i strid med detta avtal eller har underlåtit att vidta tillräckliga lämpliga åtgärder, med hänsyn till den senaste tekniken och kostnaderna för genomförandet, hänsyn till de risker som är förknippade med behandlingen, arten, omfattningen, sammanhanget och syftet med de uppgifter som ska skyddas.
8. Personuppgiftsansvarig kommer att begränsa revisionen till vad som fastställs i detta avtal, för databehandlingen och personuppgifterna för Personuppgiftsansvarig. Databehandling som Personuppgiftsbiträde utför för andra personuppgiftsansvariga är undantagen från denna granskning. All information som Personuppgiftsansvarig får kännedom om under revisionen och som inte är relevant för Personuppgiftsansvarig kommer att hållas hemlig av Personuppgiftsansvarig.
9. Om Personuppgiftsbiträde vid behandling av personuppgifter får kännedom om ett säkerhetsbrott som oavsiktligt eller olagligt leder till förstörelse, förlust, ändring eller obehörigt avslöjande av eller tillgång till uppgifter som överförts, lagrats eller på annat sätt behandlats, och sannolikt kan utgöra en risk för rättigheterna och den registrerades friheter kommer Personuppgiftsbiträde omedelbart, men inom 24 timmar efter upptäckten, att informera Personuppgiftsansvarig om detta, medan Personuppgiftsbiträde kommer att vidta alla möjliga tekniska och organisatoriska åtgärder under tiden för att stoppa, förhindra
och/eller återställa säkerhetsincidenten. I anmälan lämnar Personuppgiftsbiträde information om arten av intrånget, arten av de läckta personuppgifterna, de tekniska skyddsåtgärderna och andra relevanta fakta och omständigheter som är viktiga för att avgöra om tillsynsmannen och/eller den registrerade ska informeras.
10. Personuppgiftsbiträde kommer att omedelbart fylla i Bilaga II anmälan om dataintrång fullständigt och skicka den digitalt med de ifyllda kontaktpersonerna till Personuppgiftsansvarig.
11. Om det finns rimliga tvivel om huruvida intrånget utgör en sannolik risk för den registrerades rättigheter och friheter, kommer Personuppgiftsbiträde att rapportera intrånget till Personuppgiftsansvarig för att ge denne möjlighet att göra en egen bedömning av om en anmälan är nödvändig.
12. Personuppgiftsbiträde dokumenterar alla intrång i personuppgifter, inklusive intrång som inte behöver rapporteras till Personuppgiftsansvarig. Dokumentationen innehåller alla fakta om intrånget, konsekvenserna och de korrigerande åtgärder som vidtagits. Dokumentationen tillhandahålls Personuppgiftsansvarig en gång i kvartalet för att säkerställa att Personuppgiftsansvarig kan lämna in den till den nederländska dataskyddsmyndigheten.
13. Om det finns en anmälningsskyldighet till tillsynsmyndigheten eller till de registrerade, kommer detta endast att göras av Personuppgiftsansvarig. Personuppgiftsbiträde kommer härmed att erbjuda sitt fulla samarbete och assistans för att kunna uppfylla dessa skyldigheter.
Artikel 5: Anlita underordnade biträden inom Europeiska unionen
1. Personuppgiftsbiträde har rätt att använda ett underordnat biträde inom ramen för detta avtal, såvida inte Personuppgiftsansvarig har framfört sin tidigare uttryckliga skriftliga invändning mot detta.
2. Personuppgiftsansvarig kan koppla ytterligare villkor till engagemanget av ett underordnat biträde vid genomförandet av detta personuppgiftsbiträdesavtal.
3. Det underordnade biträdet erbjuder adekvata garantier med avseende på tillämpningen av lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen följer bestämmelserna i detta avtal och DSF.
4. Om Personuppgiftsbiträde har anlitat ett underordnat biträde, är Personuppgiftsbiträde fullt ansvarig för fullgörandet av alla skyldigheter för detta underordnade biträde, men inte för underordnade biträden med vilka Personuppgiftsansvarig har ålagt Personuppgiftsbiträde att samarbeta med, för det arbete som bestämts i detta avtals uppdrag. Personuppgiftsbiträde kommer att ålägga denna tredje part samma skyldigheter i ett skriftligt avtal som de som följer av detta avtal, så att även det underordnade biträdet är bundet av dessa bestämmelser.
5. Personuppgiftsbiträde måste föra en lista över underordnade biträden inklusive de uppgifter som ska utföras.
Artikel 6: Anlitande av underordnade biträden utanför Europeiska unionen
1. Om Personuppgiftsbiträde vill behandla personuppgifterna utanför Europeiska unionen kan detta endast göras i länder som har utsetts av EU-kommissionen eller justitieministern som länder med en adekvat skyddsnivå, eller som erbjuder en adekvat nivå av skydd genom ytterligare åtgärder.
2. Behandling av personuppgifter utanför Europeiska unionen är endast möjlig med uttryckligt skriftligt samtycke från Personuppgiftsansvarig. Sådan behandling kan också vara föremål för ytterligare villkor.
3. Personuppgiftsansvarig ger tillstånd till Personuppgiftsbiträde att behandla personuppgifterna utanför EU.
4. Det underordnade biträdet erbjuder adekvata garantier med avseende på tillämpningen av lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen följer bestämmelserna i detta avtal och DSF.
5. Om Personuppgiftsbiträde har anlitat ett underordnat biträde, är Personuppgiftsbiträde fullt ansvarig för fullgörandet av alla skyldigheter för detta underordnade biträde, men inte för underordnade biträden med vilka Personuppgiftsansvarig har ålagt Personuppgiftsbiträde att samarbeta med, för det arbete som bestämts i detta avtals uppdrag. Personuppgiftsbiträde kommer att ålägga denna tredje part samma skyldigheter i ett skriftligt avtal som de som följer av detta avtal, så att även det underordnade biträdet är bundet av dessa bestämmelser.
6. Personuppgiftsbiträde måste föra en lista över underordnade biträden inklusive de uppgifter som ska utföras.
Artikel 7: Sekretesskyldighet
1. Personuppgiftsbiträde, dennes personal och tredje parter som anlitas av denne är skyldiga att iaktta sekretess med avseende på de personuppgifter som de har eller kunde ha fått kännedom om på grund av artikel 34 paragraf 4 i DSF.
2. Personuppgiftsbiträde ger endast åtkomst till personuppgifterna till sina anställda och tredje parter som denne anlitar i den mån detta är nödvändigt för att utföra den databehandling som Personuppgiftsansvarig låtit utföra.
3. Personuppgiftsbiträde kommer att ålägga de personer som är anställda eller utför arbete åt denne att upprätthålla konfidentialitet med avseende på de personuppgifter som de kan ta del av.
4. Personuppgiftsbiträdes tystnadsplikt kan endast åsidosättas när en lagstadgad föreskrift förpliktar att tillhandahålla uppgifter eller den handläggare som utsetts av Personuppgiftsansvarig har indikerat för Personuppgiftsbiträde att det är nödvändigt att meddela detta.
5. Om Personuppgiftsansvarigs tillsynsmyndighet begär åtkomst till databehandlingen, måste Personuppgiftsbiträde tillhandahålla allt nödvändigt samarbete för att göra det möjligt för Personuppgiftsansvarige att uppfylla sina av tillsynsmyndigheterna ålagda skyldigheter.
6. Tystnadsplikten gäller både under och efter att arbetet avslutats och kommer att bestå även efter uppsägning av detta avtal.
7. Personuppgiftsbiträde kommer att informera Personuppgiftsansvarig om varje begäran om åtkomst, tillhandahållande eller annan form av hämtning och kommunikation av personuppgifterna, såvida inte lagstiftningen förbjuder detta meddelande av viktiga skäl av allmänt intresse.
Artikel 8: De registrerades rättigheter
1. Om en registrerad åberopar någon av sina rättigheter enligt art. 32 tom. 36 DSF till Personuppgiftsbiträde, kommer Personuppgiftsbiträde omedelbart att vidarebefordra denna begäran till Personuppgiftsansvarig.
2. Personuppgiftsbiträde kommer att ge Personuppgiftsansvarig fullständig och snabb hjälp vid fullgörandet av sin skyldighet att besvara förfrågningar om utövandet av de rättigheter som avses i punkt 1.
Artikel 9: Allmänna villkor & slutbestämmelser
1. Inga allmänna villkor gäller för detta avtal. Nederländsk lag gäller. Behörig domstol är den domstol som är behörig på grundval av huvudavtalet.
2. Om ett annat avtal mellan Personuppgiftsansvarig och Personuppgiftsbiträde innehåller bestämmelser som avviker från bestämmelserna i detta avtal, ska bestämmelserna i detta avtal ha företräde.
3. Ändringar i detta avtal är endast giltiga om det är skriftligt överenskommet mellan parterna.
4. Detta avtal träder i kraft när huvudavtalet träder i kraft och har en löptid som är lika med huvudavtalets. Detta avtal kan inte sägas upp i förtid.
Således överenskommet i två exemplar den …………..............., i ,
Personuppgiftsbiträde: Spotter b.v. Personuppgiftsansvarig: ...............................................
Namn: X. Xxxxxx Namn: ...........................................................................
Roll: direktör Roll: ..............................................................................
…………………………………………………………………………………..
Bilaga 1 Verksamheter
Följande verksamheter blir utförda av Personuppgiftsbiträde:
1. Lagring av platsdata nödvändiga för track and trace.
Personuppgiftsbiträde kommer att avstå från att utföra andra handlingar än ovan nämnda behandling, även om dessa har förts i sådan form att de inte längre kan härledas till fysiska personer. Personuppgiftsbiträde har inte heller rätt att slå samman personuppgifterna med andra filer hos Personuppgiftsbiträde, eller att behandla personuppgifterna för sina egna eller andra ändamål.
Personuppgifter
Personuppgiftsbiträde mottar med anledning av detta följande personuppgifter eller kategorier av personuppgifter:
1. Namn
2. Adressuppgifter
3. Platshistorik
Lagringsperioder
I motsats till bestämmelserna i artikel 1.4 till 1.6 är följande lagringsperiod överenskommen:
○ ingen avvikelse
● följande avvikelse: lagringsperioden för platshistoriken är 24 timmar. Spotter b.v. kan aldrig förlänga eller förkorta denna lagringsperiod.
Säkerhet
Personuppgiftsbiträde kommer att vidta följande ytterligare säkerhetsåtgärder på begäran av Personuppgiftsansvarig: n/a.
Bilaga 2 ANMÄLAN DATALÄCKAGE PERSONUPPGIFTSANSVARIG
Anmälan görs av Personuppgiftsbiträdes ledning till Personuppgiftsansvarig. Frågeformulär anmälan
1) Kontaktperson hos Personuppgiftsbiträde:
Fyll i nedanstående uppgifter: | |
Namn: | |
Roll: | |
Mobiltelefon: | |
E-postadress: |
2) Är detta en uppföljning av en tidigare anmälan?
Välj ett av nedanstående val: | Gör ett val |
a) Ja | |
b) Nej |
3) När daterades den ursprungliga anmälan?
(Svara på denna fråga om du svarade ja på fråga 1). | Fyll i |
Datum: |
4) Vad är syftet med uppföljningsanmälan?
(Svara på denna fråga om du svarade ja på fråga 1, välj ett av följande alternativ). | Gör ett val |
a) Lägg till eller ändra information rörande den tidigare anmälan | |
b) Återkallande av den tidigare anmälan. |
5) Vad är anledningen till återkallelsen?
(Svara på denna fråga om du valde alternativ b i fråga 3). | Fyll i |
Anledningen till återkallelsen är: |
6) Ge en sammanfattning av händelsen där intrånget i personuppgiftssäkerheten inträffade.
7) Från hur många personer är personuppgifter inblandade i intrånget?
Fyll i antalen | |
a) Minimalt: (fyll i) | |
b) Maximalt: (fyll i) |
8) Beskriv den grupp personer vars personuppgifter är inblandade i intrånget.
9) När skedde intrånget?
Välj ett av följande alternativ: | Gör ett val och fyll i |
a) Den (datum) | |
b) Mellan (startdatum period och slutdatum period). | |
c) Inte känt ännu |
10) När upptäcktes intrånget?
Den (datum) |
11) Vad är intrångets karaktär?
Anledning | Du kan välja flera alternativ |
a) Läs (sekretess) | Ja/nej |
b) Kopiera | Ja/nej |
c) Förändringar (integritet) | Ja/nej |
d) Radera eller förstöra (tillgänglighet) | Ja/nej |
e) Stöld | Ja/nej |
f) Inte känt ännu | Ja/nej |
12) Vilken typ av personuppgifter rör det sig om? Du kan markera flera alternativ.
Typ av personuppgifter | Du kan markera flera alternativ. |
a) Namn-, adress- och bostadsuppgifter | Ja/nej |
b) Telefonnummer | Ja/nej |
c) E-postadresser eller andra adresser för elektronisk kommunikation | Ja/nej |
d) Åtkomst- eller identifieringsdata (t.ex. användarnamn/lösenord eller kundnummer) | Ja/nej |
e) Finansiell information (t.ex. kontonummer, kreditkortsnummer) | Ja/nej |
f) Personnummer | Ja/nej |
g) Passkopior eller kopior av andra identifikationshandlingar | Ja/nej |
h) Xxx, födelsedatum och/eller ålder | Ja/nej |
i) Särskilda personuppgifter (t.ex. ras, etnicitet, kriminella uppgifter, politisk | Ja/nej. Om ja vilka |
åsikt, medlemskap i fackförening, religion, sexualliv, medicinska uppgifter). | |
j) Övrig information, nämligen (fyll i) |
13) Vilka konsekvenser kan intrånget få för den registrerades integritet?
Konsekvenser | Du kan välja flera alternativ. |
a) Stigmatisering eller uteslutning | Ja/nej |
b) Försämrad hälsa | Ja/nej |
c) Exponering för (identitets)bedrägeri | Ja/nej |
d) Exponering för spam eller phishing | Ja/nej |
e) Annat, nämligen (fyll i) | Ja/nej |
14) Vilka tekniska och organisatoriska åtgärder har din organisation vidtagit för att åtgärda intrånget och för att förhindra ytterligare intrång?
15) När rapporterades dataintrånget till Personuppgiftsansvarig?
Fyll i | |
Datum och tidpunkt: | |
Kontaktperson Personuppgiftsansvarig: | |
Anmälan gjord via: | Gör ett val: |
a) Telefon | |
b) E-post | |
c) Formulär | |
d) Annat, nämligen |
16) Har personuppgifterna krypterats, hashats eller på annat sätt gjorts obegripliga eller oåtkomliga för obehöriga?
Välj ett av alternativen och fyll i om nödvändigt. | |
a) Ja | |
b) Nej | |
c) Delvis, nämligen (fyll i) |
17) Om personuppgifterna har gjorts obegripliga eller otillgängliga helt eller delvis, på vilket sätt gjordes detta? (Svara på denna fråga om du valde alternativ a eller alternativ c i fråga
14. Om du har använt kryptering, förklara också krypteringsmetoden).
18) Är denna anmälan komplett enligt din åsikt?
Välj ett av nedanstående val. | Gör ditt val |
a) Ja, den information som krävdes har lämnats och ingen komplettering är nödvändig. | |
b) Nej, det kommer en komplettering senare med ytterligare information om detta intrång. |
Avslutningsvis:
Namn undertecknande Personuppgiftsbiträde: | |
Plats: | |
Datum: | |
Signatur: |
Kontaktperson hos Personuppgiftsbiträde:
Namn: | |
Roll: | Ekonomi / DSF anställd |
Mobiltelefon: | |
E-post: |
FORMULÄRET SNARAST MÖJLIGT TILLHANDA HOS:
Kontaktperson hos Personuppgiftsansvarig:
Nam | |
Roll: | |
Mobiltelefon: | |
E-post: |
Formuläret mottogs av Personuppgiftsansvarig den:
Datum och tidpunkt: |