PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
Detta Personuppgiftsbiträdesavtal (”Biträdesavtal/-et”) har denna dag träffats mellan:
(1) Klicka här och skriv Studieförbundets namn, org nr [adress] (”Studieförbundet”); och
(2) Studieförbunden i Samverkan, org nr 802005-7157, Dalagatan 7, 111 23 Stockholm (”Biträdet”).
1. Allmänt
Detta Biträdesavtal utgör en integrerad del av parternas Samverkansavtal – Gustav daterat [datum] (”Avtalet”). Biträdet kommer vid fullföljandet av Avtalet att Behandla Personuppgifter för Studieförbundets räkning så som Studieförbundets Personuppgiftsbiträde.
Syftet med detta Biträdesavtal är att reglera Biträdets Behandling av Personuppgifter för Studieförbundets räkning. Studieförbundet är Personuppgiftsansvarig för Behandlingen av Personuppgifterna enligt detta Biträdesavtal.
1448.3
2. Definitioner
”Avtalet” | avser de avtal som anges i punkten Fel! Hittar i nte referenskälla. ovan. |
”Behandling” | avser behandling såsom begreppet bestäms enligt vid var tid gällande Dataskyddslagar |
”Biträdesavtal-/et” | avser detta personuppgiftsbiträdesavtal. |
”Biträdet” | avser den part som anges i ingressen ovan och som agerar Personuppgiftsbiträde enligt detta Biträdesavtal . |
”Dataskyddslagar” | avser vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter vilket innefattar men inte är begränsat till Personuppgiftslagen (1998:204) och från den 25 maj 2018 Europaparlamentets och Rådets Förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (”GDPR”) vilken ersätter |
Personuppgiftslagen (1998:204); samt Tillsynsmyndighets bindande riktlinjer, beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd. | |
”Ikraftträdandet” | avser den dag Dataskyddsförordningen träder i kraft, d.v.s. den 25 maj 2018. |
”Personuppgifter” | avser de personuppgifter, som Biträdet Behandlar för Studieförbundets räkning under detta Biträdesavtal med hänsyn till hur begreppet personuppgifter bestäms enligt vid var tid gällande Dataskyddslagar. |
”Personuppgiftsansvarig” | avser personuppgiftsansvarig såsom begreppet bestäms enligt vid var tid gällande Dataskyddslagar. |
”Personuppgiftsbiträde” | avser personuppgiftsbiträde såsom begreppet bestäms enligt vid var tid gällande Dataskyddslagar. |
”Registrerad” | avser den fysiska person som en Personuppgift avser. |
”Samverkansavtalet” | avser det ”Samverkansavtal – Gustav” som anges i punkten Fel! Hittar inte referenskälla. ovan. |
”Studieförbundet” | avser den part som anges i ingressen ovan och som agerar Personuppgiftsansvarig enligt detta Biträdesavtal. |
”Tillsynsmyndighet” | avser den eller de tillsynsmyndigheter som har behörighet att bedriva tillsyn över hantering av personuppgifter eller anses vara berörd tillsynsmyndighet enligt gällande Dataskyddslagar. |
”Tredjeland” | avser ett land utanför det Europeiska ekonomiska samarbetsområdet (EES). |
”Underbiträde” | avser det andra Personuppgiftsbiträde som Behandlar Personuppgifter som underleverantör åt Biträdet. |
.
2 / 8
Eventuella övriga uttryck eller definitioner med stor begynnelsebokstav som används i detta Biträdesavtal ska, om inget annat uttryckligen anges, ha den innebörd och betydelse som framgår i första hand av Dataskyddslagarna och annars av Avtalet om inte omständigheterna uppenbarligen talar för annan tolkningsordning.
3. Ansvar och instruktion
De kategorier av Personuppgifter som Behandlas av Biträdet på uppdrag av Studieförbundet, ändamålen med behandlingen, behandlingens varaktighet och kategorier av registrerade beskrivs i Bilaga 1 (Instruktion om hantering av Personuppgifter).
Biträdet får endast Behandla Personuppgifterna i enlighet med Studieförbundets dokumenterade instruktioner enligt Bilaga 1. Biträdet får inte Behandla Personuppgifter för andra ändamål än dem som Biträdet anlitats för under Avtalet. Från och med Ikraftträdandet får emellertid annan Behandling ske i den mån Behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Biträdet omfattas av, och i sådana fall ska Biträdet informera Studieförbundet om det rättsliga kravet innan Personuppgifterna Behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.
Biträdet och personer som arbetar under Biträdets överinseende, och som får tillgång till Personuppgifter, får endast Behandla Personuppgifter i enlighet med Studieförbundets dokumenterade instruktioner, såvida det inte finns en skyldighet att Xxxxxxxx dem på annat sätt enligt unionsrätten eller medlemsstaternas nationella rätt.
4. Säkerhet
Biträdet åtar sig att vidta de åtgärder som krävs för att uppfylla 31 § 1 st. Personuppgiftslagen (1998:204) och, senast vid Ikraftträdandet, vidta de åtgärder som krävs enligt Artikel 32 i GDPR.
Biträdet ska utöver ovan, från och med Ikraftträdandet, bistå Studieförbundet med att se till att skyldigheterna enligt Artiklarna 32–36 i GDPR fullgörs, med beaktande av typen av Behandling och den information som Biträdet har att tillgå.
5. Sekretess
.
3 / 8
som med Studieförbundets godkännande har anlitats i enlighet med Biträdesavtalet.
Sekretessåtagandet i punkt 5.1 gäller inte heller information som Biträdet föreläggs att utge till Tillsynsmyndighet eller enligt gällande Dataskyddslagar eller annan lagstadgad skyldighet enligt medlemsstats nationella rätt.
Biträdet åtar sig att säkerställa att personer med behörighet att Behandla Personuppgifterna har åtagit sig att iaktta sekretess för sådan behandling eller omfattas av en lämplig lagstadgad tystnadsplikt.
Biträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den Biträdet överinseende, och som får tillgång till personuppgifter, endast behandlar dessa enligt instruktioner från Studieförbundet, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.
6. Utlämnande av Personuppgifter och information
Om det till Biträdet kommer in en begäran från Registrerad, Tillsynsmyndighet eller annan tredje man om att få ta del av uppgifter som Biträdet behandlar för Studieförbundets räkning ska Biträdet utan dröjsmål vidarebefordra begäran till Studieförbundet. Biträdet, eller den som arbetar under Biträdets ledning, får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan uttrycklig dokumenterad instruktion om detta från Studieförbundet om inte sådan skyldighet föreligger enligt gällande Dataskyddslagar. För det fall Biträdet, enligt gällande Dataskyddslagar, är förpliktad att lämna ut Personuppgifter, ska Biträdet vidta alla åtgärder för att begära sekretess i samband med att begärd information lämnas ut samt omedelbart informera Studieförbundet därom, förutom om Biträdet inte är förhindrad att göra detta enligt gällande Dataskyddslagar.
7. Registrerades rättigheter
Från Ikraftträdandet ska Biträdet, med tanke på behandlingens art, hjälpa Studieförbundet genom tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Studieförbundet kan fullgöra sin skyldighet att svara på begäran om utövande av Registrerades rättigheter i enlighet med kapitel III i GDPR.
8. Överföring av Personuppgifter utanför EU/EES
Biträdet får inte överföra Personuppgifter till ett tredjeland eller en internationell organisation utan Studieförbundets dokumenterade instruktion. Från och med Ikraftträdandet får emellertid överföring till ett tredjeland ske om det krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Biträdet omfattas av, och i sådana fall ska Biträdet informera Studieförbundet om det rättsliga kravet innan Personuppgifterna förs över till tredjeland, såvida sådan
.
4 / 8
information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.
För det fall Studieförbundet godkänner Behandling av Personuppgifter utanför EU/EES ska Biträdet och/eller det Underbiträde som Behandlar Personuppgifter utanför EU/EES alltid uppfylla gällande krav enligt gällande Dataskyddslagar för sådan överföring och Behandling utanför EU/EES.
Om Studieförbundet uttryckligen har godkänt överföring av Personuppgifter till tredjeland enligt Avtalet, eller om överföring av Personuppgifter är nödvändigt för Biträdets fullgörande av Xxxxxxx, ska parterna vidta nödvändiga åtgärder för att säkerställa att överföring till tredjeland sker i enlighet med gällande Dataskyddslagar, exempelvis genom att användning av EUs standardavtalsklausuler (2010/87/EU (Kommissionens beslut om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredje land)).
9. Rätt till insyn
Med avseende punkten 9.1 ovan, ska Biträdet omedelbart informera Studieförbundet om Biträdet anser att en instruktion strider mot GDPR eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser.
10. Underbiträde
Studieförbundet ger härmed Biträdet ett allmänt förhandstillstånd för att anlita Underbiträde. Biträdet ska informera Studieförbundet om eventuella planer på att anlita nytt Underbiträde eller ersätta Underbiträde, så att Studieförbundet har möjlighet att göra invändningar mot sådana förändringar. Vid tidpunkten för detta Biträdesavals ingående anlitas Candidator AB för tillhandahållande av IT- drift, dvs. som underbiträde och Marknadsinformation AB för utveckling av adressuppdateringar och filöverföring till SCB.
Biträdet får enbart anlita Underbiträde under förutsättning att Biträdet på Studieförbundets vägnar ingår ett skriftligt avtal där Underbiträdet åläggs samma skyldigheter i fråga om dataskydd som Biträdet fastställts i detta Biträdesavtal enligt artikel 28.3 i GDPR. Biträdet är ansvarigt för att endast anlita Underbiträde som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i tillämpliga Dataskyddslagar.
.
5 / 8
11. Ersättning
Biträdet är inte berättigat till någon särskild ersättning för de förpliktelser som följer av detta Biträdesavtal om inte annat avtalats skriftligen.
12. Ansvar
För det fall att en Registrerad kräver ersättning av Studieförbundet eller av Biträdet till följd av en överträdelse av tillämpliga Dataskyddslagar, ska parterna utan onödigt dröjsmål skriftligen underrätta varandra om sådana framställda krav.
Studieförbundet ska ansvara för skada som orsakats av behandling som strider mot tillämpliga Dataskyddslagar. Biträdet ska ansvara för skada uppkommen till följd av Behandlingen endast om Biträdet inte har fullgjort de skyldigheter i tillämpliga Dataskyddslagar som specifikt riktar sig till Personuppgiftsbiträden eller agerat utanför eller i strid med den Studieförbundets lagenliga instruktioner.
Biträdets ansvar enligt detta Biträdesavtal ska begränsat i enlighet med Samverkansavtalets punkt 8.
13. Avtalstid och åtgärder vid upphörande
Biträdesavtalet gäller från dess undertecknande och så länge som Biträdet Behandlar Personuppgifter för Studieförbundets räkning.
När Biträdets tillhandahållande av behandlingstjänster har avslutats enligt detta Biträdesavtal, ska Biträdet, beroende på vad Studieförbundet väljer, radera och/eller återlämna alla Personuppgifter till Studieförbundet samt radera befintliga kopior såvida inte lagring av Personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt.
14. Ändringar i Biträdesavtalet
Om Dataskyddslagarna ändras under giltighetstiden för Biträdesavtalet, eller om Tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddslagarna som föranleder att detta Biträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal enligt Dataskyddslagar, ska respektive part ha rätt att begära ändringar av detta Biträdesavtal för att tillgodose sådana nya, ändrade eller förtydligade krav.
Ändringar av och tillägg till detta Biträdesavtal ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av parterna.
.
6 / 8
15. Övrigt
I övrigt ska vad som sägs i Avtalet äga tillämpning även för Biträdets Behandling av Personuppgifter och åtagandena under detta Biträdesavtal. Vid motstridighet mellan bestämmelserna i Avtalet och detta Biträdesavtal ska bestämmelserna i Biträdesavtalet äga företräde i fråga om Behandling av Personuppgifter.
I fråga om lagval och tvist, ska vad som sägs i Samverkansavtalet p 15 gälla på motsvande sätt i fråga om detta Biträdesavtal. Tvist ska slutligt avgöras genom skiljedom administrerat vid Stockholms Handelskammares Skiljedomsinstitut. Institutets Regler för Förenklat Skiljeförfarande ska gälla om inte Institutet med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Reglerna för Stockholms Handelskammares Skiljedomsinstitut ska tillämpas på förfarande. I sistnämnda fall ska Institutet också bestämma att skiljenämnden ska bestå av en eller tre skiljemän.
* * * *
Detta Biträdesavtal har upprättats i två (2) originalexemplar, varav parterna tagit var sitt.
Klicka här och skriv ort den Datum | Klicka här och skriv ort den Datum |
KLICKA HÄR OCH SKRIV STUDIEFÖRBUNDETS NAMN Klicka här och skriv namnförtydligande | STUDIEFÖRBUNDEN I SAMVERKAN Klicka här och skriv namnförtydligande |
Klicka här och skriv namnförtydligande | Klicka här och skriv namnförtydligande |
.
7 / 8
Bilaga 1 – Instruktion om hantering av Personuppgifter
.
8 / 8