Bilaga Utkast till
Bilaga Utkast till
Personuppgiftsbiträdes-
avtal
Kommunikationstjänster inom tele- och datakom
23.3-3081-17
Innehåll
1 Personuppgiftsbiträdesavtalets syfte 3
3 Allmänt om Personuppgiftsbiträdesavtalet 4
4 Personuppgiftsbiträdets skyldigheter 5
5 Behandling med hjälp av underbiträden 8
6 Skyldigheter efter Kontrakts upphörande 9
7 Ändringar i personuppgiftsbiträdesavtal 10
Instruktion till Personuppgiftsbiträdesavtal 11
1 Personuppgiftsbiträdes- avtalets syfte
Detta Personuppgiftsbiträdesavtal reglerar Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning. Avtalet är utformat med beaktande av kraven i EU:s dataskyddsförordning (EU) 2016/679, men kan – med eventuellt nödvändiga justeringar – användas för personuppgiftsbehandling som regleras av andra dataskyddsbestämmelser.
Notera att den andra delen av detta Personuppgiftsbiträdesavtal ”Instruktion till Personuppgiftsbiträdesavtal” måste fyllas i av parterna för att dataskyddslagstiftningens krav ska kunna uppfyllas.
Personuppgiftsansvarig: |
Adress: |
Telefonnummer: |
E-postadress: |
Organisationsnummer: |
och
Personuppgiftsbiträde: |
Adress: |
Telefonnummer: |
E-postadress: |
Organisationsnummer: |
3 Allmänt om Personuppgifts- biträdesavtalet
4 Personuppgiftsbiträdets skyldigheter
Personuppgiftsbiträde ska under alla förutsättningar vidta de säkerhetsåtgärder som framgår nedan.
När datorutrustning och löstagbara datamedier hos Personuppgiftsbiträde inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld.
För det fall eventuella bärbara datorer eller dylik utrustning används vid behandlingar ska personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade.
Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas.
Personuppgiftsbiträde ska ha en rutin för regelbunden test av återläsning.
Ett tekniskt system för behörighetskontroll ska styra åtkomsten till person- uppgifterna för Personuppgiftsbiträde. Användaridentitet ska vara personlig och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter.
Åtkomst till personuppgifter ska kunna följas upp genom en logg eller liknande underlag. Underlaget ska kunna kontrolleras av Personuppgiftsbiträde och återrapporteras till den Personuppgiftsansvarige.
Anslutning för extern datorkommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig.
För åtkomst till känsliga personuppgifter krävs tvåfaktorsautentisering som är motståndskraftig mot nätfiske och man-i-mitten-attacker.
Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av Personuppgiftsbiträde ska skyddas med kryptering.
När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre
ska användas för sitt ändamål ska personuppgifterna raderas på sådant sätt att de inte kan återskapas.
Ytterligare preciseringar av tekniska och organisatoriska säkerhetsåtgärder kan framgå av avsnitt 3 i Instruktion till Personuppgiftsbiträdesavtal samt av Kontrakt.
Första stycket gäller inte om en behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Personuppgiftsbiträde omfattas av. I sådana fall ska Personuppgiftsbiträde informera den Personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida detta inte är otillåtet enligt den aktuella rättsordningen.
Om Personuppgiftsbiträde bedömer att instruktioner om hur personuppgifter ska behandlas strider mot tillämpliga dataskyddsbestämmelser ska Personuppgiftsbiträde omedelbart informera den Personuppgiftsansvarige om detta.
Personer som utför arbete under Personuppgiftsbiträdes överinseende, t.ex. som anställda, och som får tillgång till personuppgifter, får endast behandla uppgifterna enligt den Personuppgiftsansvariges instruktioner, såvida inte en skyldighet att göra något annat framgår i unionsrätten eller medlemsstaternas nationella rätt.
Endast personer som har ett strikt behov av att få tillgång till personuppgifterna ska ges sådan tillgång.
Personuppgiftsbiträde garanterar att personer som får tillgång till personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av lämplig lagstadgad tystnadsplikt.
Som beslut om radering räknas t.ex. att uppgifter har raderats via användargränssnittet i den tjänst som omfattas av Kontrakt.
Personuppgiftsbiträde ska på begäran från den Personuppgiftsansvarige lämna nödvändig information och i övrigt bistå den Personuppgiftsansvarige så att denne kan uppfylla sina skyldigheter beträffande säkerheten i behandlingen och konsekvensbedömningen avseende dataskydd.
Personuppgiftsbiträde har inte rätt att företräda den Personuppgiftsansvarige eller agera för dennes räkning gentemot tillsynsmyndigheten.
information, rätten till rättelse, rätten till radering eller begränsning av behandlingen och rätten till dataportabilitet.
5 Behandling med hjälp av underbiträden
Den Personuppgiftsansvarige har i instruktionen till detta Personuppgiftsbiträdesavtal angivit vilka underbiträden som är godkända vid Personuppgiftsbiträdesavtals ikraftträdande.
Personuppgiftsbiträde ska tillse att underbiträde inte anlitar ett annat underbiträde utan den Personuppgiftsansvariges skriftliga förhandstillstånd.
5.4 Personuppgiftsbiträde ska hålla en förteckning över de underbiträden som vid den aktuella tidpunkten anlitas, samt göra denna förteckning tillgänglig för den Personuppgiftsansvarige. Av förteckningen ska särskilt framgå i vilka länder underbiträdet behandlar personuppgifterna och vilka typer av behandlingar som underbiträdet utför. På begäran ska Personuppgiftsbiträde lämna den Personuppgiftsansvarige information om ett underbiträdes rättsliga åtaganden samt övrig information som krävs för att den Personuppgiftsansvarige ska kunna fullgöra sina skyldigheter enligt dataskyddslagstiftningen.
6 Skyldigheter efter Kontrakts upphörande
6.1 Personuppgiftsbiträde ska i samband med Kontrakts upphörande permanent avlägsna uppgifterna från använda lagringsmedier på ett sådant sätt att uppgifterna inte längre kan återskapas. Denna åtgärd ska vara fullt genomförd senast 180 dagar efter Kontrakts upphörande.
Om den Personuppgiftsansvarige kräver det ska Personuppgiftsbiträde innan sådan radering sker återlämna alla överförda personuppgifter till den Personuppgiftsansvarige. Såvida inte annat avtalats eller uppenbart följer av omständigheterna, ska personuppgifterna överlämnas i ett format som är läsbart och möjligt att använda i andra sammanhang. Detta innebär att inte enbart personuppgifterna ska tillhandahållas utan även all annan logisk information som behövs för att kunna nyttja personuppgifterna. Vidare ska också loggfiler, revisionsdata, accessdata och liknande metadata tillhandahållas. Även sådan data ska lämnas i ett sådant format att den är användbar för Personuppgiftsansvarig.
7 Ändringar i personuppgifts- biträdesavtal
Ändring ska hanteras i enlighet med Ramavtalets bilaga Allmänna villkor avsnitt 38 (Ändringar och tillägg). Personuppgiftsbiträde får inte motsätta sig ändringen om inte Personuppgiftsbiträde kan visa sakliga skäl för en sådan vägran. Om Personuppgiftsbiträde inte är Ramavtalsleverantör får inte heller Ramavtalsleverantör motsätta sig en sådan ändring utan att kunna visa sakliga skäl.
Om Personuppgiftsbiträde inte är Ramavtalsleverantör ska även Ramavtalsleverantör godkänna ändringen.
Instruktion till Personuppgiftsbiträdesavtal
Avsnitt 1 Behandling som omfattas av Personuppgiftsbiträdesavtal
Denna del utgör den Personuppgiftsansvariges instruktioner till Personuppgiftsbiträde.
Registrerade
Personuppgifter som rör följande kategorier av registrerade ska behandlas av Personuppgiftsbiträde:
Typ av personuppgifter som överförs
De personuppgifter som överförs är av följande slag:
Känsliga personuppgifter (i förekommande fall)
Överföringen rör följande känsliga personuppgifter:
Behandling
De personuppgifter som överförs kommer att behandlas på följande sätt:
Art och ändamål med behandlingarna
Behandlingen av personuppgifter sker i syfte att:
Särskilda instruktioner angående behandlingarna
Vid behandlingen av personuppgifter ska Personuppgiftsbiträde särskilt beakta:
Behandling med hjälp av underbiträden
Personuppgiftsbiträde äger inte rätt att anlita ett annat Personuppgiftsbiträde (underbiträde) enligt denna instruktion.
Personuppgiftsbiträde får endast anlita ett annat Personuppgiftsbiträde om ett skriftligt förhandstillstånd har inhämtats från den Personuppgiftsansvarige.
Personuppgiftsbiträde har en allmän rätt att anlita ett nytt Personuppgiftsbiträde (underbiträde), som uppfyller dataskyddslagstiftningen och Personuppgifts-
biträdesavtals krav. Ett nytt underbiträde får emellertid endast anlitas efter det att den Personuppgiftsansvarige har underrättats om planerna och givits möjlighet att inom skälig tid göra invändningar mot valet.
Behandling av personuppgifter inom Sverige, EU/EES samt tredje land
Alternativ 1: Personuppgifter får endast behandlas inom Sverige. Alternativ 2: Personuppgifter får behandlas inom EU/EES.
Alternativ 3: Personuppgifter får behandlas inom EU/EES samt får överföras till ett tredje land. Ange rättslig lösning för att sådan överföring ska vara tillåten:
Vid alternativ 2 eller 3 ovan, ange land där Personuppgiftsbiträde kommer att hantera personuppgifter:
Avsnitt 2 Underbiträden
I detta avsnitt förtecknas underbiträden som har godkänts av den Personuppgiftsansvarige. Enligt punkt 5.4 är Personuppgiftsbiträde skyldigt att hålla en aktuell förteckning över underbiträden som anlitas.
Underbiträde | Behandling sker i (land) |
Avsnitt 3 Tekniska och organisatoriska säkerhetsåtgärder
Detta avsnitt utgör kompletterande instruktioner till Personuppgiftsbiträde avseende tekniska och organisatoriska säkerhetsåtgärder.
Ange kompletterande instruktioner:
På Personuppgiftsansvarigs vägnar:
Namn (fullständigt): |
Befattning: |
Ort och datum: |
….......................................................................
Namnteckning
På Personuppgiftsbiträdes vägnar:
Namn (fullständigt): |
Befattning: |
Ort och datum: |
….......................................................................
Namnteckning
På Ramavtalsleverantörs vägnar (om denne inte är Personuppgiftsbiträde):
Namn (fullständigt): |
Befattning: |
Ort och datum: |
….......................................................................
Namnteckning