Mall för den Personuppgiftsansvariges Instruktion för Behandling av Personuppgifter

0 (4)


Mall för den Personuppgiftsansvariges Instruktion för Behandling av Personuppgifter


Utöver vad som redan framgår av Personuppgiftsbiträdesavtalet ska Personuppgiftsbiträdet även följa nedanstående Instruktion:


1. Ändamål, föremålet och arten

Trelleborgs kommun har avtal med personuppgiftsbiträdet Grade Varbi AB som tillhandahåller det webbaserade rekryteringssystemet Grade Varbi. Grade Varbi säljs som en licens (SaaS) till Trelleborgs kommun genom mellanhanden Atea.


Grade Varbi tillhandahåller teknisk support för systemet och stödjer användarna i handhavandet. Personuppgifterna i Grade Varbi accessas av Grade Varbi i samband med support, underhåll och utveckling.


Personuppgiftsbiträdet kommer att behandla personuppgifter för ändamålet att tillhandahålla tjänsterna i enlighet med separat avtal för modulen Varbi feriepraktik samt separat avtal för användandet av rekryteringssystemet Grade Varbi under uttalad licensperiod.


Tillhörande huvudavtal finns avtalstext samt Bilaga 1 SLA (Service Level Agreement) – Grade Varbi

2. Behandlingen omfattar följande typer av Personuppgifter

Kategorier av personuppgifter

Följande kategorier kan förekomma i behandlingen av personuppgifter.


1) Personuppgifter hänförliga till den Personuppgiftsansvariges personal, i huvudsak kontaktuppgifter;

Namn, Befattning/roll, E-mail


2) Personuppgifter hänförliga till den Personuppgiftsansvariges kandidaters jobbansökningar;

Xxxx, Adress, E-mail, Mobilnummer, CV och Personligt brev

3. Behandlingen omfattar kategorier av Registrerade

Kategorier av registrerade

Kategorierna av registrerade inkluderar den Personuppgiftsansvariges: Personal, Anställda, Arbetssökande

4. Ange särskilda hanteringskrav vad gäller Behandling av Personuppgifter som utförs av Personuppgiftsbiträdet/biträdena

Särskilda säkerhetskrav

Personuppgiftsbiträdet och ev. underbiträden ska vidta tekniska, administrativa och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripande;

1. pseudonymisering och kryptering av personuppgifter,

2. förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos informationssystemet samt e-tjänster,

3. förmågan att återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid en fysisk

eller teknisk incident, och

1 (4)


4. ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

5. Ange särskilda tekniska och organisatoriska säkerhetsåtgärder vad gäller Behandling av Personuppgifter som utförs av Personuppgiftsbiträdet/biträdena

Särskilda säkerhetskrav

Personuppgiftsbiträdet och ev. underbiträden ska vidta tekniska, administrativa och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripande;

1. pseudonymisering och kryptering av personuppgifter,

2. förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos informationssystemet samt e-tjänster,

3. förmågan att återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, och

4. ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

6. Ange särskilda krav på Loggning vad gäller Behandling av Personuppgifter samt vilka som ska ha tillgång till dem

Loggar

Personuppgiftsbiträdet och Underbiträden ska ansvara för att,

1. det av dokumentationen av åtkomsten (loggar) framgår vilka åtgärder som har vidtagits med uppgifter om en registrerad person,

2. det av loggarna framgår vid vilken enhet åtgärderna vidtagits,

3. det av loggarna framgår vid vilken tidpunkt åtgärderna vidtagits,

4. användarens och den registrerades identitet framgår av loggarna,

5. systematiska och återkommande stickprovskontroller av loggarna görs, och

6. kontroller av loggarna dokumenteras.

7. Lokalisering och överföring av Personuppgifter till Tredje land

Överföring av Personuppgifter till utlandet

PuB garanterar att Personuppgifterna inte kommer att överföras till land utanför EU/EES eller ges åtkomst till från land utanför EU/EES såvida Parterna inte skriftligen kommit överens om att sådan överföring och/eller Behandling får ske.

8. Övriga Instruktioner angående Behandling av Personuppgifter som utförs av biträdet/biträdena

9. Ansvar

Parts skadeståndsansvar enligt Personuppgiftsbiträdesavtalet regleras enligt svensk rätt. Eventuella tvister kring skadeståndsansvar och skadestånd hanteras i svensk domstol.


10. Avtalstid

Detta Personuppgiftsbiträdesavtal gäller så länge Tjänsteavtalet är gällande mellan parterna och upphör därmed när Tjänsteavtalet upphör såvida inte parterna kommer överens om annat.


11. Åtgärder vid avtalets upphörande

2 (4)


11.1 Om Tjänsteavtalet upphör ska PuB vid skriftlig begäran till PuB överlämna samtliga Personuppgifter till PuA på av PuA angivet, för tiden standardiserat, digitalt medium. Överlämnandet av samtliga Personuppgifter ska ske senast 90 dagar efter att den skriftliga begäran mottagits av PuB.


11.2 PuB ska i samband med upphörandet säkerställa att inga Personuppgifter tillhörande PuA finns kvar hos PuB.


12. Övrigt

12.1 Ändringar och tillägg till detta avtal ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av Parterna.


12.2 Tvist angående tolkning eller tillämpning av detta Personuppgiftsbiträdesavtal ska avgöras enligt Tjänsteavtalets bestämmelse om tvist.


12.3 Svensk lag ska tillämpas på detta avtal.

3 (4)


Versionshantering


Version

Datum

Förändringar

Ansvarig

1

2018-12-18

Koncerngemensamt PUB-avtal (SKL,

Kommentus och Inera)

MN, PR, FL, MC, UL, HA, AO

1.2

2019-10-25

Borttag av ’Mall för förteckning över Underbiträden vid

PUB-avtalets ingående

PR






















Elektroniska underskrifter

Det här dokumentet har skrivits under elektroniskt av en eller flera personer

Alla elektroniska underskrifter listas i signaturpanelen. De tio första underskrifterna listas även på den här sidan.

Detta dokument med sina elektroniska underskrifter gäller som självständig handling och uppfyller krav på avancerade elektroniska underskrifter enligt eIDAS.

Varje underskrift kan valideras med en PDF-läsare med stöd för signaturvalidering eller med SignPorts valideringstjänst. Andra valideringstjänster kan användas förutsatt att dessa uppfyller de tekniska kraven enligt internationella standarder.

Om dokumentet skrivs ut på papper, eller om dokumentet ’skrivs ut’ till ett nytt PDF-dokument, följer de elektroniska underskrifterna inte med. Endast det elektroniskt underskrivna originaldokumentet går att validera.

* Värden markerade med en asterisk har validerats mot beviset från den legitimeringstjänst som användes för underskriften.


Underskrift 1

Namn: Xxxxxxx Xxxxxx Identifieringsmetod: BankID Organisation: Grade Varbi AB Befattning: VD

Datum och tid: 2023-06-29 16:21:56 GMT+02:00

Transaktions-ID: eccec054c8664c6e92d68e6210116ac4

Underskrift 2

Namn: Xxxxxxxxxx Xxxxxxxx Xxxxxx Identifieringsmetod: BankID

Organisation: Kommunledningsförvaltningen, Trelleborgs kommun Befattning: Kommunjurist

Datum och tid: 2023-07-05 09:42:43 GMT+02:00

Transaktions-ID: 5b3b4da2e0f24a839dd8eb3f59e5d97f



e33d2a21-1d23-4b4f-9baa-def11634ceb4

Document Metadata

Filed: June 29th, 2023