Personuppgiftsbiträdesavtal gällande Auktorisation för fastighetsnära insamling av returpapper i Göteborgs stad.

Kretslopp och vatten

Personuppgiftsbiträdesavtal gällande Auktorisation för fastighetsnära insamling av returpapper i Göteborgs stad.

Detta personuppgiftsbiträdesavtal (”PUBA”) är träffat [YYYY-MM-DD] mellan:

(1) [Entreprenören] organisationsnummer [xxx.xx ] (”Biträdet”) och

(2) Kretslopp och vatten, organisationsnummer 212000-1355 (”Ansvarig”)

härefter enskilt benämnd ”part” och tillsammans ”parterna”.

Avtalet ska undertecknas av Biträdet och Ansvarig.

1 Bakgrund och syfte

1.1 Ansvarig har efter genomförd auktorisation ingått avtal med Biträdet gällande fastighetsnära insamling av returpapper i Göteborgs stad.

1.2 Detta PUBA innebär bl.a. att Biträdet i egenskap av Personuppgiftsbiträde samlar in och behandlar de personuppgifter som krävs för att kunna utföra avtalade tjänster på uppdrag av Ansvarig. Gällande lagstiftning uppställer krav på att skriftligt avtal träffas mellan den som är personuppgiftsansvarig och den som är personuppgiftsbiträde (personuppgiftsbiträdesavtal). Detta PUBA reglerar Biträdets Behandling av personuppgifter för Ansvarigs räkning. Detta PUBA gäller endast de delar av tjänster som Biträdet gör för Ansvarigs räkning.

1.3 Vad som anges i detta PUBA ska äga företräde framför andra avtal om inget annat uttryckligen framgår nedan.

1.4 Avsnitt 1, 2 och 3 utgör den Personuppgiftsansvariges instruktioner till Personuppgiftsbiträde.

Avsnitt 1 Behandling som omfattas av Personuppgiftsbiträdesavtal

Avsnitt 2 Underbiträden: här förtecknas de underbiträden som har godkänts av den Ansvarige.

Avsnitt 3 Tekniska och organisatoriska säkerhetsåtgärder. Detta avsnitt utgör kompletterande instruktioner till Personuppgiftsbiträde avseende tekniska och organisatoriska säkerhetsåtgärder.

2 Lagval och definitioner

2.1 Svensk lag gäller för Behandling av Personuppgifter enligt detta Avtal.

2.2 Såvida inte annat framgår av detta PUBA ska begrepp med stor begynnelsebokstav ha den innebörd som de ges i vid var tid gällande personuppgifts/dataskyddslagstiftning i Sverige (”Dataskyddslagstiftning”), inbegripet gällande förordningar, såsom General Data Protection Regulation (GDPR/Dataskyddsförordningen) dataskyddslagen och annan svensk tillämplig nationell lagstiftning.

3 Behandling av personuppgifter

3.1 Biträdet ska behandla Personuppgifter i enlighet med detta PUBA, Xxxxxxx, gällande lagstiftning samt Ansvarigs vid var tid gällande dokumenterade instruktioner. Biträdet får inte behandla Personuppgifter för egna ändamål för ansvarigs räkning utöver det som regleras i avtal.

3.2 Biträdet ska rätta, blockera, ändra eller gallra Personuppgifter enligt Ansvarigs instruktioner. Om Ansvarig begär att Personuppgift ska raderas ska sådan radering ske inom 60 dagar. När Personuppgifter raderats ska Biträdet skriftligen informera Ansvarig om detta.

3.3 Biträdet ska på Ansvarigs begäran skyndsamt bistå Ansvarig med att fullgöra Ansvarigs skyldigheter enligt artiklarna 32–36 GDPR, samt i den mån det är möjligt genom lämpliga tekniska och organisatoriska åtgärder hjälpa Ansvarig svara på begäran om utövande av Den registrerades rättigheter enligt Kapitel III GDPR.

3.4 Att fylla i under Personuppgiftsansvariges instruktioner till Personuppgiftsbiträde Avsnitt 1:

- Registrerade

- Typ av personuppgifter som överförs

- Känsliga personuppgifter (i förekommande fall)

- Behandling

- Art och ändamål med behandlingarna

- Särskilda instruktioner angående behandlingarna

4 Underbiträden

4.1 Biträdet får endast anlita tredje part för Behandling av Personuppgifter enligt Avtalet (”Underbiträde”) om Ansvarig på förhand godkänt detta och om Biträdet har ingått ett skriftligt avtal med godkänt Underbiträde avseende Behandling av Personuppgifter i vilket Underbiträdet åläggs samma skyldigheter som åvilar Biträdet enligt detta Avtal. Biträdet ansvarar fullt ut mot Ansvarig för Underbiträdes Behandling.

4.2 Biträdet ska säkerställa att Ansvarig har kännedom om vilka Underbiträden som behandlar Personuppgifter genom att utan dröjsmål, på begäran av Ansvarig tillhandahålla Ansvarig fullständig, korrekt och uppdaterad

information om samtliga Underbiträden, där åtminstone följande information framgår:

(i) Underbiträdets kontaktinformation, bolagsform och geografisk placering;

(ii) vilken del av Behandlingen enligt detta Avtal som Underbiträdet utför;

(iii) garantier som uppställs för att Dataskyddslagstiftning efterlevs, samt

(iv) var Underbiträdet behandlar Personuppgifter som omfattas av detta Avtal.

4.3 Att fylla i under Personuppgiftsansvariges instruktioner till Personuppgiftsbiträde Avsnitt 2 Underbiträden:

- Behandling med hjälp av underbiträden, lista underbiträden

5 Begränsningar i rätten att överföra personuppgifter till tredje land

5.1 Biträdet får inte överföra Personuppgifter till Tredje land utan Ansvarigs skriftliga godkännande av sådan överföring. Därutöver får överföring endast ske om någon av följande förutsättningar är uppfyllda:

(i) Det säkerställs en adekvat skyddsnivå i mottagarlandet enligt EU- kommissionen,

(ii) Avtal som innehåller EU-kommissionens standardavtalsklausuler har ingåtts mellan Ansvarig och Biträdet, utan ändringar eller tillägg som står i strid med klausulerna,

(iii) Biträdet har upprättat bindande företagsinterna regler (så kallade Binding Corporate Rules) och mottagaren av Personuppgifterna i Tredje land omfattas av dessa.

5.2 Oaktat 5.1 ovan ska eventuella ytterligare begränsningar avseende överföring av Personuppgifter utanför Sverige i Ramavtalet/Kontraktet äga företräde framför detta Avtal.

5.3. Att fylla i under Personuppgiftsansvariges instruktioner till Personuppgiftsbiträde avsnitt 1:

- Behandling av personuppgifter inom Sverige, EU/EES samt tredje land

6 Säkerhetsåtgärder

6.1 Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder i enlighet med gällande lagstiftning och Ansvarigs instruktioner för att skydda de Personuppgifter som behandlas enligt detta PUBA. Personuppgifterna ska av Biträdet skyddas mot förstöring, ändringar, otillåten spridning och obehörig tillgång. Personuppgifterna ska även skyddas mot varje annat slag av otillåten Behandling.

6.2 Biträdet ska vidta åtgärder för att samtliga personer som arbetar under dennes ledning följer vad som framgår av detta PUBA och vid var tid gällande instruktioner från Ansvarig, samt att de hålls informerade om innehållet i

gällande lagstiftning. Biträdet ska begränsa åtkomsten till Personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver Personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av ingångna avtal mellan Biträdet och Ansvarig.

6.3 Biträdet ska tillhandahålla och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till Personuppgifterna. I händelse av en Personuppgiftsincident ska Biträdet skriftligen underrätta Ansvarig om händelsen senast inom 24 timmar från att ha fått kännedom om den. Biträdet ska skyndsamt bistå Ansvarig i rapportering av incident till tillsynsmyndighet och, om relevant, i rapportering av incident till Den registrerade.

6.4 Om Biträdet saknar instruktioner från Ansvarig som Biträdet bedömer är nödvändiga för att utföra Behandling av Personuppgifter, eller anser att Ansvarigs instruktioner helt eller delvis står i konflikt med de författningar, föreskrifter och rekommendationer som Biträdet ska följa enligt detta PUBA, ska Biträdet utan dröjsmål meddela Ansvarig om sin inställning och invänta de instruktioner som Ansvarig bedömer erforderliga.

6.5 Att fylla i under Personuppgiftsansvariges instruktioner till Personuppgiftsbiträde Avsnitt 3 Tekniska och organisatoriska säkerhetsåtgärder:

- Kompletterande instruktioner till Personuppgiftsbiträde avseende tekniska och organisatoriska säkerhetsåtgärder.

7 Granskning och tillsyn

7.1 Ansvarig äger rätt att, själv eller genom tredje part utsedd av Ansvarig (som inte är en konkurrent till Biträdet) inom 7 dagar följa upp att Biträdet behandlar Personuppgifter i enlighet med PUBA. Biträdet ska vid sådan uppföljning bistå Ansvarig eller den som utför granskningen med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna följa upp Biträdets efterlevnad av detta PUBA. Biträdet ska även tillförsäkra Ansvarig motsvarande rättigheter i förhållande till anlitade Underbiträden.

7.2 Biträdet ska också bereda möjlighet för Datainspektionen, eller annan ansvarig myndighet att göra tillsyn på plats avseende Behandling av Personuppgifter.

7.3 Om Datainspektionen eller annan myndighet inleder granskning av Ansvarigs Behandling av Personuppgifter eller om enskild väcker talan mot Ansvarig med anledning av sådan Behandling och frågan rör Behandling som kan antas ha utförts av Biträdet, ska Biträdet i skälig omfattning och mot ersättning för självkostnader bistå Ansvarig med dokumentation och annan information avseende Behandlingen i syfte att möjliggöra för Ansvarig att tillmötesgå myndigheter i deras granskning och bemöta framställda krav.

8 Utlämnande av information

8.1 Om Den registrerade, Datainspektionen, annan tillsynsmyndighet eller annan tredje man kontaktar Biträdet i ärende som rör Behandling av Personuppgifter, ska Biträdet hänvisa till Ansvarig och utan dröjsmål skriftligen underrätta Ansvarig. Biträdet får inte företräda Ansvarig gentemot tredje part eller lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan skriftligt föregående medgivande från Ansvarig. Biträdet ska bistå Ansvarig för det fall Den registrerade begär att få ta del av information som finns registrerad om denne i form av Personuppgifter eller begär rättelse av sådan information.

9 Sekretess

9.1 Biträdet och de personer som arbetar under dennes ledning ska vid Behandling av Personuppgifter iaktta sekretess. Det innebär att Personuppgifter inte obehörigen får röjas för tredje man. Biträdet åtar sig att se till att den eller de personer som arbetar under Biträdets ledning och som kommer att behandla Personuppgifter iakttar och följer Biträdets sekretesskyldighet enligt denna punkt 9.1.

9.2 Personuppgifter, information, instruktioner, systemlösningar, beskrivningar eller andra handlingar som Biträdet erhåller genom informationsutbyte enligt detta PUBA eller annat avtal parterna emellan får inte utnyttjas eller röjas för annat ändamål än som framgår av detta PUBA eller annat avtal parterna emellan, vare sig direkt eller indirekt, om inte Ansvarig på förhand skriftligen medgivit detta. Sekretesskyldigheten gäller inte information som part kan visa var allmänt känd eller som kommit till parts kännedom från tredje man utan brott mot detta PUBA.

9.3 Om Biträdet genom lag eller myndighetsföreläggande måste lämna ut Personuppgifter ska Biträdet omgående skriftligen meddela Ansvarig om detta.

9.4 Sekretessplikt enligt lag gäller även om detta PUBA i övrigt upphör.

10 Ersättning

10.1 Om det inte följer av någon annan punkt i detta PUBA har Biträdet inte rätt till särskild ersättning för Behandling av Personuppgifter under detta PUBA.

11 Skadestånd och ansvar gentemot tredje man

11.1 Biträdet åtar sig att hålla Ansvarig skadeslöst för myndighetssanktioner, skadestånd till Den registrerade eller annan skada eller kostnad som uppstår till följd av Biträdets agerande i strid med detta PUBA. Ansvaret enligt denna punkt äger företräde framför eventuella andra överenskommelser parterna emellan.

12 Avtalstid, förhållande till övriga avtal och ändringar

12.1 Detta Avtal gäller mellan parterna så länge Biträdet behandlar Personuppgifter för vilka Ansvarig är Personuppgiftsansvarig.

12.2 Biträdet åtar sig att radera samtliga Personuppgifter som behandlats enligt detta Avtal inom 60 dagar från detta PUBAs upphörande. Xxxxxxxx ska emellertid inte ske förrän Biträdet skriftligen har informerat Ansvarig om att radering kommer att ske.

12.3 Om bakomliggande avtal som innebär att Biträdet behandlar Personuppgifter upphör och nytt sådant avtal träffas utan att ett nytt personuppgiftsbiträdesavtal träffas, gäller detta PUBA även för det nya avtalet.

12.4 Ändringar och tillägg till detta PUBA ska, för att vara giltiga, göras skriftligen och undertecknas av båda parter. Denna punkt 12.4 förhindrar inte att Ansvarig kan ändra eller utfärda ytterligare instruktioner i enlighet med vad som framgår av detta PUBA.

13 Lagval och tvistlösning

13.1 För detta avtal gäller svensk rätt.

13.2 Tvist i anledning av detta PUBA ska slutligt avgöras vid allmän domstol om inte annat sägs i Ramavtalet/Kontraktet.

Personuppgiftsansvariges instruktioner till Personuppgiftsbiträde

Avsnitt 1 Behandling som omfattas av Personuppgiftsbiträdesavtal

Registrerade

Personuppgifter som rör följande kategorier av registrerade ska behandlas av Personuppgiftsbiträde:

• Kunder

Typ av personuppgifter som överförs

De personuppgifter som överförs är av följande slag:

Biträdet samlar in och behandlar de uppgifter som är nödvändiga för att kunna utföra uppdrag enligt avtal med Ansvarig. Det vill säga ta emot order, hämta avfall hos kund, fakturera kund och rapportera begärda uppgifter till Ansvarig.

• Namn

• Adress

• Fakturaadress

• Telefonnummer

Känsliga personuppgifter (i förekommande fall)

Överföringen rör följande känsliga personuppgifter:

Ej aktuell. Inga känsliga personuppgifter, exempelvis hälsostatus, får registreras.

Behandling

De personuppgifter som överförs kommer att behandlas på följande sätt:

Lagring av personuppgifter kommer ske i syfte att kunna utföra tjänsten enligt avtal med Ansvarig samt för att ha de uppgifter som krävs vid redovisning av räkenskaper.

Art och ändamål med behandlingarna

Behandlingen av personuppgifter sker i syfte att:

Biträdet samlar in uppgifter för att kunna utföra tjänster och rapportering enligt avtal med Ansvarig.

Rättslig grund: Avtal med registrerad samt uppgift av allmänt intresse.

Särskilda instruktioner angående behandlingarna

Vid behandlingen av personuppgifter ska Personuppgiftsbiträde särskilt beakta:

Biträdet får inte sprida eller sälja personuppgifter som samlats in för Ansvarigs räkning.

Behandling av personuppgifter inom Sverige, EU/EES samt tredje land

☒ Alternativ 1: Personuppgifter får endast behandlas inom Sverige.

☐ Alternativ 2: Personuppgifter får behandlas inom EU/EES.

☐ Alternativ 3: Personuppgifter får överföras till ett tredje land. Ange rättslig lösning för att sådan överföring ska vara tillåten:

Ej aktuell

Vid alternativ 2 eller 3 ovan, ange land där Personuppgiftsbiträde kommer att hantera personuppgifter:

Ej aktuell

Avsnitt 2 Behandling med hjälp av underbiträden Personuppgiftsbiträde får endast anlita ett annat Personuppgiftsbiträde om ett skriftligt förhandstillstånd har inhämtats från den Personuppgiftsansvarige.

I detta avsnitt förtecknas underbiträden som har godkänts av den Personuppgiftsansvarige. Enligt punkt 5.4 är Personuppgiftsbiträde skyldigt att hålla en aktuell förteckning över underbiträden som anlitas.

Underbiträde (namn)	Organisations- nummer	Bistår Personuppgiftsbiträde med följande	Behandling sker i (land)
Fylls i vid behov.	Fylls i vid behov.	Fylls i vid behov.	Fylls i vid behov.

Avsnitt 3 Tekniska och organisatoriska säkerhetsåtgärder Detta avsnitt utgör kompletterande instruktioner till Personuppgiftsbiträde avseende tekniska och organisatoriska säkerhetsåtgärder.

Ange kompletterande instruktioner:

Biträdet ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med detta PUBA, dataskyddslagstiftningen och annan relevant lagstiftning. Biträdet ska även ha rutiner som förhindrar obehörig behandling och obehörig åtkomst till personuppgifter.

Detta PUBA har upprättats i två (2) original, av vilka parterna har erhållit ett (1) original vardera

Underskrifter

Ort Ort

Datum Datum

BITRÄDET (ENTREPRENÖREN) ANSVARIG (KRETSLOPP OCH VATTEN)

Underskrift Underskrift

Namnförtydligande Namnförtydligande