Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Allmänna villkor

Personuppgiftsbiträdesavtalet innebär inte att den Personuppgiftsansvarige behöver vara den som enligt lag eller annan författning är att anse som personuppgiftsansvarig. Dock utgör den Personuppgiftsansvarige i förhållandet med Personuppgiftsbiträdet enligt detta Personuppgiftsbiträdesavtal personuppgiftsansvarig för den behandling av personuppgifter som avtalet gäller.

1. Bakgrund och syfte Personuppgiftslagen (1998:204) (PuL) samt från och med den 25 maj 2018 Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR), ställer krav på skriftligt avtal när personuppgiftsbiträden ska behandla personuppgifter för en personuppgiftsansvarigs räkning. Personuppgiftsbiträdet ska för den Personuppgiftsansvariges räkning behandla personuppgifter. Skyddet för den personliga integriteten vid behandling av personuppgifter är av väsentlig betydelse för den Personuppgiftsansvarige och för dennes verksamhet. Syftet med detta Personuppgiftsbiträdesavtal är att tillse att Personuppgiftsbiträdet behandlar personuppgifterna i enlighet med den Personuppgiftsansvariges instruktioner och tillämpliga lagar, föreskrifter eller andra författningar, men även i enlighet med tillämpliga branschnormer och rättspraxis.

2. Personuppgiftsbiträdesavtalets ställning I Personuppgiftsbiträdesavtalet ingår i förekommande fall den Personuppgiftsansvariges Instruktion för behandling av personuppgifter. I händelse av motstridande lydelse gäller Personuppgiftsbiträdesavtalet före Instruktionen, om inte annat överenskommits. Närmare om Personuppgiftsbiträdets uppdrag framgår i förekommande fall även av mellan parterna ingånget avtal i vilket detta Personuppgiftsbiträdesavtal utgör en del. Vid motstridig lydelse mellan Personuppgiftsbiträdesavtalet och sådant avtal, ska Personuppgiftsbiträdesavtalet äga företräde om inte Parterna uttryckligen angett annat.

3. Giltighetstid Personuppgiftsbiträdesavtalet gäller under den tid som parterna angett. Om parterna inte angett någon avtalstid gäller Personuppgiftsbiträdesavtalet tills vidare från avtalets ingående, med en ömsesidig uppsägningstid om tre kalendermånader. Personuppgiftsbiträdet får endast behandla personuppgifterna under den tid som detta Personuppgiftsbiträdesavtal gäller.

4. Personuppgiftsslag, ändamål och laglig grund Personuppgiftsbiträdesavtalet omfattar behandling av personuppgifter bestående i personnamn och kontaktuppgifter som den Personuppgiftsansvarige gör tillgängliga för Personuppgiftsbiträdet. Ändamålen och den lagliga grunden bakom behandlingen är att den Personuppgiftsansvarige ska kunna uppfylla sina skyldigheter och tillvarata sina rättigheter enligt avtal med de registrerade, men även för att kunna fullgöra sina rättsliga skyldigheter eller för ett intresse som väger tyngre än de registrerades intresse i att uppgifterna inte behandlas.

5. Personuppgiftsbiträdets skyldigheter

5.1. Personuppgifter får endast behandlas enligt den Personuppgiftsansvariges instruktioner, såvida Personuppgiftsbiträdet inte är skyldigt att utföra behandlingen enligt tillämpliga rättsliga krav. Detta gäller även vid överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller medlemsstats nationella rätt som Personuppgiftsbiträdet omfattas av. I så fall ska Personuppgiftsbiträdet innan personuppgifterna behandlas informera den

Personuppgiftsansvarige om detta rättsliga krav, med undantag för när sådan information enligt tillämplig rätt är förbjuden med hänvisning till ett viktigt allmänintresse.

5.2. Personuppgiftsbiträdet förbinder sig att inte lämna ut eller annars röja personuppgifterna eller uppgift om behandlingen av personuppgifterna Personuppgiftsbiträdet ska tillse att personer som Personuppgiftsbiträdet anlitar och ger behörighet att behandla personuppgifterna uttryckligen har åtagit sig att iaktta konfidentialitet eller att sådana personer uppmärksammas om att de i förekommande fall omfattas av lagstadgad tystnadsplikt som gäller för personuppgifterna.

5.2.1. Behörighet att behandla personuppgifter och tillgången till uppgifterna ska begränsas till vad som är nödvändigt för Personuppgiftsbiträdets uppfyllande av avtalet med den Personuppgiftsansvarige och fullgörandet av Personuppgiftsbiträdets skyldigheter enligt lag eller annan författning. Personuppgifterna får inte utnyttjas eller behandlas för annat ändamål än som följer av Personuppgiftsbiträdesavtalet eller det uppdrag som utförs för den Personuppgiftsansvariges räkning.

5.3. Personuppgiftsbiträdet ska genomföra lämpliga tekniska och organisatoriska åtgärder så att behandlingen av personuppgifter uppfyller tillämpliga bestämmelser jämte kraven i detta Personuppgiftsbiträdesavtal, samt säkerställa att de registrerades rättigheter skyddas.

5.4. Personuppgiftsbiträdet får anlita annat personuppgiftsbiträde för behandling av personuppgifterna. Personuppgiftsbiträdet ska meddela den Personuppgiftsansvarige om eventuella planer på att anlita nya eller ersätta befintliga personuppgiftsbiträden och ge den Personuppgiftsansvarige rimlig tid och möjlighet att invända mot sådan åtgärd.

5.4.1. Om Personuppgiftsbiträdet anlitar ett annat personuppgiftsbiträde för behandlingen av personuppgifter, ska Personuppgiftsbiträdet ålägga det andra personuppgiftsbiträdet samma skyldigheter i fråga om dataskydd som gäller för Personuppgiftsbiträdet enligt detta Personuppgiftsbiträdesavtal eller enligt tillämpliga rättsliga krav som följer av annan rättsakt. Ett sådant avtal ska framför allt ge tillräckliga garantier för att lämpliga tekniska och organisatoriska åtgärder genomförs på ett sådant sätt att behandlingen uppfyller kraven enligt detta Personuppgiftsbiträdesavtal, instruktionerna eller tillämplig rättsakt.

5.4.2. Om ett av Personuppgiftsbiträdet anlitat personuppgiftsbiträde inte fullgör sina skyldigheter i fråga om dataskydd, är Personuppgiftsbiträdet fullt ansvarig gentemot den Personuppgiftsansvarige för utförandet av det anlitade personuppgiftsbiträdets skyldigheter.

5.4.3. De anlitade personuppgiftsbiträdena ska vid var tid vara kända av Personuppgiftsbiträdet och vid anmodan från den Personuppgiftsansvarige redovisas till denne. Den Personuppgiftsansvarige eller av denne anlitad annan part har rätt till skälig assistans från Personuppgiftsbiträdet vid kontroll eller revision avseende behandling av personuppgifterna som utförs genom av denne anlitade personuppgiftsbiträden.

5.5. När detta är möjligt ska Personuppgiftsbiträdet med hänsyn till behandlingens eller personuppgifternas art och omfattning genom lämpliga tekniska och organisatoriska åtgärder hjälpa den Personuppgiftsansvarige att fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter enligt tillämpliga rättsliga krav.

5.6. Senast från och med tid när GDPR ska tillämpas ska Personuppgiftsbiträdet med hänsyn till behandlingens eller personuppgifternas art och omfattning jämte den information som Personuppgiftsbiträdet har att tillgå, hjälpa den Personuppgiftsansvarige att tillse att skyldigheterna enligt artiklarna 32–36 GDPR fullgörs. Dessa skyldigheter omfattar bland annat säkerhet vid personuppgiftsbehandling, anmälan till tillsynsmyndigheten och information till de registrerade vid en personuppgiftsincident, genomförande av konsekvensbedömning avseende dataskydd, samt vid förhandssamråd med tillsynsmyndigheten.

5.7. När avtalet mellan Parterna som innefattar behandling av personuppgifter avslutas ska Personuppgiftsbiträdet på den Personuppgiftsansvariges begäran radera eller återlämna alla personuppgifter till denne och radera befintliga kopior av personuppgifterna, såvida inte skyldighet att lagra personuppgifterna följer av tillämpliga rättsliga krav.

5.8. Personuppgiftsbiträdet ska ge den Personuppgiftsansvarige tillgång till all information som krävs för att visa att behandlingen av personuppgifter uppfyller tillämpliga rättsliga krav jämte de villkor som gäller för behandlingen av personuppgifter enligt detta Personuppgiftsbiträdesavtal och instruktioner. För att den Personuppgiftsansvarige ska kunna kontrollera detta, ska Personuppgiftsbiträdet även möjliggöra och bidra till granskningar,

inbegripet inspektioner, som genomförs av den Personuppgiftsansvarige eller av revisor eller annan personal som bemyndigats av den Personuppgiftsansvarige.

5.9. Om Personuppgiftsbiträdet anser att den Personuppgiftsansvariges instruktion strider mot tillämpliga rättsliga krav, ska Personuppgiftsbiträdet omedelbart informera den Personuppgiftsansvarige härom.

5.9.1. Om Personuppgiftsbiträdet saknar instruktioner som denne bedömer är nödvändiga för att genomföra behandlingen av personuppgifter, ska Personuppgiftsbiträdet utan dröjsmål informera den Personuppgiftsansvarige om detta och invänta de instruktioner som den Personuppgiftsansvarige bedömer erfordras och meddelar Personuppgiftsbiträdet.

5.10. Om en personuppgiftsincident inträffat ska Personuppgiftsbiträdet snarast informera den Personuppgiftsansvarige efter det att Personuppgiftsbiträdet fått kännedom härom. Information behöver inte lämnas om det inte föreligger någon risk för att de registrerades rättigheter och friheter kränks. Informationen ska innehålla uppgifter som behövs för att den Personuppgiftsansvarige ska kunna fullgöra skyldighet att anmäla personuppgiftsincidenten till tillsynsmyndigheten och informera de registrerade enligt lag eller annan författning.

6. Den Personuppgiftsansvariges skyldigheter

6.1. Den Personuppgiftsansvarige ansvarar gentemot Personuppgiftsbiträdet för att den behandling av personuppgifter som avtalet omfattar är tillåten för den Personuppgiftsansvarige enligt tillämpliga rättsliga krav.

6.2. Den Personuppgiftsansvarige ska ge Personuppgiftsbiträdet de instruktioner eller anvisningar som är nödvändiga för att Personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal.

6.3. Den Personuppgiftsansvarige ska snarast informera Personuppgiftsbiträdet om sådana förhållanden som den Personuppgiftsansvarige får kännedom om och som är av vikt för Personuppgiftsbiträdets uppfyllande av avtalet.

7. Ansvar

7.1. Personuppgiftsbiträdet ska hålla den Personuppgiftsansvarige skadeslös om denne drabbas av ersättningskrav eller andra anspråk på grund av att Personuppgiftsbiträdet eller någon som denne anlitar vidtagit åtgärd som strider mot detta avtal eller tillämplig lag eller annan författning. Motsvarande gäller för ersättningskrav eller andra anspråk mot Personuppgiftsbiträdet på grund av åtgärd av den Personuppgiftsansvarige eller någon annan för vilken denne svarar. Detta gäller även sanktionsavgift eller annan påföljd med anledning av behandlingen av personuppgifter.

7.2. REAL Anno 1991 AB:s ansvar är dock begränsat till ett totalt belopp om högst 20 prisbasbelopp enligt socialförsäkringsbalken (2010:110).

7.3. Innan Part inleder förhandling, ingår förlikning eller träffar avtal eller förbinder sig till någon annan förpliktelse gentemot de registrerade eller annan tredje man eller gentemot domstol eller annan myndighet med anledning av ersättningskrav, anspråk eller påföljd, ska Parten informera den andre Parten härom och ge denne möjlighet att biträda Parten eller på annat lämpligt sätt tillvarata sina rättigheter.

8. Förtida upphörande, hävning

8.1. Om Personuppgiftsbiträdet eller någon som denne anlitar behandlar personuppgifter i strid med Personuppgiftsbiträdesavtalet, den Personuppgiftsansvariges instruktioner eller rättsliga krav och inte vidtagit rättelse inom skälig tid efter den Personuppgiftsansvariges begäran, får den Personuppgiftsansvarige omedelbart säga upp (häva) avtalet eller säga upp avtalet till upphörande vid viss tid efter uppsägningen.

9. Ändringar eller tillägg

9.1. Om rättsliga krav medför att Personuppgiftsbiträdesavtalet behöver ändras, får part ändra innehållet i avtalet genom meddelande till den andre parten. Ändringen träder i kraft trettio (30) dagar efter meddelandets avsändande. Part får omedelbart säga upp avtalet eller delar därav om den andre parten inte accepterar ändringen.