Ömsesidigt personuppgiftsbiträdesavtal
Ömsesidigt personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal har träffats ömsesidigt denna dag enligt följande:
Biträdesavtal Svenska kyrkan
1. Trossamfundet Svenska kyrkan {$ENHET1}, {$ORGANISATIONSNUMMER1} {$ADRESS1}
{$POSTADRESS1} (”Personuppgiftsansvarig”), och
2. Sensus studieförbund med samtliga av dess organisationsenheter och underlydande juridiska personer, 802006-4203, Box 1058, 101 39 Stockholm (”Personuppgiftsbiträde”).
KOPIA
Sidan 2-9 inklusive bilaga 1 samt bilaga 2 i detta dokument.
Biträdesavtal Sensus studieförbund
1. Sensus studieförbund med samtliga av dess organisationsenheter och underlydande juridiska personer, 802006-4203, Box 1058, 101 39 Stockholm (”Personuppgiftsansvarig”), och
2. Trossamfundet Svenska kyrkan {$ENHET1}, {$ORGANISATIONSNUMMER1} {$ADRESS1}
{$POSTADRESS1} (”Personuppgiftsbiträde”).
Sidan 10-17 inklusive bilaga 1 samt bilaga 2 i detta dokument.
Dessa Biträdesavtal har upprättats i två likalydande exemplar av vilka Xxxxxxxx tagit var sitt.
{$ORT1} {$DATUM1} Stockholm {$DATUM1}
TROSSAMFUNDET SVENSKA KYRKAN SENSUS STUDIEFÖRBUND
{$ENHET1}
{$NAMN1} Xxx-Xxxxxx Xxxxxxx
{$TITEL1} Förbundsrektor
Personuppgiftsbiträdesavtal
Detta Personuppgiftsbiträdesavtal (”Biträdesavtalet”) har träffats denna dag mellan:
1. Trossamfundet Svenska kyrkan {$ENHET1}, {$ORGANISATIONSNUMMER1} {$ADRESS1}
{$POSTADRESS1} (”Personuppgiftsansvarig”), och
2. Sensus studieförbund med samtliga av dess organisationsenheter och underlydande juridiska personer, 802006-4203, Box 1058, 101 39 Stockholm (”Personuppgiftsbiträde”).
Härefter enskilt benämnd ”Part” och tillsammans ”Parterna”.
1. Bakgrund
1.1 Svenska kyrkan är medlem i Sensus studieförbund och parterna har därigenom ett nära samarbete i frågor som rör folkbildning och kyrkans studieverksamhet i vid mening. Detta Biträdesavtal ska anses utgöra en legal grund för vilken hanteringen av personuppgifter kan ske i det dagliga samarbetet.
1.2 Detta Biträdesavtal reglerar den Personuppgiftsansvariges rättigheter och skyldigheter i egenskap av personuppgiftsansvarig och Personuppgiftsbiträdets rättigheter och skyldigheter i egenskap av personuppgiftsbiträde när Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.
2. Definitioner
2.1 Med ”Tjänsten” ska förstås den eller de tjänster som Personuppgiftsbiträdet ska tillhandahålla till den Personuppgiftsansvarige enligt medlemskapet eller annan överenskommelse.
2.2 Om annat inte framgår, ska begrepp som används i detta Biträdesavtal tolkas i enlighet med ”tillämplig dataskyddslagstiftning”. Med ”tillämplig dataskyddslagstiftning” avses alla inom EU/EES tillämpliga nationella och EU-rättsliga lagar, förordningar och myndigheters föreskrifter, beslut, domar och rekommendationer som är tillämpliga på behandlingen av personuppgifter inom ramen för Biträdesavtalet.
3. Bilagor till Biträdesavtalet
Specifikation över behandlingen av personuppgifter Bilaga 1
På förhand godkända underbiträden Bilaga 2
4. Behandling av personuppgifter
4.1 Personuppgiftsbiträdet ska fortlöpande följa, samt hålla sig väl informerad om, tillämplig dataskyddslagstiftning.
4.2 Personuppgiftsbiträdet och varje person som är behörig att utföra arbete för Personuppgiftsbiträdets räkning förbinder sig att endast behandla personuppgifter i enlighet med den Personuppgiftsansvariges vid var tid lämnade och dokumenterade instruktioner, såvida inte Personuppgiftsbiträdet har en skyldighet att behandla personuppgifterna enligt tillämplig dataskyddslagstiftning. I sådana fall ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om sådan skyldighet innan behandlingen påbörjas, i den mån det är tillåtet för Personuppgiftsbiträdet att lämna sådan information till Personuppgiftsansvarig enligt aktuell reglering. Personuppgiftsansvarigs instruktioner till Personuppgiftsbiträdet om personuppgiftsbehandlingen vid detta avtals tecknande anges i detta Biträdesavtal och Bilaga 1.
4.3 Med undantag för det som framgår av punkten 4.2 får Personuppgiftsbiträdet inte behandla personuppgifter för egna ändamål eller andra ändamål än de som framgår av detta Biträdesavtal och Bilaga 1.
4.4 Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige strider mot tillämplig dataskyddslagstiftning och därefter invänta Personuppgiftsansvarigs instruktioner avseende fortsatt behandling.
4.5 Personuppgiftsbiträdet ska föra ett skriftligt register över den behandling som Personuppgiftsbiträdet utför enligt detta Biträdesavtal. Detta register ska i vart fall innehålla information om:
a. namn och kontaktuppgifter till den Personuppgiftsansvarige, Personuppgiftsbiträdet och underbiträden till Personuppgiftsbiträdet, inbegripet namn och kontaktuppgifter till dessa parters företrädare och eventuella dataskyddsombud;
b. de kategorier av behandling som Personuppgiftsbiträdet utför för den Personuppgiftsansvariges räkning enligt detta Biträdesavtal; och
c. eventuella överföringar till tredje land som sker i enlighet med punkten 9 nedan.
KOPIA
4.6 Part ska säkerställa att den andra Parten har rätt enligt tillämplig dataskyddslagstiftning att behandla kontaktuppgifter och andra eventuella personuppgifter tillhörande den första Partens anställda i den utsträckning sådan behandling behövs för att underlätta utförandet av Tjänsten.
4.7 Om Personuppgiftsbiträdet brustit i sina åtaganden enligt detta Biträdesavtal eller tillämplig dataskyddslagstiftning ska Personuppgiftsbiträdet åtgärda bristen utan oskäligt dröjsmål.
5. Säkerhet och sekretess
5.1 Personuppgiftsbiträdet ska vid var tid vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas enligt detta Biträdesavtal. Personuppgiftsbiträdet är skyldigt att vid var tid fullgöra sina rättsliga förpliktelser avseende informationssäkerhet enligt tillämplig dataskyddslagstiftning, inbegripet att säkerställa att personuppgifterna skyddas mot personuppgiftsincidenter.
5.2 Personuppgiftsbiträdet ska utan dröjsmål och mot skälig ersättning iaktta och implementera ytterligare, utöver avtalade, skäliga säkerhetsåtgärder om den Personuppgiftsansvarige så begär.
5.3 Personuppgiftsbiträdet ska löpande dokumentera de säkerhetsåtgärder som vidtagits enligt punkten 5.1. Av dokumentationen ska det tydligt framgå vilka överväganden och bedömningar som legat till grund för Personuppgiftsbiträdets val av säkerhetsåtgärder.
5.4 Personuppgiftsbiträdet är skyldigt att säkerställa att endast sådan personal som måste ha tillgång till personuppgifterna för att kunna fullgöra Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal får tillgång till sådana personuppgifter. Personuppgiftsbiträdet ska säkerställa att all sådan personal omfattas av lämpliga sekretessförbindelser, antingen genom lag eller avtal.
6. Rapportering av personuppgiftsincidenter
6.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige efter att ha fått vetskap om en personuppgiftsincident. En sådan underrättelse ska, med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå, åtminstone beskriva:
a. personuppgiftsincidentens art, och, om möjligt, de kategorier av, och det ungefärliga antalet, registrerade som berörs samt de kategorier av, och det ungefärliga antalet, personuppgiftsposter som berörs;
b. namnet på och kontaktuppgifterna för Personuppgiftsbiträdets dataskyddsombud, om ett sådant har utsetts, eller andra kontaktpunkter där mer information kan erhållas;
c. de sannolika konsekvenserna av personuppgiftsincidenten; och
d. de åtgärder som har vidtagits eller bör vidtas av Personuppgiftsbiträdet för att åtgärda personuppgiftsincidenten eller mildra dess potentiella negativa effekter.
7. Utlämnande av personuppgifter och kontakter med myndighet
7.1 Personuppgiftsbiträdet har inte rätt att utan föregående skriftligt medgivande från Personuppgiftsansvarig lämna ut eller på annat sätt tillgängliggöra personuppgifter som behandlas enligt Biträdesavtalet till annan än den Personuppgiftsansvarige, Personuppgiftsbiträdet eller underbiträden, om annat inte följer av svensk eller europeisk lag, domstols- eller myndighetsbeslut.
7.2 Om en registrerad person begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter enligt detta Biträdesavtal ska Personuppgiftsbiträdet utan dröjsmål hänskjuta sådan begäran till den Personuppgiftsansvarige.
KOPIA
7.3 Personuppgiftsbiträdet ska utan dröjsmål informera den Personuppgiftsansvarige om eventuella kontakter med behörig tillsynsmyndighet eller annan tredje part som rör, eller kan vara av betydelse för, Personuppgiftsbiträdets behandling av personuppgifter enligt detta Biträdesavtal. Personuppgiftsbiträdet får därvid inte handla för den Personuppgiftsansvariges räkning eller som ombud för denne.
7.4 Om Personuppgiftsbiträdet enligt svensk eller europeisk lag, domstols- eller myndighetsbeslut är skyldigt att lämna ut information som rör behandlingen av personuppgifter enligt Biträdesavtalet, ska Personuppgiftsbiträdet omgående först meddela den Personuppgiftsansvarige om detta, om annat inte följer av aktuell lag, domstols- eller myndighetsbeslut, och i samband med utlämnandet begära att uppgifterna behandlas med sekretess.
8. Underbiträden
8.1 Personuppgiftsbiträdet förbinder sig att inte utan föregående skriftligt medgivande från den Personuppgiftsansvarige anlita ett underbiträde för att behandla personuppgifter som omfattas av detta Biträdesavtal. Personuppgiftsbiträdet ska tillse att samtliga godkända underbiträden är bundna av skriftliga avtal som ålägger underbiträdena samma skyldigheter avseende personuppgiftsbehandlingen som de skyldigheter som gäller enligt detta Biträdesavtal. Om ett godkänt underbiträde inte fullgör de skyldigheter avseende dataskydd som följer enligt detta Biträdesavtal och tillämplig dataskyddslagstiftning är Personuppgiftsbiträdet fullt ansvarigt gentemot den Personuppgiftsansvarige för utförandet av underbiträdets skyldigheter.
8.2 Bilaga 2 innehåller en lista på i förhand godkända underbiträden från och med dagen för ikraftträdandet av detta Biträdesavtal.
9. Tredjelandsöverföringar
9.1 Personuppgiftsbiträdet förbinder sig att inte utan föregående skriftligt medgivande från den Personuppgiftsansvarige överföra eller på annat sätt behandla personuppgifter utanför EU/EES. Om personuppgifter med den Personuppgiftsansvariges medgivande överförs till, eller åtkomst möjliggörs från, plats utanför EU/EES ska Personuppgiftsbiträdet säkerställa att det finns en laglig grund för överföringen enligt tillämplig dataskyddslagstiftning, exempelvis genom EU-kommissionens standardklausuler.
Personuppgiftsbiträdet ska ha rätt att ingå sådana standardklausuler för Personuppgiftsansvarigs räkning med godkända underbiträden.
9.2 Om Personuppgiftsbiträdet avser att överföra personuppgifter till ett underbiträde med stöd av Privacy Shield (eller det regelverk som kan komma att ersätta densamma) ska Personuppgiftsbiträdet säkerställa att underbiträdet har anslutit sig till regelverket genom särskilda kontroller innan personuppgifterna överförs.
10. Personuppgiftsbiträdets skyldigheter att bistå den personuppgiftsansvarige
10.1 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige vid fullgörandet av den Personuppgiftsansvariges skyldigheter enligt tillämplig dataskyddslagstiftning på begäran av den Personuppgiftsansvarige. Personuppgiftsbiträdet ska därvid:
KOPIA
a. genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt och med hänsyn tagen till behandlingens art, bistå den Personuppgiftsansvarige med att fullgöra den Personuppgiftsansvariges skyldigheter att tillmötesgå de registrerades krav på utövande av sina rättigheter enligt tillämplig dataskyddslagstiftning;
b. bistå den Personuppgiftsansvarige med att fullgöra den Personuppgiftsansvariges skyldigheter att vidta lämpliga tekniska och organisatoriska åtgärder för behandlingen av personuppgifter enligt detta Biträdesavtal för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med personuppgiftsbehandlingen;
c. i enlighet med punkten 6 ovan bistå den Personuppgiftsansvarige med den information, den assistans och de resurser som rimligen kan krävas för att uppfylla den Personuppgiftsansvariges skyldighet att anmäla personuppgiftsincidenter till tillsynsmyndigheter;
d. bistå den Personuppgiftsansvarige med den information, den assistans och de resurser som rimligen kan krävas för att uppfylla den Personuppgiftsansvariges skyldighet att informera de registrerade om en personuppgiftsincident som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter;
e. bistå den Personuppgiftsansvarige med att fullgöra den Personuppgiftsansvariges skyldighet att utföra konsekvensbedömningar för behandlingar enligt detta Biträdesavtal som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter; och
f. bistå den Personuppgiftsansvarige med den information, den assistans och de resurser som rimligen kan krävas för att uppfylla den Personuppgiftsansvariges skyldighet att lämna information och dokumentation till tillsynsmyndigheten med anledning av förhandssamråd.
11. Rätt till granskning
11.1 Personuppgiftsansvarig ska ha rätt att vidta erforderliga åtgärder för att verifiera att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta Biträdesavtal och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa skyldigheter fullgörs.
11.2 Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige all information som krävs för att visa att de skyldigheter som anges i detta Biträdesavtal efterlevs, samt att möjliggöra för och medverka till sådan granskning, inklusive inspektioner på plats, som genomförs av den Personuppgiftsansvarige eller annan granskare som utsetts av den Personuppgiftsansvarige. En förutsättning är att de personer som utför granskningen ingår för uppgiften nödvändiga sekretessavtal. Personuppgiftsbiträdet ska därvid bland annat:
a. på begäran och utan oskäligt dröjsmål lämna ut en kopia av det register som Personuppgiftsbiträdet är skyldigt att föra enligt punkten 4.5 ovan; och
d. på begäran och utan oskäligt dröjsmål lämna ut en kopia av den dokumentation om vidtagna säkerhetsåtgärder som Personuppgifts-biträdet är skyldigt att upprätta enligt punkten 5.3 ovan.
11.3 Personuppgiftsbiträdets åtagande att tåla inspektion på plats enligt 11.2 gäller under förutsättning att kravet på granskning enligt tillämplig dataskyddslagstiftning inte kan uppfyllas på annat sätt.
12. Ersättning
Personuppgiftsbiträdet ska följa tillämplig dataskyddslagstiftning utan särskild ersättning.
13. Ansvar
KOPIA
13.1 Om tredje man riktar krav, inklusive eventuella administrativa sanktionsavgifter från tillsynsmyndighet, mot den Personuppgiftsansvarige på grund av Personuppgiftsbiträdets behandling av personuppgifter enligt detta Biträdesavtal ska Personuppgiftsbiträdet hålla den Personuppgiftsansvarige skadeslös för sådana krav och kostnader som är hänförliga till Personuppgiftsbiträdets behandling av personuppgifter i strid med tillämplig dataskyddslagstiftning eller detta Biträdesavtal.
Om tredje man riktar krav, inklusive eventuella administrativa sanktionsavgifter från tillsynsmyndighet, mot Personuppgiftsbiträdet på grund av den Personuppgiftsansvariges bristande eller lagstridiga instruktioner eller brott mot detta Biträdesavtal eller tillämplig dataskyddslagstiftning ska den Personuppgiftsansvarige hålla Personuppgiftsbiträdet skadeslös för sådana krav och kostnader.
13.2 Under inga omständigheter ska Personuppgiftsbiträdet enligt punkten 13.1 ansvara för indirekt skada eller förlust, såvida inte skadan eller förlusten orsakats av Personuppgiftsbiträdets uppsåt eller grova oaktsamhet.
14. Avtalstid
Bestämmelserna i detta Biträdesavtal gäller så länge som Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.
15. Åtgärder när behandlingen av personuppgifter avslutats
15.1 När Svenska kyrkans medlemskap i Sensus studieförbund upphör att gälla ska Personuppgiftsbiträdet, beroende på vad den Personuppgiftsansvarige väljer, enligt den Personuppgiftsansvariges instruktioner radera eller återlämna alla personuppgifter som behandlats enligt Biträdesavtalet till den Personuppgiftsansvarige, eller till den som den Personuppgiftsansvarige anvisar, inom trettio (30) dagar efter medlemskapets upphörande, såvida inte Personuppgiftsbiträdet enligt svensk eller europeisk lagstiftning är skyldigt att spara en kopia av personuppgifterna. Det samma gäller om någon av Parterna säger upp Biträdesavtalet.
15.2 På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet utan oskäligt dröjsmål även efter behandlingens avslutande enligt punkten 15.1 ovan skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna.
16. Ändringar i Biträdesavtalet
Den Personuppgiftsansvarige har rätt att ändra innehållet i detta Biträdesavtal i den utsträckning det krävs för att uppfylla tillämplig dataskyddslagstiftning eller Personuppgiftsansvarigs interna policyer eller beslut. Sådan ändring av Biträdesavtalet ska träda ikraft senast trettio (30) dagar efter att den Personuppgiftsansvarige skriftligen meddelat Personuppgiftsbiträdet om sådan ändring. Den Personuppgiftsansvarige har alltid rätt att ensidigt ändra instruktionerna i Bilaga 1. Sådana ändringar ska utan oskäligt dröjsmål skriftligen meddelas Personuppgiftsbiträdet.
Övriga ändringar av, och tillägg till, Biträdesavtalet ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av Parterna.
17. Tillämplig lag och tvistelösning
17.1 Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt.
17.2 Tvist angående tolkning eller tillämpning av detta Biträdesavtal ska lösas i allmän domstol.
KOPIA
Detta Biträdesavtal har upprättats i två likalydande exemplar av vilka Xxxxxxxx tagit var sitt.
{$ORT1} {$DATUM1} Stockholm {$DATUM1}
TROSSAMFUNDET SVENSKA KYRKAN SENSUS STUDIEFÖRBUND
{$ENHET1}
{$NAMN1} Xxx-Xxxxxx Xxxxxxx
{$TITEL1} Förbundsrektor
Instruktioner för behandlingen av personuppgifter Generellt för biträdesåtagandet
[I förekommande fall behandlas samtliga personuppgifter nedan tillfälligt för att testa, felsöka eller på liknande sätt analysera eller förbättra Tjänsten i syfte att kunna leverera en felfri Tjänst. För sådana fall ska särskilt avtal ”Särskilt behandlingsavtal” ingås mellan Parterna, där ändamål, sekretess, säkerhetsåtgärder och lagringstid specificeras för den tillfälliga behandlingen.]
Ändamål
Ange alla ändamål för vilka personuppgifterna ska behandlas av Personuppgiftsbiträdet
Administration av Svenska kyrkan och Sensus studieförbunds gemensamma folkbildningsverksamhet och studieverksamhet i vid mening, till exempel studiecirklar, kulturprogram, kurser, utbildningar, projekt, seminarier och evenemang.
KOPIA
Kategorier av uppgifter
Ange vilka personuppgifter som ska behandlas av Personuppgiftsbiträdet
Deltagares, ledares, medverkandes personuppgifter såsom namn, personnummer, folkbokföringsadress, faktureringsadress,
e-postadresser, telefonnummer, i förekommande fall kostval, ämne, samverkande organisation, och deltagande i arrangemang (arrangemangets namn).
Kategorier av registrerade Ange för vilka kategorier av registrerade som
Personuppgiftsbiträdet ska behandla personuppgifter om [och vilka kategorier av uppgifter som ska behandlas för respektive registrerade].
Deltagares, ledares, medverkandes personuppgifter såsom namn, personnummer, folkbokföringsadress, faktureringsadress,
e-postadresser, telefonnummer, i förekommande fall kostval, ämne, samverkande organisation, och deltagande i arrangemang (arrangemangets namn).
Behandlingsaktiviteter
Ange vilka behandlingsaktiviteter som ska utföras av Personuppgiftsbiträdet
Deltagaradministration, bidragsrapportering, fakturering, utvärdering.
Plats för behandling av personuppgifterna
Ange alla platser där personuppgifter ska behandlas av Personuppgiftsbiträdet
Inom EU/EES-området och i förekommande fall USA enligt The EU-
U.S. Privacy Shield
Informationssäkerhet Svenska kyrkans informationssäkerhetspolicy Svenska kyrkans personuppgiftspolicy
I förhand godkända underbiträden
Xxxx (bolagsnamn) Plats för behandlingen
• Utskick av brev/fakturor/kallelser (Evry AB/Evry Sweden AB)
• Inom EU/EES-området
• Lärplattform (Learnify)
• Inom EU/EES-området
PI
• SMS-utskick (Pixie)
• Inom EU/EES-området
• Verksamhetssystemet Gustav (Studieförbunden i samverkan)
• Inom EU/EES-området
KO
• Undersökningsverktyg/enkäter (The Art Of Planning AB)
• Inom EU/EES-området
A
• E-postutskick
(The Rocket Science Group)
• USA, enligt The EU-U.S. Privacy Shield Frameworks
Personuppgiftsbiträdesavtal
Detta Personuppgiftsbiträdesavtal (”Biträdesavtalet”) har träffats denna dag mellan:
1. Sensus studieförbund med samtliga av dess organisationsenheter och underlydande juridiska personer, 802006-4203, Box 1058, 101 39 Stockholm (”Personuppgiftsansvarig”), och
2. Trossamfundet Svenska kyrkan {$ENHET1}, {$ORGANISATIONSNUMMER1} {$ADRESS1}
{$POSTADRESS1} (”Personuppgiftsansvarig”).
Härefter enskilt benämnd ”Part” och tillsammans ”Parterna”.
1. Bakgrund
1.1 Svenska kyrkan är medlem i Sensus studieförbund och parterna har därigenom ett nära samarbete i frågor som rör folkbildning och kyrkans studieverksamhet i vid mening. Detta Biträdesavtal ska anses utgöra en legal grund för vilken hanteringen av personuppgifter kan ske i det dagliga samarbetet.
KOPIA
1.2 Detta Biträdesavtal reglerar den Personuppgiftsansvariges rättigheter och skyldigheter i egenskap av personuppgiftsansvarig och Personuppgiftsbiträdets rättigheter och skyldigheter i egenskap av personuppgiftsbiträde när Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.
2. Definitioner
2.1 Med ”Tjänsten” ska förstås den eller de tjänster som Personuppgiftsbiträdet ska tillhandahålla till den Personuppgiftsansvarige enligt medlemskapet eller annan överenskommelse.
2.2 Om annat inte framgår, ska begrepp som används i detta Biträdesavtal tolkas i enlighet med ”tillämplig dataskyddslagstiftning”. Med ”tillämplig dataskyddslagstiftning” avses alla inom EU/EES tillämpliga nationella och EU-rättsliga lagar, förordningar och myndigheters föreskrifter, beslut, domar och rekommendationer som är tillämpliga på behandlingen av personuppgifter inom ramen för Biträdesavtalet.
3. Bilagor till Biträdesavtalet
Specifikation över behandlingen av personuppgifter Bilaga 1 På förhand godkända underbiträden Bilaga 2
4. Behandling av personuppgifter
4.1 Personuppgiftsbiträdet ska fortlöpande följa, samt hålla sig väl informerad om, tillämplig dataskyddslagstiftning.
4.2 Personuppgiftsbiträdet och varje person som är behörig att utföra arbete för Personuppgiftsbiträdets räkning förbinder sig att endast behandla personuppgifter i enlighet med den Personuppgiftsansvariges vid var tid lämnade och dokumenterade instruktioner, såvida inte Personuppgiftsbiträdet har en skyldighet att behandla personuppgifterna enligt tillämplig dataskyddslagstiftning. I sådana fall ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om sådan skyldighet innan behandlingen påbörjas, i den mån det är tillåtet för Personuppgiftsbiträdet att lämna sådan information till Personuppgiftsansvarig enligt aktuell reglering. Personuppgiftsansvarigs instruktioner till
Personuppgiftsbiträdet om personuppgiftsbehandlingen vid detta avtals tecknande anges i detta Biträdesavtal och Bilaga 1.
4.3 Med undantag för det som framgår av punkten 4.2 får Personuppgiftsbiträdet inte behandla personuppgifter för egna ändamål eller andra ändamål än de som framgår av detta Biträdesavtal och Bilaga 1.
4.4 Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige strider mot tillämplig dataskyddslagstiftning och därefter invänta Personuppgiftsansvarigs instruktioner avseende fortsatt behandling.
4.5 Personuppgiftsbiträdet ska föra ett skriftligt register över den behandling som Personuppgiftsbiträdet utför enligt detta Biträdesavtal. Detta register ska i vart fall innehålla information om:
a. namn och kontaktuppgifter till den Personuppgiftsansvarige, Personuppgiftsbiträdet och underbiträden till Personuppgiftsbiträdet, inbegripet namn och kontaktuppgifter till dessa parters företrädare och eventuella dataskyddsombud;
KOPIA
b. de kategorier av behandling som Personuppgiftsbiträdet utför för den Personuppgiftsansvariges räkning enligt detta Biträdesavtal; och
c. eventuella överföringar till tredje land som sker i enlighet med punkten 9 nedan.
4.6 Part ska säkerställa att den andra Parten har rätt enligt tillämplig dataskyddslagstiftning att behandla kontaktuppgifter och andra eventuella personuppgifter tillhörande den första Partens anställda i den utsträckning sådan behandling behövs för att underlätta utförandet av Tjänsten.
4.7 Om Personuppgiftsbiträdet brustit i sina åtaganden enligt detta Biträdesavtal eller tillämplig dataskyddslagstiftning ska Personuppgiftsbiträdet åtgärda bristen utan oskäligt dröjsmål.
5. Säkerhet och sekretess
5.1 Personuppgiftsbiträdet ska vid var tid vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas enligt detta Biträdesavtal. Personuppgiftsbiträdet är skyldigt att vid var tid fullgöra sina rättsliga förpliktelser avseende informationssäkerhet enligt tillämplig dataskyddslagstiftning, inbegripet att säkerställa att personuppgifterna skyddas mot personuppgiftsincidenter.
5.2 Personuppgiftsbiträdet ska utan dröjsmål och mot skälig ersättning iaktta och implementera ytterligare, utöver avtalade, skäliga säkerhetsåtgärder om den Personuppgiftsansvarige så begär.
5.3 Personuppgiftsbiträdet ska löpande dokumentera de säkerhetsåtgärder som vidtagits enligt punkten 5.1. Av dokumentationen ska det tydligt framgå vilka överväganden och bedömningar som legat till grund för Personuppgiftsbiträdets val av säkerhetsåtgärder.
5.4 Personuppgiftsbiträdet är skyldigt att säkerställa att endast sådan personal som måste ha tillgång till personuppgifterna för att kunna fullgöra Personuppgiftsbiträdets skyldigheter enligt detta Biträdesavtal får tillgång till sådana personuppgifter. Personuppgiftsbiträdet ska säkerställa att all sådan personal omfattas av lämpliga sekretessförbindelser, antingen genom lag eller avtal.
6. Rapportering av personuppgiftsincidenter
6.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige efter att ha fått vetskap om en personuppgiftsincident. En sådan underrättelse ska, med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå, åtminstone beskriva:
b. personuppgiftsincidentens art, och, om möjligt, de kategorier av, och det ungefärliga antalet, registrerade som berörs samt de kategorier av, och det ungefärliga antalet, personuppgiftsposter som berörs;
c. namnet på och kontaktuppgifterna för Personuppgiftsbiträdets dataskyddsombud, om ett sådant har utsetts, eller andra kontaktpunkter där mer information kan erhållas;
d. de sannolika konsekvenserna av personuppgiftsincidenten; och
e. de åtgärder som har vidtagits eller bör vidtas av Personuppgiftsbiträdet för att åtgärda personuppgiftsincidenten eller mildra dess potentiella negativa effekter.
7. Utlämnande av personuppgifter och kontakter med myndighet
7.1 Personuppgiftsbiträdet har inte rätt att utan föregående skriftligt medgivande från Personuppgiftsansvarig lämna ut eller på annat sätt tillgängliggöra personuppgifter som behandlas enligt Biträdesavtalet till annan än den Personuppgiftsansvarige, Personuppgiftsbiträdet eller underbiträden, om annat inte följer av svensk eller europeisk lag, domstols- eller myndighetsbeslut.
KOPIA
7.2 Om en registrerad person begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter enligt detta Biträdesavtal ska Personuppgiftsbiträdet utan dröjsmål hänskjuta sådan begäran till den Personuppgiftsansvarige.
7.3 Personuppgiftsbiträdet ska utan dröjsmål informera den Personuppgiftsansvarige om eventuella kontakter med behörig tillsynsmyndighet eller annan tredje part som rör, eller kan vara av betydelse för, Personuppgiftsbiträdets behandling av personuppgifter enligt detta Biträdesavtal. Personuppgiftsbiträdet får därvid inte handla för den Personuppgiftsansvariges räkning eller som ombud för denne.
7.4 Om Personuppgiftsbiträdet enligt svensk eller europeisk lag, domstols- eller myndighetsbeslut är skyldigt att lämna ut information som rör behandlingen av personuppgifter enligt Biträdesavtalet, ska Personuppgiftsbiträdet omgående först meddela den Personuppgiftsansvarige om detta, om annat inte följer av aktuell lag, domstols- eller myndighetsbeslut, och i samband med utlämnandet begära att uppgifterna behandlas med sekretess.
8. Underbiträden
8.1 Personuppgiftsbiträdet förbinder sig att inte utan föregående skriftligt medgivande från den Personuppgiftsansvarige anlita ett underbiträde för att behandla personuppgifter som omfattas av detta Biträdesavtal. Personuppgiftsbiträdet ska tillse att samtliga godkända underbiträden är bundna av skriftliga avtal som ålägger underbiträdena samma skyldigheter avseende personuppgiftsbehandlingen som de skyldigheter som gäller enligt detta Biträdesavtal. Om ett godkänt underbiträde inte fullgör de skyldigheter avseende dataskydd som följer enligt detta Biträdesavtal och tillämplig dataskyddslagstiftning är Personuppgiftsbiträdet fullt ansvarigt gentemot den Personuppgiftsansvarige för utförandet av underbiträdets skyldigheter.
8.2 Bilaga 2 innehåller en lista på i förhand godkända underbiträden från och med dagen för ikraftträdandet av detta Biträdesavtal.
9. Tredjelandsöverföringar
9.1 Personuppgiftsbiträdet förbinder sig att inte utan föregående skriftligt medgivande från den Personuppgiftsansvarige överföra eller på annat sätt behandla personuppgifter utanför EU/EES. Om personuppgifter med den Personuppgiftsansvariges medgivande överförs till, eller åtkomst möjliggörs från, plats utanför EU/EES ska Personuppgiftsbiträdet säkerställa att det finns en laglig grund för överföringen
enligt tillämplig dataskyddslagstiftning, exempelvis genom EU-kommissionens standardklausuler. Personuppgiftsbiträdet ska ha rätt att ingå sådana standardklausuler för Personuppgiftsansvarigs räkning med godkända underbiträden.
9.2 Om Personuppgiftsbiträdet avser att överföra personuppgifter till ett underbiträde med stöd av Privacy Shield (eller det regelverk som kan komma att ersätta densamma) ska Personuppgiftsbiträdet säkerställa att underbiträdet har anslutit sig till regelverket genom särskilda kontroller innan personuppgifterna överförs.
10. Personuppgiftsbiträdets skyldigheter att bistå den personuppgiftsansvarige
10.1 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige vid fullgörandet av den Personuppgiftsansvariges skyldigheter enligt tillämplig dataskyddslagstiftning på begäran av den Personuppgiftsansvarige. Personuppgiftsbiträdet ska därvid:
KOPIA
f. genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt och med hänsyn tagen till behandlingens art, bistå den Personuppgiftsansvarige med att fullgöra den Personuppgiftsansvariges skyldigheter att tillmötesgå de registrerades krav på utövande av sina rättigheter enligt tillämplig dataskyddslagstiftning;
g. bistå den Personuppgiftsansvarige med att fullgöra den Personuppgiftsansvariges skyldigheter att vidta lämpliga tekniska och organisatoriska åtgärder för behandlingen av personuppgifter enligt detta Biträdesavtal för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med personuppgiftsbehandlingen;
x. x enlighet med punkten 6 ovan bistå den Personuppgiftsansvarige med den information, den assistans och de resurser som rimligen kan krävas för att uppfylla den Personuppgiftsansvariges skyldighet att anmäla personuppgiftsincidenter till tillsynsmyndigheter;
i. bistå den Personuppgiftsansvarige med den information, den assistans och de resurser som rimligen kan krävas för att uppfylla den Personuppgiftsansvariges skyldighet att informera de registrerade om en personuppgiftsincident som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter;
j. bistå den Personuppgiftsansvarige med att fullgöra den Personuppgiftsansvariges skyldighet att utföra konsekvensbedömningar för behandlingar enligt detta Biträdesavtal som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter; och
k. bistå den Personuppgiftsansvarige med den information, den assistans och de resurser som rimligen kan krävas för att uppfylla den Personuppgiftsansvariges skyldighet att lämna information och dokumentation till tillsynsmyndigheten med anledning av förhandssamråd.
11. Rätt till granskning
11.1 Personuppgiftsansvarig ska ha rätt att vidta erforderliga åtgärder för att verifiera att Personuppgiftsbiträdet kan fullgöra sina skyldigheter enligt detta Biträdesavtal och att Personuppgiftsbiträdet faktiskt har vidtagit de åtgärder som krävs för att säkerställa att dessa skyldigheter fullgörs.
11.2 Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige all information som krävs för att visa att de skyldigheter som anges i detta Biträdesavtal efterlevs, samt att möjliggöra för och medverka till sådan granskning, inklusive inspektioner på plats, som genomförs av den Personuppgiftsansvarige eller annan granskare som utsetts av den Personuppgiftsansvarige. En förutsättning är att de personer som utför granskningen ingår för uppgiften nödvändiga sekretessavtal. Personuppgiftsbiträdet ska därvid bland annat:
l. på begäran och utan oskäligt dröjsmål lämna ut en kopia av det register som Personuppgiftsbiträdet är skyldigt att föra enligt punkten 4.5 ovan; och
2. på begäran och utan oskäligt dröjsmål lämna ut en kopia av den dokumentation om vidtagna säkerhetsåtgärder som Personuppgifts-biträdet är skyldigt att upprätta enligt punkten 5.3 ovan.
11.3 Personuppgiftsbiträdets åtagande att tåla inspektion på plats enligt 11.2 gäller under förutsättning att kravet på granskning enligt tillämplig dataskyddslagstiftning inte kan uppfyllas på annat sätt.
12. Ersättning
Personuppgiftsbiträdet ska följa tillämplig dataskyddslagstiftning utan särskild ersättning.
13. Ansvar
KOPIA
13.1 Om tredje man riktar krav, inklusive eventuella administrativa sanktionsavgifter från tillsynsmyndighet, mot den Personuppgiftsansvarige på grund av Personuppgiftsbiträdets behandling av personuppgifter enligt detta Biträdesavtal ska Personuppgiftsbiträdet hålla den Personuppgiftsansvarige skadeslös för sådana krav och kostnader som är hänförliga till Personuppgiftsbiträdets behandling av personuppgifter i strid med tillämplig dataskyddslagstiftning eller detta Biträdesavtal.
Om tredje man riktar krav, inklusive eventuella administrativa sanktionsavgifter från tillsynsmyndighet, mot Personuppgiftsbiträdet på grund av den Personuppgiftsansvariges bristande eller lagstridiga instruktioner eller brott mot detta Biträdesavtal eller tillämplig dataskyddslagstiftning ska den Personuppgiftsansvarige hålla Personuppgiftsbiträdet skadeslös för sådana krav och kostnader.
13.2 Under inga omständigheter ska Personuppgiftsbiträdet enligt punkten 13.1 ansvara för indirekt skada eller förlust, såvida inte skadan eller förlusten orsakats av Personuppgiftsbiträdets uppsåt eller grova oaktsamhet.
14. Avtalstid
Bestämmelserna i detta Biträdesavtal gäller så länge som Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.
15. Åtgärder när behandlingen av personuppgifter avslutats
15.1 När Svenska kyrkans medlemskap i Sensus studieförbund upphör att gälla ska Personuppgiftsbiträdet, beroende på vad den Personuppgiftsansvarige väljer, enligt den Personuppgiftsansvariges instruktioner radera eller återlämna alla personuppgifter som behandlats enligt Biträdesavtalet till den Personuppgiftsansvarige, eller till den som den Personuppgiftsansvarige anvisar, inom trettio (30) dagar efter medlemskapets upphörande, såvida inte Personuppgiftsbiträdet enligt svensk eller europeisk lagstiftning är skyldigt att spara en kopia av personuppgifterna. Det samma gäller om någon av Parterna säger upp Biträdesavtalet.
15.2 På begäran av den Personuppgiftsansvarige ska Personuppgiftsbiträdet utan oskäligt dröjsmål även efter behandlingens avslutande enligt punkten 15.1 ovan skriftligen bekräfta vilka åtgärder som vidtagits avseende personuppgifterna.
16. Ändringar i Biträdesavtalet
Den Personuppgiftsansvarige har rätt att ändra innehållet i detta Biträdesavtal i den utsträckning det krävs för att uppfylla tillämplig dataskyddslagstiftning eller Personuppgiftsansvarigs interna policyer eller beslut. Sådan ändring av Biträdesavtalet ska träda ikraft senast trettio (30) dagar efter att den Personuppgiftsansvarige skriftligen meddelat Personuppgiftsbiträdet om sådan ändring. Den Personuppgiftsansvarige har alltid rätt att ensidigt ändra instruktionerna i Bilaga 1. Sådana ändringar ska utan oskäligt dröjsmål skriftligen meddelas Personuppgiftsbiträdet.
Övriga ändringar av, och tillägg till, Biträdesavtalet ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av Parterna.
17. Tillämplig lag och tvistelösning
17.1 Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt.
17.2 Tvist angående tolkning eller tillämpning av detta Biträdesavtal ska lösas i allmän domstol.
KOPIA
Detta Biträdesavtal har upprättats i två likalydande exemplar av vilka Xxxxxxxx tagit var sitt.
Stockholm {$DATUM1} {$ORT1} {$DATUM1}
SENSUS STUDIEFÖRBUND TROSSAMFUNDET SVENSKA KYRKAN
{$ENHET1}
Xxx-Xxxxxx Xxxxxxx {$NAMN1}
Förbundsrektor {$TITEL1}
Instruktioner för behandlingen av personuppgifter Generellt för biträdesåtagandet
[I förekommande fall behandlas samtliga personuppgifter nedan tillfälligt för att testa, felsöka eller på liknande sätt analysera eller förbättra Tjänsten i syfte att kunna leverera en felfri Tjänst. För sådana fall ska särskilt avtal ”Särskilt behandlingsavtal” ingås mellan Parterna, där ändamål, sekretess, säkerhetsåtgärder och lagringstid specificeras för den tillfälliga behandlingen.]
Ändamål
KOPIA
Ange alla ändamål för vilka personuppgifterna ska behandlas av Personuppgiftsbiträdet
Administration av Svenska kyrkan och Sensus studieförbunds gemensamma folkbildningsverksamhet och studieverksamhet i vid mening, till exempel studiecirklar, kulturprogram, kurser, utbildningar, projekt, seminarier och evenemang.
Kategorier av uppgifter
Ange vilka personuppgifter som ska behandlas av Personuppgiftsbiträdet
Deltagares, ledares, medverkandes personuppgifter såsom namn, personnummer, folkbokföringsadress, faktureringsadress,
e-postadresser, telefonnummer, i förekommande fall kostval, ämne, samverkande organisation, och deltagande i arrangemang (arrangemangets namn).
Kategorier av registrerade Ange för vilka kategorier av registrerade som
Personuppgiftsbiträdet ska behandla personuppgifter om [och vilka kategorier av uppgifter som ska behandlas för respektive registrerade].
Deltagare, ledare, medverkande i den gemensamma verksamheten: namn, personnummer, folkbokföringsadress, faktureringsadress,
e-postadresser, telefonnummer, i förekommande fall kostval, ämne, samverkande organisation, och deltagande i arrangemang (arrangemangets namn).
Behandlingsaktiviteter
Ange vilka behandlingsaktiviteter som ska utföras av Personuppgiftsbiträdet
Deltagaradministration, bidragsrapportering, fakturering, utvärdering.
Plats för behandling av personuppgifterna
Ange alla platser där personuppgifter ska behandlas av Personuppgiftsbiträdet
Inom EU/EES-området och i förekommande fall USA enligt The EU-
U.S. Privacy Shield
Informationssäkerhet Svenska kyrkans informationssäkerhetspolicy Svenska kyrkans personuppgiftspolicy
I förhand godkända underbiträden
Xxxx (bolagsnamn) Plats för behandlingen
KOPIA
Listan ifylles senare.