Bilaga 3 - Personsuppgiftbiträdesavtal
Bilaga 3 - Personsuppgiftbiträdesavtal
1. Parter
Personuppgiftsansvarig, i relation till behandling som regleras under denna Bilaga 3
(”Biträdesavtalet”), är Tekniska Myndighetsnämnden i Stenungsunds kommun (xxx.xx. 212000-1298), Xxxxxxxxxxx 00, 000 00 Stenungsund, e-post: xxxxxx@xxxxxxxxxxx.xx, nedan benämnd ”PuA”.
Personuppgiftsbiträde, i relation till behandling som regleras under denna Bilaga 3, är Comprima (org nr 556606-2971), Box 57 133 21 Saltsjöbaden, nedan benämnd ”PuB”.
PuA och PuB benämns nedan var och en för sig ”Part” och gemensamt ”Parterna”.
2. Definitioner
Utöver ovan angivna definitioner ska följande definitioner ha den betydelse som anges nedan i denna punkt 2. Ord som anges i singular ska ha motsvarande betydelse när de används i plural eller böjs på andra sätt.
”Dataskyddsförordningen” avser Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
”Tillämplig Dataskyddslag” avser sådan integritets- och personuppgiftslagstiftning samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på den personuppgiftsbehandling som sker under detta Biträdesavtal, inklusive nationell sådan lagstiftning (såsom dataskyddslagen (2018:218) och EU-lagstiftning, såsom denna kan komma att förändras över tid.
Begrepp i detta Biträdesavtal som inte används med versal, såsom
”personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”personuppgifter”, ”behandling”,
”registrerad”, m.fl. ska anses ha den betydelse som anges i Tillämplig Dataskyddslag.
3. Bakgrund och omfattning
3.1 Detta biträdesavtal är en bilaga till avtalet Digitalt arkiv för bygglovshandlingar (20180630/01) (nedan kallat ”Huvudavtalet”). Vid utförandet av tjänsterna enligt Huvudavtalet kommer PuB att behandla personuppgifter för PuA:s räkning. Huvudavtalet med eventuella bilagor tillsammans med detta Biträdesavtal reglerar alltså vad PuB ska ansvara för och utföra åt PuA. Detta Biträdesavtal utgör en del av Huvudavtalet.
3.2 Skyddet av den personliga integriteten vid behandling av personuppgifter är av väsentlig betydelse för PUA och för dennes verksamhet. Detta biträdesavtal har till syfte att uppfylla Tillämplig Dataskyddslags krav på avtal mellan den personuppgiftsansvarige och ett personuppgiftsbiträde.
3.3 I händelse av motstridig lydelse mellan bestämmelserna i detta Biträdesavtal och Huvudavtalet, ska Biträdesavtalet ha företräde om inte Parterna uttryckligen angett annat.
4. Föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade
4.1 I syfte att utföra de åtaganden som PuB har under Huvudavtalet, kommer PuB att få tillgång till vissa personuppgifter. PuB får endast behandla PuA:s personuppgifter i enlighet med detta Biträdesavtal och dokumenterade instruktioner, inkluderat instruktioner i Bilaga 1 samt dokumenterade instruktioner som PuA från tid till annan meddelar, för att fullgöra sitt uppdrag åt PuA. PuB åtar sig att inte nyttja personuppgifterna för några andra syften än vad som anges i detta Biträdesavtal.
5. Personuppgiftsansvariges skyldigheter
5.1 PuA åtar sig att säkerställa att det finns en laglig grund för aktuella behandlingar enligt punkt 4.1 och att utforma skriftliga instruktioner för att PuB och eventuella underbiträden ska kunna fullgöra sitt uppdrag enligt detta Biträdesavtal (Bilaga 1).
5.2 PuA ska informera PuB om förändringar i behandlingen vilka påverkar PuB:s skyldigheter enligt Tillämplig Dataskyddslag.
5.3 PuA ansvarar för att informera registrerade om behandlingarna enligt avtalet och för att, i de fall det krävs, inhämta samtycke från den registrerade samt tillvarata de registrerades rätt till insyn och radering m.m.
6. Personuppgiftsbiträdets åtaganden
6.1 PuB förbinder sig att, vad gäller all behandling av personuppgifter som PuB utför för PuA:s räkning med anledning av detta Biträdesavtal, att endast behandla personuppgifterna för de syften i enlighet med PuA:s instruktioner som anges i Bilaga 1 och för att följa Tillämplig Dataskyddslag, annan tillämplig lagstiftning med avseende på behandling av personuppgifter, samt för att hålla sig informerad om tillämplig gällande rätt.
6.2 PuB ska vidta åtgärder för att skydda personuppgifterna mot alla slag av otillåtna behandlingar.
6.3 För det fall att PuB finner att PuA:s instruktioner är otydliga, olagliga eller saknas, och som PuB bedömer är nödvändiga för att genomföra sina åtaganden ska denne, utan dröjsmål, informera PuA om detta och invänta nya instruktioner. PuB har dock ingen rätt att avbryta uppdraget med anledning av detta.
6.4 För det fall det skulle finnas behandlingar som PuB enligt tvingande lag måste utföra utöver de dokumenterade instruktioner som lämnats av PuA, ska PuB underrätta PuA innan sådan behandling påbörjas, om det inte föreligger hinder mot att lämna sådan information enligt tvingande lag.
6.5 Behandlingen under detta Biträdesavtal ska utföras endast så länge som behandlingen behövs för det aktuella syftet såsom instruerats av PuA, och PuB ska följa instruktioner från PuA kring, exempelvis men inte uttömmande, gallring, återlämning och radering av personuppgifter.
6.6 PuB ska på begäran från PuA bistå denne vid konsekvensbedömningar och förhandssamråd samt att ta fram information inom ramen för gällande Huvudavtal.
6.7 PuB ska ge PuA all tillgång till information som krävs för att visa att de skyldigheter som fastställs i detta Biträdesavtal har fullgjorts, inklusive information om eventuell underleverantörs behandling av personuppgifter i enlighet med Punkt 12 nedan. Överföringar av personuppgifter till ett s.k. tredjeland eller en internationell organisation får endast ske efter dokumenterad instruktion från PuA, i enlighet med vad som anges i punkt 13 nedan.
6.8 PuB åtar sig att säkerställa att samtliga personer som arbetar under dennes ledning följer vad som framgår av detta Biträdesavtal och vid var tid gällande instruktion från XxX, samt att de informeras om relevant lagstiftning.
6.9 PuB åtar sig att bistå PuA genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt, så att PuA vad gäller begäran från registrerade om t.ex. information rörande eller utlämning, rättelse, radering eller blockering av personuppgifter, kan fullgöra sina skyldigheter mot dessa registrerade i enlighet med Tillämplig Dataskyddslag.
7. Säkerhetsåtgärder
7.1 PuB ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från obehörig åtkomst, förstörelse och ändring. Åtgärderna ska uppfylla vad som anges i Tillämplig Dataskyddslag. De åtgärder som PuB ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a. de tekniska möjligheter som finns,
b. kostnaderna för att genomföra åtgärderna,
c. de särskilda risker som finns med den aktuella behandlingen av personuppgifter, och
x. xxx känsliga de behandlade personuppgifterna är.
7.2 Utöver vad som anges ovan ska PUB behandla personuppgifter i enlighet med de instruktioner om åtgärder som framgår av Bilaga 1, samt instruktioner och anvisningar som PuA från tid till annan meddelar. Vidtagna säkerhetsåtgärder ska dokumenteras av PuB och ska tillhandahållas PuA efter begäran. Om PuA under tiden för detta Biträdesavtal kräver ytterligare skäliga säkerhetsåtgärder ska PuB möta dessa krav utan någon tillkommande ersättning.
7.3 PuB ska vara beredd att följa av Datainspektionen eller annan behörig tillsynsmyndighet fattade beslut om åtgärder för att uppfylla Tillämplig Dataskyddslags säkerhetskrav.
7.4 PuB ska bistå PuA med att se till att de skyldigheter som enligt Tillämplig Dataskyddslag (såsom tillämpligt) åligger PuA vad gäller säkerhetsåtgärder, konsekvensbedömningar, incidentrapportering och samråds fullgörs, med beaktande av typen av behandling och den information som PuB har att tillgå. PuB ska omedelbart informera PuA om en misstanke om eller konstaterat dataintrång i relation till personuppgifterna som behandlas av PuB för PuA:s räkning och ska assistera PuA i framtagandet av information och rapporter till registrerade personer och myndigheter i den utsträckning detta krävs under Tillämplig Dataskyddslag.
8. Sekretess och begäran om information
8.1 All behandling av personuppgifter ska ske med iakttagande av såväl handlingssekretess som tystnadsplikt, innebärande att PuB, någon av dennes anställda, eventuella konsulter eller, underbiträden inte får lämna ut eller på annat sätt röja några uppgifter till tredje man utan att först ha inhämtat PuA:s uttryckliga godkännande, dock med undantag för sådana parter med vilka det finns underbiträdesavtal i enlighet med punkten 12 nedan.
8.2 PuB ska tillse att samtliga anställda, konsulter och övriga som PuB svarar för och som behandlar personuppgifterna, är bundna av sekretessförbindelse. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag. PuB åtar sig även att tillse att det finns sekretessavtal med eventuella underbiträden samt sekretessförbindelser mellan underbiträdet och dess personal.
8.3 PuB ska, genom lämpliga åtgärder, tillse att den eller de personer som arbetar under
PuB:s ledning, och som kommer att behandla PuA:s personuppgifter, är informerade om, iakttar och följer sekretessplikten.
8.4 För de fall en registrerad, tillsynsmyndigheter eller annan tredje man begär information från PuB som rör dess behandling av personuppgifter under detta Biträdesavtal, eller om PuB tar emot en begäran om rättelse, radering eller blockering, eller om överföring ska PuB utan dröjsmål informera PuA. Information får inte lämnas ut om behandlingen av personuppgifter till den registrerade eller annan tredje man utan skriftligt medgivande från PuA, om sådant utlämnande inte är tvingande under Tillämplig Dataskyddslag eller annan tillämplig lag. I det senare fallet ska PuB ändå omedelbart informera XxX om begäran. PuB ska bistå med förmedling av den informationen som omfattas av ett medgivande.
8.5 PuB ska skyndsamt underrätta PuA om eventuella kontakter med tillsynsmyndighet avseende behandling av personuppgifterna. PuB har inte rätt att företräda PuA eller agera för PuA:s räkning gentemot tillsynsmyndigheter i frågor avseende sådan behandling.
8.6 PuB ska bistå PuA om registrerat begär att få ta del av information som finns registrerad om denne eller begär rättelse av sådan information. Detta ska ske utan oskäligt dröjsmål.
9. Granskning, tilllsyn och revision
9.1 PuB ska utan dröjsmål, på PuA:s begäran, tillhandahålla all information, t.ex. tekniska och organisatoriska säkerhetsåtgärder som PuA behöver för att kunna granska och utöva sin insyn i PuB:s behandling av personuppgifter som följer av detta Biträdesavtal.
9.2 PuB åtar sig att minst en gång om året revidera säkerheten i personuppgiftsbehandlingen genom en intern revision för att kontrollera att PuB:s behandling av personuppgifter följer detta Biträdesavtal. Resultatet ska på begäran delges PuA.
9.3 PuA äger rätt att, själv eller genom annan av denne utsedd tredje part (som inte får vara en konkurrent till PuB) följa upp och granska att PuB lever upp till PuA:s krav på behandlingen enligt detta Biträdesavtal. PuB ska möjliggöra sådan uppföljning eller granskning samt bistå PuA, tillsynsmyndighet, eller den som utför granskningen med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna följa upp PuB:s efterlevnad av detta Biträdesavtal.
9.4 PuB äger dock rätt att erbjuda alternativa tillvägagångssätt för uppföljning, exempelvis granskning genomförd av oberoende tredje part. PuA ska i sådant fall äga rätt, men inte skyldighet att tillämpa detta alternativa tillvägagångssätt för uppföljning. Vid sådan revision eller kontroll ska PuB ge PuA eller en tredje part den assistans som behövs för genomförandet.
9.5 PuB ska bereda tillsynsmyndighet, eller annan myndighet som det rör eller kan vara av betydelse för Behandling av Personuppgifter, möjlighet att göra tillsyn på plats.
9.6 PuB ska även tillförsäkra PuA motsvarande rättigheter i förhållande till anlitade Underbiträden enligt punkt 12 nedan.
10. Rättelse och radering av personuppgifter samt drift och underhåll
10.1 Under löpande avtalstid ska PuB radera de personuppgifter som PuA begär. PuB ska förstöra, skriva över eller på annat sätt radera inom den tidsperiod som parterna kommer överens om.
10.2 PuB åtar sig att utan dröjsmål vidta rättelse av felaktiga eller ofullständiga personuppgifter efter instruktioner från PuA. Efter det att XxX begärt rättelse som innebär borttagande av personuppgift får PuB endast behandla personuppgiften som ett led i rättelseprocessen och åtar sig att vidta åtgärden utan dröjsmål, dock senast inom 30 dagar.
10.3 Om PuB avser att göra förändringar i sina system (uppgraderingar, felsökningar etc.) på sätt som kan förväntas påverka informationshanteringen ska PuB samråda med PuA om detta. Sådan information ska lämnas i god tid före förändringen.
11. Personuppgiftsincidenter
11.1 PuB åtar sig att bistå PuA med att fullgöra dennes skyldigheter vid en personuppgiftsincident. PuB ska tillhandahålla stöd för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till personuppgifterna.
11.2 Vid personuppgiftsincidenter, samt risker för sådana, ska PuB utan onödigt dröjsmål skriftligen underrätta PuA om händelsen. PuB ska tillhandahålla PuA en skriftlig beskrivning av personuppgiftsincidenten. En sådan ska redogöra för:
a. personuppgiftsincidentens art och, om möjligt, de kategorier och antalet registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
b. sannolika konsekvenserna av personuppgiftsincidenten, och
c. åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra personuppgiftensincidentens potentiella negativa effekter.
12. Underbiträde
12.1 PuB får anlita underbiträde för fullgörandet av PuB:s åtaganden av Huvudavtalet och detta Biträdesavtal, förutsatt att PuB ingår ett skriftligt underbiträdesavtal med underbiträdet som är likalydande med detta Biträdesavtal där motsvarande skyldigheter för PuB ska åläggas underbiträdet. Avsnitt 4, inkluderat bilaga 1, i detta Biträdesavtal ska dock innehålla specifika uppgifter utifrån den behandling av personuppgifter som ska utföras av det underbiträde som PuB kan komma att teckna underbiträdesavtal med.
12.2 PuB förbinder sig att informera PuA då nya underbiträden utöver de som anges i Bilaga 2, anlitas. PuA har rätt att invända mot PuB:s anlitande av nya underbiträden, utöver de underbiträden som anges i Bilaga 2.
12.3 PuB ansvarar fullt ut för de underbiträden som anlitas gentemot PuA.
PuB ansvarar fullt ut gentemot PuA för hur underbiträde behandlar personuppgifterna.
12.4 Om PuB avser att anlita Underbiträden ska PuB, utöver den dokumentation som krävs enligt Bilaga 2, även tillhandahålla information om vilken typ av uppgifter och kategorier av registrerade ett visst Underbiträde ska befatta sig med samt dess kapacitet och förmåga att leva upp till sina skyldigheter enligt Tillämplig Dataskyddslag och annan relevant lagstiftning med avseende på behandling av personuppgifter.
12.5 PuB ska på PuA:s begäran översända en kopia på tecknat underbiträdesavtal.
12.6 PuB åtar sig även att informera PuA om eventuella planer på att upphöra att använda sig av ett underbiträde.
13. Överföring av personuppgifter till tredje land
13.1 PuB ska tillse att personuppgifterna (hanteras och) lagras inom EU/ESS, om inte parterna kommer överens om något annat.
13.2 PuB äger endast rätt att överföra personuppgifter till tredje land, för exempelvis service, support, underhåll, utveckling, drift eller liknande hantering, om PuA godkänt sådan överföring och utfärdat särskilda instruktioner (bilaga 1).
13.3 Överföring till tredje land får endast ske om Tillämplig Dataskyddslag och annan relevant lagstiftning samt detta avtal med tillhörande instruktioner är uppfyllda.
14. Ersättning
14.1 PuB har ingen rätt till särskild ersättning för behandling av personuppgifter i enlighet med detta Biträdesavtal, utan den ersättning som erhålls under Huvudavtalet omfattar även åtagandena i detta Biträdesavtal.
15. Ansvar för skada
15.1 Vid ersättning för skada som, genom fastställd dom eller annat beslut, utgått till registrerad på grund av överträdelse av någon bestämmelse i detta avtal, instruktion från PuA eller Tillämplig Dataskyddslag ska artikel 82 Dataskyddsförordningen tillämpas.
15.2 Sanktionsavgifter enligt artikel 83 i Dataskyddsförordningen eller 6 kap. 2 § lag (2018:218) med kompletterande bestämmelser till Dataskyddsförordningen ska bäras av den Part som påförts en sådan avgift.
15.3 Om PuA får kännedom om omständighet som kan leda till skadestånd eller betalningsansvar för PuB ska PuA omedelbart informera PuB om förhållande och aktivt arbeta tillsammans med PuB för att förhindra och minimera sådant skadestånd eller betalningsansvar.
15.4 Oaktat vad som anges i Huvudavtalet och dess Bilagor gäller 15.1 och 15.2 före andra regler om fördelning mellan Parterna av krav sinsemellan såvitt avser behandling av personuppgifter.
15 Lagval och tvistlösning
15.1 Eventuell tvist angående tolkning eller tillämpning av detta Biträdesavtal, som parterna inte kan lösa på egen hand, ska avgöras enligt Huvudavtalets bestämmelser om tvistlösning. Detta Biträdesavtal ska regleras av materiell svensk rätt utan beaktande av dess lagvalsregler.
16 Tillägg, ändring eller uppsägning av avtal
16.1 Tillägg och ändringar av detta Biträdesavtal ska, för att vara giltiga, vara skriftliga och undertecknas av båda Parter.
16.2 Parterna har rätt att påkalla omförhandling av detta avtal och andra bilagor, för det fall att
a. motpartens ägarförhållanden ändras väsentligt, eller
b. Tillämplig Dataskyddslag eller tolkningen av den, ändras på ett sätt som påverkar behandlingen av personuppgifter som omfattas av detta avtal, eller
c. PuA har invändningar mot anlitande av underbiträde (se 16.5 nedan)
d. om Tillämplig Dataskyddslag förändras under avtalstiden, eller om de tillsynsmyndigheter, domstolar eller liknande som tillämpar Tillämpliga Dataskyddslag publicerar riktlinjer, beslut eller föreskrifter kring tillämpningen som föranleder att detta Biträdesavtal inte uppfyller de krav som ställs på ett avtal rörande behandling av personuppgifter.
16.3 En begäran om ändring av endera parten innebär inte att detta Biträdesavtal bryts utan endast att en omförhandling påbörjas.
16.4 Vardera Part har rätt att skriftligen säga upp avtalet om motparten gör sig skyldig till väsentligt brott mot bestämmelse i detta avtal, och underlåter att vidta rättelse inom trettio (30) dagar från mottagande av skriftlig begäran därom från den andra Parten.
16.5 Om PuA invänder mot ett eventuellt utbyte av underbiträde har denne rätt att säga upp tjänsten och erhålla återbetalning av erlagda avgifter för kvarvarande period.
16.6 Vid uppsägning av avtalet gäller en uppsägningstid om tre (3) månader.
17 Avtalstid och upphörande av behandling
17.1 Detta Biträdesavtal gäller från undertecknandet och så länge som Huvudavtalet är i kraft. Detta Biträdesavtal upphör att gälla samtidigt som Huvudavtalet upphör att gälla om inte Parterna överenskommer något annat. Punkterna 8, 15 och 16, ska dock fortsätta gälla även efter upphörandet av detta Biträdesavtal, såsom tillämpligt.
17.2 Vid Huvudavtalets upphörande ska PuB återlämna all data som innehåller personuppgifter på samtliga media den är fixerad på. Sådan överlämning ska ske i ett överenskommet standardiserat eller öppet format, om inte annat anges i Huvudavtalet eller annan överenskommelse. Därefter ska PuB förstöra alla personuppgifterna som finns kvar hos PuB eller hos dennes eventuella underbiträden och intyga att så har skett.
17.3 Data som lagrats på media vilka av praktiska skäl inte kan återlämnas ska, efter eventuell av XxX begärd kopiering till annat media som tillställs PuA, raderas. Denna punkt 17 gäller såvida inte tvingande lag förhindrar PuB att återlämna eller radera personuppgifterna. I sådana fall ska PuB hantera alla personuppgifter med sekretess och inte aktivt behandla personuppgifterna.
17.4 Radering av personuppgifter ska, efter återlämning eller efter överföring till PuA av begärd kopia, ske omgående om inte annat överenskommits, dock senast inom 30 dagar. Detta gäller även annan tillhörande information såsom, instruktioner, systemlösningar, beskrivningar eller andra handlingar som PuB erhållit genom informationsutbyte enligt detta Biträdesavtal.
17.5 PuB ska även lämna ut loggarna till PuA i överenskommet standardiserat eller öppet format om detta avtal upphör att gälla.
18 Meddelanden
18.1 Meddelanden med anledning av detta avtal ska ske skriftligen genom brev eller e- post till de adresser eller e-postadresser som angivits i ingressen till detta avtal.
Bilaga 1 – Instruktion för hantering av Personuppgifter
Utöver vad som redan framgår av detta avtal ska PuB även följa nedanstående instruktioner:
Ändamål | Ta emot filer med inskannade dokument, i vilka personuppgifter förekommer, som rör inkomna ansökningar avseende bygglovsärenden i kommunen. Lagring av sådana filer i Digitalt e-arkiv samt tillhandahålla filerna för PuA via inloggning i Digitalt e-arkiv. Informationen lagras i Sverige |
Behandlingen omfattar följande typer av personuppgifter | Namn Adress Personnummer Fastighetsbeteckning Kontaktuppgifter Skyddade identitetsuppgifter |
Behandlingen omfattar kategorier av registrerade personer | Sökande Byggherre Fastighetsägare Kontrollansvariga/kvalitetsansvariga Kontaktpersoner Fullmaktshavare |
Hanteringskrav vad gäller personuppgiftsbehandlingen som utförs av PuB. | Personuppgifter hanteras endast genom att dokument skannas till filer. |
Särskilda tekniska skyddsåtgärder vad gäller personuppgiftsbehandlingen som utförs av PuB. | Åtkomstskydd När datorutrustning och löstagbara datamedier hos PuB inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. Behörighetskontroll PuB ska ha rutiner och verktyg som förhindrar obehörig behandling av, eller obehörig åtkomst till, personuppgifter. PuB ska kunna spåra behandlingen av personuppgifter genom loggning. Dessa loggar ska omfattas av erforderliga skyddsåtgärder. Ett tekniskt system för behörighetskontroll ska styra åtkomsten till personuppgifterna för PuB. Behörigheten ska begränsas till dem som behöver uppgifterna för att utföra sitt arbete för fullgörande av avtalen mellan PuB och PuA. Användaridentitet och lösenord ska vara personliga och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter. Datakommunikation Anslutning för extern datakommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av PuB ska skyddas med kryptering. Reparation och service När reparation och service av datorutrustning, vilken används för att lagra personuppgifter, utförs av annan än PuB, ska kontrakt som reglerar säkerhet och sekretess träffas med serviceföretaget. Vid servicebesök ska servicen ske under PUB:s överinseende. Är detta inte möjligt ska lagringsmedier som innehåller personuppgifter avlägsnas. Service via fjärrstyrd datakommunikation får endast ske efter säker elektronisk identifiering av den som utför servicen. Servicepersonal ska ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår. |
Ange särskilda loggningskrav vad gäller personuppgiftsbehandlingen samt vilka som ska tillgång till dem. | PuB åtar sig att kontinuerligt logga åtkomst till PuA:s personuppgifter med anledning av detta Biträdesavtal. Loggar får gallras först fem (5) år efter loggningstillfället om inte annat anges i instruktionerna. Åtkomst till personuppgifter ska kunna följas upp i efterhand genom en logg eller motsvarande underlag. Underlaget ska kunna kontrolleras av PuB och återrapporteras till PuA. |
Överföring av personuppgifter till tredje land | PuB har inte rätt att överföra information till tredje land PuA:s skriftliga godkännande. |
Bilaga B2 Lista över underbiträden
Kommer ni att använda underleverantörer som kommer behandla personuppgifter, om ja, ange vilka nedan.