Stadsmiljöförvaltningen

Stadsmiljöförvaltningen

Dnr:Ange dnr

Personuppgiftsbiträdesavtal mellan Stadsmiljönämnden Göteborgs Stad och [Ange Personuppgiftsbiträde]

Innehåll

1. PARTER, PARTERNAS STÄLLNING, KONTAKTUPPGIFTER OCH KONTAKTPERSONER 3

2. DEFINITIONER 3

3. BAKGRUND OCH SYFTE 4

4. DEN PERSONUPPGIFTSANSVARIGES ANSVAR 4

5. PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN 5

6. SÄKERHETSÅTGÄRDER 5

7. SEKRETESS/TYSTNADSPLIKT 6

8. GRANSKNING, TILLSYN OCH REVISION 6

9. HANTERING AV RÄTTELSER OCH RADERING M.M. 7

10. PERSONUPPGIFTSINCIDENTER 7

11. UNDERBITRÄDE 8

12. LOKALISERING OCH ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND 8

13. ANSVAR FÖR SKADA OCH SANKTIONSAVGIFTER I SAMBAND MED BEHANDLING 9

14. LAGVAL OCH TVISTLÖSNING 9

15. PUB-AVTALETS AVTALSTID OCH UPPSÄGNING SAMT ÄNDRINGAR OCH TILLÄGG I PUB-AVTALET 9

16. ÅTGÄRDER VID PUB-AVTALETS UPPHÖRANDE 10

17. MEDDELANDEN OCH KONTAKTUPPGIFTER 10

18. PARTERNAS UNDERTECKNANDEN AV PUB-AVTALET 11

Bilaga 1 Instruktioner för hantering av Personuppgifter 12

Bilaga 2 Förteckning över Underbiträden 16

1. PARTER, PARTERNAS STÄLLNING, KONTAKTUPPGIFTER OCH KONTAKTPERSONER

Personuppgiftsansvarig	Personuppgiftsbiträde
Stadsmiljönämnden, Göteborgs Stad	Ange organisationens fullständiga namn
Organisationsnummer	Organisationsnummer
212000-1355	Ange organisationsnummer
Postadress	Postadress
Box 2403 Xxxxxxxxxxxx 00 000 00 Xxxxxxxx	Ange organisationens postadress
Kontaktperson för administration av detta Personuppgiftsbiträdesavtal	Kontaktperson för administration av detta Personuppgiftsbiträdesavtal
Namn: Ange kontaktpersonens (handläggarens) för- och efternamn E-post: Ange kontaktpersonens e-post Tfn: Ange kontaktpersonens telefonnummer	Namn: Ange kontaktpersonens för- och efternamn E-post: Ange kontaktpersonens e-post Tfn: Ange kontaktpersonens telefonnummer

2. DEFINITIONER

Utöver de begrepp som definieras i löptext, i detta Personuppgiftsbiträdesavtal, ska dessa definitioner oavsett om de används i plural eller singular, i bestämd eller obestämd form, ha nedanstående innebörd när de anges med versal som begynnelsebokstav. I de fall definitionerna återfinns i Allmänna dataskyddsförordningen EU 2016/679, härefter Dataskyddsförordningen, hänvisas dit.

Behandling	Se art. 4 Dataskyddsförordningen.
Dataskyddslagstiftning	Avser all integritets- och personuppgiftslagstiftning, samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter), som är tillämplig på den personuppgiftsbehandling som sker enligt detta PUB-avtal, inklusive nationell sådan lagstiftning och EU-lagstiftning.
Personuppgiftsansvarig	Se art. 4 Dataskyddsförordningen.
Instruktion	De skriftliga Instruktioner som närmare anger föremål, varaktighet, art och ändamål, typ av Personuppgifter samt kategorier av Registrerade och särskilda behov som omfattas av Behandlingen.
Logg	Logg är resultatet av Loggning.
Loggning	Loggning är ett kontinuerligt insamlande av uppgifter om den Behandling av Personuppgifter som utförs enligt detta PUB-avtal och som kan knytas till en enskild fysisk person.
Känsliga Personuppgifter	Se särskilda kategorier Personuppgifter enligt art. 9 Dataskyddsförordningen.
Personuppgiftsbiträde	Se art. 4 Dataskyddsförordningen.
Personuppgift	Se art. 4 Dataskyddsförordningen
Personuppgiftsincident	Se art. 4 Dataskyddsförordningen.
Registrerad	Fysisk person vars Personuppgifter Behandlas.
Tredje land	En stat som inte ingår i Europeiska unionen (EU) eller inte är ansluten till Europeiska ekonomiska samarbetsområdet (EES).
Underbiträde	Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som i egenskap av underleverantör till Personuppgiftsbiträdet Behandlar Personuppgifter för Personuppgiftsansvariges räkning.

3. BAKGRUND OCH SYFTE

   1. Med detta Personuppgiftsbiträdesavtal inklusive dess bilagor (”PUB-avtalet”) reglerar den Personuppgiftsansvarige Personuppgiftsbiträdets Behandling av Personuppgifter åt den Personuppgiftsansvarige. PUB-avtalets syfte är att säkerställa den Registrerades fri- och rättigheter vid Behandlingen, i enlighet med vad stadgas i Allmänna dataskyddsförordningen EU 2016/679 (”Dataskyddsförordningen”), art. 28.3.

   2. Den Personuppgiftsansvarige utser härmed Personuppgiftsbiträdet att utföra Behandlingen för den Personuppgiftsansvariges räkning enligt vad som stadgas i detta PUB-avtal.

   3. Personuppgiftsbiträdet ska utföra Behandling av Personuppgifter åt den Personuppgiftsansvarige för ändamålet att tillhandahålla tjänsterna i enlighet med Ange namn och dnr på Huvudavtal/Huvudavtalen
      (”Huvudavtalet”).

   4. PUB-avtalet och Huvudavtalet är inbördes avhängiga och kan inte sägas upp var för sig annat än enligt detta PUB-avtal punkt 15.2, 15.3 och 15.4. PUB-avtalet kan dock, utan att Huvudavtalet sägs upp, ersättas av ett annat giltigt PUB-avtal.

   5. Om det skulle uppstå mot varandra stridande bestämmelser eller uppgifter mellan PUB-avtalet och Huvudavtalet gäller PUB-avtalet framför Huvudavtalet avseende villkor om Behandlingen.

   6. Villkor i PUB-avtalet kan inte undanta Personuppgiftsbiträdet från skyldigheter som Personuppgiftsbiträdet har enligt Dataskyddsförordningen eller annan lagstiftning.

4. DEN PERSONUPPGIFTSANSVARIGES ANSVAR

   1. Den Personuppgiftsansvarige ansvarar för att det vid var tid finns laglig grund för Behandlingen och för att utforma korrekta Instruktioner så att Personuppgiftsbiträdet och Underbiträdet kan fullgöra sitt eller sina uppdrag enligt detta PUB-avtal och Huvudavtal i förekommande fall.

   2. Den Personuppgiftsansvarige ska utan onödigt dröjsmål informera Personuppgiftsbiträdet om förändringar i Behandlingen vilka påverkar Personuppgiftsbiträdets skyldigheter enligt Dataskyddslagstiftningen.

   3. Den Personuppgiftsansvarige ansvarar för att informera Registrerade om Behandlingen och för att tillvarata Registrerades rättigheter enligt Dataskyddslagstiftningen samt vidta varje annan åtgärd som åligger den Personuppgiftsansvarige enligt Dataskyddslagstiftningen.

   4. Den Personuppgiftsansvarige har ansvar och skyldighet att bestämma ändamål och medel för Behandlingen.

5. PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN

   1. Personuppgiftsbiträdet förbinder sig att endast utföra Behandlingen i enlighet med PUB-avtalet och Instruktioner samt att följa Dataskyddslagstiftningen. Personuppgiftsbiträdet förbinder sig även att fortlöpande hålla sig informerad om gällande rätt på området.

   2. Personuppgiftsbiträdet ska vidta åtgärder för att skydda Personuppgifterna mot alla slag av Behandlingar som inte är förenliga med PUB-avtalet, Instruktioner och Dataskyddslagstiftningen.

   3. Personuppgiftsbiträdet åtar sig säkerställa att samtliga fysiska personer som arbetar under dess ledning följer PUB-avtalet och Instruktioner samt att de fysiska personerna informeras om relevant lagstiftning.

   4. Personuppgiftsbiträdet ska på begäran från den Personuppgiftsansvarige bistå denne med att säkerställa att skyldigheterna enligt Dataskyddsförordningen, art. 32-36, fullgörs och svara på begäran om utövande av den Registrerades rättigheter i enlighet med Dataskyddsförordningen, kap. III, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå.

   5. För det fall att Personuppgiftsbiträdet finner att Instruktioner är otydliga, i strid med Dataskyddslagstiftningen eller saknas och Personuppgiftsbiträdet bedömer att nya eller kompletterande Instruktioner är nödvändiga för att genomföra sina åtaganden ska Personuppgiftsbiträdet utan dröjsmål informera den Personuppgiftsansvarige, tillfälligt upphöra med Behandlingen och invänta nya Instruktioner.

6. SÄKERHETSÅTGÄRDER

   1. Personuppgiftsbiträdet ska vidta alla tekniska och organisatoriska säkerhetsåtgärder som krävs för att förhindra Personuppgiftsincidenter, genom att säkerställa att Behandlingen uppfyller kraven i Dataskyddsförordningen och att den Registrerades rättigheter skyddas.

   2. Personuppgiftsbiträdet ska fortlöpande säkerställa att den tekniska och organisatoriska säkerheten i samband med Behandlingen medför en adekvat nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft. Vid behandling av Känsliga Personuppgifter är kravet på åtgärder högre för att uppnå ett adekvat säkerhetsskydd.

   3. Eventuella tillkommande eller ändrade krav på skyddsåtgärder från den Personuppgiftsansvarige, efter parternas tecknande av PUB-avtalet, ska betraktas som nya Instruktioner enligt PUB-avtalet.

   4. Personuppgiftbiträdet ska genom behörighetskontrollsystem endast ge åtkomst till Personuppgifterna för sådana fysiska personer som arbetar under Personuppgiftsbiträdets ledning och som behöver åtkomsten för att kunna utföra sina arbetsuppgifter.

   5. Personuppgiftsbiträdet åtar sig att kontinuerligt Logga åtkomst till Personuppgifterna enligt PUB-avtalet i den utsträckning det är nödvändigt och krävs enligt Instruktionen. Loggar får gallras först fem (5) år efter Loggningstillfället om inte annat anges i Instruktionen eller följer av lag. Loggar ska omfattas av erforderliga skyddsåtgärder, i enlighet med Dataskyddslagstiftningen.

   6. Personuppgiftsbiträdet ska systematiskt testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.

7. SEKRETESS/TYSTNADSPLIKT

   1. Personuppgiftsbiträdet och samtliga fysiska personer som arbetar under dess ledning ska vid Behandlingen iaktta såväl sekretess som tystnadsplikt. Personuppgifterna får inte nyttjas eller spridas för andra ändamål, vare sig direkt eller indirekt, såvida inte annat avtalats eller följer av lag eller myndighetsbeslut.

   2. Om Behandlingen inte omfattas av straffsanktionerad tystnadsplikt ska Personuppgiftsbiträdet tillse att samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen, är bundna av sekretessförbindelse. Motsvarande bestämmelser om sekretess/tystnadsplikt ska gälla Underbiträde och samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen.

   3. Personuppgiftsbiträdet ska skyndsamt underrätta den Personuppgiftsansvarige om eventuella kontakter med tillsynsmyndighet eller den Registrerade avseende Behandlingen. Personuppgiftsbiträdet har inte rätt att företräda den Personuppgiftsansvarige eller agera för den Personuppgiftsansvariges räkning gentemot tillsynsmyndigheter eller den Registrerade i frågor avseende Behandlingen.

8. GRANSKNING, TILLSYN OCH REVISION

   1. Personuppgiftsbiträdet ska utan onödigt dröjsmål, på den Personuppgiftsansvariges begäran, tillhandahålla den information om tekniska och organisatoriska säkerhetsåtgärder som den Personuppgiftsansvarige behöver för att kunna fastställa att Personuppgiftsbiträdet uppfyller sina åtaganden enligt PUB-avtalet och Dataskyddsförordningen, art. 28.3 h.

   2. Personuppgiftsbiträdet åtar sig att minst en (1) gång om året granska säkerheten avseende Behandlingen genom en egenkontroll för att säkerställa att Behandlingen följer PUB-avtalet. Resultatet av sådan egenkontroll ska på begäran delges den Personuppgiftsansvarige.

   3. Den Personuppgiftsansvarige äger rätt att, själv eller genom annan av denne utsedd tredje part (som inte får vara en konkurrent till Personuppgiftsbiträdet), följa upp att Personuppgiftsbiträdet uppfyller PUB-avtalets, Instruktionernas och Dataskyddslagstiftningens krav. Personuppgiftsbiträdet ska vid sådan granskning i skälig omfattning bistå den Personuppgiftsansvarige, eller den som utför granskningen i den Personuppgiftsansvariges ställe, med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna granska Personuppgiftsbiträdets efterlevnad av PUB-avtalet, Instruktioner och Dataskyddslagstiftningen. Den Personuppgiftsansvarige ska säkerställa att personal som genomför granskningen är underkastade sekretess eller tystnadsplikt enligt lag eller avtal.

   4. Personuppgiftbiträdet ska bereda tillsynsmyndighet, eller annan myndighet som har laglig rätt till det, möjlighet att göra tillsyn enligt myndighetens begäran i enlighet med vid var tid gällande lagstiftning samt bistå med förmedling av den information som begärs enligt myndighetsbeslut eller omfattas av lagkrav.

9. HANTERING AV RÄTTELSER OCH RADERING M.M.

   1. För det fall den Personuppgiftsansvarige begärt rättelse eller radering på grund av Personuppgiftsbiträdets felaktiga Behandling ska Personuppgiftsbiträdet vidta lämplig åtgärd utan onödigt dröjsmål, senast inom trettio (30) dagar, från det att Personuppgiftsbiträdet mottagit erforderlig information från den Personuppgiftsansvarige. När den Personuppgiftsansvarige begärt radering får Personuppgiftsbiträdet endast utföra Behandling av den aktuella Personuppgiften som ett led i processen för radering.

10. PERSONUPPGIFTSINCIDENTER

    1. Personuppgiftsbiträdet ska ha förmåga att återställa tillgängligheten och tillgången till Personuppgifterna i rimlig tid vid en fysisk eller teknisk incident enligt Dataskyddsförordningen, art. 32.1 c.

    2. Personuppgiftbiträdet åtar sig att med beaktande av Behandlingens art, och den information som Personuppgiftsbiträdet har att tillgå, bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en Personuppgiftsincident beträffande Behandlingen. Personuppgiftbiträdet ska på den Personuppgiftsansvariges begäran även bistå med att utreda misstankar om eventuell obehörigs Behandling och/eller åtkomst till Personuppgifterna.

    3. Vid Personuppgiftsincidenter, vilka Personuppgiftbiträdet fått vetskap om, ska Personuppgiftsbiträdet utan onödigt dröjsmål skriftligen underrätta den Personuppgiftsansvarige om händelsen med den vetskap som Personuppgiftsbiträdet har. Underrättelsen ska åtminstone innehålla uppgifter enligt Dataskyddsförordningen art. 33.

    4. Om det inte är möjligt att meddela samtliga uppgifter enligt ovan samtidigt, ska Personuppgiftsbiträdet skriftligen meddela Personuppgiftsansvarig detta samt ange en uppskattad tid för när uppgifterna kan delges.

11. UNDERBITRÄDE

    1. Personuppgiftsbiträdet ansvarar fullt ut för Underbiträdets Behandling gentemot den Personuppgiftsansvarige och för att Underbiträdet har kapacitet och förmåga att uppfylla sina skyldigheter enligt Dataskyddslagstiftningen.

    2. Om Personuppgiftsbiträdes anlitar ett Underbiträde ansvarar Personuppgiftsbiträdet för att teckna ett Personuppgiftsbiträdesavtal med Underbiträdet där Underbiträdet åläggs samma skyldigheter som Personuppgiftsbiträdet åläggs enligt detta PUB-avtal.

    3. Vid anlitande av Underbiträde ska Personuppgiftsbiträdet skriftligen meddela den Personuppgiftsansvarige om

1. Underbiträdets namn, organisationsnummer och säte (adress och land),

2. vilken typ av uppgifter och kategorier av Registrerade som behandlas,

3. var Personuppgifterna ska behandlas.

1. Om Personuppgiftsbiträdes anlitar ett Underbiträde ansvarar Personuppgiftsbiträdet för att teckna ett Personuppgiftsbiträdesavtal med Underbiträdet där Underbiträdet åläggs samma skyldigheter som Personuppgiftsbiträdet åläggs enligt detta PUB-avtal.

2. Den Personuppgiftsansvarige äger inom 30 dagar rätt att invända mot Personuppgiftsbiträdets anlitande av ett nytt Underbiträde och att, med anledning av sådan invändning, säga upp detta PUB-avtal att upphöra i enlighet med vad stadgas i PUB-avtalet, punkt 15.4.

3. När Personuppgiftsbiträdet upphör med att anlita Underbiträdet ska Personuppgiftsbiträdet skriftligen meddela den Personuppgiftsansvarige om att det upphör med att anlita Underbiträdet.

1. LOKALISERING OCH ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND

   1. Personuppgiftsbiträdet ska säkerställa att Behandlingen sker inom EU/EES av en fysisk eller juridisk person som är etablerad inom EU/EES, såvida inte Personuppgiftsansvarige på förhand skriftligen godkänt att Behandlingen får ske utanför EU/EES.

   2. Överföring till Tredje land för Behandling får endast ske om den är förenlig med Dataskyddslagstiftningen och uppfyller de krav på Behandlingen vilka ställs i PUB-avtalet och Instruktioner.

2. ANSVAR FÖR SKADA OCH SANKTIONSAVGIFTER I SAMBAND MED BEHANDLING

   1. Vid ersättning för skada i samband med Behandling som, genom fastställd dom eller förlikning, ska utgå till den Registrerade på grund av överträdelse av bestämmelse i PUB-avtalet, Instruktioner och/eller tillämplig bestämmelse i Dataskyddslagstiftningen ska artikel i 82 i Dataskyddsförordningen tillämpas.

   2. Sanktionsavgifter enligt artikel 83 i Dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska bäras av den av PUB-avtalets parter som påförts en sådan avgift.

   3. Om endera part får kännedom om omständighet som kan leda till skada för motparten ska parten omedelbart informera motparten om förhållandet och aktivt arbeta tillsammans med motparten för att förhindra och minimera sådan skada.

   4. Oaktat vad sägs i Huvudavtalet gäller detta PUB-avtal, bestämmelser enligt punkter 13.1 - 13.2, före andra regler om fördelning mellan Parterna av krav sinsemellan såvitt avser Behandlingen.

3. LAGVAL OCH TVISTLÖSNING

   1. För detta avtal gäller svensk rätt. Eventuell tolkning eller tvist i anledning av PUB-avtalet, som parterna inte kan lösa på egen hand, ska avgöras av svensk allmän domstol.

4. PUB-AVTALETS AVTALSTID OCH UPPSÄGNING SAMT ÄNDRINGAR OCH TILLÄGG I PUB-AVTALET

   1. PUB-avtalet gäller från och med datum för undertecknande från behörig företrädare för båda parter och gäller därefter tills vidare så länge som Behandlingen sker på uppdrag från den Personuppgiftsansvarige.

   2. PUB-avtalet upphör vid samma tidpunkt som Huvudavtalet utan särskild uppsägning. PUB-avtalet kan dock upphöra utan att Huvudavtalet upphör såvida ingen Behandling sker i Huvudavtalet. Uppsägning av endast PUB-avtalet ska i sådana fall ske skriftligen för bindande verkan. För verkan vid uppsägning se avsnitt 16.

   3. PUB-avtalet ska vara gällande så länge som Behandling utförs av Personuppgiftsbiträdet. Oavsett uppsägning av Huvudavtalet eller PUB-avtalet ska PUB-avtalets villkor vara gällande till dess att all Behandling av Personuppgiftsbiträdet och/eller eventuella Underbiträden upphört.

   4. Om den Personuppgiftsansvarige invänder mot Personuppgiftsbiträdets anlitande av ett nytt Underbiträde, enligt detta PUB-avtal, punkt 11.5 har den Personuppgiftsansvarige rätt att säga upp PUB-avtalet att upphöra med omedelbar verkan. Om Personuppgiftsbiträdet Behandlar Personuppgifterna efter den tidpunkt som anges i punkt 16.2 gäller vad stadgas i punkter 16.3–16.4.

   5. Endera part i PUB-avtalet äger rätt att påkalla omförhandling av PUB-avtalet om motpartens ägarförhållanden ändras väsentligt eller om tillämplig lagstiftning, eller tolkningen av den, ändras på ett för Behandlingen avgörande sätt. Påkallande av omförhandling enligt första meningen innebär inte att PUB-avtalet till någon del upphör att gälla utan endast att en omförhandling om PUB-avtalet ska påbörjas.

   6. Tillägg till, och ändringar i, PUB-avtalet ska vara skriftliga och undertecknade av båda parter för bindande verkan.

   7. När någon av parterna får kännedom om att motparten agerar i strid med PUB-avtalet, Instruktioner och/eller Dataskyddslagstiftningen, ska parten utan dröjsmål meddela motparten om agerandet. Därefter äger parten rätt att med omedelbar verkan upphöra att utföra sina förpliktelser enligt PUB-avtalet till den tidpunkt motparten förklarat att agerandet upphört och förklaringen accepterats av den part som påtalat agerandet.

5. ÅTGÄRDER VID PUB-AVTALETS UPPHÖRANDE

   1. Vid uppsägning av PUB-avtalet ska den Personuppgiftsansvarige utan onödigt dröjsmål begära att Personuppgiftsbiträdet överlämnar samtliga Personuppgifter till den Personuppgiftsansvarige eller raderar dem, enligt dennes önskemål, såvida inte Personuppgiftsbiträdet är tvingad att behålla Personuppgifter med stöd av lag eller myndighetsbeslut. Om Personuppgifterna överlämnas ska det ske i ett öppet och standardiserat format. Med samtliga Personuppgifter avses alla Personuppgifter vilka har omfattats av Behandlingen samt annan tillhörande information såsom Loggar, Instruktioner, systemlösningar, beskrivningar och andra handlingar som Personuppgiftsbiträdet erhållit genom informationsutbyte enligt PUB-avtalet.

   2. Överlämning och radering enligt PUB-avtalet, punkt 16.1, ska vara utförda senast trettio (30) dagar räknat från den tidpunkt uppsägningen har gjorts enligt detta PUB-avtal, punkt 16.1, eller annat datum som Personuppgiftsansvarige har angett. Personuppgiftsbiträdet ansvarar för att säkerställa att samtliga Personuppgifter har överlämnats till Personuppgiftsansvarige innan radering sker.

   3. Behandling som utförs av Personuppgiftsbiträdet efter den tidpunkt som stadgas i PUB-avtalet punkt 16.2 är att betrakta som en otillåten Behandling

   4. Bestämmelser om sekretess/tystnadsplikt i PUB-avtalet 7. kap. ska fortsätta gälla även om PUB-avtalet i övrigt upphör av gälla.

6. MEDDELANDEN OCH KONTAKTUPPGIFTER

   1. Meddelanden inom ramen för PUB-avtalet och dess administration ska ske skriftligen och skickas till respektive parts kontaktperson för PUB-avtalet enligt punkt 1.

   2. Varje part ansvarar för att de uppgifter som anges i PUB-avtalet 1 kap. alltid är aktuella.

18. PARTERNAS UNDERTECKNANDEN AV PUB-AVTALET

    1. Detta PUB-avtal tillhandahålls i två likalydande exemplar varav parterna har tagit varsitt.

    2. Undertecknande av PUB-avtalet

Personuppgiftsansvariges undertecknande av PUB-avtalet

Ort		Datum
Göteborg		[Ange datum]
		[Ange namn och befattning] 
Undertecknande		Namnförtydligande/befattning

Personuppgiftsbiträdets undertecknande av PUB-avtalet

Ort		Datum
[Ange ort] 		[Ange datum]
Undertecknande		Namnförtydligande/befattning

Bilaga 1 Instruktioner för hantering av Personuppgifter

Utöver vad som redan framgår av PUB-avtalet och tillhörande Huvudavtal, ska Personuppgiftsbiträdet följa nedanstående Instruktioner.

Personuppgiftsbiträdet ansvarar även för att Underleverantör behandlar Personuppgifter enligt dessa Instruktioner, Huvudavtalet och Tillämplig lag.

Ändamål och beskrivning av Behandling

Ange samtliga ändamål och ge en kort beskrivning av behandlingen. Exempel: behandling sker för administrering av ansökningar om parkeringstillstånd.

Kategorier av Personuppgifter

Ange samtliga kategorier av Personuppgifter som behandlas. Exempel: Namn, efternamn, personnummer, adress, kontaktuppgifter såsom telefonnummer, e-postadress.

Behandlas Känsliga Personuppgifter: ☐
JA ☐
NEJ

Följande kategorier av Känsliga Personuppgifter behandlas

Ange samtliga kategorier av Känsliga Personuppgifter som behandlas

Kategorier av Registrerade

Ange samtliga kategorier av Registrerade. Exempel: Personal, arbetssökande, webbesökare, befintliga kunder, potentiella kunder, konsulter, partners etc.

Överföring av Personuppgifter till Tredje land utanför EU/EES

Välj ett objekt.
Om överföring utanför EU/EES ange till vilket land och under vilka villkor.

Tid för behandling samt upphörande av behandling

Ange tid för behandling och hantering vid upphörande av behandling. Exempel: Personuppgifter ska behandlas tillsvidare dock endast så länge som ändamålet med Behandlingen enligt Huvudavtalet kvarstår. När ändamål med Behandling har upphört ska Personuppgifterna raderas eller återlämnas på den Personuppgiftsansvariges begäran inom 60 dagar och i övrigt enligt Personuppgiftsansvariges Instruktioner. 

Typ av Behandling och eventuella hanteringskrav

Ange vilka typer av hantering Personuppgiftsbiträdet ska utföra. Exempel: Insamling av adresser, registrering av namn, lagring av bilder

Ange om några särskilda hanteringskrav finns. Exempel: 

• Personuppgifter ska gallras efter x år.

• Säkerhetskopior får inte sparas längre än x år.

• Biträdet får endast publicera information på webbplats x som innehåller förnamn.

• Se Huvudavtal s. XX

Teknisk och organisatoriska säkerhetsåtgärder

Personuppgiftsbiträdet ska tillse att all behandling alltid sker med en adekvat säkerhetsnivå.

Ange tillägg om relevant – annars ta bort. Exempel: 

Personuppgiftsbiträdet ska särskilt beakta att Behandlingen omfattar:

• En stor mängd Personuppgifter tillhörande ett stort antal Registrerade

• Innehåller Känsliga Personuppgifter som omfattas av Dataskyddsförordningens art.9 om särskilda kategorier av Personuppgifter

Personuppgiftbiträdet ansvarar för att se till att en adekvat säkerhetsnivå för Behandlingen upprätthålls och att själv bedöma vilka tekniska och organisatoriska säkerhetsåtgärder som sammantaget krävs vid var tid för att upprätthålla säkerhetsnivån.

Personuppgiftsbiträdet ska dock minst alltid vidta följande åtgärder:

1. Säkerhetsåtgärder när Personuppgiftsbiträdet hanterar Personuppgifter på/i den Personuppgiftsansvariges lagringsytor och system: 

• Sekretessklausuler i anställningsavtal.

• Kontinuerlig säkerhetsutbildning av personal.

• Dokumenterade rutiner som tydligt kan visa på att de särskilda säkerhetskraven enligt denna bilaga följs.

• Behandling får endast utföras i system, lagringsytor och miljöer som den Personuppgiftsansvarige anvisar och tillhandahåller.

• Personliga användaridentiteter och lösenord som tillhandahålls av den Personuppgiftsansvarige ska användas

• Personuppgiftsbiträdet ska inte utföra Behandling som försvårar utförandet eller kringgår någon av de säkerhetsåtgärder eller som den Personuppgiftsansvarige beslutar om i syfte att säkerställa ett lämpligt skydd för data i den Personuppgiftsansvariges tillhandahållna system, lagringsytor och miljöer.

• Personuppgiftsbiträdet ska delta i genomförandet av de säkerhetsåtgärder som den Personuppgiftsansvarige genomför i den utsträckning de är förenliga och relevanta för utförandet av grunduppdraget enligt Huvudavtalet och PUB-avtalet.

2. Säkerhetsåtgärder när Personuppgiftsbiträdet hanterar Personuppgifter på/i egna lagringsytor och system: 

• Sekretessklausuler i anställningsavtal.

• Säker datatransport över publika nätverk.

• Uppdaterade brandväggar.

• Virusskydd och kontinuerlig påläsning av säkerhetspatchar.

• Behörighetskontroll för tillgång till system och data där behörigheter begränsas till dem som behöver uppgifterna för sitt arbete.

• Personliga användaridentiteter och lösenord.

• Lagring av Personuppgifter på sätt som möjliggör radering och eller ändring av enskildas Personuppgifter, vid begäran från Personuppgiftsansvarig såvida inte Personuppgiften särskilt ska arkiveras utifrån en rättslig grund.

• Kontinuerlig säkerhetsutbildning av personal.

• Relevant teknisk infrastruktur och dokumenterade rutiner som tydligt kan visa på att de särskilda säkerhetskraven enligt denna bilaga följs.

3. Säkerhetsåtgärder när Personuppgiftsbiträdet hanterar Känsliga Personuppgifter: 

• Kontinuitetsplaner och rutiner för snabb och säker återställning efter Personuppgiftsincident.

• Dokumentation om tydliga rutiner för att kontrollera obehörigt intrång, uppgiftsmanipulering eller uppgiftsförlust.

• Användning av kryptografiska säkerhetsåtgärder.

• Fysiska avgränsningar ska definieras och användas för att skydda områden som innehåller antingen känslig eller kritisk information och informationsbehandlingsresurser.

• Loggning och kontroll av tillgång till system och databaser.

Ange ytterligare krav på säkerhetsåtgärder om sådana finns. Exempel på ytterligare krav som kan ställas utifrån relevans:

• Backup av databaser samt krypterad backup.

• Produktionsmiljö och backupmiljö på fysiskt skilda orter.

• Destruktion av avvecklad lagringsmedia.

• Regelbundna säkerhetstester utförd av extern part (t.ex. penetrationstester).

• Förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos informationssystemet samt e-tjänster.

• Förtydligande av Personuppgiftsincidenter, där någon form av obehörig hantering eller annat som leder till Personuppgiftsförlust eller förvanskning, ska utan dröjsmål vid upptäckandet rapporteras till Personuppgiftsansvarig.

Bilaga 2 Förteckning över Underbiträden

Denna bilaga innehåller förteckning över de Underbiträden/Underleverantörer som, vid datum för undertecknande av PUB-avtalet har godkänts av den Personuppgiftsansvarige att på uppdrag från Personuppgiftbiträdet behandla Personuppgifter för den Personuppgiftsansvariges räkning enligt Huvudavtalet.

Underbiträden (bolagsnamn)	All behandling av Personuppgifter sker inom EU/ EES*	Geografisk plats för behandling	Tjänst som tillhandahålls av Underbiträde
Ange fullständigt namn	*med all Behandling menas att samtliga servrar, backup, teknisk-och organisatorisk support avseende behandling av Personuppgifter sker inom EU/EES.	Ange de länder där respektive bolag är etablerat och från vilka personal kan komma att behandla Personuppgifter	Specificera kategorier; (exempel Driftpersonal, support mm.)
[Ange namn] 	Ja ☐ Nej ☐	[Ange plats för behandling] 	[Ange tjänst som tillhandahålls] 
[Ange namn] 	Ja ☐ Nej ☐	[Ange plats för behandling] 	[Ange tjänst som tillhandahålls] 
[Ange namn] 	Ja ☐ Nej ☐	[Ange plats för behandling] 	[Ange tjänst som tillhandahålls] 
[Ange namn] 	Ja ☐ Nej ☐	[Ange plats för behandling] 	[Ange tjänst som tillhandahålls] 
[Ange namn] 	Ja ☐ Nej ☐	[Ange plats för behandling] 	[Ange tjänst som tillhandahålls] 
[Ange namn] 	Ja ☐ Nej ☐	[Ange plats för behandling] 	[Ange tjänst som tillhandahålls] 
[Ange namn] 	Ja ☐ Nej ☐	[Ange plats för behandling] 	[Ange tjänst som tillhandahålls] 

Göteborgs Stad Stadsmiljöförvaltningen, Personuppgiftsbiträdesavtal mellan Stadsmiljönämnden Göteborgs Stad och [Ange Personuppgiftsbiträde]
11 (16)