Instruktioner till Personuppgiftsbiträde
Instruktioner till Personuppgiftsbiträde
(Bilaga 1 till PuB-avtal)
1. Behandling av personuppgifter
PuB ska endast behandla personuppgifter i enlighet med detta avtal, dataskyddsförordningen, datainspektionens eller relevant EU-organs föreskrifter, ställningstagande och rekommendationer på personuppgiftsområdet samt PuA:s vid var tid gällande instruktioner. PuB får inte behandla personuppgifter för egna eller några andra ändamål än de som PuB anlitats för av PuA. PuA åtar sig att i sin verksamhet vid var tid tillse att berörd personal följer avtalet, samt att de hålls informerade om innehållet i dataskyddsförordningen.
Personuppgiftsbiträdet får inte, utan föreläggande från relevant myndighet eller tvingande lagstiftning:
• samla in eller lämna ut personuppgifter från eller till någon tredje part om inte annat skriftligen har överenskommits,
• ändra metoder för behandling,
• kopiera eller återskapa personuppgifter,
• eller på något annat sätt behandla personuppgifter för andra ändamål än de som anges i Tjänsteavtalet.
2. Säkerhetsåtgärd
Personuppgifterna ska av PuB skyddas mot förstöring, ändringar, otillåten spridning och obehörig tillgång. Personuppgifterna ska även skyddas mot varje annat slag av otillåten behandling.
För att skydda behandlingen av personuppgifter mot obehörig åtkomst förstörelse ändring mm. ska PuB vidta tekniska och organisatoriska säkerhetsåtgärder, i syfte att upprätthålla en lämplig säkerhets nivå.
Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av:
• de tekniska möjligheterna som finns,
• vad de skulle kosta att genomföra åtgärderna,
• de särskilda risker som finns med behandling av personuppgifterna, och
• hur pass känsliga de behandlade personuppgifterna är
Det är PuA som bedömer vilka säkerhetsåtgärder som minst måste vidtas.
3. Sekretess
All behandling av personuppgifter sker med iakttagande av sekretess, det innebär att XxX, dennes anställda eller underbiträden inte får lämna ut några uppgifter till tredje man utan att i första hand ha inhämtat PuA:s samtycke. PuB ska tillse att samtliga anställda, konsulter och övriga som PuB svarar för och som behandlar personuppgifterna är bundna av ett ändamålsenligt sekretessåtagande samt att de är informerade om hur behandlingen av personuppgifterna får ske.
4. Utlämnande av information
För de fall den registrerade, tillsynsmyndigheten eller annan tredje man begär information från PuB som rör behandlingen av personuppgifter, ska PuB hänvisa till PuA. PuB får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan uttrycklig instruktion från PuA, eller om utlämnandet är en följd av en laglig skyldighet. Vid någon form av begäran om information ska PuA omedelbart informeras.
PuB har inte heller rätt att företräda PuA eller agera för PuA:s räkning gentemot tillsynsmyndigheten.
Den registrerade har laglig rätt att begära registerutdrag eller kräva rättelse, blockering, gallring eller utplåning av de personuppgifter som omfattas av avtalet. PuB är skyldig att skyndsamt bistå PuA i sådan omfattning att denna rätt kan säkerställas. Om PuA har begärt att personuppgift ska raderas ska sådan radering ske omgående.
5. Begränsningar i rätten att överföra personuppgifter till tredje land
PuB får inte utan PuA:s i förväg inhämtade skriftliga samtycke, överföra några personuppgifter utanför EU och EES- området eller till annat land som inte omfattas av undantagen till förbud mot överföring till tredje land. Detta förbud omfattar även teknisk support, underhåll och liknande tjänster.
6. Incidenthantering
För de fall PuB misstänker alternativt upptäcker någon säkerhetsöverträdelse såsom obehörig åtkomst, förstörelse, ändring eller liknande av personuppgiften ska PuB omedelbart undersöka incidenten och vidta lämpliga åtgärder för rättelse och förhindrande av upprepning, samt omedelbart tillhandahålla PuA en beskrivning av incidenten.
PuB ska upprätta och följa incidenthanteringsprocedur.
Underrättelse ska också ske omedelbart om PuB av någon anledning inte kan uppfylla åtagandena i detta personuppgiftsbiträdesavtal. Om PuB bedömer att det saknas instruktioner som är nödvändiga för att genomföra uppdraget enligt vad som säg i detta avtal eller anser att PuA:s instruktioner helt eller delvis står i konflikt med de författningar, föreskrifter och rekommendationer som PuB ska följa ska PuB utan dröjsmål informera PuA om sin ställning, samt invänta vidare instruktioner från PuA. PuB ska även informera PuA om PuB får kännedom om att personuppgifter behandlas i strid med PuA:s instruktioner eller detta personuppgiftsavtal.
Vid obehörig behandling, obehörig åtkomst förstörelse eller ändring av personuppgifterna, samt försök till dessa, ska PuB omedelbart skriftligen underrätta PuA om händelsen till xxxx@xxxxxxx.xx inom 72 timmar från upptäckten.
7. Underbiträden
PuB får endast lägga över sina skyldigheter enligt detta avtal på ett underbiträde efter samtycke från PuA. Avtalet mellan PuB och underbiträdet ska vara skriftligt och ålägga underbiträdet samma skyldigheter som enligt avtalet åligger PuB.
PuB ansvarar fullt ut mot PuA för underbiträdets behandling Följande information ska delges PuA för respektive underbiträde:
• definition av underbiträde, inklusive dess kontaktinformation, bolagsform och geografiska placering,
• vilken typ av tjänst som underbiträde utför,
• vilka egenskaper underbiträdet har,
• garantier som uppställs för att dataskyddsförordningens krav kommer att följas,
• Var underbiträdet behandlar personuppgifter som omfattas av detta avtal.
8. Skadestånd och ansvar gentemot tredjeman
PuB åtar sig att hålla PuA skadelös i det fall PuA är skyldig att utge skadestånd till den registrerade enligt artikel 82 dataskyddsförordningen, om den behandling av personuppgifter som ligger till grund för skadeståndsersättningen har utförts av PuB i strid med detta avtal eller PuA:s instruktioner. PuB åtar sig att även i övrigt hålla PuA skadelös för de fall PuA drabbas av skada till följd av PuB:s behandling av personuppgifter i strid mot denna instruktion.
9. Avtalstid, förhållande till övriga avtal och ändringar
Detta avtal gäller mellan parterna så länge PuB behandlar personuppgifter för vilka PuA är ansvarig. Vid avtalets upphörande ska PuB tillse att samtliga personuppgifter överlämnas till PuA i sådant format som PuA definierar.
PuB åtar sig att radera samtliga personuppgifter som behandlats enligt detta avtal inom 60-dagar från avtalets upphörande. Radering ska emellertid inte ske förrän XxX skriftligen informerat PuA om att radering kommer att ske och har överlämnat personuppgifterna till PuA i sådant skick som PuA definierar
Om bakomliggande tjänsteavtal, som innebär att PuB behandlar personuppgifter, upphör och nytt sådant avtal träffas utan att ett nytt PuB-avtal träffas gäller detta avtal även för det nya tjänsteavtalet.
Ändringar till detta avtal ska, för att vara giltiga, göras skriftligen och undertecknas av båda parter. Sådana ändringar och tillägg till avtalet träder i kraft efter 30-dagar efter båda parters undertecknande. Detta förhindrar emellertid inte att PuA kan ändra eller utfärda ytterligare instruktioner i enlighet med vad som framgår i detta avtal.
Detta avtal har upprättats i två likalydande exemplar var av parterna tagit varsitt.
_
Ort och datum Ort och datum
FÖRETAG FÖRETAG
_ _ _
Underskrift PuA Underskrift PuB