Contract

	1 (14)

Personuppgiftsbiträdesavtal

Parter
1. Personuppgiftsansvarig (”PuA”): Karolinska Universitetssjukhuset (xxx.xx: 232100-0016)
2. Personuppgiftsbiträde (”PuB”): Bolag/organisation/person (xxx.xx./xxxx.xx: xxxxxx-xxxx)
Definitioner
1. Med ”Personuppgifterna” avses sådana personuppgifter som enligt detta avtal behandlas av PuB för PuA:s räkning.
2. Med ”Tillämplig dataskyddslag” avses i detta avtal vid var tid gällande lydelse av Dataskyddsförordningen¹ samt annan eventuell EU- och nationell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på behandling av personuppgifter enligt detta avtal.
3. I den mån Tillämplig dataskyddslag innehåller begrepp som motsvarar de som används i detta avtal, ska sådana begrepp tolkas och tillämpas i enlighet med respektive regelverk.
Bakgrund och syfte
1. [Här infogas med en kort beskrivning av samarbetet/tjänsterna som föranleder behandling av personuppgifter genom personuppgiftsbiträde.] Samarbetet/tjänsterna innebär att PuB behandlar Personuppgifterna för PuA:s räkning.
2. Detta avtal har till syfte att säkerställa de registrerades fri- och rättigheter vid behandling av personuppgifter samt att uppfylla kravet på skriftlig reglering av villkoren för anlitande av personuppgiftsbiträde enligt Dataskyddsförordningens artikel 28.3.
Omfattning
1. Föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade framgår av ifylld Instruktion/ specifikation till Personuppgiftsbiträdesavtal (bilaga 1).
PuA:s ansvar
1. PuA ansvarar för att det finns lagstöd för behandlingen av Personuppgifterna och att i övrigt följa Tillämplig dataskyddslag.
2. PuA åtar sig att, i den mån så krävs utöver detta avtal och eventuell annan avtalsreglering parterna emellan, utforma ytterligare skriftliga instruktioner för behandlingen av Personuppgifterna som är förenliga med Tillämplig dataskyddslag och som behövs för att PuB ska kunna fullgöra sina uppgifter enligt avtalet.
3. PuA åtar sig att utan dröjsmål informera PuB om förändringar i behandlingen vilka påverkar PuB:s skyldigheter enligt detta avtal och Tillämplig dataskyddslag.
PuB:s allmänna åtaganden
1. PuB åtar sig att endast behandla Personuppgifterna för att fullgöra sina uppgifter enligt detta avtal och endast på sätt som framgår av avtalet och/eller PuA:s skriftliga instruktioner.
2. Kravet på skriftliga instruktioner gäller särskilt, men inte begränsat till, sådan behandling som består i utlämnande av Personuppgifterna till myndighet eller annan utomstående samt överföring av Personuppgifterna till tredje land (se avsnitt 11).
3. PuB åtar sig att följa Tillämplig dataskyddslag och hålla sig informerad om gällande rätt på området.
4. PuB åtar sig att följa Datainspektionens eller annan behörig tillsynsmyndighets fattade beslut om åtgärder för att uppfylla kraven enligt Tillämplig dataskyddslag.
5. PuB ska omedelbart informera PuA om XxX anser att lämnade instruktioner strider mot lag eller är otydliga och därefter invänta ytterligare instruktioner eller förtydliganden från PuA. Detsamma gäller om PuB anser att det saknas tillräckliga instruktioner för att genomföra behandlingen.
6. För det fall det skulle finnas behandlingar som PuB enligt tvingande lag måste utföra utöver de dokumenterade instruktioner som lämnats av PuA, ska PuB underrätta PuA innan sådan behandling påbörjas, om det inte föreligger hinder mot att lämna sådan underrättelse enligt tvingande lag.
Säkerhet och sekretess
1. PuB ska vidta de lämpliga tekniska och organisatoriska säkerhetsåtgärder som krävs enligt Tillämplig dataskyddslag samt lämnade instruktioner för att skydda Personuppgifterna. Säkerhetsåtgärderna ska fastställas bland annat med beaktande av samtliga de omständigheter och möjliga åtgärder som anges i Dataskyddsförordningens art. 32.
2. Eventuella särskilda krav på säkerhetsåtgärder framgår av ifylld Instruktion/ specifikation till Personuppgiftsbiträdesavtal (bilaga 1).
3. Vidtagna säkerhetsåtgärder ska dokumenteras och dokumentationen ska på begäran tillhandahållas PuA.
4. PuB åtar sig att endast ge åtkomst till Personuppgifterna för personer inom sin egen organisation eller hos eventuell underleverantör som behöver tillgång till dem för att kunna utföra sina arbetsuppgifter inom ramen för detta avtal.
5. PuB och de personer som arbetar under ledning av PuB (inklusive ev. konsulter och underleverantörer) ska vid behandlingen av Personuppgifterna hålla Personuppgifterna konfidentiella och får inte röja dem för obehöriga annat än enligt skriftliga instruktioner från PuA. PuB ansvarar för att samtliga personer som kommer i kontakt med Personuppgifterna är bundna av sekretess/tystnadsplikt enligt lag och/eller personliga avtal.
6. PuB ska bistå PuA med att se till att de skyldigheter som enligt Tillämplig dataskyddslag åligger PuA vad gäller t.ex. säkerhetsåtgärder, konsekvensbedömningar, incidentrapportering och samråd kan fullgöras samt samråda kring lämpliga rutiner för detta.
7. Skulle nya omständigheter som kan påverka informationssäkerheten uppkomma under avtalets giltighetstid ska PuB meddela PuA detta omgående så att parterna tillsammans kan vidta säkerhetshöjande åtgärder.
De registrerades rättigheter
1. PuB åtar sig att bistå PuA genom lämpliga tekniska och organisatoriska åtgärder vad gäller begäran från registrerade om att utöva deras rättigheter enligt Tillämplig dataskyddslag, exempelvis rättelse, radering eller begränsning av behandling, i den mån dessa rättigheter är tillämpliga på Personuppgifterna.
2. För det fall en registrerad eller annan tredje part begär ut information från PuB rörande behandlingen av Personuppgifterna, eller om PuB tar emot en begäran om rättelse, radering, begränsning av behandling eller överföring, ska PuB hänvisa till PuA. PuB ska inte vidta någon åtgärd eller lämna ut någon information till registrerade eller annan tredje part om inte utlämnande krävs enligt tvingande lag. I så fall ska PuB omedelbart informera PuA om begäran.
Revision, insyn och tillsyn
1. För att kunna säkerställa att PuB vidtar tillräckliga säkerhetsåtgärder och även i övrigt fullgör sina skyldigheter enligt detta avtal, har PuA rätt till nödvändig insyn i PuB:s verksamhet. PuB åtar sig att på PuA:s begäran utan dröjsmål tillhandahålla den information som PuA behöver för att kunna utöva insyn.
2. PuB ska tillåta och möjliggöra de inspektioner som Datainspektionen eller PuA kan kräva för att kontrollera upprätthållandet av en korrekt och säker behandling av Personuppgifterna. Detta inbegriper att möjliggöra och bidra till granskningar samt inspektioner hos PuB eller ev. underleverantörer.
Personuppgiftsincidenter
1. En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till Personuppgifterna (se Dataskyddsförordningen art. 4).
2. Om PuB får kännedom om en personuppgiftsincident med avseende på Personuppgifterna, ska denne utan onödigt dröjsmål informera PuA. PuB ska därvid bistå PuA i framtagandet av information och incidentrapporter till registrerade personer och till myndigheter i den utsträckning det krävs enligt Tillämplig dataskyddslag. PuB ska utan dröjsmål undersöka incidenten och i samråd med PuA vidta lämpliga åtgärder för att förhindra en upprepning.
3. PuB ska omgående informera XxX även om åtaganden enligt detta avtal av någon annan anledning än en personuppgiftsincident inte uppfylls eller inte kommer att kunna uppfyllas.
Överföring av personuppgifter till tredje land
1. Överföring av Personuppgifterna till tredje land, dvs. ett land utanför EU/EES, eller en internationell organisation får endast ske om landet eller organisationen genom beslut enligt Dataskyddsförordningens artikel 45 har bedömts säkerställa en adekvat skyddsnivå för personuppgifter eller efter skriftligt godkännande av PuA i det enskilda fallet efter att PuA gjord bedömningen att överföringen är lämplig och tillåten på grund av vidtagna skyddsåtgärder enligt Dataskyddsförordningens artikel 46.
2. Villkoren i detta avsnitt för överföring av Personuppgifterna ska gälla såväl överföring för lagring och annan behandling som åtkomst till Personuppgifterna för exempelvis service, support, underhåll, utveckling eller liknande ändamål från tredje land eller en internationell organisation.
3. PuB ska alltid samråda med PuA innan överföring till tredje land sker.
Anlitande av annat personuppgiftsbiträde
1. PuB får inte anlita ett annat personuppgiftsbiträde för behandling av Personuppgifterna utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av PuA. Om ett allmänt skriftligt tillstånd har erhållits, ska PuB informera PuA om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att PuA har möjlighet att göra invändningar mot sådana förändringar.
2. Om PuB anlitar annat personuppgiftsbiträde enligt föregående punkt, så ansvarar PuB för att det andra personuppgiftsbiträdet innan behandlingen påbörjas genom ett skriftligt avtal åläggs samma skyldigheter beträffande behandlingen av Personuppgifterna som PuB har enligt detta avtal. Avtalet med det andra personuppgiftsbiträdet ska i relevanta delar på begäran kunna uppvisas för PuA.
3. Om PuB anlitar annat personuppgiftsbiträde enligt föregående punkt, ansvarar PuB för att det andra personuppgiftsbiträdet fullgör alla åtaganden och iakttar alla begränsningar som anges i denna bilaga.
4. PuB ska vid var tid föra en korrekt och uppdaterad lista över personuppgiftsbiträden som anlitats enligt detta avsnitt och på begäran uppvisa denna för PuA. Vid avtalstecknandet anlitade underleverantörer framgår av ifylld Instruktion/specifikation till Personuppgiftsbiträdesavtal (bilaga 1).
Giltighetstid
1. Villkoren i detta avtal ska upphöra att gälla när PuB:s uppdrag upphör eller vid den senare tidpunkt då Personuppgifterna i sin helhet är raderade, återlämnade eller överlämnade enligt PuA:s instruktioner.
2. Åtagandena rörande sekretess och tystnadsplikt ska äga giltighet även sedan detta avtal i övrigt har upphört att gälla.
Upphörande av behandling av personuppgifter
1. Vid upphörande av PuB:s uppdrag ska Personuppgifterna, på samtliga media som de är lagrade på, återlämnas till PuA eller i enlighet med PuA:s instruktioner raderas eller överföras till annat personuppgiftsbiträde.
2. För det fall PuB på grund av lag, förordning, föreskrift eller myndighetsbeslut är skyldigt att fortsätta att behandla Personuppgifterna, får Personuppgifterna endast behandlas i den mån det är absolut nödvändigt för att fullgöra denna skyldighet. PuB ska informera PuA om varför fortsatt behandling är nödvändig.
Ersättning
1. Om inte annat särskilt överenskommits har PuB inte rätt till ersättning för fullgörande av sina skyldigheter i detta avtal.
Skadeslöshet
1. Sanktionsavgifter enligt Dataskyddsförordningens artikel 83 ska alltid slutligen bäras av den part som påförts en sådan avgift.
2. Om inte annat överenskommits ska PuB ersätta och hålla PuA skadeslöst i händelse av att PuA åsamkas annan direkt eller indirekt skada som är hänförlig till PuB:s behandling av Personuppgifterna i strid med detta avtal, lämnade instruktioner eller Tillämplig dataskyddslag.
Ändringar och tillägg
1. Ändringar av och tillägg till detta avtal ska vara skriftliga och undertecknade av behörig företrädare för båda parter.
Tvist
1. Tvist angående tolkning eller tillämpning av detta avtal ska, om annat inte skriftligen överenskommits, avgöras enligt svensk lag och av svensk allmän domstol med Stockholms tingsrätt som första instans.

Detta avtal har upprättats i två likalydande exemplar, varav parterna tagit var sitt.

Behörig företrädare för XxX Xxxxxxx företrädare för PuB

____________________________ ____________________________

Ort och datum Ort och datum

____________________________ ____________________________

Underskrift Underskrift

____________________________ ____________________________

Namnförtydligande och titel Namnförtydligande och titel

Bilaga 1 - Instruktion/specifikation till Personuppgiftsbiträdesavtal

Utöver vad som redan framgår av personuppgiftsbiträdesavtalet ska PuB följa nedanstående instruktioner. I den mån så krävs kan i mallen hänvisas till ytterligare bilagor (t.ex. tjänsteavtal eller -specifikation, systembeskrivning m.m.).

Generell instruktion

Beskriv ändamålen med PuB:s behandling av personuppgifter. Beskriv varför PuB behandlar uppgifterna för PuA:s räkning. T.ex. administration av kundförhållande, löneadministration, lagring av PuAs information rörande [x].
Ange vilka kategorier av personuppgifter som kommer behandlas av PuB. T.ex. namn, adress, e-post, kundnummer, personnummer, vårddokumentation, löneuppgifter.
Ange samtliga kategorier av registrerade vars uppgifter kommer behandlas av PuB. T.ex. patienter, kunder, kontaktpersoner hos leverantörer eller konsulter, anställda.
Ange vilka behandlingar som kommer utföras av PuB och behandlingens karaktär. Beskriv behandlingsaktiviteter som t.ex. lagring, administrering, samkörning av register. Ange vidare om behandlingen t.ex. rör stora mängder data eller om behandlingen innefattar profilering.
Beskriv hur länge behandlingen kommer att pågå. Om perioden inte går att fastställa, ange vilka parametrar som ligger till grund för bedömningen av tidsperioden (t.ex. eventuellt huvudavtals löptid).
Ange tidsfrist för radering och eventuell återföring av personuppgifter vid avtalets upphörande. Ange ev. kvalificering av tidsfrist inom vilken PuB ska vara skyldig att radera personuppgifterna efter att avtalet/uppdraget har upphört. Ange också ev. tidsfrist inom vilken PuB ska återföra alla personuppgifter till PuA (och i förekommande fall, i vilket format), om sådan återföring ska ske.

Överföring av personuppgifter till tredje land eller internationell organisation är tillåten endast om en eller flera av de grunder för överföring som framgår nedan är uppfyllda (kryssa i en eller flera):

Överföringen sker till annat land inom EU/EES eller till tredje land eller internationell organisation som av EU-kommissionen har bedömts ha en adekvat skyddsnivå. □
De registrerade har uttryckligen samtyckt till överföringen. □

Det föreligger ett avtal med EU-kommissionens modellklausuler. (Biläggs detta avtal.) □

PuB tillämpar bindande företagsinterna regler (Binding Corporate Rules) som även gäller för mottagaren av personuppgifterna i aktuellt tredje land eller internationell organisation. □

PuB (eller i förekommande fall Underbiträde) har genomfört självcertifiering och anslutit sig mellan EU och USA gällande Privacy Shield-principer eller motsvarande genom att behörigen registrera sig hos U.S. Department of Commerce. □

Tekniska eller organisatoriska säkerhetsåtgärder

Som framgår av PUB-avtalet är PuB skyldig att med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.

Oaktat PuB:s ansvar enligt ovan och vad som följer av PUB-avtalet samt Dataskyddsförordningen, ska PuBs tekniska och organisatoriska säkerhetsåtgärder omfatta följande:

Fysisk åtkomstkontroll

Beskriv krav på åtgärder som förhindrar obehörigas fysiska tillgång till IT-system där behandlingen av personuppgifter sker.

Åtkomstkontroll avseende IT-system

Beskriv krav på åtgärder som förhindrar obehöriga att använda IT-system.

Åtkomstkontroll avseende personuppgifter

Beskriv krav på åtgärder för att säkerställa att personer som är behöriga att använda IT-systemet endast bereds tillgång till personuppgifter som omfattas av personernas fastställda behörighet.

Intrångsskydd

Beskriv bl.a. krav avseende intrångsskydd mot skadlig kod och detektering av skadlig kod.

Lagringsregler

Beskriv krav på åtgärder för att tillse att personuppgifter gallras under och efter avtalstiden när användningen inte längre är nödvändig för det ursprungliga ändamålet. Obs gallring / radering omfattar både skarpa miljöer och säkerhetskopior.

Xxxxxxxxxx och pseudonymisering

Xxxxxxx krav på kryptering och/eller pseudonymisering i samband med hantering av uppgifterna, utöver vad som beskrivits under ”Åtkomstkontroll vid överföringar”.

Säkerhetskopiering

Beskriv krav avseende rutiner för säkerhetskopiering av information

Kontinuitetsplanering och katastrofberedskap

Beskriv krav på kontinuitetshantering och katastrofberedskap, inklusive ev. krav på redundans och åtgärdstider vid katastrof.

Implementerade säkerhetsföreskrifter

Beskriv krav på interna säkerhetsföreskrifter som ska gälla för personuppgiftsbehandlingen.

Certifieringar

Beskriv krav på eventuella certifieringsmekanismer eller uppförandekoder för dataskydd som biträdet ska inneha eller har åtagit sig att följa.

Funktioner och rutiner för incidentrapportering

Beskriv krav på åtgärder i samband med incidenter, utöver vad som framgår av PUB-avtalet, i syfte att ansvarige ska kunna fullgöra sina rapporteringsskyldigheter vid incident till DI respektive i förekommande fall registrerade. T.ex. hänvisa till PuA:s incidentrapporteringsrutin.

Revisionsregler

Beskriv ev. revisionsregler som avviker från vad som framgår av Bilaga 1, Personuppgiftsbiträdesvillkor. T.ex. att PuA kräver regelbundet tillhandahållande av bevis om tredjepartsrevision eller accepterar bevis om tredjepartsrevision som alternativ till revisionsreglerna i PUB-avtalet.

Ytterligare instruktioner som PuB måste beakta vid behandling av personuppgifter för PuA:s räkning:

Godkända underbiträden

Fullständig lista över underbiträden som godkänts i samband med PUB-avtalets ingående. PuB ansvarar för att tabellen nedan utgör en fullständig sammanställning över samtliga godkända underbiträden.

UNDERBITRÄDE

Organisationens namn och xxx.xx: …………………………………………………………………………………

Adress och kontaktuppgifter: ………………………………………………………………………………………

………………………………………………………………………………………………………………………....

Kontaktperson (inkl. kontaktuppgifter): …………………………………………………………………………..

…………………………………………………………………………………………………………………………

Avtalsdatum för underbiträdesavtal mellan PuB och underbiträdet: …………………………………………...

Beskrivning av tjänsten som underbiträdet tillhandahåller: …………………………………………………......

…………………………………………………………………………………………………………………………

Var (geografiskt) kommer underbiträdet att behandla personuppgifterna: ……………………………….........

Vid överföring till tredje land eller internationell organisation, ange den rättsliga grunden (se avsnitt härom ovan): ………………………………………………………………………………………………………………….

UNDERBITRÄDE

Organisationens namn och xxx.xx: …………………………………………………………………………………

Adress och kontaktuppgifter: ………………………………………………………………………………………

………………………………………………………………………………………………………………………....

Kontaktperson (inkl. kontaktuppgifter): …………………………………………………………………………..

…………………………………………………………………………………………………………………………

Avtalsdatum för underbiträdesavtal mellan PuB och underbiträdet: …………………………………………...

Beskrivning av tjänsten som underbiträdet tillhandahåller: …………………………………………………......

…………………………………………………………………………………………………………………………

Var (geografiskt) kommer underbiträdet att behandla personuppgifterna: ……………………………….........

UNDERBITRÄDE

Organisationens namn och xxx.xx: …………………………………………………………………………………

Adress och kontaktuppgifter: ………………………………………………………………………………………

………………………………………………………………………………………………………………………....

Kontaktperson (inkl. kontaktuppgifter): …………………………………………………………………………..

…………………………………………………………………………………………………………………………

Avtalsdatum för underbiträdesavtal mellan PuB och underbiträdet: …………………………………………...

Beskrivning av tjänsten som underbiträdet tillhandahåller: …………………………………………………......

…………………………………………………………………………………………………………………………

Var (geografiskt) kommer underbiträdet att behandla personuppgifterna: ……………………………….........

UNDERBITRÄDE

Organisationens namn och xxx.xx: …………………………………………………………………………………

Adress och kontaktuppgifter: ………………………………………………………………………………………

………………………………………………………………………………………………………………………....

Kontaktperson (inkl. kontaktuppgifter): …………………………………………………………………………..

…………………………………………………………………………………………………………………………

Avtalsdatum för underbiträdesavtal mellan PuB och underbiträdet: …………………………………………...

Beskrivning av tjänsten som underbiträdet tillhandahåller: …………………………………………………......

…………………………………………………………………………………………………………………………

Var (geografiskt) kommer underbiträdet att behandla personuppgifterna: ……………………………….........

Vid fler underbiträden än fyra går det bra att kopiera ovanstående sida och använda som mall.

1 Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG

Document Metadata

Table of Contents

Contract

Document Metadata

Contract

Parter

Personuppgiftsansvarig (”PuA”): Karolinska Universitetssjukhuset (xxx.xx: 232100-0016)

Personuppgiftsbiträde (”PuB”): Bolag/organisation/person (xxx.xx./xxxx.xx: xxxxxx-xxxx)

Definitioner

Med ”Personuppgifterna” avses sådana personuppgifter som enligt detta avtal behandlas av PuB för PuA:s räkning.

Med ”Tillämplig dataskyddslag” avses i detta avtal vid var tid gällande lydelse av Dataskyddsförordningen1 samt annan eventuell EU- och nationell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på behandling av personuppgifter enligt detta avtal.

I den mån Tillämplig dataskyddslag innehåller begrepp som motsvarar de som används i detta avtal, ska sådana begrepp tolkas och tillämpas i enlighet med respektive regelverk.

Bakgrund och syfte

[Här infogas med en kort beskrivning av samarbetet/tjänsterna som föranleder behandling av personuppgifter genom personuppgiftsbiträde.] Samarbetet/tjänsterna innebär att PuB behandlar Personuppgifterna för PuA:s räkning.

Detta avtal har till syfte att säkerställa de registrerades fri- och rättigheter vid behandling av personuppgifter samt att uppfylla kravet på skriftlig reglering av villkoren för anlitande av personuppgiftsbiträde enligt Dataskyddsförordningens artikel 28.3.

Omfattning

Föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade framgår av ifylld Instruktion/ specifikation till Personuppgiftsbiträdesavtal (bilaga 1).

PuA:s ansvar

PuA ansvarar för att det finns lagstöd för behandlingen av Personuppgifterna och att i övrigt följa Tillämplig dataskyddslag.

PuA åtar sig att utan dröjsmål informera PuB om förändringar i behandlingen vilka påverkar PuB:s skyldigheter enligt detta avtal och Tillämplig dataskyddslag.

PuB:s allmänna åtaganden

PuB åtar sig att endast behandla Personuppgifterna för att fullgöra sina uppgifter enligt detta avtal och endast på sätt som framgår av avtalet och/eller PuA:s skriftliga instruktioner.

Kravet på skriftliga instruktioner gäller särskilt, men inte begränsat till, sådan behandling som består i utlämnande av Personuppgifterna till myndighet eller annan utomstående samt överföring av Personuppgifterna till tredje land (se avsnitt 11).

PuB åtar sig att följa Tillämplig dataskyddslag och hålla sig informerad om gällande rätt på området.

PuB åtar sig att följa Datainspektionens eller annan behörig tillsynsmyndighets fattade beslut om åtgärder för att uppfylla kraven enligt Tillämplig dataskyddslag.

PuB ska omedelbart informera PuA om XxX anser att lämnade instruktioner strider mot lag eller är otydliga och därefter invänta ytterligare instruktioner eller förtydliganden från PuA. Detsamma gäller om PuB anser att det saknas tillräckliga instruktioner för att genomföra behandlingen.

För det fall det skulle finnas behandlingar som PuB enligt tvingande lag måste utföra utöver de dokumenterade instruktioner som lämnats av PuA, ska PuB underrätta PuA innan sådan behandling påbörjas, om det inte föreligger hinder mot att lämna sådan underrättelse enligt tvingande lag.

Säkerhet och sekretess

Eventuella särskilda krav på säkerhetsåtgärder framgår av ifylld Instruktion/ specifikation till Personuppgiftsbiträdesavtal (bilaga 1).

Vidtagna säkerhetsåtgärder ska dokumenteras och dokumentationen ska på begäran tillhandahållas PuA.

PuB åtar sig att endast ge åtkomst till Personuppgifterna för personer inom sin egen organisation eller hos eventuell underleverantör som behöver tillgång till dem för att kunna utföra sina arbetsuppgifter inom ramen för detta avtal.

PuB ska bistå PuA med att se till att de skyldigheter som enligt Tillämplig dataskyddslag åligger PuA vad gäller t.ex. säkerhetsåtgärder, konsekvensbedömningar, incidentrapportering och samråd kan fullgöras samt samråda kring lämpliga rutiner för detta.

Skulle nya omständigheter som kan påverka informationssäkerheten uppkomma under avtalets giltighetstid ska PuB meddela PuA detta omgående så att parterna tillsammans kan vidta säkerhetshöjande åtgärder.

De registrerades rättigheter

Revision, insyn och tillsyn

Personuppgiftsincidenter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till Personuppgifterna (se Dataskyddsförordningen art. 4).

PuB ska omgående informera XxX även om åtaganden enligt detta avtal av någon annan anledning än en personuppgiftsincident inte uppfylls eller inte kommer att kunna uppfyllas.

Överföring av personuppgifter till tredje land

PuB ska alltid samråda med PuA innan överföring till tredje land sker.

Anlitande av annat personuppgiftsbiträde

Om PuB anlitar annat personuppgiftsbiträde enligt föregående punkt, ansvarar PuB för att det andra personuppgiftsbiträdet fullgör alla åtaganden och iakttar alla begränsningar som anges i denna bilaga.

Giltighetstid

Villkoren i detta avtal ska upphöra att gälla när PuB:s uppdrag upphör eller vid den senare tidpunkt då Personuppgifterna i sin helhet är raderade, återlämnade eller överlämnade enligt PuA:s instruktioner.

Åtagandena rörande sekretess och tystnadsplikt ska äga giltighet även sedan detta avtal i övrigt har upphört att gälla.

Upphörande av behandling av personuppgifter

Vid upphörande av PuB:s uppdrag ska Personuppgifterna, på samtliga media som de är lagrade på, återlämnas till PuA eller i enlighet med PuA:s instruktioner raderas eller överföras till annat personuppgiftsbiträde.

Ersättning

Om inte annat särskilt överenskommits har PuB inte rätt till ersättning för fullgörande av sina skyldigheter i detta avtal.

Skadeslöshet

Sanktionsavgifter enligt Dataskyddsförordningens artikel 83 ska alltid slutligen bäras av den part som påförts en sådan avgift.

Om inte annat överenskommits ska PuB ersätta och hålla PuA skadeslöst i händelse av att PuA åsamkas annan direkt eller indirekt skada som är hänförlig till PuB:s behandling av Personuppgifterna i strid med detta avtal, lämnade instruktioner eller Tillämplig dataskyddslag.

Ändringar och tillägg

Ändringar av och tillägg till detta avtal ska vara skriftliga och undertecknade av behörig företrädare för båda parter.

Tvist

Tvist angående tolkning eller tillämpning av detta avtal ska, om annat inte skriftligen överenskommits, avgöras enligt svensk lag och av svensk allmän domstol med Stockholms tingsrätt som första instans.

Document Metadata

Med ”Tillämplig dataskyddslag” avses i detta avtal vid var tid gällande lydelse av Dataskyddsförordningen¹ samt annan eventuell EU- och nationell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på behandling av personuppgifter enligt detta avtal.