PERSONUPPGIFTSBITRÄDESAVTAL
Innehållsförteckning
1. PARTER, PARTERNAS STÄLLNING, KONTAKTUPPGIFTER OCH KONTAKTPERSONER 2
4. PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN 3
7. GRANSKNING, TILLSYN OCH REVISION 5
8. HANTERING AV RÄTTELSER OCH RADERING M.M 5
11. LOKALISERING OCH ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND 7
12. ANSVAR FÖR SKADA I SAMBAND MED BEHANDLING 7
14. PUB-AVTALETS TECKNANDE, AVTALSTID OCH UPPSÄGNING 7
15. ÄNDRINGAR OCH UPPSÄGNING MED OMEDELBAR VERKAN M.M 7
16. ÅTGÄRDER VID PUB-AVTALETS UPPHÖRANDE 8
17. MEDDELANDEN INOM RAMEN FÖR DETTA PUB-AVTAL 8
19. ANSVAR FÖR UPPGIFTER OM PARTERNA OCH KONTAKTPERSONER SAMT KONTAKTUPPGIFTER 8
21. PARTERNAS UNDERTECKNANDEN AV PUB-AVTALET 9
Avtal enligt Allmänna dataskyddsförordningen EU 2016/679, art. 28.31
1. PARTER, PARTERNAS STÄLLNING, KONTAKTUPPGIFTER OCH KONTAKTPERSONER
Personuppgiftsansvarig | Personuppgiftsbiträde |
Kommunernas socialtjänst (KST) | Sunds kommun |
Organisationsnummer | Organisationsnummer |
0954883-0 | 0205125-8 |
Postadress | Postadress |
Xxxxxxxxxxxxx 00 00000 Xxxxxxxxx | Xxxxx Xxxxxxxxxx 000, Xxxxxx AX-22520 Kastelholm |
Kontaktperson för | Kontaktperson för |
Namn: Förbundsdirektör Xxxxxxxx Xxxxxxx E-post: xxxxxxxx.xxxxxxx@xxx.xx Xxx: 000-000 000 | Namn: Xxxxxxx Xxxxxxxxx E-post: xxxxxxxxxxxxxx@xxxx.xx Tfn: 000-00 000 |
Utöver de begrepp som definieras i löptext, i detta personuppgiftsbiträdesavtal, ska dessa definitioner oavsett om de används i plural eller singular, i bestämd eller obestämd form, ha nedanstående innebörd när de anges med versal som begynnelsebokstav.
Behandling | En åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. |
Dataskyddslagstiftning | Avser all integritets- och personuppgiftslagstiftning, samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter), som är tillämplig på den personuppgiftsbehandling som sker enligt detta PUB-avtal, inklusive nationell sådan lagstiftning och EU-lagstiftning. |
1 Allmänna dataskyddsförordningen EU 2016/679 föreskriver att det ska finnas ett skriftligt avtal om Personuppgiftsbiträdets Behandling av Personuppgifter för Den personuppgiftsansvariges räkning.
Personuppgiftsansvarig | Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamål och medlen för Behandlingen av Personuppgifter. |
Logg | Logg är resultatet av Loggning. |
Loggning | Loggning är ett kontinuerligt insamlande av uppgifter om den Behandling av Personuppgifter som utförs enligt detta PUB- avtal och som kan knytas till en enskild fysisk person. |
Personuppgiftsbiträde | Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning. |
Tredje land | En stat som inte ingår i Europeiska unionen (EU) eller inte är ansluten till Europeiska ekonomiska samarbetsområdet (EES). |
Underbiträde | Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som i egenskap av underleverantör till Personuppgiftsbiträdet Behandlar Personuppgifter för Personuppgiftsansvariges räkning. |
3.1 Med detta Personuppgiftsbiträdesavtal (”PUB-avtalet”) reglerar den Personuppgiftsansvarige Personuppgiftsbiträdets Behandling av Personuppgifter åt den Personuppgiftsansvarige. PUB-avtalets syfte är att säkerställa den Registrerades fri- och rättigheter vid Behandlingen, i enlighet med vad var tid gällande dataskyddslagstiftning samt enligt vad som överenskommits i detta avtal.
3.2 PUB-avtalet utgör ett självständigt avtal om Behandlingen. När PUB-avtalet utgör ett av flera avtalsdokument inom ramen för ett annat avtal benämns det andra avtalet ”Huvudavtalet” i PUB- avtalet.
3.3 Personuppgiftsbiträdet kommer Behandla personuppgifter i enlighet med vid var tillfälle tecknat Huvudavtal och Personuppgiftsansvarigs skriftliga instruktioner. I de fall Personuppgiftsbiträde inte fått tillräckliga information om hur Behandlingen ska ske kan denne begära detta av Personuppgiftsansvarig. För hur enskild Behandling kommer att ske hänvisas till andra dokument, se Huvudavtal och separat instruktion.
3.3 För det fall något av det som stadgas i punkterna 1, 14, 15, 16.2, 17 – 20 i PUB-avtalet regleras på annat sätt i Huvudavtalet ska Huvudavtalets reglering ha företräde.
4. PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN
4.1 Personuppgiftsbiträdet ska vidta åtgärder för att skydda Personuppgifterna mot alla slag av Behandlingar som inte är förenliga med PUB-avtalet och Dataskyddslagstiftningen.
4.2 Personuppgiftsbiträdet åtar sig säkerställa att samtliga fysiska personer som arbetar under dess ledning följer PUB-avtalet samt att de fysiska personerna informeras om relevant lagstiftning.
4.3 Personuppgiftsbiträdet ska på begäran från den Personuppgiftsansvarige bistå denne med att säkerställa att skyldigheterna enligt Dataskyddsförordningen, art. 32-36, fullgörs och svara på begäran om utövande av den Registrerades rättigheter i enlighet med Dataskyddsförordningen, kap. III, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå.
4.4 För det fall att Personuppgiftsbiträdet fått instruktioner som denne anser är otydliga, i strid med Dataskyddslagstiftningen och Personuppgiftsbiträdet bedömer att nya eller kompletterande ytterligare instruktioner är nödvändiga för att genomföra sina åtaganden ska Personuppgiftsbiträdet utan dröjsmål informera den Personuppgiftsansvarige och invänta nya instruktioner. Om Personuppgiftsbiträdet har möjligt ska denne tillfälligt upphöra med Behandlingen tills den Personuppgiftsansvarige gett ytterligare information.
5.1 Personuppgiftsbiträdet ska vidta alla tekniska och organisatoriska säkerhetsåtgärder som krävs för att förhindra Personuppgiftsincidenter, genom att säkerställa att Behandlingen uppfyller kraven i Dataskyddsförordningen och att den Registrerades rättigheter skyddas.
5.2 Personuppgiftsbiträdet ska fortlöpande säkerställa att den tekniska och organisatoriska säkerheten i samband med Behandlingen medför en lämplig nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft.
5.3 Personuppgiftbiträdet ska, i tillämpliga fall, genom behörighetskontrollsystem endast ge åtkomst till Personuppgifterna för sådana fysiska personer som arbetar under Personuppgiftsbiträdets ledning och som behöver åtkomsten för att kunna utföra sina arbetsuppgifter.
5.4 Personuppgiftsbiträdet åtar sig att kontinuerligt Logga åtkomst till Personuppgifterna enligt PUB- avtalet och vad som överenskommits, se instruktionen vid behandling av personuppgifter. Loggar får gallras först två (2) år efter Loggningstillfället om inte parterna bestämt något annat. Loggar ska omfattas av erforderliga skyddsåtgärder, i enlighet med Dataskyddslagstiftningen.
6.1 Personuppgiftsbiträdet och samtliga fysiska personer som arbetar under dess ledning ska vid Behandlingen iaktta såväl sekretess som tystnadsplikt. Personuppgifterna får inte nyttjas eller spridas för andra ändamål, än vad som överenskommits.
6.2 Personuppgiftsbiträdet ska tillse att samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen, är bundna av sekretessförbindelse avseende Behandlingen. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag. Personuppgiftsbiträdet åtar sig även att tillse att det finns sekretessavtal med Underbiträdet samt sekretessförbindelser mellan Underbiträdet och samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen.
6.3 Personuppgiftsbiträdet ska skyndsamt underrätta den Personuppgiftsansvarige om eventuella kontakter med tillsynsmyndighet avseende Behandlingen.
6.4 Om den Registrerade, tillsynsmyndighet eller tredje man begär information från Personuppgiftsbiträdet vilken rör Behandlingen, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om saken. Personuppgiftsbiträdet ska bistå med förmedling av den informationen som omfattas av ett medgivande eller lagkrav.
7. GRANSKNING, TILLSYN OCH REVISION
7.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål, på den Personuppgiftsansvariges begäran, tillhandahålla den information om tekniska och organisatoriska säkerhetsåtgärder som den Personuppgiftsansvarige behöver för att kunna fastställa att Personuppgiftsbiträdet uppfyller sina åtaganden enligt PUB-avtalet och Dataskyddsförordningen, art. 28.3 h.
7.2 Den Personuppgiftsansvarige äger rätt att, själv eller genom annan av denne utsedd tredje part (som inte får vara en konkurrent till Personuppgiftsbiträdet), följa upp att Personuppgiftsbiträdet uppfyller PUB-avtalets och Dataskyddslagstiftningens krav. Personuppgiftsbiträdet ska vid sådan granskning bistå den Personuppgiftsansvarige, eller den som utför granskningen i den Personuppgiftsansvariges ställe, med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna granska Personuppgiftsbiträdets efterlevnad av PUB-avtalet och Dataskyddslagstiftningen. Den Personuppgiftsansvarige ska säkerställa att personal som genomför granskningen är underkastade sekretess eller tystnadsplikt enligt lag eller avtal.
7.3 Personuppgiftsbiträdet äger alternativt till vad som stadgas i punkten 7.2, rätt att erbjuda andra tillvägagångssätt för granskning av Behandlingen, exempelvis granskning genomförd av oberoende tredje part. Den Personuppgiftsansvarige ska i sådant fall äga rätt, men inte skyldighet, att tillämpa detta alternativa tillvägagångssätt för granskning. Vid sådan granskning ska Personuppgiftsbiträdet ge den Personuppgiftsansvarige eller en tredje part den assistans som behövs för utförandet av granskningen.
7.4 Personuppgiftbiträdet ska bereda tillsynsmyndighet, eller annan myndighet som har laglig rätt till det, möjlighet att göra tillsyn enligt myndighetens begäran i enlighet med vid var tid gällande lagstiftning, även om sådan tillsyn annars skulle stå i strid med bestämmelserna i PUB-avtalet.
7.5 Personuppgiftsbiträdet ska tillförsäkra den Personuppgiftsansvarige rättigheter gentemot Underbiträdet vilka motsvarar den Personuppgiftsansvariges samtliga rättigheter gentemot Personuppgiftsbiträdet enligt kap. 7 i PUB-avtalet.
8. HANTERING AV RÄTTELSER OCH RADERING M.M.
8.1 För det fall den Personuppgiftsansvarige begärt rättelse eller radering på grund av Personuppgiftsbiträdets felaktiga Behandling ska Personuppgiftsbiträdet vidta lämplig åtgärd utan onödigt dröjsmål, senast inom trettio (30) dagar, från det att Personuppgiftsbiträdet mottagit erforderlig information från den Personuppgiftsansvarige. När den Personuppgiftsansvarige begärt radering får Personuppgiftsbiträdet endast utföra Behandling av den aktuella personuppgiften som ett led i processen för radering.
9.1 Personuppgiftsbiträdet ska ha förmåga att återställa tillgängligheten och tillgången till Personuppgifterna i rimlig tid vid en fysisk eller teknisk incident enligt Dataskyddsförordningen, art.
32.1 c.
9.2 Personuppgiftbiträdet åtar sig att med beaktande av Behandlingens art, och den information som Personuppgiftsbiträdet har att tillgå, bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en Personuppgiftsincident beträffande Behandlingen. Personuppgiftbiträdet ska på den Personuppgiftsansvariges begäran även bistå med att utreda misstankar om eventuell obehörigs Behandling och/eller åtkomst till Personuppgifterna.
9.3 Vid Personuppgiftsincidenter, vilka Personuppgiftbiträdet fått vetskap om, ska Personuppgiftsbiträdet utan onödigt dröjsmål skriftligen underrätta den Personuppgiftsansvarige om händelsen. Personuppgiftsbiträdet ska med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå tillhandahålla den Personuppgiftsansvarige en skriftlig beskrivning av Personuppgiftsincidenten.
Beskrivningen ska redogöra för:
1. Personuppgiftsincidentens art och, om möjligt, de kategorier och antalet Registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
2. de sannolika konsekvenserna av Personuppgiftsincidenten, och
3. åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra Personuppgiftincidentens potentiella negativa effekter.
9.4 Om det inte är möjligt för Personuppgiftsbiträdet att tillhandahålla hela beskrivningen samtidigt, enligt punkt 9.3 i PUB-avtalet, får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
10.1 Personuppgiftsbiträdet ansvarar fullt ut för Underbiträdets Behandling gentemot den Personuppgiftsansvarige.
10.2 Personuppgiftsbiträdet äger rätt att anlita ett underbiträde. När Personuppgiftsbiträdet avser att anlita ett underbiträde ska Personuppgiftsbiträdet säkerställa underbiträdets kapacitet och förmåga att uppfylla sina skyldigheter enligt Dataskyddslagstiftningen. Personuppgiftsbiträdet ska skriftligen meddela den Personuppgiftsansvarige om
1. underbiträdets namn, organisationsnummer och säte (adress och land),
2. vilken typ av uppgifter och kategorier av Registrerade som behandlas, och
3. var Personuppgifterna ska behandlas.
10.3 Personuppgiftsbiträdet åtar sig att informera Personuppgiftsansvarige vid anlitande av nytt Underbiträde eller ersättande av det gamla Underbiträdet så att Personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.
10.4 Den Personuppgiftsansvarige äger inom 30 dagar rätt att invända mot Personuppgiftsbiträdets anlitande av ett nytt underbiträde och att, med anledning av sådan invändning, säga upp detta PUB- avtal.
11. LOKALISERING OCH ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND
11.1 Personuppgiftsbiträdet ska säkerställa att Personuppgifterna hanteras och lagras inom EU/EES av en fysisk eller juridisk person som är etablerad inom EU/EES, om inte PUB-avtalets parter kommer överens om något annat.
12. ANSVAR FÖR SKADA I SAMBAND MED BEHANDLING
12.1 Vid ersättning för skada i samband med Behandling som, genom fastställd dom eller förlikning, ska utgå till den Registrerade på grund av överträdelse av bestämmelse i PUB-avtalet och/eller tillämplig bestämmelse i Dataskyddslagstiftningen ska art. 82 i Dataskyddsförordningen tillämpas.
12.2 Om endera part får kännedom om omständighet som kan leda till skada för motparten ska parten omedelbart informera motparten om förhållandet och aktivt arbeta tillsammans med motparten för att förhindra och minimera sådan skada.
12.3 Oaktat vad sägs i Huvudavtalet gäller detta PUB-avtal, punkten 12.1, före andra regler om fördelning mellan Parterna av krav sinsemellan såvitt avser Behandlingen.
13.1 För detta avtal gäller åländsk/finsk rätt. Eventuell tolkning eller tvist i anledning av PUB-avtalet, som parterna inte kan lösa på egen hand, ska avgöras av Ålands tingsrätt i första instans.
14. PUB-AVTALETS TECKNANDE, AVTALSTID OCH UPPSÄGNING
14.1 Detta avtal gäller från dess undertecknande och så länge som Personuppgiftsbiträdet behandlar Personuppgifter för Personuppgiftsansvariges räkning i enlighet med detta avtal. PUB-avtalet ska i övrigt följa huvudavtalets bestämmelser gällande uppsägning och upphörande.
15. ÄNDRINGAR OCH UPPSÄGNING MED OMEDELBAR VERKAN M.M.
15.1 Endera part i PUB-avtalet äger rätt att påkalla omförhandling av PUB-avtalet om motpartens ägarförhållanden ändras väsentligt eller om tillämplig lagstiftning, eller tolkningen av den, ändras på ett för Behandlingen avgörande sätt. Påkallande av omförhandling enligt första meningen innebär inte att PUB-avtalet till någon del upphör att gälla utan endast att en omförhandling om PUB-avtalet ska påbörjas.
15.2 Tillägg till, och ändringar i, PUB-avtalet ska vara skriftliga och undertecknade av båda parter.
15.3 När någon av parterna får kännedom om att motparten agerar i strid med PUB-avtalet och/eller Dataskyddslagstiftningen, ska parten utan dröjsmål meddela motparten om agerandet.
16. ÅTGÄRDER VID PUB-AVTALETS UPPHÖRANDE
16.1 Vid uppsägning av PUB-avtalet ska den Personuppgiftsansvarige utan onödigt dröjsmål begära att Personuppgiftsbiträdet överlämnar samtliga Personuppgifter till den Personuppgiftsansvarige eller raderar dem, enligt dennes önskemål. Om Personuppgifterna överlämnas ska det ske i ett öppet och standardiserat format. Med samtliga Personuppgifter avses alla Personuppgifter vilka har omfattats av Behandlingen samt annan tillhörande information såsom Loggar, systemlösningar, beskrivningar och andra handlingar som Personuppgiftsbiträdet erhållit genom informationsutbyte enligt PUB-avtalet.
16.2 Överlämning och radering enligt PUB-avtalet, punkt 16.1, ska vara utförda senast sextio (60) dagar räknat från den tidpunkt uppsägningen gjorts enligt detta PUB-avtal, punkt 14.1
16.3 Bestämmelser om sekretess/tystnadsplikt i 6 kap. PUB-avtalet ska fortsätta gälla även om PUB- avtalet i övrigt upphör av gälla.
17. MEDDELANDEN INOM RAMEN FÖR DETTA PUB-AVTAL
17.1 Meddelanden om PUB-avtalet och dess administration inklusive uppsägning ska skickas till respektive parts kontaktperson för PUB-avtalet.
17.2 Meddelanden om parternas samarbete om dataskydd, gällande Behandlingen, ska skickas till respektive parts kontaktperson för parternas samarbete om dataskydd.
17.3 Meddelanden inom ramen för PUB-avtalet ska skickas skriftligt. Ett e-postmeddelande ska anses ha kommit fram till mottagaren senast en (1) arbetsdag efter att meddelandet har skickats.
18.1 Parterna ska utse var sin kontaktperson för PUB-avtalet.
19. ANSVAR FÖR UPPGIFTER OM PARTERNA OCH KONTAKTPERSONER SAMT KONTAKTUPPGIFTER
19.1 Varje part ansvarar för att de uppgifter som anges i 1 kap. i PUB-avtalet alltid är aktuella. Ändring av uppgifter i 1 kap. ska meddelas skriftligt enligt punkt 17.1 i PUB-avtalet.
• Bilaga 1 – Instruktion vid behandling av personuppgifter
• Bilaga 2 –
21. PARTERNAS UNDERTECKNANDEN AV PUB-AVTALET
21.1 Detta PUB-avtal tillhandahålls antingen i digitalt format för elektroniskt tecknande eller i pappersformat för tecknande med penna.
Avtalet är upprättat i två exemplar, ett för Personuppgiftsansvarige och ett för Personuppgiftsbiträde.
Mariehamn den [datum] | Sund den [datum] |
Personuppgiftsansvarig | Personuppgiftsbiträde |
.......................................................................... | .......................................................................... |
Xxxxxxxx Xxxxxxx Förbundsdirektör Kommunernas socialtjänst | Xxxxxxx Xxxxxxxxx Kommundirektör Sunds kommun |