Bilaga till Ramavtal kortförsörjning till SL Access och Avtal angående försörjning av resekort.
Bilaga till Ramavtal kortförsörjning till SL Access och Avtal angående försörjning av resekort.
Personuppgiftsbiträdesavtal
mellan
Trafiknämnden i Region Stockholm
nedan kallad Personuppgiftsansvarig, PuA och
Idemia Sverige AB
nedan kallat Personuppgiftsbiträde, PuB
1 Bakgrund och syfte
Parterna har ingått avtal enligt vilket PuB, ska tillhandahålla försörjning av resekort. Inom ramen för sitt uppdrag kommer PuB, att få tillgång till och behandla Personuppgifter för vilka PuA är ansvarig. Detta personuppgiftsbiträdesavtal gäller för sådan behandling av personuppgifter som PuB utför för PuA:s räkning.
Syftet med detta Personuppgiftsbiträdesavtal är att reglera Parternas rättigheter och skyldigheter som följer med uppdraget att behandla Personuppgifter, för att på så sätt säkerställa att Personuppgifterna behandlas i enlighet med relevanta bestämmelser i EU:s dataskyddsförordning (GDPR), kompletterande svensk lagstiftning samt eventuell senare lagstiftning som ersätter eller kompletterar ovannämnda bestämmelser.
2 Definitioner
I denna Bilaga Personuppgiftsbiträdesavtal (”PuB-avtal”) ska definierade begrepp i tabellen nedan ha angiven betydelse. I övrigt ska sådana termer som används häri och som motsvarar sådana som återfinns i Tillämplig Dataskyddslagstiftning, tolkas i enlighet med Tillämplig Dataskyddslagstiftning.
Underbilaga Instruktion samt alla andra eventuella underbilagor till detta PuB-avtal utgör en integrerad del av PuB-avtalet.
Begrepp | Betydelse |
Avtalet | Det avtal (uppdragsavtal, ramavtal, affärsavtal etc.) mellan Leverantören och Beställaren till vilket detta PuB-avtal ska utgöra en bilaga. |
Beställaren | TN, FTN, SL, WÅAB och/eller Region Stockholm, enligt vad som framgår av Avtalet. |
Dataskyddsförordningen | Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av person- uppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), inklusive eventuella fram- tida ändringar och tillägg. |
Leverantören | Leverantören enligt Avtalet. |
Personuppgifter | De personuppgifter som ska behandlas av PuB (Leverantören) för PuA:s räkning. Personuppgifter är all slags information som direkt eller indirekt kan hänföras |
till en fysisk levande person som är i livet. Exempel på personuppgifter är namn, personnummer, postadress och e-postadress samt faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Även kodade uppgifter utgör personuppgifter så länge det existerar en kodnyckel. | |
Personuppgiftsansvarig/PuA | En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Såvida inte annat anges i underbilaga Instruktion är, inom ramen för Avtalet och PuB-avtalet, Beställaren PuA. |
Personuppgiftsbiträde/PuB | Personuppgiftsbiträde (PuB) är den som behandlar personuppgifter för en Personuppgiftsansvarigs (PuA) räkning. Inom ramen för Avtalet och PuB- avtalet är Leverantören att anse som PuB. |
Tillämplig dataskyddslagstiftning | Dataskyddsförordningen, Lag (2018:218) med kompletterande bestämmelser Dataskyddsförord- ningen samt alla föreskrifter, beslut eller liknande som fattas av tillsynsmyndighet, Europeiska Dataskyddsstyrelsen, intresseorganisationer eller liknande organ på sätt som följer av Dataskyddsför- ordningen samt all tillämplig kompletterande svensk lagstiftning till Dataskyddsförordningen. |
Tredjeland | Ett land utanför EU/EES-området. |
Underbiträde | Ett personuppgiftsbiträde som anlitas av ett person- uppgiftsbiträde för behandling av personuppgifter för en personuppgiftsansvariges räkning. |
3 Bakgrund och omfattning
Avtalet innefattar att Leverantören behandlar Personuppgifter för PuA:s räkning. Leverantören är därför att betrakta som PuB för sådan behandling och PuA och PuB är parter i detta PuB-avtal.
Detta PuB-avtal syftar till att uppfylla de krav som följer av Tillämplig dataskydds- lagstiftning i förhållande till den behandling av Personuppgifter som PuB utför för PuA:s räkning inom ramen för Avtalet.
Ändamålet med behandlingen, kategorier av Personuppgifter och registrerade, behandlingsaktiviteter och karaktär samt behandlingens längd, framgår av underbilaga Instruktion.
4 Generella åtaganden för PuA
PuA bestämmer ändamålen med och medlen för behandlingen, ansvarar för att det finns en rättslig grund för behandlingen samt åtar sig att i övrigt följa Tillämplig Dataskyddslagstiftning.
PuA ansvarar för att ge PuB instruktioner om PuB:s behandling av Personuppgifterna i enlighet med Tillämplig Dataskyddslagstiftning. Instruktioner återfinns i underbilaga Instruktion. PuA har rätt att från tid till annan meddela PuB ändrade eller ytterligare instruktioner om behandlingen.
PuA ska, när omständigheterna så medger, på PuB:s begäran bistå med erforderlig information om de tekniska och organisatoriska åtgärder som vidtagits hos PuA, i syfte att underlätta för PuB att åstadkomma ett motsvarande skydd för Personuppgifterna hos PuB.
5 Generella åtaganden för PuB
PuB åtar sig att följa Tillämplig Dataskyddslagstiftning och hålla sig informerad om gällande rätt på området samt följa Integritetsskyddsmyndighetens (IMY) eller annan behörig tillsynsmyndighets fattade beslut om åtgärder för att uppfylla kraven enligt Tillämplig Dataskyddslagstiftning.
PuB garanterar att denne kommer att genomföra och upprätthålla lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen som följer av detta PuB-avtal uppfyller kraven i Tillämplig Dataskyddslagstiftning samt att registrerades rättigheter skyddas.
PuB åtar sig att behandla Personuppgifterna endast i enlighet med detta PuB-avtal, vid var tid dokumenterade instruktioner, inbegripet när det gäller överföringar av Person- uppgifter till Tredjeland eller en internationell organisation. Om det förekommer behandlingar som PuB enligt tvingande lag måste utföra utöver de dokumenterade instruktionerna, ska PuB underrätta PuA innan sådan behandling påbörjas, om det inte föreligger hinder mot att lämna sådan underrättelse enligt tvingande lag.
Om PuB saknar instruktioner som PuB bedömer är nödvändiga för att fullgöra sina åtaganden enligt PuB-avtalet eller Avtalet, eller om PuB anser att erhållen instruktion står i strid med Tillämplig Dataskyddslagstiftning, ska PuB omedelbart informera PuA
om detta och inhämta nödvändiga och korrekta instruktioner från PuA. PuB ska inte vidta viss åtgärd eller följa instruktion som enligt PuB:s bedömning får till följd att denne kan anses ha agerat i strid med Tillämplig Dataskyddslagstiftning eller PuB- avtalet.
PuB får inte behandla Personuppgifterna för något annat ändamål eller på något annat sätt än vad som är nödvändigt för att uppfylla dess åtaganden gentemot PuA eller som krävs av Tillämplig Dataskyddslagstiftning.
Om PuB överträder Tillämplig Dataskyddslagstiftning genom att fastställa andra ändamål med eller medel för behandlingen än sådana som PuA fastställt, ska Leverantören och inte Beställaren (eller annan som identifierats i Instruktionen som PuA) anses vara personuppgiftsansvarig med avseende på den behandlingen av personuppgifter på sätt som följer av Tillämplig Dataskyddslagstiftning. En sådan överträdelse av PuB-avtalet ska anses som ett väsentligt avtalsbrott mot Avtalet, varvid påföljder utöver de som kan komma ifråga enligt detta PuB-avtal följer av Avtalet.
6 PuB:s skyldigheter i förhållande till registrerade
PuB ska, i den mån det är möjligt, assistera PuA genom lämpliga tekniska och organisatoriska åtgärder, så att PuA kan fullgöra dennes skyldigheter gentemot registrerade som begär att utöva dess rättigheter, avseende bl.a. (i) radering av Personuppgift, (ii) begränsning av behandling, (iii) invändning från registrerad, (iv) få fram registerutdrag avseende registrerad, samt (v) möjligheten att svara på begäran om utövande av andra av den registrerades rättigheter som följer av Dataskyddsförordningen och detta PuB-avtal.
Om en registrerad under utövande av sina rättigheter begär att PuB ska vidta åtgärder som avser Personuppgifterna (såsom begäran om begränsning, ändring, radering, överföring, eller utlämnande av Personuppgifter) ska PuB, såvida inte annat instruerats av PuA, omgående, och före vidtagandet av begärd åtgärd, skriftligen informera PuA om att en sådan begäran har tillställts denne. PuB ska endast efterkomma en sådan begäran om XxX lämnat en instruktion om detta eller om efterlevnaden av begäran är en lagstadgad skyldighet enligt vid var tid tillämplig lagstiftning.
7 Underbiträde
PuB får inte anlita ett Underbiträde utan att ett särskilt skriftligt medgivande har erhållits från PuA i förväg.
PuA kan, efter eget val, ge ett allmänt skriftligt förhandstillstånd för PuB att anlita Underbiträde för viss typ av personuppgiftsbehandling. Ett sådant skriftligt för- handstillstånd ska framgå av Instruktionen. Vidare ska PuB, om ett förhandstillstånd lämnats, skriftligen informera PuA om eventuella planer på att anlita nya Underbi- träden eller ersätta Underbiträden, så att PuA i god tid före har möjlighet att göra invändningar mot sådana förändringar. Om PuA invänder enligt vad som anges i detta stycke äger PuB inte rätt att anlita eller byta ut aktuellt Underbiträde.
Samtliga godkända Underbiträden ska framgå av underbilaga Instruktion.
För det fall PuA skriftligen godkänner att PuB anlitar ett Underbiträde i enlighet med detta avsnitt för utförande av specifik behandling på PuA:s vägnar, ska Underbiträdet genom ett avtal eller en rättsakt enligt unionsrätten eller på annat sätt som följer av svensk nationell rätt, åläggas samma skyldigheter i fråga om dataskydd som de som fastställs i detta PuB-avtal, och framför allt ska Underbiträdet ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Tillämplig Dataskyddslagstiftning och detta PuB-avtal. Om Underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska PuB vara fullt ansvarig gentemot PuA för utförandet av det Underbiträdets skyldigheter.
8 PuB:s personal
PuB ska säkerställa att personer med behörighet att behandla Personuppgifterna enligt detta PuB-avtal har åtagit sig att iaktta tystnadsplikt gällande behandling av Personuppgifterna eller att sådana personer omfattas av en lagstadgad tystnadsplikt.
Ytterligare krav avseende PUB:s personal framgår av underbilaga Instruktion.
9 Säkerhet i samband med behandling
PuA ska med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, vidta lämp- liga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet säkerhetsåtgärderna i underbilaga Instruktion.
Vid PuB:s bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Vid PuB:s utveckling, utformning, urval och användning av egna system, applikationer, tjänster och produkter varigenom Personuppgifter behandlas ska PuB tillse att sådana system m.m. utformas så att dessa beaktar rätten till dataskydd och att, med tillbörlig hänsyn till den tekniska utvecklingen, säkerställer att PuB och PuA kan fullgöra sina skyldigheter avseende dataskydd enligt Tillämplig Dataskyddslagstiftning och detta PuB-avtal.
PuB ska vidare assistera XxX så att PuA kan fullgöra sina skyldigheter att säkerställa säkerhet i behandlingen enligt artikel 32 i Dataskyddsförordningen.
Eventuella särskilda krav eller minimikrav avseende säkerhetsåtgärder framgår av underbilaga Instruktion.
10 Underrättelse om personuppgiftsincident m.m.
PuB ska snarast dokumentera alla personuppgiftsincidenter. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av Tillämplig Dataskyddslagstiftning och PuA:s kontroll av efterlevnaden av detta PuB-avtal och Tillämplig Dataskyddslagstiftning.
PuB ska utan onödigt dröjsmål (och aldrig senare än 24 timmar efter PuB fått vetskap om incidenten) underrätta PuA om personuppgiftsincident. Krav på PuB:s dokumen- tation av personuppgiftsincidenter samt information som underrättelse till PuA ska innehålla framgår av PuA:s rutin ”Processpecifikation hantera personuppgifts- incidenter”.
För det fall omständigheterna inte gör det möjligt att tillhandahålla all information samtidigt får PuB tillhandahålla informationen i omgångar utan onödigt ytterligare dröjsmål.
Om PuA eller tillsynsmyndighet så begär ska PuB informera de registrerade om en personuppgiftsincident på sätt som följer av Tillämplig Dataskyddslagstiftning.
Om föreskrift, förelägganden och andra beslut eller liknande meddelanden, varningar och reprimander som tas eller fattas av tillsynsmyndighet eller den Europeiska Dataskyddsstyrelsen i enlighet med Tillämplig Dataskyddslagstiftning riktas mot PuB, ska PuB genast meddela PuA om meddelandet och vilka konsekvenser detta kan komma att få för parternas samarbete.
11 Konsekvensbedömning och förhandssamråd
Om en konsekvensbedömning och/eller förhandssamråd med tillsynsmyndighet är nödvändig för den behandling som sker inom ramen för PuA:s verksamhet ska PuB vid behov och på begäran av PuA bistå PuA med fullgörande av de skyldigheter som härrör från utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndighet, i enlighet med artiklarna 35 och 36 i Dataskyddsförordningen.
12 Överföring av Personuppgifter till Tredjeland m.m.
PuB får inte överföra Personuppgifter till Tredjeland eller en internationell organisation, eller anlita ett Underbiträde för behandling av Personuppgifter i ett Tredjeland, utan att PuA har lämnat sitt skriftliga samtycke i förväg till en sådan överföring. Om PuA samtycker till en överföring ska samtycket och de närmare förutsättningarna för samtycket framgå av underbilaga Instruktion. För undvikande av tvivel föreligger överföring till Tredjeland även vid åtkomst på distans dvs. även när personal som befinner sig i ett Tredjeland t.ex. genomför service, support, underhåll, utveckling m.m. av ett system i vilket Personuppgifter lagras.
Tillstånd förutsätter under alla förhållanden att landet eller organisationen genom beslut enligt artikel 45 i Dataskyddsförordningen har bedömts säkerställa en adekvat skyddsnivå för Personuppgifter eller att PuA har gjort bedömningen att överföringen är lämplig och tillåten på grund av vidtagna skyddsåtgärder enligt artikel 46 i Dataskyddsförordningen.
13 Insyn och revision
PuB ska ge PuA tillgång till all information som krävs för att visa att de skyldigheter som fastställs i denna bilaga och i Tillämplig Dataskyddslagstiftning har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av PuA eller av en annan revisor som bemyndigats av PuA.
Om Avtalet innehåller regleringar om revision, är sådana även tillämpliga med avseende på PuB:s behandling av Personuppgifter, såvida inte regleringarna inskränker PuA:s rätt enligt ovanstående bestämmelse. Ytterligare krav avseende revision kan förekomma i underbilaga Instruktion.
PuB ska tillåta och möjliggöra de inspektioner som IMY eller annan tillsynsmyndighet kräver för att visa att de skyldigheter som följer av detta PuB-avtal och Tillämplig Dataskyddslagstiftning har fullgjorts. För det fall en begäran om tillgång till
information, lokal eller utrustning inkommer till PuB från tillsynsmyndighet eller Europeiska Dataskyddsstyrelsen ska PuB omedelbart meddela PuA om begäran.
PuB ska på begäran av PuA eller behörig tillsynsmyndighet tillhandahålla utdrag ur sitt register över kategorier av behandling som PuB är skyldig att föra i egenskap av personuppgiftsbiträde enligt Dataskyddsförordningen. Utdraget ska omfatta den information som följer av Dataskyddsförordningen och avser den behandling av Personuppgifter som PuB utför för PuA:s räkning.
14 Ersättning och ansvar
PuB har inte rätt till någon ersättning för PuB:s eller eventuella Underbiträdens behandling av Personuppgifter eller åtaganden enligt detta PuB-avtal, såvida inte annat uttryckligen framgår av Avtalet.
Oavsett vad som framgår av Xxxxxxx ska part som blir skyldig att utge ersättning till en registrerad till följd av den andra partens överträdelse av detta PuB-avtal eller Tillämplig Dataskyddslagstiftning, ha rätt att i enlighet med artikel 82.5 i Dataskyddsförordningen återkräva sådan ersättning från den andra parten motsvarande den andra partens ansvar för skadan. Part ska även ha rätt till skälig ersättning för kostnader att försvara krav från registrerad. Ansvarsbegränsningarna i Avtalet ska inte vara tillämpliga för sådana krav, skador eller kostnader. För undvikande av missförstånd är det tillsynsmyndighet som påför eventuella sanktionsavgifter och fördelar dem mellan PuA och PuB i enlighet med artikel 83 i Dataskyddsförordningen. Regressrätt mellan parterna föreligger inte vad avser påförda sanktionsavgifter.
15 Upphörande av behandling av Personuppgifter
När Avtalet upphör (eller PuA dessförinnan begär att behandlingen av Personuppgifter ska upphöra) ska Personuppgifterna efter PuA:s val snarast – dock senast inom de tidsfrister som framgår av underbilaga Instruktion - antingen återföras till PuA eller raderas. Om annat inte meddelas av PuA ska Personuppgifterna återföras till PuA och därefter raderas hos PuB. På begäran ska PuB lämna ett skriftligt besked om vilka åtgärder som vidtagits med Personuppgifterna i samband med att behandlingen slutförts.
För det fall PuB på grund av lag, förordning, myndighetsföreskrifter eller beslut är skyldig att behålla Personuppgifter även efter det att detta PuB-avtal har upphört att gälla får dessa uppgifter endast behandlas för det ändamål som framgår av den lag,
förordning, myndighetsföreskrifter eller beslut som föranleder att uppgifterna behålls. PuA ska informeras om ett sådant förhållande.
16 Övrigt
För det fall den Europeiska Dataskyddsstyrelsen, tillsynsmyndighet, annat offentligt organ eller intressesammanslutning kommer med klargöranden, föreskrifter, rekommendationer eller specifikationer kring hur personuppgiftsbiträdesavtal ska upprättas eller hur vissa bestämmelser ska utformas närmare ska parterna genom tilläggsavtal till detta PuB-avtal, eller genom ingåendet av ett nytt avtal motsvarande detta PuB-avtal, anpassa innehållet efter dessa nya klargöranden eller liknande.
Villkoren i detta PuB-avtal ska upphöra att gälla när Xxxxxxx upphör eller vid den senare tidpunkt då Personuppgifterna i sin helhet är raderade och/eller återlämnade enligt PuA:s instruktioner. Villkor rörande sekretess och tystnadsplikt, liksom andra villkor som till sin natur överlever upphörande av avtal, ska äga fortsatt giltighet även efter att PuB-avtalet i övrigt har upphört att gälla.
Underbilaga Instruktion
Denna Underbilaga utgör Instruktion till Bilaga Personuppgiftsbiträdesavtal.
Personuppgiftsansvarig och kontaktpersoner
Personuppgiftsansvarig (PuA) för behandlingen under PuB-avtalet är . AB SL
Parternas kontaktpersoner avseende detta PuB-avtal är desamma som anges i Avtalet, avsnitt [32.1].
Avsnitt A – Generell Instruktion
1 Grundläggande information
OMRÅDE | INSTRUKTION |
Kategorier av Personuppgifter | Följande Personuppgifter ska behandlas av Leverantören: Namn på kontaktpersoner till företag, ordernummer, personnummer om det rör sig om enskild firma. Namn, leveransadress, folkbokföringsadress för privatkunder, ordernummer, kortnummer. |
Följande känsliga personuppgifter (särskilda kategorier av Personuppgifter) omfattas av behandlingen: Xxxx xxxxxxxx personuppgifter | |
Kategorier av registrerade | Följande kategorier av registrerade omfattas av Leverantörens behandling: Företagskunder, Privatpersoner, kontaktpersoner hos leverantören, anställda på TF |
Ändamål med behandlingen | Behandlingen av Personuppgifter rörande de registrerade som PuB ska biträda PuA med har följande ändamål: Leverantören ska producera och leverera Accesskort och SL-kort för företags- och privatkunder |
Access-kort Behandlingsaktiviteter och behandlingens karaktär | Följande behandlingar ska utföras av Leverantören och behandlingen har följande karaktär: Orderhantering, personalisering av resekort, distribution resekort och förbrukningsvaror |
SL-kort Behandlingsaktiviteter och Behandlingens karaktär | Följande behandlingar ska utföras av Leverantören och behandlingen har följande karaktär: Leverantören ”checkar ut” från Beställarens API eett visst antal PAN för användning vid tillverkning av nya kort. Leverantören anger antal kort och får tillbaka en lista med PAN-nummer, som efter bekräftelse från Leverantören till Beställaren kan användas omedelbart för tillverkning av nya kort. |
Vid tillverkning av nya kort med de utcheckade PAN- numren, meddelas Beställaren vilka kort som har fått vilka PAN. Beställni8ng av leverans av resekort(med eller utan tryck) och i förekommande fall kvittorullar eller liknande sker genom ett avrop till ett av Leverantören tillhandahållande API, varefter Beställaren meddelas vilka kort som levererats. Detta API används för såväl privat e-handel som när beställarens ombud beställer kort för återförsäljning. Följaktligen överförs uppgifter till Leverantören, leverantören administrerar uppgifterna, sparar uppgifterna under en kortare period och raderar därefter uppgifterna. | |
Behandlingens längd | Behandlingen kommer att pågå under följande tid eller enligt följande parametrar: Behandlingen kommer att pågå under avtalets giltighetstid. |
Tidsfrist för radering och eventuell återföring av Personuppgifter vid Avtalets upphörande | Följande tidsfrist/tidsfrister gäller för radering/återföring: PuB raderar alla personuppgifter 30 dagar efter sista beställning. |
Gallringsrutiner | Följande gallringsrutiner gäller vid PuB:s behandling av Personuppgifter: Gallring av information följer Gallringsbeslut för information rörande biljett- och betalstöd. |
2 Överföring av Personuppgifter till Tredjeland
2.1 Huvudregel
Såvida inte annat anges nedan under Undantag gäller följande:
Personuppgifter får av Leverantören överföras till annat land inom EU/EES samt till Tredjeland som av EU-kommissionen har bedömts ha en adekvat skyddsnivå. Person- uppgifter får inte överföras till något annat Tredjeland.
Undantag: Överföring av Personuppgifter till Tredjeland är tillåtet
Utöver vad som framgår ovan är överföring av Personuppgifter till Tredjeland tillåtet under förutsättning att en eller flera av de grunder för överföring som framgår nedan är uppfyllda.
De registrerade har uttryckligen samtyckt till överföringen. | ☐ |
Det föreligger ett avtal innehållande EU-kommissionens standardavtalsklausuler. Undertecknade standard- avtalsklausuler har bilagts denna Instruktion. Kommentar: Används denna grund för överföring måste modellklausuler (inkl. eventuella kompletterande skyddsåtgärder) undertecknas och biläggas denna Instruktion (eller Avtalet). Gå vidare till avsnitt 2.2. | ☐ |
Leverantören tillämpar bindande företagsinterna regler (Binding Corporate Rules) som även gäller för mottagaren av Personuppgifterna i aktuellt Tredjeland. Kommentar: Används denna grund för överföring måste Binding Corporate Rules (inkl. eventuella kompletterande skyddsåtgärder) undertecknas och biläggas denna Instruktion (eller Avtalet). Gå vidare till avsnitt 2.2. | ☐ |
2.2 Kompletterande skyddsåtgärder
För det fall Leverantören behandlar Personuppgifter i ett Tredjeland och
EU-kommissionens standardavtalsklausuler eller Binding Corporate Rules tillämpas för överföringen ska, i förekommande fall, kompletterande skyddsåtgärder vidtas.
Ange ev. kompletterande skyddsåtgärderna som vidtagits för överföringen av Personuppgifterna till Tredjelandet i tabellen nedan.
Såvida inte kompletterande skyddsåtgärder har specificerats på annat sätt än nedan ska skyddsåtgärderna i nedanstående tabell anses överenskomna mellan parterna.
Tredjeland som Leverantören behandlar Personuppgifterna i | Xxxx Xxxxxxxxxx |
Tredjelandet bedöms ha ett skydd för grundläggande fri- och rättigheter väsentligt likvärdigt den nivå som tillförsäkras inom EU | ☐ Ja Kommentar: Om Ja, kompletterande skyddsåtgärder är inte nödvändiga. ☐ Nej Kommentar: Om Nej, ange vilka kompletterande skyddsåtgärder som vidtagits nedan. |
Tekniska skyddsåtgärder | |
Kryptering | ☐ Personuppgifterna krypteras innan överföring. ☐ Krypteringsnyckeln förvaras på ett sätt så att myndigheterna i det Tredjelandet inte kommer åt den. ☐ Endast Beställaren har tillgång till krypteringsnyckeln. ☐ Personuppgifterna är krypterade under överföringen. |
Psuedonymisering | ☐ Personuppgifterna pseudonymiseras innan överföring. |
Övriga tekniska skyddsåtgärder | ☐ Ange ev. övriga tekniska skyddsåtgärder |
Juridiska skyddsåtgärder (dvs. villkor som kompletterar EU-kommissionens standardavtalsklausuler eller Binding corporate rules) | |
Tekniska villkor | ☐ Leverantören har åtagit sig att vidta kompletterande tekniska skyddsåtgärder enligt ovan. ☐ Leverantören intygar att åtkomst till systemet inte är möjlig genom en s.k. bakdörr eller att nationell lagstiftning kräver sådan åtkomst. |
Informationsskyldigheter | ☐ Leverantören är skyldig att informera Beställaren vid oförmåga att uppfylla avtalsvillkoren. ☐ Leverantören är skyldig att regelbundet informera Beställaren om avsaknaden av myndighetsbegäran om tillgång till data. ☐ Leverantören och/eller Beställaren är skyldig(a) att informera registrerade om ev. myndighetsbegäran om tillgång till registrerades Personuppgifter och/eller Leverantörens oförmåga att uppfylla avtalsvillkoren. ☐ Leverantören är skyldig att informera myndigheten som begär tillgång till data om oförenligheten med GDPR. |
Övriga juridiska skyddsåtgärder | ☐ Beställarens befogenheter att genomföra revision av Leverantören är förstärkta på följande sätt: [Ange förstärkta befogenheter, |
t.ex. kontroller med kort varsel el. vem som får kontrollera]. ☐ Leverantören är skyldig att bestrida myndighetsbegäran om tillgång till data. ☐ Leverantören är skyldig att endast ge ut minsta möjliga information vid besvarandet av myndighetsbegäran om tillgång till data. ☐ Tillgång till Personuppgifter i läsbar form ges endast med registrerads eller Beställarens samtycke. ☐ Leverantören och/eller Beställaren är skyldig(a) att bistå den registrerade vid utövandet av dennes rättigheter inom det Tredjelandets jurisdiktion. ☐ Ange ev. övriga juridiska skyddsåtgärder | |
Organisatoriska skyddsåtgärder | |
Interna policys och processer | ☐ Leverantören har antagit dataskyddspolicys som baseras på EU certifikat, ISO standarder eller andra internationella överenskommelser. ☐ Leverantören har antagit interna rutiner för att regelbundet granska de kompletterade skyddsåtgärdernas lämplighet. ☐ Leverantören har instiftat metoder för att involvera och tillhandahålla relevant information angående överföringen till ev. dataskyddsombud och/eller jurister inom organisationen. |
Fastställt agerande avseende myndighetsbegäran om tillgång till data | ☐ Leverantören registrerar och dokumenterar myndighetsbegäranden samt svaret till myndigheten och informerar Beställaren. ☐ Leverantören publicerar regelbundet rapporter externt gällande myndighetsbegäranden om tillgång till data. |
Övriga organisatoriska skyddsåtgärder | ☐ Leverantören åtar sig att inte överföra Personuppgifterna vidare inom det tredjelandet eller till annat Tredjeland som inte kan garantera ett likvärdigt skydd för Personuppgifterna som inom EU. |
☐ Ange ev. övriga organisatoriska skyddsåtgärder |
2.3 Underbiträden – Förhandstillstånd
Enligt huvudregeln (se punkt 7 i PuB-avtalets huvuddokument) ska varje tillkommande Underbiträde godkännas separat av PuA. Endast om nedan ruta är ikryssad har PuB erhållet ett allmänt skriftligt förhandstillstånd för att anlita Underbiträden enligt punkt 7 i PuB-avtalets huvuddokument. Parterna ska då beskriva nedan hur uppdatering av lista på underbiträden i avsnitt D regelbundet sker.
☐ Allmänt skriftligt förhandstillstånd har erhållits.
Uppdatering av avsnitt D ska ske enligt följande: Klicka eller tryck här för att ange text.
Avsnitt B – Tekniska säkerhetsåtgärder
Som framgår av Bilaga Personuppgiftsbiträdesavtal, är PuB skyldig att med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
Utan begränsning av den självständiga skyldigheten som PuB har enligt ovan, samt krav som redan framgår i Avtalet, ska PuB vid var tid även uppfylla sådana minimikrav avseende tekniska säkerhetsåtgärder som framgår nedan.
Nedan finns ska-krav och bör-krav (gråmarkerade). Bör-kraven tas med om de är relevanta.
Dessa tekniska säkerhetsåtgärder är bara tillämpliga när Leverantören behandlar Personuppgifter i andra IT-system än Beställarens egna eller ansvarar för drift av Beställarens IT-system.
Kraven är grupperade i områdena 1 - 10.
Några av kraven gäller endast vid informationshantering i informationssäkerhets- klasserna 3 och 4 inom konfidentialitet (K), riktighet (R) och tillgänglighet (T). De är då markerade exempelvis K3R3T3.
3 Autentisering
3.1 Unik identitet
I IT-system ska alla användare och priviligierade användare ha en unik identitet.
3.2 Spårbarhet
Utformningen av unik identitet ska vara spårbar till en fysisk person.
3.3 Kontotyper
Det får inte förekomma grupp- eller funktionskonton.
3.4 Verifiering
Varje användares och priviligierade användares unika identitet ska verifieras vid inloggning i IT-system genom autentisering.
3.5 Inloggning
Systemet ska kräva användarnamn och lösenord för användar- och administratörs- inloggning i systemet.
3.6 K3R3T3 Inloggning
Vid informationshantering i informationssäkerhetsklasserna 3 och 4 inom konfidentialitet, riktighet och tillgänglighet, där det är möjligt, ska så kallad stark autentisering d.v.s. två-faktors-autentisering (användarnamn, lösenord i kombination med SMS-kod alt. elektroniska smartcard), exempelvis e-tjänstekort tillsammans med PIN-kod, användas.
4 Behörighetshantering
4.1 Särskiljning
Leverantören förbinder sig att via lämpligt behörighetskontrollsystem hålla databehandlingen för Beställaren skild från varje annat uppdrag eller annan verksamhet som Leverantören är engagerad i.
4.2 Tilldelning
Det ska finnas dokumenterade rutiner för hur behörighet tilldelas i systemet, gäller alla delar av systemet (applikation, server, databas m.m.).
4.3 Ändring
4.4 Borttagning
Det ska finnas dokumenterade rutiner för hur behörighet tas bort i systemet, gäller alla delar av systemet (applikation, server, databas m.m.)
4.5 Rapport
Systemet ska kunna presentera en rapport/lista över vilka behörigheter varje konto i systemet har. Detta gäller alla delar av systemet (applikation, server, databas m.m.). I vissa fall kan det finnas behov av att rapporten/listan kan presenteras baserat
på verksamhetstillhörighet.
4.6 Systeminställning
Systemet ska vara konfigurerat så att användare endast får tillgång till den information i systemet som de behöver för att kunna utföra sitt arbete (gäller även administrativa rättigheter) [Best practice]. Detta kan t.ex. lösas med hjälp av behörighetsgrupper eller genom attributsbaserad behörighetstilldelning.
4.7 Revision
Det ska finnas dokumenterade och implementerade rutiner för regelbunden intern revision av behörigheter i systemet, sker med fördel med stöd av automatiska verktyg.
Konton med administrativa rättigheter ska analyseras särskilt noggrant, gäller alla delar av systemet (applikation, server, databas m.m.).
5 Kryptering
5.1 Kommunikation
All kommunikation till och från systemet, som sker över nätverk, ska vara krypterad.
Kommentar
Krypteringen kan exempelvis ske via HTTPS eller VPN, gäller även anslutningar till databas och anslutningar för administratörer.
Villkor
Om det inte går att garantera att nätverket inte kan avlyssnas av någon obehörig individ.
6 Säkerhetsuppdateringar
6.1 Säkerhetsuppdateringar
Finns säkerhetsuppdateringar ska dessa installeras.
Kommentar
Process för förändringshantering ska följas även vid patchhantering. Säkerhetsupp- dateringar innefattar även signatur-/definitionsfiler för t.ex. antivirus och IDS (Intrusion Detection System). Säkerhetspatchar ska testas i snarlik miljö innan de installeras i produktionsmiljön.
7 Spårbarhet
7.1 Inställning
Det ska gå att ställa in vad och hur mycket som ska loggas. [Best practice]
7.2 Läsåtkomst
Läsåtkomst till systemets information ska loggas. Detta gäller alla delar av systemet (applikation, server, databas m.m.).
7.3 Databasadministratörer
Kommandon utförda av databasadministratörer och användarkonton med direktåtkomst till databasen ska loggas. [Best practice]
7.4 Säkerhetslogg identitet
Av säkerhetslogg i systemet ska användarens identitet framgå (vid aktivitet som är kopplad till individ). Med säkerhetslogg menas logg över säkerhetsrelevanta händelser såsom förändringar i behörighetsinformationen och i datorsystemets konfiguration (Se 6.2).
7.5 Säkerhetslogg tidpunkt
Av säkerhetslogg ska det framgå vid vilken tidpunkt (datum och klockslag) säkerhetsrelevanta händelser i systemet har inträffat.
7.6 Säkerhetslogg åtgärder
Av säkerhetslogg ska det framgå vilka åtgärder som har vidtagits med personuppgifter.
7.7 Säkerhetslogg från dator
Av säkerhetslogg tillhörande systemet ska det gå att spåra från vilken dator aktiviteter har utförts (källadress), oavsett om aktiviteter har initierats av en individ eller ett system [Nästa generations ska-krav]. Detta sker t.ex. genom att logga IP-nummer vid inloggning.
7.8 Synkronisering
Varje enhet ska vara konfigurerad att synkronisera tid mot minst två pålitliga referenskällor för tid. Referenskälla för tid = NTP-servrar. Detta sker för att loggposter ska få korrekt tid. Med enhet, avses teknisk enhet inom ramen för systemet såsom maskinenhet, klient eller liknande.
Loggning bör ske i standardiserat format, t.ex. syslog eller enligt Common Event Expression initiative.
7.10 Gallring
Loggarna ska gallras automatiskt då de uppnått en viss ålder. [Best practice]
7.11 Logganalys
Logganalys ska ske kontinuerligt.
8 Dokumentation
8.1 Systembeskrivning
Leverantören ska beskriva systemet och det arbete som bedrivs kring detta avseende IT- och informationssäkerhet inom – men inte nödvändigtvis begränsat till – områdena
• Backup och säkerhetskopiering, inkl. rutiner
• Loggning
• Behörighetshantering och inloggning
• Skydd av informationstillgångar
• K3R3T3 Testning
8.2 Säkerhetslogg (Se 5)
Leverantören ska senast i samband med leverans till Beställaren (Driftsättning) överlämna aktuell dokumentation över säkerhetsloggens uppbyggnad, så att ansvarig vid behov ska kunna samla in och tolka loggarnas innehåll. Säkerhetsloggen bör vara tillgänglig i filer i operativsystemet eller i databas. Med säkerhetslogg menas logg över säkerhetskritiska händelser såsom förändringar i behörighetsinformationen och i datorsystemets konfiguration.
8.3 Ändringar
Ändringar i IT-systemets dokumentation ska ske enligt fastställda rutiner.
9 Riskhantering
9.1 Upphandling
Risker för informationens konfidentialitet, riktighet och tillgänglighet ska ha analyserats och hanterats innan upphandling/anskaffning av IT-systemet påbörjades. Som underlag kan bl.a. statistik från incidenter användas, liksom resultatet i denna deklaration (gap-analys), gäller även användning av molntjänster.
9.2 Driftsättning
Risker för informationens konfidentialitet, riktighet och tillgänglighet ska analyseras och hanteras innan ett IT-system tas i drift.
Kommentar
Som underlag ska bl.a. användas resultat av tester.
9.3 IT-säkerhet driftsättning
Systemägaren ska godkänna IT-säkerheten i ett IT-system innan driftsättning sker.
Kommentar
Beslutsunderlaget ska minst bestå av:
• Dokumentation av kravefterlevnad
• Dokumentation över kvarvarande risker
• Slutlig arkitekturbeskrivning
• Testrapporter
9.4 Revision
Risker i och kring ett IT-system ska revideras av Leverantören och hanteras minst årligen.
Kommentar
Som underlag kan användas resultat från tester samt erfarenheter från incidenter och problem. Revidering ska ske då typ av information som hanteras i systemet ändras.
10 Säkerhetstester
10.1 Sårbarhetsskanning
Systemet ska ha genomgått sårbarhetsskanning innan beslut om driftsättning.
Kommentar
Sårbarhetsskanningen ska ske på den slutliga systemlösningen.
11 Utveckling av programvara
11.1 Privacy by design
Systemet ska utformas så att informationsutbyte, elektroniskt eller icke-elektroniskt, inte leder till att Personuppgifter röjs eller avslöjas. (Privacy by design, Privacy by default)
11.2 Metodik
Leverantören ska kunna visa att utveckling av programvara följer en etablerad metodik för att minimera it-säkerhetsrisker (inkl. integritetsrisker) under alla faser (från kravställning till driftsättning), t.ex. Microsofts Security Developement Lifecycle. Den bör bl.a. omfatta risken för att skadlig kod förs in via textfält. OWASP top 10 ska tillämpas vid webb-utveckling.
11.3 Testdata
Test och utveckling ska inte ske med produktionsdata.
Om test och utveckling sker med produktionsdata måste samma säkerställda funktionalitet som i produktion finnas avseende säkerhet, t.ex. gällande spårbarhet och behörighet.
Undantag från skarp data i testmiljö ska alltid hanteras via dispenshantering till informationssäkerhetsfunktionen på TF.
12 Drift
Följande krav är tillämpliga då annan leverantör än ordinarie driftleverantör ska ansvara för drift. Drift av systemet ska följa dokumenterade metoder och processer.
12.1 Backup
Det ska finnas rutiner/metoder/processer för säkerhetskopiering (backup).
12.2 Återläsning
Återläsning av säkerhetskopior (backuper) ska testas minst årligen.
12.3 Utdata och lagringsmedia
Det finns instruktioner för hantering av utdata och lagringsmedia, inklusive kassering av utdata från misslyckade körningar (som skapas av driften). Med utdata menas information som matas ut ur systemet, t.ex. utskrifter, information som visas på skärm, information som lagras lokalt, information som lagras på USB, information som skickas till annat system m.m.
12.4 Transaktionslogg och systemlogg
Det ska finnas rutiner/processer/metoder för hantering av information i transaktionslogg och systemlogg (då de kan innehålla personuppgifter). Där det är möjligt, bör inte systemadministratörer ha behörighet att radera och avaktivera loggar över sina egna aktiviteter.
Minimikraven kan komma att uppdateras över tid. PuB kommer att meddelas skriftligen om uppdatering. Uppdaterade krav ska då efterkommas av PuB utan dröjsmål.
Avsnitt C – Organisatoriska säkerhetsåtgärder
Oaktat PuB:s ansvar enligt avsnitt B ovan ska PuB dessutom följa vid var tid tillämpliga krav, rutiner och processer rörande organisatoriska säkerhetsåtgärder som PuA vid var tid skriftligen meddelar eller som parterna överenskommit. De organisatoriska säkerhetsåtgärderna omfattar följande generella minimikrav:
Nedan finns ska-krav och bör-krav (gråmarkerade). Bör-kraven tas med om de är relevanta.
13 Ledningssystem för informationssäkerhet
Leverantören bör ha ett ledningssystem för informationssäkerhet implementerat i enlighet med ISO 27001 eller motsvarande.
14 Organisation
Det ska finnas en ansvarig för informationssäkerhet hos Leverantören. Den informationssäkerhetsansvarige ska i Uppdragets informationssäkerhetsfrågor ha mandat att fatta relevanta beslut i förhållande till Beställaren. Leverantören ska ha en utpekad kontaktperson i informationssäkerhetsfrågor gentemot Beställaren. Hos Leverantören ska det även finnas en systemägare för IT-system som är avsedda för behandling av Beställarens Personuppgifter, om relevant.
15 Behörighet
Behörighet till Personuppgifter får endast ges till personer hos Leverantören som
• Bedöms lämpliga att arbeta med uppgifterna
• Behöver uppgifterna för sitt uppdrag eller arbete i den verksamhet där Personuppgifterna förekommer
Tilldelningen av sådan behörighet ska vara spårbar och följa dokumenterade rutiner.
16 Hantering av personuppgifter
Leverantören får endast hantera och förvara Personuppgifter i av Beställaren anvisade och godkända utrymmen, lagringsmedia samt IT-system.
17 Kompetenskrav
Beställaren ska innan uppdraget påbörjas säkerställa att de personer hos Leverantören som kan komma att få tillträde till Personuppgifter har tillräcklig kompetens i infor- mationssäkerhetsfrågor. Därefter ansvarar Leverantören för att dessa personer ges behövlig och fortlöpande utbildning. Utbildningen ska bland annat behandla:
• Hot och risker som från säkerhetssynpunkt föreligger mot eller är förknippade med Uppdraget
• Informationssäkerhetsåtgärder som enligt Beställarens bestämmelser ska vidtas
mot föreliggande hot och risker
• Hur de aktuella personuppgifterna ska hanteras
• Beställaren kan i mån av tillgängliga resurser, vid behov och efter särskild överenskommelse medverka i att utbilda Leverantörens personal som deltar i Uppdraget.
Minimikraven kan komma att uppdateras över tid. PuB kommer att meddelas skrift- ligen om uppdatering. Uppdaterade krav ska då efterkommas av PuB utan dröjsmål.
17.1 Generella rutiner och processer
Såvida inte annat särskilt överenskommits skriftligen, ska PuB följa PuA:s generella rutiner och processer rörande hantering av personuppgifter som meddelas PuB. Dessa omfattar bl.a. rutinerna
• ”Hantera ostrukturerat material med personuppgifter”,
• ”Säker hantering av personuppgifter”,
• ”Xxxxxxx e-post med personuppgifter”.
• ”Processpecifikation hantera personuppgiftsincidenter”. Av denna framgår hur PuB ska dokumentera och rapportera inträffade personuppgiftsincidenter.
17.2 Ytterligare rutiner och processer
Ytterligare organisatoriska rutiner och processer som särskilt identifierats av parterna omfattar bl.a.
Ej relevant
Avsnitt D – Godkända Underbiträden
1. Lista över godkända Underbiträden
Nedanstående sammanställning utgör en fullständig lista över godkända Underbiträden (dvs. Underbiträden som godkänts i samband med Avtalets ingående och Underbiträden som godkänts efter Avtalets ingående). PuB ansvarar för att tabellen nedan utgör en fullständig sammanställning över samtliga godkända Underbiträden. (Notera, vid fler Underbiträden läggs ytterligare rader till).
Organisationens namn | Organisations- nummer | Adress och kontakt- uppgifter | Kontaktperson inklusive kontaktuppgifter | Avtalsdatum för under- biträdesavtal mellan Leverantören och Under- biträdet | Beskrivning av tjänsten som Underbiträdet tillhandahåller | Var (geografiskt) Underbiträdet kommer att behandla Personuppgifter | Vid överföring till Tredjeland, ange den legala grunden (se avsnitt A.2 ovan) | Vid överföring till Tredjeland, ange om kompletterande skyddsåtgärder vidtagits (se avsnitt A.2.2 ovan) |
☐ En adekvat skyddsnivå ☐ Uttryckligt samtycke ☐ EU-kommissionens standardavtalsklausuler ☐ Bindande företagsinterna regler | ☐ Ja, vilka specificeras i avsnitt 2 nedan. ☐ Nej | |||||||
☐ En adekvat skyddsnivå ☐ Uttryckligt samtycke ☐ EU-kommissionens standardavtalsklausuler ☐ Bindande företagsinterna regler | ☐ Ja, vilka anges i avsnitt 2 nedan. ☐ Nej |
2. Checklista över kompletterande skyddsåtgärder avseende godkända Underbiträden
Vid överföring av Personuppgifter till Underbiträde då behandling sker i Tredjeland och kompletterande skyddsåtgärder vidtas (enligt tabellen i avsnitt 1 ovan) ska PuB ange sådana skyddsåtgärder för respektive Underbiträde. Nedanstående tabell utgör en checklista över kompletterade skyddsåtgärder till PuBs underbiträdesavtal med Underbiträdet. PuB ansvarar för att tabellen nedan utgör en fullständig sammanställning över samtliga kompletterande skyddsåtgärder som vidtagits för respektive Underbiträde.
Notera, vid fler Underbiträden läggs ytterligare kolumner till.
Kompletterande skyddsåtgärder | [Godkänt Underbiträde] | [Godkänt Underbiträde] |
Tekniska skyddsåtgärder | ||
Kryptering | ☐ Personuppgifterna krypteras innan överföring. ☐ Krypteringsnyckeln förvaras på ett sätt så att myndigheterna i det Tredjelandet inte kommer åt den. ☐ Endast Beställaren har tillgång till krypteringsnyckeln. ☐ Personuppgifterna är krypterade under överföringen. | ☐ Personuppgifterna krypteras innan överföring. ☐ Krypteringsnyckeln förvaras på ett sätt så att myndigheterna i det Tredjelandet inte kommer åt den. ☐ Endast Beställaren har tillgång till krypteringsnyckeln. ☐ Personuppgifterna är krypterade under överföringen. |
Psuedonymisering | ☐ Personuppgifterna pseudonymiseras innan överföring. | ☐ Personuppgifterna pseudonymiseras innan överföring. |
Övriga tekniska skyddsåtgärder | ☐ Ange ev. övriga tekniska skyddsåtgärder | ☐ Ange ev. övriga tekniska skyddsåtgärder |
Juridiska skyddsåtgärder | ||
Tekniska villkor | ☐ Leverantören är skyldig att vidta kompletterande tekniska skyddsåtgärder. ☐ Leverantören intygar att åtkomst till systemet inte är möjlig genom en sk. bakdörr eller att nationell lagstiftning kräver sådan åtkomst. | ☐ Leverantören är skyldig att vidta kompletterande tekniska skyddsåtgärder. ☐ Leverantören intygar att åtkomst till systemet inte är möjlig genom en sk. bakdörr eller att nationell lagstiftning kräver sådan åtkomst. |
Informationsskyldigheter | ☐ Leverantören är skyldig att informera Beställaren vid oförmåga att uppfylla avtalsvillkoren. ☐ Leverantören är skyldig att regelbundet informera Beställaren om avsaknaden av myndighetsbegäran om tillgång till data. ☐ Leverantören och/eller Beställaren är skyldig(a) att informera registrerade om ev. myndighetsbegäran om tillgång till registrerades personuppgifter och/eller Leverantörens oförmåga att uppfylla avtalsvillkoren. ☐ Leverantören är skyldig att informera myndigheten som begär tillgång till data om oförenligheten med GDPR. | ☐ Leverantören är skyldig att informera Beställaren vid oförmåga att uppfylla avtalsvillkoren. ☐ Leverantören är skyldig att regelbundet informera Beställaren om avsaknaden av myndighetsbegäran om tillgång till data. ☐ Leverantören och/eller Beställaren är skyldig(a) att informera registrerade om ev. myndighetsbegäran om tillgång till registrerades personuppgifter och/eller Leverantörens oförmåga att uppfylla avtalsvillkoren. ☐ Leverantören är skyldig att informera myndigheten som begär tillgång till data om oförenligheten med GDPR. |
Övriga juridiska skyddsåtgärder | ☐ Beställarens befogenheter att genomföra revision av Leverantören är förstärkta på följande sätt: [Ange förstärkta befogenheter]. ☐ Leverantören är skyldig att bestrida myndighetsbegäran om tillgång till data. ☐ Leverantören är skyldig att endast ge ut minsta möjliga information vid besvarandet av myndighetsbegäran om tillgång till data. ☐ Tillgång till Personuppgifter i läsbar form ges endast med registrerads eller Beställarens samtycke. ☐ Leverantören och/eller Beställaren är skyldig(a) att bistå den registrerade vid utövandet av dennes rättigheter inom det Tredjelandets jurisdiktion. ☐ Ange ev. övriga juridiska skyddsåtgärder | ☐ Beställarens befogenheter att genomföra revision av Leverantören är förstärkta på följande sätt: [Ange förstärkta befogenheter]. ☐ Leverantören är skyldig att bestrida myndighetsbegäran om tillgång till data. ☐ Leverantören är skyldig att endast ge ut minsta möjliga information vid besvarandet av myndighetsbegäran om tillgång till data. ☐ Tillgång till Personuppgifter i läsbar form ges endast med registrerads eller Beställarens samtycke. ☐ Leverantören och/eller Beställaren är skyldig(a) att bistå den registrerade vid utövandet av dennes rättigheter inom det Tredjelandets jurisdiktion. ☐ Ange ev. övriga juridiska skyddsåtgärder |
Organisatoriska skyddsåtgärder | ||
Interna policys och processer | ☐ Leverantören har antagit dataskyddspolicys som baseras på EU certifikat, ISO standarder eller andra internationella överenskommelser. | ☐ Leverantören har antagit dataskyddspolicys som baseras på EU certifikat, ISO standarder eller andra internationella överenskommelser. |
☐ Leverantören har antagit interna rutiner för att regelbundet granska de kompletterade skyddsåtgärdernas lämplighet. ☐ Leverantören har instiftat metoder för att involvera och tillhandahålla relevant information angående överföringen till ev. dataskyddsombud och/eller jurister inom organisationen. | ☐ Leverantören har antagit interna rutiner för att regelbundet granska de kompletterade skyddsåtgärdernas lämplighet. ☐ Leverantören har instiftat metoder för att involvera och tillhandahålla relevant information angående överföringen till ev. dataskyddsombud och/eller jurister inom organisationen. | |
Fastställt agerande avseende myndighetsbegäran om tillgång till data | ☐ Leverantören registrerar och dokumenterar myndighetsbegäranden samt svaret till myndigheten, vilka görs tillgängliga för Beställaren. ☐ Leverantören publicerar regelbundet rapporter gällande myndighetsbegäranden om tillgång till data. | ☐ Leverantören registrerar och dokumenterar myndighetsbegäranden samt svaret till myndigheten, vilka görs tillgängliga för Beställaren. ☐ Leverantören publicerar regelbundet rapporter gällande myndighetsbegäranden om tillgång till data. |
Övriga organisatoriska skyddsåtgärder | ☐ Leverantören åtar sig att inte överföra personuppgifterna vidare inom det tredjelandet eller till annat Tredjeland som inte kan garantera ett likvärdigt skydd för personuppgifterna som inom EU. ☐ Ange ev. övriga organisatoriska skyddsåtgärder | ☐ Leverantören åtar sig att inte överföra personuppgifterna vidare inom det tredjelandet eller till annat Tredjeland som inte kan garantera ett likvärdigt skydd för personuppgifterna som inom EU. ☐ Ange ev. övriga organisatoriska skyddsåtgärder |