Personuppgiftsbiträdesavtal
ORT DATUM
Parter
Klubb
Organisationsnummer Kontaktperson:
Adress Telefonnummer:
Postadress Mejladress:
Nedan:
ansvarig
Bolag
Organisationsnummer Kontaktperson:
Adress Telefonnummer:
Postadress Mejladress:
Nedan:
biträdet
Syfte
Personuppgiftsbiträdets tillhandahållande av tjänsten och fullgörande av Avtalet innebär att Biträdet behandlar Klubbens personuppgifter i enlighet med vad som stadgas i dataskyddsförordningen (EU 2016/679). Detta avtal syftar till att uppfylla stadgandet i artikel 28 i dataskyddsförordningen, som föreskriver att det ska finnas ett skriftligt avtal om Biträdets behandling av personuppgifter för Ansvarigs räkning.
Mellan den Ansvarige och Biträdet har även ett avtal avseende tillhandahållande av Tjänsten (Tjänsteavtalet) upprättats.
Tjänsteavtalet är det avtal som reglerar vad Biträdet ska utföra för den Ansvariges räkning. Biträdet behandlar personuppgifter i den omfattning som krävs för att uppfylla åtagandena enligt Tjänsteavtalet.
Definitioner
I den mån Europaparlamentets och rådets förordning (EU 2016/679) Dataskyddsförordningen, innehåller begrepp som motsvarar de som används i detta avtal ska sådana begrepp tolkas och tillämpas i enlighet med Dataskyddsförordningen.
Detta avtal har motsvarande definitioner som återfinns i artikel 4 dataskyddsförordningen, vilket bland annat innebär att:
med personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter
med personuppgiftsbiträde avses den som behandlar personuppgifter för den personuppgiftsansvariges räkning, i enlighet med Klubbens instruktioner och villkoren i avtalet
med behandling avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t ex insamling, registrering, organisering, lagring, bearbetning, ändring, användning, utlämnande, spridning eller annat tillhandahållande av uppgifter, sammanställning, samkörning, blockering, utplåning eller förstöring
med personuppgifter avses all information som direkt eller indirekt går att härleda till en fysisk person som är i livet
med registrerad avses den som en personuppgift avser
med registrerad tillsynsmyndighet avses den myndighet som regeringen utser för att utöva tillsyn, enligt 2 § personuppgiftsförordningen (1998:1191) samt enligt direktiv 95/46/EG i förordning (2007:975) med instruktion för Datainspektionen. Utredningen ett samlat ansvar för tillsyn över den personliga integriteten (SOU 2016:65) har föreslagit Datainspektionen att även fortsättningsvis vara tillsynsmyndighet. Enligt förslaget kommer Datainspektionen anges som tillsynsmyndighet i förordningen (2007:975) med instruktion för Datainspektionen. (Datainspektionen byter under 2018 namn till Integritetsskyddsmyndigheten.)
Behandling av personuppgifter
Biträdet ska endast behandla personuppgifter i enlighet med detta Avtal, dataskyddsförordningen, Datainspektionens, eller relevant EU-organs föreskrifter, ställningstaganden och rekommendationer på personuppgiftsområdet samt Ansvarigs vid var tid gällande instruktioner. Biträdet får inte behandla personuppgifter för egna eller några andra ändamål än dem som Biträdet anlitats för av Ansvarig.
Biträdet åtar sig att i sin verksamhet vid var tid tillse att berörd personal följer Xxxxxxx, samt att de hålls informerade om innehållet i dataskyddsförordningen.
Personuppgiftsbiträdet får inte, utan föreläggande från relevant myndighet eller tvingande lagstiftning:
samla in eller lämna ut personuppgifter från eller till någon tredje part om inte annat skriftligen har överenskommits
ändra metod för behandling
kopiera eller återskapa personuppgifter
eller på något annat sätt behandla personuppgifter för andra ändamål än de som anges i Tjänsteavtalet
Säkerhetsåtgärder
Personuppgifterna ska av Biträdet skyddas mot förstöring, ändringar, otillåten spridning och obehörig tillgång. Personuppgifterna ska även skyddas mot varje annat slag av otillåten behandling.
För att skydda behandlingen av personuppgifter mot obehörig åtkomst, förstörelse eller ändring ska Biträdet vidta tekniska och organisatoriska säkerhetsåtgärder, i syfte att upprätthålla en lämplig säkerhetsnivå.
Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av:
de tekniska möjligheter som finns,
vad det skulle kosta att genomföra åtgärderna,
de särskilda risker som finns med behandlingen av personuppgifterna, och
hur pass känsliga de behandlade personuppgifterna är
Det är ytterst Ansvarig som bedömer vilka säkerhetsåtgärder som minst måste vidtas.
Sekretess
All behandling av personuppgifter sker med iakttagande av sekretess, innebärande att Biträdet, dennes anställda eller underbiträden inte får lämna ut några uppgifter till tredje man utan att först ha inhämtat Ansvarigs samtycke.
Biträdet ska tillse att samtliga anställda, konsulter och övriga som Biträdet svarar för och som behandlar personuppgifterna är bundna av ett ändamålsenligt sekretessåtagande samt att de är informerade om hur behandling av personuppgifterna får ske. Biträdet ansvarar för att de personer som har åtkomst till personuppgifterna är informerade om hur de får behandla personuppgifterna i enlighet med instruktioner från Ansvarig. Biträdet ska ha ett behörighetskontrollsystem som förhindrar obehörig behandling av personuppgifter eller obehörig åtkomst till personuppgifter. Biträdet ska använda ett loggsystem som möjliggör att behandling av personuppgifter kan spåras. Vid obehörig behandling, obehörig åtkomst, förstörelse eller ändring av personuppgifter, samt försök till dessa, ska Biträdet omedelbart skriftligen underrätta Ansvarig om händelsen.
Utlämnande av information
För det fall den registrerade, tillsynsmyndigheten eller annan tredje man begär information från Biträdet som rör behandling av personuppgifter, ska Biträdet hänvisa till Ansvarig. Biträdet får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan uttrycklig instruktion från Ansvarig, eller om utlämnandet är en följd av en laglig skyldighet. Vid någon form av begäran om information ska Ansvarig omedelbart informeras.
Biträdet har inte heller rätt att företräda Ansvarig eller agera för Ansvarigs räkning gentemot tillsynsmyndigheten.
Den registrerade har laglig rätt att begära registerutdrag eller kräva rättelse, blockering, gallring eller utplåning av de personuppgifter som omfattas av avtalet. Biträdet ska härvidlag följa Ansvarigs instruktioner och är skyldigt att skyndsamt bistå Ansvarig i sådan omfattning att denna rätt kan säkerställas. Om Ansvarig har begärt att Personuppgift ska raderas ska sådan radering ske senast 180 dagar därefter.
Begränsningar i rätten att överföra personuppgifter till tredje land
Biträdet får inte utan Ansvariges i förväg inhämtade skriftliga samtycke, samt genom säkerställande att överföring sker i överensstämmelse med Dataskyddsförordningen, överföra några personuppgifter till land utanför EES-området eller till land som inte omfattas av undantagen till förbud mot överföring till tredje land. Detta förbud omfattar även teknisk support, underhåll och liknande tjänster.
Incidenthantering
För det fall Biträdet misstänker alternativt upptäcker någon säkerhetsöverträdelse så som obehörig åtkomst, förstörelse, ändring eller likande av personuppgifter ska Biträdet omedelbart undersöka incidenten och vidta lämpliga åtgärder för rättelse och förhindrande av upprepning, samt omedelbart tillhandahålla Ansvarig en beskrivning av incidenten.
Biträdet ska följa en av Ansvariges från tid till annan tillämplig procedur för incidenthantering. Biträdet ska även upprätta och följa sin egen incidenthanteringsprocedur.
Underrättelse ska också ske omedelbart om Biträdet av någon anledning inte kan uppfylla åtagandena i detta Personuppgiftsbiträdesavtal. Om Biträdet bedömer att det saknas instruktioner som är nödvändiga för att genomföra uppdraget enligt vad som sägs i detta avtal eller anser att Ansvarigs instruktioner helt eller delvis står i konflikt med de författningar, föreskrifter och rekommendationer som Biträdet ska följa ska Biträdet utan dröjsmål informera Ansvarig om sin inställning, samt invänta vidare instruktioner från Ansvarig.
Biträdet ska även informera Ansvarig om Biträdet får kännedom om att personuppgifter behandlats i strid med Ansvarigs instruktioner eller detta Personuppgiftsbiträdesavtal.
Underbiträden
Biträdet får endast lägga över sina skyldigheter enligt detta Avtal på ett underbiträde efter skriftligt medgivande från Ansvarig. Avtalet mellan Biträdet och underbiträdet ska vara skriftligt och ålägga underbiträdet samma skyldigheter som enligt Xxxxxxx åligger Biträdet.
Biträdet ansvarar fullt ut mot Ansvarig för Underbiträdes behandling. Följande information ska delges den Ansvarige för respektive underbiträde:
definition av Underbiträdet, inklusive dess kontaktinformation, bolagsform och geografisk placering,
vilken typ av tjänst som Underbiträdet utför,
vilka egenskaper Underbiträdet har,
garantier som uppställs för att dataskyddsförordningens krav kommer att följas, samt
var Underbiträdet behandlar personuppgifter som omfattas av detta Avtal.
Skadestånd och ansvar gentemot tredje man
Biträdet åtar sig att hålla Ansvarig skadeslöst i det fall Ansvarig är skyldig att utge skadestånd till den registrerade enligt artikel 82 dataskyddsförordningen, om den behandling av personuppgifter som ligger till grund för skadeståndsersättningen har utförts av Biträdet i strid med detta Avtal. Biträdet åtar sig att även i övrigt hålla Ansvarig skadeslöst för det fall Ansvarig drabbas av skada till följd av Biträdets behandling av personuppgifter i strid med detta Avtal.
Avtalstid, förhållande till övriga avtal och ändringar
Detta Avtal gäller mellan parterna så länge Biträdet behandlar personuppgifter för vilka Ansvarig är personuppgiftsansvarig. Vid Avtalets upphörande ska Biträdet tillse att samtliga personuppgifter överlämnas till Ansvarig i sådant format som Ansvarig definierar.
Biträdet åtar sig att radera samtliga personuppgifter som behandlats enligt detta Avtal inom 180 dagar från Avtalets upphörande. Radering ska emellertid inte ske förrän Biträdet skriftligen har informerat Ansvarig om att radering kommer att ske och har överlämnat personuppgifter till Ansvarig, i sådant format som Ansvarig definierar.
Om bakomliggande Tjänsteavtal, som innebär att Biträdet behandlar personuppgifter, upphör och nytt sådant avtal träffas utan att ett nytt personuppgiftsbiträdesavtal träffas, gäller detta Avtal även för det nya Tjänsteavtalet.
Ändringar och tillägg till detta Avtal ska, för att vara giltiga, göras skriftligen och undertecknas av båda parter. Sådana ändringar och tillägg till Avtalet träder i kraft 30 dagar efter båda parters undertecknande om inget annat är överenskommet. Detta förhindrar emellertid inte att Ansvarig kan ändra eller utfärda ytterligare instruktioner i enlighet med vad som framgår av detta Avtal.
För detta avtal gäller svensk rätt. Tvist i anledning av detta Avtal ska slutligt avgöras vid allmän domstol.
Detta avtal har upprättats i två likalydande exemplar varav parterna tagit var sitt.
_______________________________ _______________________________
Ort och datum Ort och datum
_______________________________ _______________________________
Klubben Bolag
1