Villkor för behandling av personuppgifter 9 (9)


Villkor för behandling av personuppgifter


ANVISNINGAR TILL UPPHANDLANDE ENHETER: Kontrollera villkoren i dessa anvisningar samt de bestämmelser och bilagor i huvudavtalet som det hänvisas till här. Ändra vid behov innan villkoren ansluts till anbudsförfrågan. Avlägsna denna anvisning.


  1. Allmänt


    1. Denna avtalsbilaga, ”Villkor för behandling av personuppgifter”, är en del av avtal X (Dnr X), nedan ”Avtalet”, som Beställaren har ingått med Leverantören.


    1. I denna avtalsbilaga fastställs de avtalsvillkor för behandling av personuppgifter och dataskydd som, liksom villkoren i Avtalet, binder Beställaren och Leverantören och enligt vilka Leverantören på Beställarens uppdrag behandlar personuppgifter på Beställarens vägnar och för dennes räkning.


    1. Parterna förbinder sig att i sin verksamhet följa tillämplig gällande lagstiftning om behandling av personuppgifter och dataskydd. Parterna förbinder sig också att anpassa behandlingen av personuppgifter och dataskyddet till den nivå som krävs i EU:s allmänna dataskyddsförordning (EU)2016/679 senast 25.5.2018, då dataskyddsförordningen ska börja tillämpas.


  1. Parternas roller vid behandling av personuppgifter


    1. Beställaren är en sådan personuppgiftsansvarig (i personuppgiftslagen: registeransvarig) som avses i lagstiftningen om behandling av personuppgifter och dataskydd när Beställaren fastställer ändamålet och metoderna för behandlingen av personuppgifter. Parterna är införstådda med att Beställaren i egenskap av personuppgiftsansvarig endast ska anlita personuppgiftsbiträden (i personuppgiftslagen: registerförare) som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i den gällande lagstiftningen om behandling av personuppgifter och dataskydd och från 25.5.2018 i EU:s dataskyddsförordning och säkerställer att den registrerades rättigheter skyddas.


    1. Leverantören är ett sådant personuppgiftsbiträde som avses i lagstiftningen om behandling av personuppgifter och dataskydd och som behandlar Beställarens personuppgifter på Beställarens vägnar och för dennes räkning. De underleverantörer som Leverantören anlitar i enlighet med Avtalet och denna avtalsbilaga och som deltar i behandlingen av Beställarens personuppgifter är också personuppgiftsbiträden på Beställarens vägnar och för dennes räkning. Om Leverantören är en grupp, gäller skyldigheterna i denna avtalsbilaga samtliga medlemmar i gruppen och de underleverantörer som gruppen anlitar och som deltar i behandlingen av personuppgifter.


    1. Beställaren förbinder sig att sörja för den personuppgiftsansvariges skyldigheter enligt lagstiftningen om behandling av personuppgifter och dataskydd.


    1. Föremålet och ändamålet för behandlingen av personuppgifter och behandlingens natur, typer av personuppgifter och grupper för registrerade samt den personuppgiftsansvariges och personuppgiftsbiträdets skyldigheter och rättigheter beskrivs i Avtalet, den dokumentation som utarbetas under den avtalsenliga tjänsten och som binder Leverantören eller i Beställarens övriga anvisningar. Leverantören förbinder sig att iaktta de villkor för och beskrivningar av behandling av personuppgifter som anges i Avtalet, dokumentationen och anvisningarna. Beställaren ansvarar för att anvisningarna uppdateras och hålls tillgängliga.


    1. Om det inte har gjorts någon beskrivning enligt punkt 2.4. eller om beskrivningen är bristfällig, utarbetar Beställaren en beskrivning eller kompletterar vid behov den befintliga i samarbete med Leverantören. Leverantören ska meddela Xxxxxxxxxxx, om dennes anvisningar är bristfälliga eller om Leverantören misstänker att de strider mot lagen.


    1. Leverantören deltar på Beställarens begäran i att utarbeta ett register över informationssystemet. Leverantören genomför de krävda uppgifterna till de priser för personarbete som fastställs i Avtalet, om inget annat har avtalats.


  1. Underleverantörer som behandlar personuppgifter


    1. Leverantören får inte anlita en underleverantörs tjänster för behandling av personuppgifter utan skriftligt förhandstillstånd av Beställaren. Leverantören ska skriftligt informera Beställaren om alla eventuella planer på att ersätta underleverantörer som är personuppgiftsbiträden eller anlita nya, så att Beställaren har möjlighet att göra invändningar mot sådana förändringar.


    1. I den mån som Leverantören i sin verksamhet anlitar underleverantörer som behandlar personuppgifter tillämpas utöver Avtalet villkoren i denna avtalsbilaga på underentreprenaden.


    1. Leverantören och alla underleverantörer som i egenskap av personuppgiftsbiträde behandlar Beställarens personuppgifter på Beställarens vägnar och för dennes räkning förbinder sig att fullfölja personuppgiftsbiträdets skyldigheter i denna avtalsbilaga. Leverantören är skyldig att genom avtal förbinda de underleverantörer som Leverantören anlitar att följa villkoren i denna avtalsbilaga.


    1. Leverantören ansvarar för sina underleverantörers eventuella överträdelser eller försummelser av Avtalet, denna avtalsbilaga, tillämplig lagstiftning eller EU:s allmänna dataskyddsförordning i samband med behandling av Beställarens personuppgifter som för sina egna. Om en underleverantör som behandlar personuppgifter inte fullföljer sina dataskyddsskyldigheter, har Leverantören fortfarande fullt ansvar i förhållande till Beställaren. Om Beställaren motiverat anser att Leverantörens underleverantör inte fullgör sina dataskyddsskyldigheter, har Beställaren rätt att kräva att Leverantören byter underleverantör.


  1. Personuppgiftsbiträdets allmänna skyldigheter


    1. Personuppgiftsbiträdet behandlar personuppgifter enligt Avtalet och Beställarens anvisningar.


    1. Personuppgiftsbiträdet förbinder sig att säkerställa att alla personer under dess överinseende med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.


    1. Utöver vad som avtalas i Avtalet om krav på skydd för personuppgifter, informationssäkerhet och konfidentialitet, i syfte att vid behandling av personuppgifter säkerställa en säkerhetsnivå som motsvarar risken, förbinder sig personuppgiftsbiträdet att vidta lämpliga tekniska och organisatoriska åtgärder. I samband med detta ska personuppgiftsbiträdet beakta den senaste tekniken, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter. Personuppgiftsbiträdet ska också följa Beställarens anvisningar och eventuella uppdateringar av dem.


    1. Personuppgiftsbiträdet ska också vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under personuppgiftsbiträdets överinseende och som har tillgång till personuppgifter endast behandlar dessa enligt Avtalet och Beställarens anvisningar.


    1. Personuppgiftsbiträdet förbinder sig att utan onödigt dröjsmål informera Beställaren om varje begäran från de registrerade som gäller utövandet av de registrerades rättigheter enligt gällande lagstiftning och EU:s allmänna dataskyddsförordning.


    1. Personuppgiftsbiträdet förbinder sig att hjälpa Beställaren genom lämpliga tekniska och organisatoriska åtgärder, så att Beställaren kan fullgöra sin skyldighet att svara på begäran som gäller utövandet av den registrerades rättigheter. Personuppgiftsbiträdet är införstått med att begäran som gäller utövandet av dessa rättigheter kan förutsätta att Personuppgiftsbiträdet hjälper till med att informera den registrerade, tillgodose den registrerades rätt att få tillgång till uppgifter, rätta eller radera personuppgifter, begränsa behandlingen av personuppgifter och/eller överföra personuppgifter från ett system till ett annat. Om det inte har avtalats om att dessa uppgifter ingår i de tjänster som omfattas av Xxxxxxx och i de avgifter som tas ut för dessa, har Leverantören rätt att ta ut en rimlig ersättning för arbetskostnaderna till de priser för personarbete som fastställs i Avtalet.


    1. Leverantören ska sörja för att de personuppgifter som Leverantören behandlar är i ett sådant allmänt använt och maskinläsbart format att de automatiskt kan lösgöras från systemet för att överföras till ett annat system.


    1. Personuppgiftsbiträdet förbinder sig att vid behov hjälpa Beställaren med genomförandet av en konsekvensbedömning som gäller dataskydd enligt EU:s allmänna dataskyddsförordning, ett eventuellt förhandssamråd och en eventuell certifiering för dataskydd. Leverantören har rätt att ta ut en rimlig ersättning för arbetskostnaderna till de priser för personarbete som fastställs i Avtalet.


    1. Personuppgiftsbiträdet förbinder sig att, beroende på vad Beställaren väljer, radera eller återlämna alla Beställarens personuppgifter till Beställaren efter det att tillhandahållandet av behandlingstjänster har avslutats. Personuppgiftsbiträdet raderar befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstatens nationella rätt. Beställaren kan i detta hänseende ge personuppgiftsbiträdet närmare anvisningar.


    1. Personuppgiftsbiträdet får inte överföra personuppgifter utanför EU eller EES. Personuppgifter kan överföras till tredjeländer genom ett tillbörligt överföringsavtal enligt EU-kommissionens gällande mallklausuler och/eller övriga gällande krav på överföring av personuppgifter.


    1. Personuppgiftsbiträdet ska ge Beställaren tillgång till all information som krävs för att visa att de skyldigheter som beskrivs i denna avtalsbilaga har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den revisor som bemyndigats av Beställaren. Närmare bestämmelser om granskningarna finns i Avtalet.


  1. Personuppgiftsbiträdets särskilda skyldigheter


    1. Leverantören ska ha färdigheter att ställa och administrera begränsningar som gäller utlämning av uppgifter till exempel på grund av spärrmarkering för den registrerade enligt befolkningsdatalagen. Leverantören ska kunna begränsa behandlingen av den registrerades personuppgifter delvis eller helt på det sätt som Beställaren kräver. Begränsningen av den registrerades personuppgifter får inte leda till begränsning av personuppgifter om andra fysiska personer i registret, om inte annat avtalas skriftligt mellan Beställaren och Leverantören.


    1. Om inte annat avtalas, är Leverantören skyldig att upprätthålla en förteckning över rättelser och raderingar av de registrerades personuppgifter samt begränsningar av behandlingen. Förteckningen ska på begäran överlämnas till Beställaren. Leverantören ska på Beställarens begäran lämna ut uppgifter i förteckningen i begärd omfattning till de tredje parter som Beställaren specificerar.



  1. Personuppgiftsincidenter


    1. Personuppgiftsbiträdet ska informera Beställaren om en personuppgiftsincident skriftligt och utan onödigt dröjsmål efter att ha fått vetskap om incidenten och senast inom 36 timmar. Leverantören förbinder sig också att informera Beställaren om övriga väsentliga störningar eller problem i den tjänst som Leverantören producerar, om störningen eller problemet kan påverka de registrerades ställning och rättigheter. Beställaren ska informeras inom ovan nämnd tidsfrist, om det inte avtalas om en kortare tidsfrist i Avtalet eller dess bilagor.


    1. Personuppgiftsbiträdet ska åtminstone ge Beställaren följande uppgifter om personuppgiftsincidenten:


1) personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,

2) namnet på och kontaktuppgifterna för dataskyddsombudet eller annan ansvarig person hos vilken mer information kan erhållas,

3) de sannolika konsekvenserna av personuppgiftsincidenten, och

4) de åtgärder som personuppgiftsbiträdet har föreslagit eller vidtagit för att åtgärda personuppgiftsincidenten, samt, när så är lämpligt, också åtgärder för att mildra dess potentiella negativa effekter.


  1. Övriga krav


    1. Beställaren har rätt att ändra, komplettera och uppdatera de anvisningar om behandling av personuppgifter och dataskydd som Beställaren gett Leverantören. Anvisningarna kan bestå av ändringar, kompletteringar och uppdateringar av tekniska eller organisatoriska åtgärder som gäller behandling av personuppgifter eller dataskydd. Leverantören gör behövliga ändringar enligt Beställarens anvisningar. Om Beställarens anvisningar orsakar väsentliga ändringsarbeten för Leverantören (mer än ett (1) dagsverke), avtalar parterna om tilläggskostnaderna separat enligt prisbilagan. Leverantören och övriga personuppgiftsbiträden förbinder sig att följa dessa ändrade, kompletterade eller uppdaterade anvisningar.


    1. Parterna är införstådda med att också dataskyddsfrågor behandlas i Avtalet och dess bilagor.


    1. Leverantören förbinder sig att reagera senast inom 72 timmar från att Beställaren tagit kontakt och svara senast inom en (1) vecka på Beställarens meddelanden om dataskydd, reklamationer eller andra meddelanden, exklusive personuppgiftsincidenter enligt EU:s allmänna dataskyddsförordning. På nämnda personuppgiftsincidenter tillämpas de tidsfrister som fastställs i Avtalet och ovan i denna bilaga.


    1. Om Leverantören försummar eller överträder denna avtalsbilaga, den tillämpliga lagstiftningen eller EU:s allmänna dataskyddsförordning, fastställs Leverantörens ersättningsansvar förutom i Avtalet också i den tillämpliga lagstiftningen. En sådan försummelse eller överträdelse utgör dessutom en väsentlig avtalsöverträdelse enligt Avtalet, varvid Beställaren har rätt till de rättsmedel som fastställs i Avtalet.


    1. Parterna är införstådda med att lagstiftningen om dataskydd håller på att ändras när Xxxxxxx och denna avtalsbilaga utarbetas. Om det i lagstiftningen i fråga eller i rekommendationer, anvisningar eller bestämmelser som gäller lagstiftningen eller tolkningen av den görs ändringar som påverkar Beställarens ställning eller skyldigheter eller de skyldigheter eller det ansvar som fastställs i denna avtalsbilaga, kan avtalsbilagan vid behov revideras i detta hänseende. Om det i denna avtalsbilaga görs sådana ändringar som orsakar väsentliga tilläggskostnader för Leverantören (mer än ett (1) dagsverke), kan parterna avtala om ersättning av dem separat enligt prisbilagan till Avtalet. Leverantören och de övriga personuppgiftsbiträdena förbinder sig att följa den reviderade avtalsbilagan.







Document Metadata

Filed: August 18th, 2017