Personuppgiftbiträdesavtal Mina ombud

Personuppgiftbiträdesavtal Mina ombud

1 Allmänt

Med Dataskyddslagstiftning avses i detta personuppgiftsbiträdesavtal (PUB-avtal) all integritets- och personuppgiftslagstiftning, samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter), som är tillämpliga på den personuppgiftsbehandling (Behandling) som sker enligt detta PUB-avtal, inklusive sådan nationell lagstiftning och EU-lagstiftning.

PUB-avtalets syfte är att säkerställa den registrerades fri- och rättigheter vid Behandlingen, i enlighet med vad stadgas i artikel 28.3 i Allmänna dataskyddsförordningen EU 2016/679 (Dataskyddsförordningen).

Bolagsverket (nedan kallat Biträdet) ska enligt avtal (Anslutningsavtal) behandla personuppgifter för den Personuppgiftsansvariges räkning.

Genom undertecknande av Anslutningsavtalet intygar båda parterna att respektive verksamheten bedrivs på ett sätt som säkerställer att personuppgiftsbehandlingen uppfyller kraven i Dataskyddslagstiftningen och säkerställer att de registrerades rättigheter skyddas.

2 Personuppgiftsbehandlingen

2.1 Bolagsverket behandlar personuppgifter för ansluten parts räkning

• På lagringsyta

• I fullmaktstjänsten

• I förmedlaren

2.2 Kategorier av registrerade

De kategorier av personer vars personuppgifter kommer att behandlas av Biträdet är fullmaktshavare, firmatecknare och fullmaktsgivare (enskild näringsidkare).

2.3 Personuppgifter som ska behandlas

Biträdet behandlar namn, personnummer och digitala signaturer.

2.4 Ändamålet med Behandlingen

Ändamålet med Behandlingen är vidareförmedling av information för att skapa, läsa och ta bort digitala fullmakter och lagring av digitala fullmakter på lagringsyta.

3 Personuppgiftsansvariges skyldigheter

Den Personuppgiftsansvarige ansvarar för att det vid var tid finns laglig grund för Behandlingen och för att utforma korrekta Instruktioner så att Biträdet och eventuellt Underbiträdet kan fullgöra sitt eller sina uppdrag enligt PUB-avtal.

Den Personuppgiftsansvarige ska utan onödigt dröjsmål informera Biträdet om förändringar i Behandlingen vilka påverkar Biträdets skyldigheter enligt Dataskyddslagstiftningen.

Den Personuppgiftsansvarige ansvarar för att informera Registrerade om Behandlingen och för att tillvarata Registrerades rättigheter enligt Dataskyddslagstiftningen samt vidta varje annan åtgärd som åligger den Personuppgiftsansvarige enligt Dataskyddslagstiftningen.

4 Biträdets skyldigheter

Biträdet får inte behandla personuppgifter för annat ändamål än det som beskrivits i avsnitt 2.4. Biträdet förbinder sig att endast utföra Behandling i enlighet med detta PUB- avtal samt att följa Dataskyddslagstiftningen. Biträdet förbinder sig även att fortlöpande hålla sig informerad om gällande rätt på området.

Biträdet ska vidta åtgärder för att skydda personuppgifterna mot alla slag av Behandlingar som inte är förenliga med detta PUB-avtal och Dataskyddslagstiftningen.

Biträdet ska kunna ge den Personuppgiftsansvarige tillgång till all den information som krävs för att visa att skyldigheterna enligt Dataskyddslagstiftningen är uppfyllda. Biträdet ska också möjliggöra och bidra till eventuella granskningar som den Personuppgiftsansvarige eller oberoende tredje man genomför.

För det fall den registrerade, tillsynsmyndigheten eller annan tredje man begär information om personuppgiftsbehandlingen från Biträdet, ska Biträdet hänvisa till den Personuppgiftsansvarige.

För det fall den registrerade vill utövas sina rättigheter enligt artiklarna 15-18 och 20-21 i dataskyddsförordningen ska Biträdet hänvisa till den Personuppgiftsansvarige.

Biträdet ska vidta de åtgärder för personuppgifternas säkerhet som krävs enligt artikel 32 (säkerhet i samband med behandlingen) i Dataskyddsförordningen.

Biträdet ska bistå den Personuppgiftsansvarige med fullgörandet av skyldigheterna enligt artiklarna 32-36 i Dataskyddsförordningen (säkerhetsåtgärder och konsekvensbedömning), med beaktande av den information Biträdet har att tillgå.

Biträdet ska genom lämpliga tekniska och organisatoriska åtgärder i den mån det är möjligt, bistå den Personuppgiftsansvarige så att den Personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen. Biträdet ska underrätta den Personuppgiftsansvarige om eventuella Personuppgifts-incidenter utan onödigt dröjsmål enligt artikel 33.3-4 dataskyddsförordningen.

Biträdet ska bistå den Personuppgiftsansvarige i utredningen och rapporteringen av Personuppgiftsincidenten till tillsynsmyndigheten.

Biträdet ska utan onödigt dröjsmål informera den Personuppgiftsansvarige skriftligen om Biträdet anser att en Instruktion strider mot Dataskyddslagstiftningen.

Biträdet ska underrätta den Personuppgiftsansvarige om Biträdet avser att ändra tjänsten, och ändringarna kommer att medföra att Behandlingen kan komma att förändras.

4.1 Särskilda säkerhetsinstruktioner

När datorutrustning och löstagbara datamedier hos Biträdet inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall ska personuppgifterna krypteras.

Personuppgifter som överförs via datorkommunikation utanför lokaler som Biträdet kontrollerar ska skyddas med kryptering.

För det fall Biträdet använder bärbara datorer vid Behandlingarna ska personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade.

Biträdet ska regelbundet överföra personuppgifterna till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas efter en störning. Det ska finnas en rutin för test av återläsning.

Biträdet ska se till att endast personal som för sitt arbete behöver tillgång till lokaler med IT- utrustning där personuppgifterna lagras, får tillträde till lokalerna.

Biträdet ska hålla personuppgifterna åtskilda från andra kunders personuppgifter.

Biträdet ska ha ett tekniskt system för behörighetskontroll som styr åtkomsten till personuppgifterna. Behörigheten ska begränsas till dem som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord eller annan teknikkontroll ska vara personlig och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter.

Biträdet ska kunna följa upp åtkomst till personuppgifter i efterhand genom en logg eller liknande underlag. Underlaget ska innehålla uppgifter om vem som har fått tillgång till vad och när.

Underlaget ska kunna kontrolleras och återrapporteras till den Personuppgiftsansvarige.

Biträdet ska skydda anslutning för datakommunikation med sådan teknisk funktion som säkerställer att uppkopplingen är behörig.

5 Sekretess

Biträdet och samtliga fysiska personer som arbetar under dess ledning ska vid Behandlingen iaktta såväl sekretess som tystnadsplikt.

Tillgång till personuppgifterna ska begränsas till den personal hos Biträdet som behöver tillgång till dem för att uppfylla Anslutningsavtalet. Biträdet ska tillse att samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen, är bundna av sekretessförbindelse avseende Behandlingen. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag.

Information om Behandlingen får inte lämnas till den Registrerade, tillsynsmyndighet eller tredje man utan skriftligt medgivande från den Personuppgiftsansvarige, såvida det inte framgår av tvingande lag att information ska lämnas. Biträdet ska bistå med förmedling av den informationen som omfattas av ett medgivande eller lagkrav.

Bestämmelser om sekretess i detta PUB-avtal ska fortsätta gälla även om PUB-avtalet i övrigt upphör att gälla.

6 Granskning, tillsyn och revision

Biträdet ska utan onödigt dröjsmål som en del av sina garantier, enligt artikel 28.1 i Dataskyddsförordningen, på den Personuppgiftsansvariges begäran kunna redovisa vilka tekniska och organisatoriska säkerhetsåtgärder som används för att Behandlingen ska uppfylla kraven enligt PUB-avtalet och artikel 28.3.h i Dataskyddsförordningen.

Den Personuppgiftsansvarige äger rätt att, själv eller genom annan av denne utsedd tredje part (som inte får vara en konkurrent till Biträdet), följa upp att Biträdet uppfyller PUB-avtalets, Instruktionernas och Dataskyddslagstiftningens krav. Biträdet ska vid sådan granskning bistå den Personuppgiftsansvarige, eller den som utför granskningen i den Personuppgiftsansvariges ställe, med den dokumentation som behövs för att kunna granska Biträdets efterlevnad av PUB-avtalet, Instruktioner och Dataskyddslagstiftningen. Den Personuppgiftsansvarige ska säkerställa att personal som genomför granskningen är underkastade sekretess eller tystnadsplikt enligt lag eller avtal.

Biträdet ska bereda tillsynsmyndighet, eller annan myndighet som har laglig rätt till det, möjlighet att göra tillsyn enligt myndighetens begäran i enlighet med vid var tid gällande lagstiftning, även om sådan tillsyn annars skulle stå i strid med bestämmelserna i PUB-avtalet.

7 Rättelser och radering m.m.

För det fall den Personuppgiftsansvarige begärt rättelse eller radering på grund av Biträdets felaktiga Behandling ska Biträdet vidta lämplig åtgärd utan onödigt dröjsmål från det att Biträdet mottagit erforderlig information från den Personuppgiftsansvarige. När den Personuppgiftsansvarige begärt radering får Biträdet endast utföra Behandling av den aktuella Personuppgiften som ett led i processen för rättelse eller radering.

Om tekniska och organisatoriska åtgärder (t.ex. uppgraderingar eller felsökningar) vidtas av Biträdet, vilka kan väntas påverka Behandlingen, ska Biträdet skriftligt informera den Personuppgiftsansvarige om detta.

8 Personuppgiftsincidenter

Biträdet ska ha förmåga att återställa tillgängligheten och tillgången till Personuppgifterna i rimlig tid vid en fysisk eller teknisk incident enligt artikel 32.1.c i Dataskyddsförordningen.

Biträdet åtar sig att med beaktande av Behandlingens art, och den information som Biträdet har att tillgå, bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en Personuppgiftsincident beträffande Behandlingen. Personuppgiftsbiträdet ska på den Personuppgiftsansvariges begäran även bistå med att utreda misstankar om eventuell obehörigs Behandling och/eller åtkomst till Personuppgifterna.

Vid Personuppgiftsincident, ska Biträdet utan onödigt dröjsmål skriftligen underrätta den Personuppgiftsansvarige om händelsen. Biträdet ska, med beaktande av typen av Behandling och den information som Biträdet har att tillgå, tillhandahålla den Personuppgiftsansvarige en skriftlig beskrivning av Personuppgiftsincidenten.

9 Överföring av personuppgifter till tredje land

Biträdet ska säkerställa att Personuppgifterna hanteras och lagras inom EU/EES.

Personuppgiftsansvarig äger rätt att med omedelbar verkan säga upp Anslutningsavtalet om Biträdets förhållanden ändras så att Dataskyddslagstiftningen, eller tolkningen av den, ändras på ett för Behandlingen avgörande sätt.

10 Ansvar för skada i samband med behandling

Vid ersättning för skada i samband med Behandling som, genom fastställd dom eller förlikning, ska utgå till den Registrerade på grund av överträdelse av bestämmelse i PUB-avtalet, Instruktioner och/eller tillämplig bestämmelse i Dataskyddslagstiftningen ska artikel i 82 i Dataskyddsförordningen tillämpas.

Sanktionsavgifter enligt artikel 83 i Dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska bäras av den av PUB-avtalets parter som påförts en sådan avgift.

Om endera part får kännedom om omständighet som kan leda till skada för motparten ska parten omedelbart informera motparten om förhållandet och aktivt arbeta tillsammans med motparten för att förhindra och minimera sådan skada.

11 Skyldigheter efter Behandlingens upphörande

Vid uppsägning av anslutningsavtalet ska den Personuppgiftsansvarige överföra samtliga personuppgifter från lagringsytan till Personuppgiftsansvariges egen it-miljö eller begära att Biträdet raderar dem. Personuppgiftsansvarige ska utan onödigt dröjsmål begära att biträdet överlämnar annan tillhörande information såsom loggar, instruktioner, beskrivningar och andra handlingar som Biträdet erhållit genom informationsutbyte till Personuppgiftsansvarige eller begära att Biträdet raderar informationen.

Överföring och radering av personuppgifter ska vara utförda senast 30 dagar räknat från den tidpunkt anslutningsavtalet upphör att gälla. Behandling som utförs av Biträdet efter den tidpunkt som stadgas här är att betrakta som otillåten Behandling.