PERSONUPPGIFTSBITRÄDESAVTAL
Avtal enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/6791
Detta Personuppgiftsbiträdesavtal är träffat mellan:
(nedan kallad “Personuppgiftsansvarig”), organisationsnummer med adress
och Xxxxx.xx (nedan kallad “Personuppgiftsbiträde”), 556876-6728 Textila Idéateljén – slojd aktiebolag med adress Xxxxxxxxxxxxx 000, 000 00 Lund (gemensamt benämnda ”Parterna”).
1. Detta Personuppgiftsbiträdesavtal är en del av huvudavtal för Slöjd- Bildportfolio, se bilaga 3, om tillhandahållandet av tjänster som ingåtts mellan Kommunen/skolor i kommunen och Xxxxx.xx och ska läsas och förstås mot bakgrund av detta. Personuppgiftsbiträdesavtalet reglerar Personuppgiftsbiträdets behandling av Personuppgifter för Personuppgiftsansvarigs räkning.
2. Detta Personuppgiftsbiträdesavtal syftar till att säkerställa de registrerades fri- och rättigheter när Kommunen/skolorna anlitar ett Personuppgiftsbiträde vid behandling av personuppgifter och till att uppfylla artikel 28.3 Allmänna Dataskyddsförordningen EU 2016/679, i det följande kallad Dataskyddsförordningen.
Behandling av personuppgifter
Åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Dataskyddslag
Avser sådan integritets- och personuppgiftslagstiftning samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på den personuppgiftsbehandling som sker under detta Avtal, inklusive nationell sådan lagstiftning och EU Lagstiftning, såsom denna kan komma att förändras över tid.
Personuppgiftsansvarig
Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
Personuppgiftsbiträde
Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
1 Allmänna Dataskyddsförordningen EU 2016/679 föreskriver att det ska finnas ett skriftligt avtal om Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning.
2 Jfr. artikel 4 Allmänna dataskyddsförordningen EU 2016/679
Personuppgifter
Varje upplysning som avser en identifierad eller identifierbar fysisk person (registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online- identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgiftsincident
En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Register
En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
Registrerad
Den som personuppgiften avser.
Tredje land
En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.
3. BEHANDLINGENS AV PERSONUPPGIFTER, ÄNDAMÅL
Syftet med behandlingen av personuppgifterna: Slöjd- och Bildportfolio är en plattform där elever vid anslutna skolor kan skapa ett konto och samla sin egen portfolio. Eleverna kan lägga upp text och bild på sina alster som kan ses av elev och skolans lärare när de är inloggade. Lärarna kan via sina lärarkonton ta del av elevernas dokumentation och ge feedback samt instruktioner via Slöjd- och Bildportfolio. Inga känsliga personuppgifter ska registreras i Slöjd- och Bildportfolio.
Personuppgiftsbiträdet får endast behandla den Personuppgiftsansvariges personuppgifter i enlighet med syftet i avtalet.
4. PERSONUPPGIFTSANSVARIGES ANSVAR
1. 4.1 Den Personuppgiftsansvarige åtar sig att säkerställa att det finns en laglig grund för aktuella behandlingar enligt punkt 3 och att utforma skriftliga instruktioner för att Personuppgiftsbiträdet och eventuella underbiträden ska kunna fullgöra sitt uppdrag enligt detta personuppgiftsbiträdesavtal (bilaga 1).
2. Den Personuppgiftsansvarige åtar sig att utan dröjsmål informera Personuppgiftsbiträdet om förändringar i behandlingen vilka påverkar Personuppgiftsbiträdets skyldigheter enligt gällande Dataskyddslag eller annan relevant lagstiftning.
5. PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN
3. Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifterna för de syften som anges i punkt 3 av detta avtal och följa gällande Dataskyddslagen eller annan relevant lagstiftning med avseende på behandling av personuppgifter.
4. Personuppgiftsbiträdet ska vidta åtgärder för att skydda Personuppgifterna mot förstöring, ändring, otillåten spridning och obehörig tillgång samt mot varje annat slag av otillåten behandling.
5. Personuppgiftsbiträdet åtar sig att säkerställa att samtliga personer som arbetar under dennes ledning följer vad som framgår av detta Personuppgiftsbiträdesavtal och vid var tid gällande instruktion från Personuppgiftsansvarig, samt informeras om relevant lagstiftning.
6. Personuppgiftsbiträdet ska vid behov assistera Personuppgiftsansvarig med att ta fram information som begärts av tredje man.
7. Den Personuppgiftsansvarige ansvarar för att informera registrerade om behandlingarna enligt avtalet och för att, i de fall det krävs, inhämta samtycke från den registrerade samt tillvarata de registrerades rätt till insyn och radering m.m.
8. Personuppgiftsbiträdet åtar sig att vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med gällande dataskyddslagstiftning för att skydda personuppgifterna.
9. Personuppgiftsbiträdet ska aktivt begränsa åtkomsten till personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av avtalen mellan Personuppgiftsbiträdet och Personuppgiftsansvarig.
10. Personuppgiftsbiträdet och den personal som arbetar under detta Personuppgiftsbiträdesavtal ska vid behandling av personuppgifter iaktta sekretess, såväl handlingssekretess som tystnadsplikt. Personuppgifterna, information, beskrivningar eller andra handlingar som Personuppgiftsbiträdet erhåller genom informationsutbyte enligt detta Personuppgiftsbiträdesavtal eller annat avtal parterna emellan får inte utnyttjas eller röjas för annat ändamål än som framgår av detta Personuppgiftsbiträdesavtal eller annat avtal parterna emellan, vare sig direkt eller indirekt, om inte Personuppgiftsansvarig på förhand skriftligen medgivit detta.
11. Personuppgiftsbiträdet åtar sig att tillse att samtliga anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar personuppgifterna är bundna av en sekretessförbindelse.
8. GRANSKNING, TILLSYN OCH REVISION
12. Personuppgiftsbiträdet ska utan dröjsmål, på Personuppgiftsansvariges begäran, tillhandahålla all information, t.ex. tekniska och organisatoriska säkerhetsåtgärder som den Personuppgiftsansvarige behöver för att kunna granska och utöva sin insyn i
Personuppgiftsbiträdets behandling av personuppgifter som följer av detta Personuppgiftsbiträdesavtal.
13. Personuppgiftsansvarig äger rätt att, själv eller genom annan av denne utsedd tredje part (som inte ska vara en konkurrent till Personuppgiftsbiträdet) följa upp att Personuppgiftsbiträdet lever upp till den Personuppgiftsansvariges krav på Behandlingen. Personuppgiftsbiträdet ska vid sådan uppföljning bistå Personuppgiftsansvarig eller den som utför granskningen med dokumentation och tillgång till IT-system som behövs för att kunna följa upp Personuppgiftsbiträdets efterlevnad av detta Personuppgiftsbiträdesavtal.
9. RÄTTELSE OCH RADERING AV PERSONUPPGIFTER SAMT DRIFT OCH UNDERHÅLL Personuppgiftsbiträdet åtar sig att utan dröjsmål vidta rättelse (rätta eller radera) felaktiga eller ofullständiga personuppgifter efter instruktioner från Personuppgiftsansvarig.
Efter det att Personuppgiftsansvarig skriftligen begärt rättelse av personuppgift får Personuppgiftsbiträdet endast behandla personuppgiften som ett led i rättelseprocessen och åtar sig att vidta åtgärden utan dröjsmål, dock senast inom 90 dagar.
1. Personuppgiftsbiträdet ska tillhandahålla och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till Personuppgifterna. Vid obehörig Behandling, obehörig åtkomst, förstörelse eller ändring av Personuppgifter, samt försök till dessa, ska Personuppgiftsbiträdet omedelbart skriftligen underrätta Personuppgiftsansvarig om händelsen.
2. Personuppgiftbiträdet åtar sig att assistera den Personuppgiftsansvarige att fullgöra dennes skyldigheter enligt Artikel 32 i Dataskyddsförordningen. Personuppgiftsincidenter, intrångsförsök eller annat bedrägligt förfarande för att få åtkomst till den Personuppgiftsansvariges personuppgifter ska enligt artikel 33 i Dataskyddsförordningen utan dröjsmål anmälas av Personuppgiftsbiträdet till den Personuppgiftsansvarige.
3. Personuppgiftsbiträdet ska tillhandahålla Personuppgiftsansvarig en beskrivning av personuppgiftsincidenten. En sådan ska
a) redogöra för personuppgiftsincidentens art och, om möjligt, de kategorier och antalet registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
b) redogöra för de sannolika konsekvenserna av personuppgiftsincidenten, och
c) redogöra för de åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra personuppgiftensincidentens potentiella negativa effekter.
Om Personuppgiftsbiträdet avser att anlita Underbiträden ska denne tillhandahålla information om vilken typ av uppgifter och kategorier av registrerade ett visst Underbiträde ska befatta sig med samt dess kapacitet och förmåga att leva upp till sina skyldigheter enligt Dataskyddslag och annan relevant lagstiftning med avseende på behandling av personuppgifter.
Se bilaga 2.
12. ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND OCH LOKALISERING
Xxxxx.xx lagrar allt inom EU. Ingen överföring till tredje land förekommer.
1. Personuppgiftsbiträdet åtar sig att hålla Personuppgiftsansvarig skadeslös för materiell eller immateriell skada till följd av att Personuppgiftsansvarig är skyldig att utge skadestånd till någon enligt artikel 82 i Dataskyddsförordningen, om den Behandling av Personuppgifter som ligger till grund för skadeståndsersättningen har utförts av Personuppgiftsbiträdet eller ett underbiträde i strid med Dataskyddsförordningen eller detta Personuppgiftsbiträdesavtal.
2. Personuppgiftbiträdet åtar sig att även i övrigt hålla Personuppgiftsansvarig skadeslös för det fall Personuppgiftsansvarig drabbas av skada till följd av Personuppgiftsbiträdet behandling av Personuppgifter i strid med detta Personuppgiftsbiträdesavtal.
För detta avtal gäller svensk rätt. Eventuell tolkning eller tvist i anledning av avtalet, som parterna inte kan lösa på egen hand, ska avgöras av svensk allmän domstol.
15. TILLÄGG, ÄNDRING ELLER UPPSÄGNING AV AVTAL
1. Tillägg och ändringar av detta Personuppgiftbiträdesavtal ska, för att vara giltiga, vara skriftliga och undertecknas av båda Parter.
2. Parterna har rätt att påkalla omförhandling av detta avtal och andra bilagor, för det fall att
a) motpartens ägarförhållanden ändras väsentligt, eller
b) tillämplig lagstiftning eller tolkningen av den, ändras på ett sätt som påverkar behandlingen av personuppgifter som omfattas av detta avtal.
3. En begäran om ändring av endera parten innebär inte att Personuppgiftsbiträdesavtalet bryts utan endast att en omförhandling påbörjas.
16. AVTALSTID OCH UPPHÖRANDE AV BEHANDLING
1. Detta Personuppgiftsbiträdesavtal gäller tillsvidare och upphör först när Personuppgiftsbiträdet slutat behandla Personuppgifter för Personuppgiftsansvarigs räkning. När detta Personuppgiftsbiträdesavtal upphör, oavsett orsak, ska samtliga Personuppgifter raderas.
2. Biträdet åtar sig att radera samtliga Personuppgifter som behandlats enligt detta Personuppgiftsbiträdesavtal inom 365 dagar från uppsägningen.
3. Bestämmelser om sekretess i punkten 7 ska fortsätta att gälla även efter detta Personuppgiftsbiträdesavtal i övrigt upphört av xxxxx.
4. Vardera Part har rätt att skriftligen säga upp avtalet. Vid uppsägning av avtalet gäller en uppsägningstid om tre (3) månader.
Biträdesavtal har upprättats i två (2) exemplar, varav Parterna har tagit var sitt.
Behörig firmatecknare för Personuppgiftsbiträde
Ort och datum Lund
Underskrift
Namnförtydligande Xxxxx Xxxxxx Xxxxxxxxx
Behörig firmatecknare för Personuppgiftsansvarig
Ort och datum
Underskrift
Namnförtydligande
BILAGA 1 – Instruktion för hantering av Personuppgifter
Utöver vad som redan framgår av detta avtal ska Personuppgiftsbiträdet även följa nedanstående instruktioner:
Personuppgiftsbehandling
Ändamål | Slöjd- och Bildportfolio är en plattform där elever vid anslutna skolor kan skapa ett konto och samla sin egen portfolio. Eleverna kan lägga upp text och bild på sina alster som kan ses av elev och skolans lärare när de är inloggade. Lärarna kan via sina lärarkonton ta del av elevernas dokumentation och ge feedback samt instruktioner via Slöjd- och Bildportfolio. |
Kategorier av personuppgifter (Specificera kategorier av personuppgifter som kommer att behandlas av Personuppgiftsbiträdet.) | Lärare: namn, e-post samt skola Elev: namn, e-post, födelseår samt skola Inga känsliga personuppgifter ska registreras i Slöjd- och Bildportfolio. Inga betyg anges endast dokumentation och dialog kring elevers slöjdarbeten. |
Kategorier av registrerade | Lärare och elever |
Gallringstid | Lärare kan radera elevers personuppgifter. Personuppgiftsbiträdet kan radera elever och lärare efter önskemål och om avtalet upphör. Elevers personuppgifter raderas per 90 dagar efter det att de lämnat grundskolan |
Lagring | Slöjd- och Bildportfolio är tillgängliga online. Alla uppgifter finns lagrade på Slöjd.nus servrar på det svenska företaget Glecys, Personuppgiftsunderbiträdesavtal finns. |
Loggar | Systemet loggar när elever och lärare varit inloggade senast. Systemet visar även när elevernas alster skapas och senast redigerats. |
Personuppgiftsbiträdet anlitar företaget Glecys Internet Services AB org nr 556647-9241 med säte i Falkenberg för backup av Slöjd- och Bildportfolio.
Personuppgiftsbiträdet har tecknat Personuppgiftsunderbiträdes avtal med Glecys Internet Services AB.
Personuppgiftsbiträdet lagrar ingenting i tredje land.
Abonnemangsavtal
Textila Idéateljén - Slojd Aktiebolag, org. nr 556876-6728 (”Xxxxx.xx”) och
(”Skolan”),
hädanefter kallat ”Parterna”, har på denna dag ingått följande abonnemangsavtal (”Avtal”) avseende tillgång till Slöjdportfolio Bildportfolio (”Tjänsten”).
1.Tjänsten och Användning
Tjänsten är en plattform där Skolans elever kan skapa ett konto och samla sin egen portfolio. Eleverna kan lägga upp text och bild på sina alster som kan ses av elev och skolans lärare när de är inloggade. Lärarna kan via sina lärarkonton ta del av elevernas dokumentation och ge feedback samt instruktioner via Tjänsten. Tjänsten fungerar även som en inspirationskälla för andra, i de fall eleven valt att visa sitt alster på den allmänna söksidan.
2. Kostnader
Xxxxx.xx debiterar Skolan en uppläggningsavgift på 1495 kr (engångskostnad, ex moms), samt en löpande lagringsavgift 395 kr per termin (ex moms).
Om inte annat överenskommits ska betalning ske senast trettio (30) dagar efter fakturadatum. Vid Skolans dröjsmål med betalningen ska Xxxxx.xx ha rätt att kräva dröjsmålsränta på det vid varje tillfälle utestående beloppet med en räntesats om åtta (8) procent per månad tills full betalning har erlagts. Xxxxx.xx har även rätt att ta ut en påminnelseavgift.
3. Åtaganden för Xxxxx.xx
Xxxxx.xx åtar sig att underhålla och uppdatera Tjänsten samt att fortlöpande säkerhetskopiera allt material i databasen. Xxxxx.xx skall säkerställa att Skolan får tillgång till inlagda bilder och texter i Tjänsten under hela avtalstiden.
4. Åtaganden för Skolan
Xxxxxx ansvarar för att informera elever om användningen av Tjänsten och att det material som publiceras i databasen är slöjdrelevant. Detta förutsätter att Skolan granskar det material som elev laddar upp innan publicering tillåts.
5. Äganderätt
Varje elev har äganderätt på sina bilder och texter som laddas upp på Tjänsten. Skolan ger dock Xxxxx.xx, en rätt att efter elevers bilder publicerats på Tjänsten, använda dessa bilder på Tjänstens öppna sida i syfte att verka som inspiration. Skolan ansvarar för att inhämta samtycke från elev till att Xxxxx.xx får använda bilderna på inspirationssidan. På denna inspirationssida är elevernas personuppgifter avidentifierade.
6. Force Majeure
Xxxxx.xx är befriad från påföljd för underlåtenhet att fullgöra sina förpliktelser enligt Avtalet, om underlåtenheten beror på omständighet som ligger utanför Parts kontroll och som Parten inte kunde eller borde ha förutsett eller skäligen tagit i beräkning vid tiden för avtalets ingående, t.ex. krig, inbördeskrig, eldsvåda, översvämning, avbrott i allmänna kommunikationer, avbrott i den allmänna energiförsörjningen eller därmed jämställd omständighet.
7. Avtalstid och Uppsägning
Detta Avtal gäller från den dagen då det undertecknats av båda Parter fram till kommande årsskifte. Om Avtalet inte sagts upp 3 månader före Avtalets upphörande, förlängs Avtalet automatiskt med ett år i taget. Uppsägning av Avtalet skall ske skriftligen.
8. Personuppgifter
Xxxxx.xx behandlar personuppgifter endast i enlighet med gällande personuppgiftlagstiftning och Dataskyddsförordningen (GDPR). Xxxxx.xx verkar som personuppgiftsbiträde där skolan är personuppgiftsansvarig. För att upprätta ett personbiträdesavtal kontakta Xxxxx.xx.
Om elev eller vårdnadshavare vill att elev ska bli borttagen från Tjänsten, har lärare på Skolan möjlighet att radera uppgifterna. Meddelande kan även skickas till Xxxxx.xx som kan att ta bort elevens material och uppgifter.
9. Ändringar och Tillägg
Ändringar av och tillägg till Avtalet är bindande endast om de är skriftliga och undertecknade av båda Parter. Xxxxx.xx förbehåller sig dock rätten att, senast tre månader före påföljande års början, justera terminsavgiften.
10. Fel i Tjänsten
I det fall Tjänsten inte fungerar ska Skolan omgående meddela Xxxxx.xx detta. Xxxxx.xx förbehåller sig rätten att från tid till annan att göra underhåll på Tjänsten vilket innebär att Tjänsten inte är tillgänglig under denna tid.
11. Tillämplig lag och Tvist
På detta Avtal tillämpas svensk lag. Tvist ska i första hand lösas genom förhandling och överenskommelse. Om Parterna inte kan enas kan tvisten lösas av svensk domstol.
Lund O r t o c h
Datum
Xxxxx Xxxxxxxxx Namnförtydligande:
VD, Xxxxx.xx : Avtalet har upprättats i två (2) originalexemplar, av vilka Parterna tagit var sitt.