AVTAL
2021-01-01
VERSION 1.0
AVTAL
1 Inledning
Organisation:
Organisationsnummer:
kallat personuppgiftsansvarig och Lantmäteriet, organisationsnummer 202100–4888 nedan kallat personuppgiftsbiträde har denna dag träffat föl- jande Personuppgiftsbiträdesavtal, nedan kallat ”Avtalet”. I Avtalet kan av- talsparterna även, antingen för sig eller tillsammans, benämnas ”Part” re- spektive ”Parter”.
Detta avtal utgör en bilaga till av Parterna träffat avtal/överenskommelse om tillgängliggörande av datamängder via Nationella geodataplattformen, nedan kallat ”Producentavtalet”.
I Lantmäteriets roll som datavärd och samordnare av Nationella geoda- taplattformen för Smartare samhällsbyggnad enligt det nämnda Producent- avtalet kommer personuppgiftsbiträdet att behandla personuppgifter åt den personuppgiftsansvarige.
Personuppgiftsbiträdesavtalet har därför utformats för att säkerställa parter- nas uppfyllande av artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med av- seende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsför- ordning), här benämnd ”Dataskyddsförordningen”.
I Avtalet anges rättigheter och skyldigheter för den personuppgiftsansvarige och personuppgiftsbiträdet vid behandling av personuppgifter på uppdrag av den personuppgiftsansvarige. Avtalet undantar inte personuppgiftsbiträdet från skyldigheter som personuppgiftsbiträdet omfattas av enligt
Dataskydds-förordningen eller annan lagstiftning.
Följande bilagor med den personuppgiftsansvariges instruktioner för biträ- dets behandling av personuppgifter utgör en integrerad del av bestämmel- serna i Avtalet. Begreppet ”Avtal” innefattar alltså detta dokument samt bi- lagorna, om inte annat uttryckligen anges.
Bilaga A, Information om behandlingen. Den innehåller Information om be- handlingen av personuppgifter, inklusive behandlingens syfte och art, typ av
Lantmäteriet, TELEFON 0000-00 00 00 E-POST xxxxxxxxxxxx@xx.xx WEBBPLATS xxx.xxxxxxxxxxxx.xx
personuppgifter, kategorier av registrerade och behandlingens varaktighet, etcetera.
Bilaga B, Instruktion för behandlingen. Den innehåller den personuppgifts- ansvariges anvisningar avseende behandlingen av personuppgifter, minimi- uppsättningen av de säkerhetsåtgärder som krävs av personuppgiftsbiträdet, samt hur granskningar av personuppgiftsbiträdet och eventuella underleve- rantörer ska utföras, etcetera.
Bilaga C, Underbiträden. Den innehåller en lista med underleverantörer som är godkända av den personuppgiftsansvarige.
Bilaga D, Övriga avtalsvillkor. En eventuell kompletterande bilaga kan vid behov användas för att beskriva frågor som inte omfattas av bilagorna A-C.
Vid motstridighet har bestämmelserna i Avtalet företräde framför bestäm- melser i andra avtal mellan parterna. I händelse av motsägelse mellan be- stämmelserna i Avtalet och i bilagorna, ska bilagorna ges företräde, om inte omständigheterna uppenbarligen föranleder annat.
Begrepp och termer i detta Avtal har samma betydelse som definierats i arti- kel 4 Dataskyddsförordningen. Begreppet datavärd innefattar en roll som in- begriper att lagra och tillgängliggöra för annan huvudmans räkning.
2 Personuppgiftsansvariges ansvar
Den personuppgiftsansvarige är ansvarig för att säkerställa att behandlingen av personuppgifter utförs i enlighet med Dataskyddsförordningen (se artikel 24 Dataskyddsförordningen) och tillämpliga nationella dataskyddsbestäm- melser och bestämmelser inom EU.
Den personuppgiftsansvarige har rätt och skyldighet att besluta om syftet och medel för behandlingen av personuppgifterna.
Den personuppgiftsansvarige är bland annat ansvarig för att den behandling av personuppgifter som personuppgiftsbiträden ombeds utföra har laglig grund.
3 Behandling ska ske enligt instruktionerna
Personuppgiftsbiträdet har inte rätt att behandla personuppgifterna för något annat syfte eller på annat sätt än vad som framgår av detta Avtal, om inte personuppgiftsbiträdet är skyldig att göra det enligt tvingande lagstiftning. Efterföljande, dokumenterade, anvisningar kan också ges av den personupp- giftsansvarige under behandlingen av personuppgifterna.
Om personuppgiftsbiträdet saknar behövliga instruktioner eller annan in- formation för att utföra personuppgiftsbehandlingen ansvarar denne för att inhämta sådana från den personuppgiftsansvarige. Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om dess instrukt- ioner och anvisningar enligt personuppgiftsbiträdets uppfattning inte följer Dataskyddsförordningen eller tillämpliga dataskyddsbestämmelser.
4 Sekretess och tystnadsplikt
Personuppgifterna får inte obehörigen röjas. Personuppgiftsbiträdet ska se till att samtliga personer under dess ledning och kontroll som får tillgång till och som behandlar personuppgifter enligt Avtalet undertecknar ett tydligt sekretessåtagande eller omfattas av lagstadgad tystnadsplikt.
Personuppgiftsbiträdet ska upprätta en förteckning över de personer som fått tillgång till personuppgifter. Förteckningen ska granskas och uppdateras re- gelbundet. En persons tillgång till personuppgifter ska återkallas om det inte längre är nödvändigt att han/hon har tillgång.
Personuppgiftsbiträdet ska på begäran av den personuppgiftsansvarige kunna visa att personer under dess ledning och kontroll iakttar ovannämnda sekretess.
Tystnadsplikt, sekretessåtagande och skyldigheter enligt offentlighets- och sekretesslagen (2009:400) gäller även efter Avtalets upphörande.
Personuppgiftsbiträdet ska utan dröjsmål skriftligen underrätta den person- uppgiftsansvarige om eventuella kontakter med tillsynsmyndighet som rör eller kan vara av betydelse för behandling av personuppgifterna. Personupp- giftsbiträdet har inte rätt att företräda den personuppgiftsansvarige eller agera för personuppgiftsansvarigs räkning gentemot tillsynsmyndigheter el- ler andra myndigheter i frågor som rör eller kan vara av betydelse för be- handling av personuppgifterna.
5 Säkerhetsåtgärder
I artikel 32 i Dataskyddsförordningen anges att med beaktande av den sen- aste utvecklingen, genomförandekostnader och behandlingens art, omfatt- ning, sammanhang och ändamål samt riskerna, av varierande sannolikhets- och allvarlighetsgrad, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
Den personuppgiftsansvarige ska utvärdera riskerna avseende fysiska perso- ners rättigheter och friheter vid behandlingen och vidta åtgärder för att minska dessa risker. Beroende på relevans kan dessa åtgärder inkludera föl- jande:
a) Pseudonymisering och kryptering av personuppgifter;
b) Möjligheten att säkerställa fortlöpande sekretess, integritet, tillgänglig- het och motståndskraft i systemen och tjänsterna för behandlingen;
c) Möjligheten att återställa tillgängligheten och tillgången till personupp- gifter inom rimlig tid vid en fysisk eller teknisk incident;
d) Ett förfarande för att regelbundet testa, undersöka och utvärdera effekti- viteten i de tekniska och organisatoriska åtgärder som ska säkerställa be- handlingens säkerhet.
Enligt artikel 32 i den allmänna dataskyddsförordningen ska personupp- giftsbiträdet även – fristående från den personuppgiftsansvarige – utvärdera
riskerna för fysiska personers rättigheter och friheter vid behandlingen och vidta åtgärder för att minska dessa risker. Det innebär att den personupp- giftsansvarige ska förse personuppgiftsbiträdet med all information som krävs för identifiering och utvärdering av sådana risker.
Dessutom ska personuppgiftsbiträdet bistå den personuppgiftsansvarige i att säkerställa efterlevnad av den personuppgiftsansvariges skyldigheter enligt artikel 32 i dataskyddsförordningen, genom att bland annat förse den per- sonuppgiftsansvarige med information avseende tekniska och organisato- riska åtgärder som redan har genomförts av personuppgiftsbiträdet enligt ar- tikel 32 i dataskyddsförordningen, samt all övrig information som krävs för att den personuppgiftsansvarige ska kunna fullgöra sin skyldighet enligt arti- kel 32.
Om den personuppgiftsansvarige bedömer att det utöver de åtgärder som re- dan vidtagits enligt artikel 32 i dataskyddsförordningen krävs att personupp- giftsbiträdet ska vidta ytterligare åtgärderför att minska identifierade risker, ska dessa åtgärder anges i bilaga B.
6 Användning av annat personuppgiftsbiträde
För att anlita ett annat personuppgiftsbiträde (nedan benämnt ”underbi-
träde”) för utförande av en specifik behandling på den personuppgiftsansva- riges vägnar ska personuppgiftsbiträdet se till att uppfylla de krav som anges i artikel 28.2 och 28.4 i Dataskyddsförordningen.
Personuppgiftsbiträdet får därför inte - för uppfyllande av sitt ansvar enligt detta Avtal - anlita ett underbiträde utan att den personuppgiftsansvarige först meddelat ett föregående specifikt skriftligt tillstånd, se stycket under detta.
Personuppgiftsbiträdet får enbart anlita underbiträde med ett specifikt för- handstillstånd från den personuppgiftsansvarige. Personuppgiftsbiträdet ska lämna in en begäran om ett specifikt tillstånd minst 60 dagar innan det be- rörda underbiträdet ska anlitas. En förteckning över de underbiträden som redan har godkänts av den personuppgiftsansvarige återfinns i bilaga C.
Om personuppgiftsbiträdet använder ett underbiträde för att utföra specifik behandling på uppdrag av den personuppgiftsansvarige, gäller samma data- skyddsskyldigheter som anges i Avtalet för underbiträdet genom avtal eller annan rättsakt enligt EU:s eller medlemsstatens rätt, i synnerhet avseende tillräckliga garantier att vidta lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Avtalet och Data- skyddsförordningen.
Personuppgiftsbiträdet ska därför kräva att underbiträdet som ett minimum fullgör de skyldigheter som gäller för personuppgiftsbiträdet enligt Avtalet, Dataskyddsförordningen och de nationella bestämmelserna.
En kopia av ett sådant underbiträdesavtal och efterföljande ändringar ska på begäran av den personuppgiftsansvarige skickas till den personuppgiftsan- svarige för att ge den personuppgiftsansvarige möjlighet att säkerställa att
samma dataskyddsskyldigheter som anges i Avtalet gäller för underbiträdet. Avtalsvillkor avseende verksamhetsrelaterade frågor som inte påverkar det rättsliga dataskyddsinnehållet i underbiträdesavtalet behöver inte lämnas till den personuppgiftsansvarige.
Om underbiträdet inte fullgör sina dataskyddsskyldigheter är personupp- giftsbiträdet helt ansvarigt inför den personuppgiftsansvarige när det gäller fullgörandet av underbiträdets skyldigheter. Detta påverkar inte de registre- rades rättigheter enligt Dataskyddsförordningen – särskilt de som föreskrivs i artiklarna 79 och 82 i dataskyddsförordningen – gentemot den personupp- giftsansvarige och personuppgiftsbiträdet, inklusive underbiträdet.
7 Överföring av personuppgifter till tredjeland
Personuppgiftsbiträdet får överföra personuppgifter till tredjeland eller inter- nationella organisationer endast om detta har skriftligen på förhand god- känts av den personuppgiftsansvarige, ska utförs i enlighet med dess doku- menterade instruktioner och i enlighet med kapitel V i Dataskyddsförord- ningen.
Om överföringar, som den personuppgiftsansvarige inte har anvisat att utfö- ras, krävs enligt EU:s eller medlemsstatens lagstiftning som omfattar per- sonuppgiftsbiträdet, ska personuppgiftsbiträdet informera den personupp- giftsansvarige om det rättsliga kravet innan behandlingen utförs, om inte så- dan information är förbjuden i lagstiftningen med hänsyn till allmänintres- set.
Utan dokumenterade anvisningar från den personuppgiftsansvarige har per- sonuppgiftsbiträdet därför inte rätt att inom ramen för detta Avtal
a) överföra personuppgifter till en personuppgiftsansvarig eller personupp- giftsbiträde i ett tredjeland eller i en internationell organisation,
b) överföra behandlingen av personuppgifter till ett underbiträde i ett tred- jeland, eller
c) låta personuppgifterna behandlas av ett personuppgiftsbiträde i ett tred- jeland.
Den personuppgiftsansvariges anvisningar avseende överföring av person- uppgifter till tredjeland, däribland, om tillämpligt, det överföringsverktyg enligt kapitel V i Dataskyddsförordningen som de bygger på, ska anges i bi- laga B.
8 Stöd till personuppgiftsansvarig
Personuppgiftsbiträdet ska, med beaktande av behandlingens art, bistå den personuppgiftsansvarige med lämpliga tekniska och organisatoriska åtgär- der, i den mån det är möjligt, i syfte att fullgöra den personuppgiftsansvari- ges skyldigheter att besvara förfrågningar om utövande av den registrerades rättigheter enligt kapitel III i Dataskyddsförordningen. Detta innebär att per- sonuppgiftsbiträdet, så långt det är möjligt, ska bistå den personuppgiftsan- svarige vid den personuppgiftsansvariges efterlevnad av
a) rätten till information när personuppgifter samlas i från den registrerade;
b) rätten till information när personuppgifter inte har erhållits från den regi- strerade;
c) den registrerades rätt till tillgång;
d) rätten till rättelse;
e) rätten till radering (”rätten att bli bortglömd”);
f) rätten till begränsning av behandling;
g) anmälningsskyldighet avseende rättelse eller radering av personuppgif- ter och begränsning av behandling;
h) rätten till dataportabilitet;
i) rätten att göra invändningar;
j) rätten att inte bli föremål för ett beslut som enbart grundas på automati- serad behandling, inbegripet profilering.
Personuppgiftsbiträdet ska dessutom, med beaktande av behandlingens art och den information som finns tillgänglig för personuppgiftsbiträdet, bistå den personuppgiftsansvarige för att säkerställa efterlevnad av
a) den Personuppgiftsansvariges skyldighet att utan dröjsmål och vid be- hov, inte senare än 72 timmar efter upptäckten, meddela personuppgifts- incidenten till tillsynsmyndigheten såvida inte personuppgiftsincidenten sannolikt inte innebär någon risk för fysiska personers rättigheter och friheter;
b) den Personuppgiftsansvariges skyldighet att utan dröjsmål underrätta den registrerade om personuppgiftsincidenten, när personuppgiftsinci- denten troligen resulterar i en hög risk för fysiska personers rättigheter och friheter;
c) den Personuppgiftsansvariges skyldighet att utföra en bedömning av den påverkan som de planerade behandlingsåtgärderna får på skyddet av per- sonuppgifter (en risk- och konsekvensbedömning av dataskyddet);
d) den Personuppgiftsansvariges skyldighet att samråda med den behöriga tillsynsmyndigheten, före behandlingen där en konsekvensbedömning av dataskyddet visar att behandlingen skulle innebära en hög risk om inga åtgärder vidtas av den person-uppgiftsansvarige för att minska risken.
Parterna ska i bilaga B ange de lämpliga tekniska och organisatoriska åtgär- der som personuppgiftsbiträdet ska bistå den personuppgiftsansvarige med, samt omfattningen för det stöd som krävs.
9 Personuppgiftsincident
Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident.
Personuppgiftsbiträdets underrättelse ska, om möjligt, göras inom 36 tim- mar efter att personuppgiftsbiträdet fått vetskap om incidenten, så att detta möjliggör för den personuppgiftsansvarige att fullgöra sin skyldighet att un- derrätta behörig tillsynsmyndighet, jfr artikel 33 i Data-skyddsförordningen.
I enlighet med avsnitt 8 ska personuppgiftsbiträdet bistå den personupp- giftsansvarige med att underrätta behörig tillsynsmyndighet om personupp- giftsincidenten och bistå vid insamlingen av den information som anges ne- dan, vilket enligt artikel 33.3 Dataskyddsförordningen ska ingå i den per- sonuppgiftsansvariges anmälan till behörig tillsynsmyndighet:
a) Personuppgiftens art, inbegripet, om så är möjligt, de kategorier av det ungefärliga antalet registrerade som berörs, samt de kategorier och un- gefärliga antal personuppgiftsposter som berörs;
b) De sannolika konsekvenserna av personuppgiftsincidenten;
c) De åtgärder som den personuppgiftsansvarige har vidtagit eller föresla- git för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämp- ligt, åtgärder för att mildra dess potentiella negativa effekter.
10 Granskning och insyn
Personuppgiftsbiträdet ska utan dröjsmål, på den personuppgiftsansvariges begäran, tillhandahålla all information som den personuppgiftsansvarige be- höver för att kunna granska efterlevnaden av de skyldigheter som anges i ar- tikel 28 Dataskyddsförordningen och detta Avtal. Personuppgiftsbiträdet ska även i övrigt underlätta och bidra till granskningar och inspektioner som ut- förs av den personuppgiftsansvarige eller annan granskare på uppdrag av den personuppgiftsansvarige.
Personuppgiftsansvarig har rätt att själv, eller genom oberoende tredje part, på egen bekostnad, genomföra granskning av personuppgiftsbiträdets be- handling av personuppgifter för den personuppgiftsansvariges räkning. Per- sonuppgiftsansvarig ska i god tid underrätta personuppgiftsbiträdet om dess avsikt att genomföra sådan granskning. Granskning ska genomföras under personuppgiftsbiträdets normala arbetstid och på sådant sätt att påverkan på personuppgiftsbiträdets verksamhet minimeras.
Vid anlitande av eventuellt underbiträde åtar sig personuppgiftsbiträdet att systematiskt granska underbiträdets behandling av personuppgifterna. Per- sonuppgiftsbiträdet ska säkerställa en rättighet för personuppgiftsansvarig att tillsammans med personuppgiftsbiträdet utföra granskning av underbi- träde.
Personuppgiftsbiträdet ska ge de tillsynsmyndigheter som enligt tillämplig lagstiftning har tillgång till den personuppgiftsansvariges och personupp- giftsbiträdets lokaler, eller ombud som agerar på uppdrag av sådana tillsyns- myndigheter, tillgång till personuppgiftsbiträdets fysiska lokaler vid uppvi- sande av relevant id-handling.
11 Skadeståndsansvar
Parternas ansvar för ersättning för skada som orsakats av personuppgiftsbe- handling och för administrativa sanktionsavgifter följer av artiklarna 82 och 83 i den allmänna dataskyddsförordningen samt av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Omfattningen eller fördelningen av skadeståndsansvaret mellan parterna el- ler ansvaret för administrativa sanktionsavgifter enligt vad som följer av till- lämpning av 11.1 ovan påverkas inte av vad som i övrigt kan ha reglerats mellan parterna i Producentavtalet.
12 Avtalstid och radering av personuppgifter
Avtalet träder i kraft när båda parterna har undertecknat det.
Avtalet gäller tillsvidare och upphör först när personuppgiftsbiträdet slutat behandla personuppgifter för personuppgiftsansvarigs räkning.
När personuppgiftsbehandlingen avslutas ska personuppgiftsbiträdet åter- lämna alla personuppgifter till den personuppgiftsansvarige - på det sätt och i det format den personuppgiftsansvarige bestämmer - och radera befintliga kopior, såvida inte det på grund av lag, förordning, myndighetsföreskrifter eller beslut krävs att personuppgifterna lagras. Närmare instruktioner om återlämnande och radering ges i instruktionerna.
För det fall personuppgiftsbiträdet på grund av lag, förordning, myndig- hetsföreskrifter eller beslut är skyldigt att behålla personuppgifter även efter det att behandlingen avslutats får dessa uppgifter endast användas för det ändamål som framgår av den bestämmelse som föranleder att personuppgif- terna behålls. Personuppgiftsansvarig ska skriftligen informeras.
13 Lagval och tvistelösning
Tolkning och tillämpning av avtalet ska ske enligt svensk rätt. Tvister mel- lan parterna ska avgöras av behörig svensk domstol.
14 Ändring av Xxxxxxx
Xxxxxxx parten har rätt att påkalla omförhandling av avtalsvillkoren om änd- ringar i lagstiftning, tolkning av den, synliggjord personuppgiftsincident el- ler myndighetsbeslut, e.d., ger anledning till en sådan omförhandling.
Ändringar och tillägg i Avtalet ska vara skriftliga.
15 Parternas kontaktpunkter
Parterna ska använda följande kontakter/kontaktpunkter för detta Avtal. Vid förändringar avseende kontakter ska den andra parten omedelbart informe- ras.
För personuppgiftsansvarig:
Namn:
Roll:
Telefonnummer:
E-postadress:
För personuppgiftsbiträdet:
Namn: Xxxxx Xxxxxxxxx
Roll: Enhetschef, Verksamhetsområde Geodata
Telefonnummer: 000-00 00 00
E-postadress: xxxxx.xxxxxxxxx@xx.xx
16 Underskrift
Detta avtal har upprättats i två exemplar, varav parterna har tagit var sitt.
Ort och datum Ort och datum
Personuppgiftsansvarig, Personuppgiftsbiträdet, (ange organisation som är ansvarig) Lantmäteriet
Xxxxx Xxxxxxxxx
Namnförtydligande
Bilaga A Information om behandlingen
A.1 Ändamålet med behandlingen av personuppgifter
Personuppgiftsbiträdet ska behandla personuppgifter genom att lagra och tillgängliggöra uppgifter för konsumenter i den Nationella geodataplattfor- men för Smartare samhällsbyggnad. Personuppgiftsbiträdets ändamål med behandlingen är att uppfylla sina skyldigheter i egenskap av datavärd gente- mot producenten (den personuppgiftsansvarige) enligt Producentavtalet.
A.2 Behandlingens art
Personuppgiftsbiträdets behandling av personuppgifter på uppdrag av den personuppgiftsansvarige ska huvudsakligen avse:
• Behandling av personuppgifter som ingår i de datamängder som den per- sonuppgiftsansvarige överför till biträdet i egenskap av datavärd.
• Personuppgiftsbiträdet lagrar aktuella personuppgifter på sin server/i da- tabas i syfte att möjliggöra tillgängliggörande i nationella geodataplatt- formen.
• Personuppgiftsbiträdet genom direktåtkomst tillgängliggör aktuella per- sonuppgifter för visning och nedladdning för konsumenter i nationella geodataplattformen.
A.3 Typer av personuppgifter
Behandlingen inkluderar följande typer av personuppgifter om registrerade (personuppgiftsansvarige beskriver här typen av personuppgifter som be- handlas, exempelvis; Namn, Telefonnummer, Adress, Fastighetsbeteckning):
A.4 Kategorier av registrerade
Behandlingen inkluderar följande kategorier av registrerade (personupp- giftsansvarige beskriver här kategorin av registrerade, exempelvis; Fastig- hetsägare, Tjänstemän):
Bilaga B Instruktion för behandlingen
B.1 Föremål/instruktion för behandlingen
Personuppgiftsbehandlingen avser personuppgifter som ingår i de data- mängder som personuppgiftsansvarige överför till biträdet i egenskap av datavärd.
Personuppgiftsbiträdet ska lagra aktuella personuppgifter på sin server/i da- tabas i syfte att möjliggöra tillgängliggörande i Nationella geodataplattfor- men.
Personuppgiftsbiträdet ska tillgängliggöra aktuella personuppgifter genom direktåtkomst för visning och nedladdning för användare i Nationella geoda- taplattformen.
B.2 Säkerhet vid behandling
Nödvändiga krav för säkerhetsnivån med hänsyn till arten omfattningen, in- nehållet och syftet med behandlingen samt risken för fysiska personers rät- tigheter och friheter anges nedan.
Säkerhetsåtgärder som personuppgiftsbiträdet åtminstone ska vidta vid be- handlingen av personuppgifter:
Avseende | Åtgärd/krav |
Sekretess/integritet/tillgänglig- het/motståndskraft i behandlingssy- stemen | Rutiner för tilldelning och borttag av behörigheter. Logisk åtkomst- kontroll genom kontroll av behörig- heter. Skydd mot skadlig kod. Backup och Disaster Recovery i en- lighet med gällande Xxxxxxxxx- xxxxx. |
Återställande och tillgång till upp- gifter efter incident | Säkerhetskopior. Backup och Disaster Recovery i en- lighet med gällande Xxxxxxxxx- xxxxx. |
Processer för utvärdering av säker- hetsåtgärdernas effektivitet | Säkerhetsverifieringar. Omvärldsanalys om förutsättning- arna förändras. Då görs bedömning om ny säkerhetsverifiering är nöd- vändig. |
Skydda data under överföring | All överföring är krypterad. |
Skydda data vid lagring | Datamängderna är logiskt separe- rade samt behörighetskontroll. |
Avseende | Åtgärd/krav |
Fysiskt skydd av behandlingsplat- ser | Fysisk åtkomstkontroll, skydd mot brand, strömbortfall och vattenläck- age. |
Loggning/spårbarhet | Spårbarhet avseende läsning, för- ändring och radering av uppgifter. Loggning av system- och program- händelser. |
Reparation/service | I enlighet med gällande Serviceåta- gande. |
Reparation/service | I enlighet med gällande Serviceåta- gande. |
B.3 Stöd till den personuppgiftsansvarige
A) Personuppgiftsbiträdet ska på webbplatsen för Nationella geodataplatt- formen tillhandahålla allmän information om fördelningen av person- uppgiftsansvaret i syfte att tydliggöra för registrerade vart de kan vända sig för att utöva sin rätt till tillgång till information.
B) Personuppgiftsbiträdet ska vid inkommen begäran om registrerades rät- tigheter utan dröjsmål vidarebefordra begäran till den personuppgiftsan- svarige.
C) Personuppgiftsbiträdet ska på begäran från personuppgiftsansvarig i en- skilda fall, i den mån det är möjligt, bistå personuppgiftsansvarige med de personuppgifter som biträdet behandlar för personuppgiftsansvariges räkning i syfte att bistå den personuppgiftsansvarige att uppfylla skyl- digheter i förhållande till den registrerades rätt till tillgång till informat- ion.
D) Personuppgiftsbiträdet ska på begäran från personuppgiftsansvarig i en- skilda fall, i den mån det är möjligt, bistå personuppgiftsansvarige gäl- lande skyldigheter som rätten till rättelse, rätten till radering och rätten till begränsning kan medföra.
E) I samband med konsekvensbedömning ska personuppgiftsbiträdet bistå personuppgiftsansvarige med underlag från utförd risk- och sårbarhetsa- nalys avseende Nationella geodataplattformen.
B.4 Lagringsperioder/raderingsåtgärder
Personuppgifter lagras så länge Producentavtalet mellan personuppgiftsan- svarige och personuppgiftsbiträdet gäller.
Därefter raderas personuppgifterna automatiskt av personuppgiftsbiträdet. Vid avslutande av personuppgiftsbehandlingen ska personuppgiftsbiträdet hantera personuppgifterna i enlighet med avsnitt 12 Avtalstid och radering av personuppgifter.
B.5 Behandlingsplats
Personuppgiftsbehandlingen sker i Lantmäteriets servrar i Sverige.
B.6 Överföring till tredjeland
Om den personuppgiftsansvarige inte har angett anvisningar avseende över- föringen av personuppgifter till ett tredjeland i klausulerna eller i efterföl- jande dokument, har personuppgiftsbiträdet inte rätt att inom ramen för klausulerna utföra en sådan överföring.
B.7 Granskningar/inspektioner
Personuppgiftsbiträdet ska utan onödigt dröjsmål som en del av sina garan- tier, enligt artikel 28.1 i Dataskyddsförordningen, på den Personuppgiftsan- svariges begäran kunna redovisa vilka tekniska och organisatoriska säker- hetsåtgärder som används för att Behandlingen ska uppfylla kraven enligt PUB-avtalet och artikel 28.3.h i Dataskyddsförordningen.
Personuppgiftsbiträdet ska minst en (1) gång om året granska säkerheten av- seende Behandlingen genom en egenkontroll för att säkerställa att Behand- lingen följer PUB-avtalet. Resultatet av sådan egenkontroll ska på begäran delges den Personuppgiftsansvarige.
B.8 Incidenthantering
Personuppgiftsincident är varje säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av; obehörigt röjande av eller obehörig tillgång till personuppgift som behandlas.
Personuppgiftsbiträdet ska:
a) Tillhandahålla och vidta tekniska och praktiska åtgärder för att utreda misstankar om någon obehörigen behandlat eller haft obehörig åtkomst till personuppgifterna samt för att upptäcka oavsiktlig eller olaglig för- störing, förlust eller ändring av personuppgifterna.
b) Dokumentera bedömning av om en säkerhetsincident utgör en person- uppgiftsincident. Om det råder osäkerhet ska personuppgiftsbiträdet utan dröjsmål underrätta personuppgiftsansvarig.
c) Vid personuppgiftsincident eller försök till personuppgiftsincident ska personuppgiftsbiträdet utan dröjsmål underrätta personuppgiftsansvarig.
d) Dokumentera alla personuppgiftsincidenter och utan dröjsmål lämna dokumentation till den Personuppgiftsansvarige innehållandes beskriv- ning av
• personuppgiftsincidentens art innefattandes om möjligt, kategorier av samt ungefärligt antal av registrerade som berörs, och kategorier av och det ungefärliga antalet personuppgiftsposter som berörs
• kontaktuppgifter till de som har information
• sannolika konsekvenserna av personuppgiftsincidenten
• åtgärder som personuppgiftsbiträdet vidtagit eller föreslagit för att åt- gärda personuppgiftsincidenten inklusive eventuella åtgärder för att mildra incidentens negativa effekter.
e) Om det inte är möjligt att lämna all information samtidigt får personupp- giftbiträdet lämna den i omgångar utan dröjsmål.
f) Dokumentera uppföljande analys avseende om alla lämpliga tekniska skyddsåtgärder och alla lämpliga organisatoriska åtgärder vidtogs för att utan dröjsmål fastställa om en personuppgiftsincident inträffat. Doku- mentationen ska utan dröjsmål lämnas till den Personuppgiftsansvarige. Analysen ska utgå ifrån personuppgiftincidentens art, svårighetsgrad, följder samt negativa effekter.
Personuppgiftsansvariges kontaktuppgifter för personuppgiftsincidenter: Namn:
Roll:
Telefonnummer:
E-postadress:
Bilaga C Underbiträden
Godkända underleverantörer
Personuppgiftsansvarige godkänner följande underbiträden:
Namn: Organisationsnummer: Adress:
Beskrivning av behandlingen:
Namn: Organisationsnummer: Adress:
Beskrivning av behandlingen:
Namn: Organisationsnummer: Adress:
Beskrivning av behandlingen:
Namn: Organisationsnummer: Adress:
Beskrivning av behandlingen:
Namn: Organisationsnummer: Adress:
Beskrivning av behandlingen:
Namn: Organisationsnummer: Adress:
Beskrivning av behandlingen: