Contract
DOKUMENT Göteborgs stifts allmänna villkor för personuppgiftsbehandling vid nyttjande av administrativa tjänster eller IT-tjänster | DIARIENUMMER S 2021-0606 | ||
BESLUTSFATTARE Stiftsdirektor | DATUM 2023-02-24 | DOKUMENTTYP Allmänna villkor |
Allmänna villkor för personuppgiftsbehandling
vid nyttjande av administrativa tjänster eller IT-tjänster som tillhandahålls av Göteborgs stift
1 Tillämpningsområde och struktur
Dessa allmänna villkor för personuppgiftsbehand- ling reglerar rättigheter och skyldigheter då Göteborgs stift (”Stiftet”) tillhandahåller administrativa tjänster och/eller IT-tjänster (”Tjänsten” eller var för sig ”Tjänst”) till en regi- strerad organisatorisk del av Svenska kyrkan, dvs. stift, församling, pastorat eller annan kyrklig samfällighet, (”Enhet”/”Enheten”). Stiftet och Enheten benämns gemensamt ”Parterna” eller var för sig ”Part”/”Parten”.
De villkor som vid var tid gäller för personupp- giftsbehandling för respektive Tjänst återges på:
Dokument uppdragstjänster - Göteborgs stift (xxxxxxxxxxxxx.xx)
Dessa allmänna villkor, tillsammans med särskil- da villkor för personuppgiftsbehandling för Tjänsten ifråga, utgör Parternas avtal om personuppgiftsbehandling för Tjänsten (”Biträdesavtalet”). Biträdesavtalet utgör ett komplement till Parternas tjänstespecifika avtal avseende Tjänsten.
Biträdesavtalet reglerar endast behandling av personuppgifter som Stiftet utför för Enhetens räkning inom ramen för Tjänsten. Vid behand- lingen är Enheten personuppgiftsansvarig och Stiftet personuppgiftsbiträde. Biträdesavtalet syftar till att Stiftet och Enheten ska kunna uppfylla kravet på personuppgiftsbiträdesavtal enligt artikel 28 dataskyddsförordningen.
För det fall motstridiga uppgifter skulle före- komma mellan Biträdesavtalet och det tjänstespecifika avtalet om Tjänsten som
omnämns i punkten 0, ska detta Biträdesavtal äga företräde.
2 Instruktion avseende behandlingen
Stiftet får endast behandla personuppgifter som behandlas inom ramen för Tjänsten enligt Enhetens dokumenterade instruktioner, såvida inte Stiftet har en skyldighet att behandla personuppgifterna enligt tillämplig dataskydds- lagstiftning. I sådana fall ska Stiftet informera Enheten om sådan skyldighet innan behandlingen påbörjas, i den mån det är tillåtet för Stiftet att lämna sådan information till Enheten enligt aktuell reglering.
Enhetens dokumenterade instruktioner framgår av dessa allmänna villkor och de särskilda villkor för personuppgiftsbehandling som gäller för Tjänsten. Avser Enheten ändra sina instruktioner på så sätt att de inte längre följer vid var tid gällande versioner av nämnda allmänna och särskilda villkor, ska Enheten omgående sluta använda Tjänsten. Att Enheten slutar använda Tjänsten enligt denna bestämmelse påverkar dock inte Enhetens skyldighet att fullgöra sina betalningsåtaganden för Tjänsten.
Stiftet ska omedelbart informera Enheten om en instruktion anses strida mot GDPR eller mot annan dataskyddslagstiftning.
3 Säkerhet och sekretess
Stiftet ska vid var tid vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas enligt detta Biträdesavtal. Stiftet är skyldig att vid var tid
fullgöra sina rättsliga förpliktelser avseende informationssäkerhet enligt tillämplig dataskyddslagstiftning, inbegripet att säkerställa att personuppgifterna skyddas mot personuppgiftsincidenter.
Stiftet ska säkerställa att endast sådan personal som behöver ha tillgång till personuppgifterna för att kunna fullgöra Stiftets skyldigheter enligt detta Biträdesavtal får tillgång till sådana personuppgifter. Stiftet ska säkerställa att all sådan personal har åtagit sig att iaktta konfidentialitet eller omfattas av lämplig lag- stadgad tystnadsplikt.
4 Rapportering av personuppgiftsincidenter
Stiftet ska utan onödigt dröjsmål underrätta Enheten efter att ha fått vetskap om en person- uppgiftsincident. En sådan underrättelse ska, med beaktande av typen av behandling och den information som Stiftet har att tillgå, åtminstone beskriva:
a) personuppgiftsincidentens art, och, om möjligt, de kategorier av, och det ungefärliga antalet, registrerade som berörs samt de kategorier av, och det ungefärliga antalet, personuppgiftsposter som berörs,
b) namnet på och kontaktuppgifterna för Stiftets dataskyddsombud, eller andra kontaktpunkter där mer information kan erhållas,
c) de sannolika konsekvenserna av personuppgifts- incidenten, och
d) de åtgärder som har vidtagits eller bör vidtas av Stiftet för att åtgärda personuppgiftsincidenten eller mildra dess potentiella negativa effekter.
5 Utlämnande av personuppgifter och kontakt med myndigheter
Stiftet har inte rätt att utan föregående skriftligt medgivande från Enheten lämna ut eller på annat sätt tillgängliggöra personuppgifter som behandlas enligt Biträdesavtalet till annan än Enheten eller underbiträden, om annat inte följer av kyrkoordningen, svensk lag eller EU- lagstiftning, domstols- eller myndighetsbeslut.
Om en registrerad person till Stiftet framställer en begäran om att få utöva sina rättigheter enligt kapitel III dataskyddsförordningen ska Stiftet utan dröjsmål hänskjuta en sådan begäran till Enheten.
Stiftet ska utan dröjsmål informera Enheten om eventuella kontakter med behörig tillsyns- myndighet eller annan tredje part som rör, eller kan vara av betydelse för, Stiftets behandling av personuppgifter enligt Biträdesavtalet. Stiftet
får därvid inte utan särskild överenskommelse handla för Enhetens räkning eller som ombud för denne.
Om Stiftet enligt kyrkoordningen, svensk lag eller EU-lagstiftning, domstols- eller myndighetsbeslut är skyldig att lämna ut information som rör behandlingen av personuppgifter enligt Biträdesavtalet, ska Stiftet omgående först informera Enheten om detta, om annat inte följer av aktuell lag, domstols- eller myndighetsbeslut.
6 Underbiträden
Stiftet har Enhetens allmänna tillstånd att anlita underbiträden, dvs. underleverantör för behandling av personuppgifter. Enheten godkänner detta anlitande genom sin anslutning till Tjänsten. De underbiträden som Stiftet använder sig av publiceras på:
Dokument uppdragstjänster - Göteborgs stift (xxxxxxxxxxxxx.xx)
Stiftet ska senast en månad innan den avser att anlita nytt underbiträde eller ersätta underbiträde informera Enheten om detta. Från det att Enheten har informerats enligt föregående mening, har Enheten rätt att invända mot förändringen och genast när det nya underbiträdet börjar användas säga upp och sluta använda Tjänsten. Under Tjänstens uppsägningstid kan Enheten således inte använda Tjänsten. Att Enheten slutar använda Tjänsten enligt denna bestämmelse påverkar dock inte Enhetens skyldighet att fullgöra sina betalningsåtaganden för Tjänsten.
Stiftet ska tillse att samtliga godkända underbiträden är bundna av skriftliga avtal som ålägger underbiträdena samma skyldigheter avseende personuppgiftsbehandlingen som de skyldigheter som gäller enligt Biträdesavtalet. Om ett godkänt underbiträde inte fullgör de skyldigheter avseende dataskydd som följer enligt Biträdesavtalet och tillämplig data- skyddslagstiftning är Stiftet fullt ansvarigt gentemot Enheten för utförandet av underbi- trädets skyldigheter.
7 Tredjelandsöverföringar
Enheten godkänner att Stiftet får överföra och/eller på annat sätt behandla personuppgifter utanför EU/EES. Om Stiftet påbörjar nya överföringar eller behandling av person- uppgifter utanför EU/EES avseende Tjänsten, ska Stiftet informera Enheten om detta. Sådana
överföringar och/eller behandlingar ska också förtecknas och publiceras på:
Avtal och uppstart - Göteborgs stift (xxxxxxxxxxxxx.xx)
Om personuppgifter överförs till plats utanför EU/EES ska Stiftet säkerställa att det finns en laglig grund för överföringen enligt tillämplig dataskyddslagstiftning, exempelvis genom EU- kommissionens standardklausuler. Stiftet ska ha rätt att ingå sådana standardklausuler för - Enhetens räkning med godkända underbiträden.
8 Stiftets skyldigheter att bistå Enheten
Om Enheten begär det ska Stiftet bistå Enheten vid fullgörandet av Enhetens skyldigheter enligt tillämplig dataskyddslagstiftning. Stiftet ska därvid:
a) genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt och med hänsyn tagen till behandlingens art, bistå Enheten med att fullgöra Enhetens skyldigheter att tillmötesgå de regi- strerades krav på utövande av sina rättigheter enligt tillämplig dataskyddslagstiftning,
b) bistå Enheten med att fullgöra Enhetens skyldig- heter att vidta lämpliga tekniska och organisatoriska åt- gärder för behandlingen av personuppgifter enligt Biträdesavtalet för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med personuppgifts- behandlingen,
c) i enlighet med punkten 4 ovan bistå Enheten med den information, den assistans och de resurser som rimligen kan krävas för att uppfylla Enhetens skyldig- het att anmäla personuppgiftsincidenter till tillsyns- myndigheter,
d) bistå Enheten med den information, den assistans och de resurser som rimligen kan krävas för att uppfylla Enhetens skyldighet att informera de registrerade om en personuppgiftsincident som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter,
e) bistå Enheten med att fullgöra Enhetens skyldighet att utföra konsekvensbedömningar för behandlingar enligt detta Biträdesavtal som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter, och
f) bistå Enheten med den information, den assistans och de resurser som rimligen kan krävas för att uppfylla Enhetens skyldighet att lämna information och doku- mentation till tillsynsmyndigheten med anledning av förhandssamråd.
9 Rätt till granskning
Enheten har rätt att vidta erforderliga åtgärder för att verifiera att Stiftet kan fullgöra sina skyldigheter enligt Biträdesavtalet och att Stiftet faktiskt har vidtagit de åtgärder som
xxxxx för att säkerställa att dessa skyldigheter fullgörs.
Stiftet förbinder sig att tillhandahålla Enheten all information som krävs för att visa att de skyldigheter som anges i Biträdesavtalet efter- levs, samt att möjliggöra för och medverka till sådan granskning, inklusive inspektioner på plats, som genomförs av Enheten eller annan granskare som utsetts av Enheten. En förutsättning är att de personer som utför granskningen ingår för uppgiften nödvändiga sekretessavtal.
Stiftets åtagande att tåla inspektion på plats enligt
9.2 gäller under förutsättning att kravet på granskning enligt tillämplig dataskyddslagstiftning inte kan uppfyllas på annat sätt.
10 Ansvar
Om tredje man riktar krav, inklusive eventuella slutligt ådömda administrativa sanktionsavgifter från tillsynsmyndighet, mot - Enheten på grund av Stiftets behandling av personuppgifter enligt detta Biträdesavtal ska - Stiftet hålla Enheten skadeslös för sådana krav och kostnader som är hänförliga till Stiftets behandling av personuppgifter i strid med tillämplig dataskyddslagstiftning eller detta Biträdesavtal.
Om tredje man riktar krav, inklusive eventuella slutligt ådömda administrativa sanktionsavgifter från tillsynsmyndighet, mot Stiftet på grund av Enhetens brott mot Biträde- savtalet eller tillämplig dataskyddslagstiftning ska Enheten hålla Stiftet skadeslös för sådana krav och kostnader.
Under inga omständigheter ska Stiftet enligt punkten 10.1 ansvara för indirekt skada eller förlust, såvida inte skadan eller förlusten orsakats av Stiftets uppsåt eller grova oaktsam- het.
Stiftets totala ansvar för övriga krav enligt 10.1 som är hänförligt till överträdelse av artikel 83 punkt 4 dataskyddsförordningen, är begränsat till ett belopp motsvarande tolv månaders före- gående fakturering, eller motsvarande estimerat värde om fakturering ännu inte har skett under tolv månaders tid, för Tjänsten.
Stiftets totala ansvar för krav enligt 10.1 som är hänförligt till överträdelse av artikel 83 punkt 5 dataskyddsförordningen, är begränsat till ett belopp motsvarande 24 månaders föregående fakturering, eller motsvarande estimerat värde
om fakturering ännu inte har skett under 24 månaders tid, för Tjänsten.
11 Avtalstid
Bestämmelserna i Biträdesavtalet gäller så länge som Stiftet inom ramen för tillhandahållandet av Tjänsten behandlar personuppgifter för Enhetens räkning.
12 Åtgärder när behandlingen av personuppgifter avslutats
Vid uppsägning av Tjänsten ska Stiftet, beroende på vad Enheten väljer, enligt Enhetens instruktioner
a) återlämna alla personuppgifter som behandlats enligt Biträdesavtalet till Enheten, eller till den som Enheten anvisar, eller
b) radera personuppgifterna,
inom trettio (30) dagar efter Tjänstens upphörande, såvida inte Stiftet enligt svensk eller europeisk lag- stiftning är skyldig att spara en kopia av person- uppgifterna.
På begäran av Enheten ska Stiftet även efter behandlingens avslutande skriftligen bekräfta vilka åtgärder som vidtagits avseende person- uppgifterna enligt 12.1.
13 Ändringar i Biträdesavtalet
Stiftet har rätt att ändra eller göra tillägg till dessa allmänna villkor eller i de särskilda villkoren för respektive Tjänst. Sådan ändring eller tillägg ska meddelas Enheten senast tre (3) månader innan ikraftträdandet.
Om Enheten inte godkänner ändring eller tillägg som är till nackdel för Enheten, har Enheten rätt att senast trettio (30) dagar efter sådant meddelande skriftligen säga upp Tjänsten med verkan från och med den dag ändringen skulle ha trätt i kraft. Om sådan uppsägning inte sker, anses Enheten ha godkänt de nya villkoren.
Utan hinder av vad som anges i 13.1 har Stiftet rätt att göra ändringar och tillägg i dessa allmänna villkor och i särskilda villkor för respektive Tjänst som inte är till Enhetens nackdel eller där sådan nackdel endast är av ringa betydelse för Enheten. Sådana ändringar eller tillägg träder i kraft trettio (30) dagar efter det att meddelande härom gjorts allmänt tillgängligt genom publicering på:
Avtal och uppstart - Göteborgs stift (xxxxxxxxxxxxx.xx)
Stockholms Handelskammares Skiljedoms- institut (”SCC”).
Regler för Förenklat Skiljeförfarande ska tillämpas om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsregler ska tillämpas. I sistnämnda fall ska SCC också bestämma om skilje- nämnden ska bestå av en eller tre skiljemän. Skiljeförfarandets säte ska vara Stockholm. Språket för förfarandet ska vara svenska.
Xxxxxx vad som sägs ovan äger Part rätt att väcka talan vid allmän domstol inom vars domsaga Enheten har sitt säte, om tvisteföremålets värde (exklusive eventuella motfordringar) vid tidpunkten för talans väckande inte överstiger tvåhundratusen (200 000) SEK.
14 Tillämplig lag och tvistelösning
Svensk rätt ska tillämpas på Biträdesavtalet.
En tvist som uppstår med anledning av Biträde- savtalet ska i första hand lösas genom direkt för- handling mellan Parterna.
En tvist som uppstår i anledning Biträdesavtalet ska slutligt avgöras genom skiljedomsförfarande administrerat av