Free Standard Templates

Explore a free library of open-source, peer-reviewed contract standards, adopted by thousands of business around the world and signed millions of times.

Explore Now
oneNDA-badge

Personuppgiftsbiträdesavtal


Personuppgiftsbiträdesavtal

Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)


Parter:


Personuppgifts- ansvarig


Personuppgifts- biträde

Vård- och

omsorgsnämnden Mölndals stad

Xxx.xx


Xxx.xx

212000-1363

Adress:


Adress

Xxxxxxxxxxxxxx 0




000 00 Mölndal

Dataskyddsombud


Kontaktperson


Telefonnummer


Telefonnummer


Mejladress


Mejladress



1. Bakgrund och syfte

Parterna har träffat avtal om att driva äldreboende i Mölndals stad, xxxxx Dnr xxx, nedan benämnt ”Huvudavtalet”. Vid utförandet av tjänsterna enligt Huvudavtalet kommer Personuppgiftsbiträdet att behandla personuppgifter för den Personuppgiftsansvariges räkning. Personuppgiftsbiträdet kommer därmed att vid de aktuella tjänsternas utförande agera Personuppgiftsbiträde åt den Personuppgiftsansvarige.


Syftet med detta avtal är att tillse att Personuppgiftsbiträdet behandlar personuppgifterna i enlighet med gällande dataskyddslagstiftning och den Personuppgiftsansvariges instruktioner.


I händelse av motstridig lydelse mellan bestämmelserna i detta Personuppgiftsbiträdesavtal och Huvudavtalet, ska Personuppgiftsbiträdesavtalet ha företräde om inte parterna uttryckligen angett annat.


2. Definitioner

Med personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.


Med personuppgiftsbiträde avses den som behandlar personuppgifter för den personuppgiftsansvariges räkning.


Med behandling avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning, ändring, användning, utlämnande, spridning eller annat tillhandahållande av uppgifter, sammanställning, samkörning, blockering, utplåning eller

förstöring.


Med personuppgifter avses all information som direkt eller indirekt går att härleda till en identifierbar levande person.


3. Behandling av personuppgifter

Som en del av Huvudavtalet har den Personuppgiftsansvarige åtagit sig att arbeta och dokumentera uppgifter i Personuppgiftsbiträdets IT-system.


Kategorier av registrerade som berörs av behandlingen

Brukare på äldreboendet som den Personuppgiftsansvarige driver som en del av Huvudavtalet.


Typer av personuppgifter som förekommer inom ramen för personuppgiftsbehandlingen Namn, personnummer och kontaktuppgifter samt uppgifter om hälsa, kost och sociala levnadsförhållanden.


Ändamålet med behandlingen

Behandlingen av personuppgifter krävs för att tillhandahålla vård och omsorg till de berörda brukarna samt leva upp till lagkrav på dokumentation av verksamheten.


Behandlingens art

Personuppgiftsbehandlingen som krävs för utförandet av tjänsterna enligt Huvudavtalet innebär att Personuppgiftsbiträdet hanterar känsliga uppgifter om enskildas personliga förhållanden och enskildas hälsotillstånd. Personuppgifterna omfattas till stor del av sekretess och tystnadsplikt och vid all hantering och lagring av sådan information ställs höga säkerhetskrav.


Personuppgiftsbiträdet får endast behandla den Personuppgiftsansvariges personuppgifter för att fullgöra sitt uppdrag åt den Personuppgiftsansvarige och endast i enlighet med dennes dokumenterade instruktioner. Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarig om denne är av uppfattningen att instruktionerna strider mot dataskyddsförordningen eller annan lagstiftning.


4. Personuppgiftsansvarigs skyldigheter

Personuppgiftsansvarig ansvarar gentemot Personuppgiftsbiträdet för att den behandling av personuppgifter som Personuppgiftsansvarig uppdrar åt Personuppgiftsbiträdet att behandla, är tillåten. Vidare svarar Personuppgiftsansvarig för att behandlingen av personuppgifterna är nödvändig för det ändamål som ligger grund för behandlingen.


Personuppgiftsansvarige ska tillhandahålla Personuppgiftsbiträdet sådana instruktioner och anvisningar som behövs för att denne ska kunna fullgöra sin del av personuppgiftsbiträdesavtalet.


Personuppgiftsansvarige ska informera Personuppgiftsbiträdet om arten av de personuppgifter som denne ska behandla för den Personuppgiftsansvariges räkning. Det ska då särskilt anges om personuppgifterna anses utgöra känsliga personuppgifter eller någon annan särskild kategori av personuppgifter.


Personuppgiftsansvarige ska utan dröjsmål informera Personuppgiftsbiträdet om sådana förhållanden som Personuppgiftsansvarige får kännedom om och som rimligen måste antas ha

betydelse för att Personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt personuppgiftsbiträdesavtalet.


5. Underbiträden

Personuppgiftsbiträdet ska i god tid underrätta Personuppgiftsansvarig om planer på att anlita nya underleverantörer/underbiträden så att Personuppgiftsansvarig har möjlighet att göra invändningar mot sådana förändringar.


Personuppgiftsbiträdet ska vidare på Personuppgiftsansvariges begäran utan dröjsmål tillhandahålla kontaktuppgifter till de underbiträden som behandlar personuppgifter.


Vid anlitande av ett underbiträde ska Personuppgiftsbiträdet försäkra sig om att underbiträdet lever upp till såväl de krav som ställs i dataskyddsförordningen som kraven i detta avtal.

Personuppgiftsbiträdet ska teckna ett avtal med underbiträdet där denne åtar sig att vidta sådana lämpliga tekniska och organisatoriska åtgärder så att dessa krav kan uppfyllas och att de registrerades rättigheter skyddas.


Personuppgiftsbiträdet svarar fullt ut gentemot Personuppgiftsansvarig för utförandet av underbiträdets skyldigheter.


6. Säkerhetsinstruktioner


6.1 Säkerhet i samband med behandling av personuppgifter

Personuppgiftsbiträdet garanterar att kraven i dataskyddsförordningen, liksom kraven i detta avtal, uppfylls. I och med detta åtar sig personuppgiftbiträdet att vidta sådana lämpliga tekniska och organisatoriska åtgärder att detta krav kan uppfyllas samt att alla de åtgärder som krävs enligt dataskyddsförordningen artikel 32 vidtas. Åtgärderna ska vara anpassade till en nivå som är lämplig med hänsyn till hur känsliga personuppgifterna är, de särskilda risker som finns, befintliga tekniska möjligheter och genomförandekostnader.


Mölndals stad ska inom sin organisation säkerställa att endast behörig personal behandlar eller ges tillgång till personuppgifter enligt Huvudavtalet och att dessa personer omfattas av lämplig tystnadsplikt.


7. Personuppgiftsansvarigs arbete med säkerhet för personuppgifter Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att se till att skyldigheterna i dataskyddsförordningen art. 32-36 fullgörs, med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå.


8. Insamling av personuppgifter

Personuppgiftsbiträdet ska tillse att de registrerade får den information som ska lämnas i samband med insamlandet. På begäran från Personuppgiftsansvarige ska Personuppgiftsbiträdet överlämna de uppgifter Personuppgiftsansvarige behöver för att kunna visa att de registrerade fått sådan information.


9. Kontroll

Den Personuppgiftsansvarige har rätt att, på egen bekostnad, själv eller genom en oberoende

tredje man kontrollera att Personuppgiftsbiträdet följer de skyldigheter som följer av dataskyddsförordningen, dessa avtalsvillkor och övriga instruktioner som utfärdats av den Personuppgiftsansvarige.


Personuppgiftsbiträdet ska vara tillmötesgående och lämna den Personuppgiftsansvarige den assistans och tillhandahålla den dokumentation som krävs för en sådan kontroll.


10. Överföring till tredje land

Personuppgiftsbiträdet får inte utan personuppgiftsasvarigs skriftliga medgivande överföra personuppgifter utanför EU/EES.


11. Register

Personuppgiftsbiträdet ska föra register över alla kategorer av behandlingar som utförs för den Personuppgiftsansvariges räkning. Registret ska omfatta de uppgifter som anges i dataskyddsförordningen artikel 30.2.


12. Rättelse och radering av uppgifter

Personuppgiftsbiträdet ska utan dröjsmål radera eller rätta felaktiga eller ofullständiga personuppgifter efter instruktion från Personuppgiftsansvarig om Personuppgiftsansvarig inte kan radera eller rätta uppgifterna själv.


Personuppgiftsbiträdet ska vidare bistå Personuppgiftsansvarig genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt, i fall då en registrerad begär att utöva sina rättigheter enligt dataskyddsförordningen kap. III (innefattande bl.a. rätt till rättelse och insyn).


13. Utlämning av uppgifter

För det fall den registrerade, tillsynsmyndigheten eller annan tredje man begär sådan information från Personuppgiftsbiträdet som rör de uppgifter som Personuppgiftsbiträdet behandlar för Personuppgiftsansvarigs räkning äger Personuppgiftsbiträdet rätt att lämna ut dessa efter prövning mot relevanta lagar.


14. Incidentrapportering

Personuppgiftsbiträdet ska omgående efter att ha fått vetskap om en personuppgiftsincident underrätta Personuppgiftsansvarige därom. Personuppgiftsincidenter är säkerhetsincidenter som har medfört eller sannolikt kan leda till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande eller obehörig åtkomst till personuppgifter. Samtliga personuppgiftsincidenter ska dokumenteras av Personuppgiftsbiträdet. Dokumentationen ska överlämnas till Personuppgiftsansvarig.


Dokumentationen av incidenten ska åtminstone

a) redogöra för personuppgiftsincidentens art och, om möjligt, de kategorier och antalet registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,

b) redogöra för de sannolika konsekvenserna av personuppgiftsincidenten, och

c) redogöra för de åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra personuppgiftensincidentens potentiella negativa effekter


I de fall en incident ska anmälas till tillsynsmyndigheten eller om det föreligger en

informationsplikt till de registrerade, ska Personuppgiftsbiträdet samarbeta med och skyndsamt bistå Personuppgiftsansvarige med all information som efterfrågas.


15. Sekretess

All behandling av personuppgifter ska ske med iakttagande av relevanta sekretessbestämmelser. Det innebär att Personuppgiftsbiträdet, någon av dennes anställda eller underbiträden inte får lämna ut eller på annat sätt röja några uppgifter till tredje man om det inte medges av nationell lagstiftning. Personuppgiftsbiträdet ska, genom lämpliga åtgärder, tillse att de personer som arbetar under Personuppgiftsbiträdets ledning är informerade om, iakttar och följer sekretessplikten.


16. Ansvarsfördelning

Ansvarsfördelning mellan Personuppgiftsansvarig och Personuppgiftsbiträde vid skadeståndsskyldighet eller påförande av administrativ sanktionsavgift från tillsynsmyndigheten med anledning av överträdelse av dataskyddsförordningen framgår av dataskyddsförordningen artikel 82 respektive artikel 83.


I övrigt gäller de ansvarsbestämmelser som framgår av Huvudavtalet.


17. Tvist med tredje part

Innan part inleder förhandling, ingår förlikning eller träffar avtal eller förbinder sig till annan förpliktelse gentemot registrerad, annan tredje man eller myndighet/domstol, ska parten informera den andra parten härom och ge denne möjlighet att biträda parten eller på annat lämpligt sätt tillvarata sina rättigheter


Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig gentemot tredje man utan Personuppgiftsasvariges uttryckliga medgivande.


18. Tvist parterna emellan

Tvist i anledning av detta avtal ska avgöras vid tingsrätten i Göteborg efter svensk lag.


19. Avtalstid

Detta avtal gäller från undertecknandet och så länge som det finns ett gällande Huvudavtal som innebär att Personuppgiftsbiträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.


20. Upphörande av avtal

Vid upphörande av Huvudavtalet så upphör Personuppgiftsbiträdets behandling av uppgifterna och därmed Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning. Personuppgiftsbiträdet fortsätter då att behandla uppgifterna inom ramen för sitt eget personuppgiftsansvar för att uppfylla lagkrav på gallring och bevarande av uppgifterna.


21. Ersättning

Det utgår ingen ersättning till Personuppgiftsbiträdet med anledning av detta avtal utöver det

som avtalats i Huvudavtalet.


22. Ändringar och tillägg till avtalet

Ändringar och tillägg till detta avtal ska ske skriftligen.


Personuppgiftsansvarig

Personuppgiftsbiträde

Ort och Datum

Ort och Datum

Underskrift

Underskrift

Namnförtydligande

Namnförtydligande


Chef vård- och omsorgsförvaltningen

BILAGA

SPECIFIKATION ÖVER BEHANDLINGEN AV PERSONUPPGIFTER

Personuppgiftsbiträdet ska behandla personuppgifterna i enlighet med Vård- och omsorgsnämnden i Mölndals stads dokumenthanteringsplan och ledningssystem för kvalitet.


PÅ FÖRHAND GODKÄNDA UNDERBITRÄDEN

Leverantören har rätt att använda följande underbiträden för att behandla personuppgifter inom ramen för Biträdesavtalet:


Namn

Behandling

Plats för behandling (land)

CGI Sverige AB

Treserva

Sverige

Atea Sverige AB

Canea

Sverige

Tele 2

Artvise

Sverige

Document Metadata

Filed: January 25th, 2021