Utkast till Personuppgiftsbiträdesavtal

Detta Personuppgiftsbiträdesavtal reglerar Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning. Avtalet är utformat med beaktande av kraven i EU:s dataskyddsförordning (EU) 2016/679, men kan – med eventuellt nödvändiga justeringar – användas för personuppgiftsbehandling som regleras av andra dataskyddsbestämmelser.

Notera att den andra delen av detta Personuppgiftsbiträdesavtal ”Instruktion till Personuppgiftsbiträdesavtal” måste fyllas i av parterna för att dataskyddslagstiftningens krav ska kunna uppfyllas.

2Parter

Personuppgiftsansvarig: Spelinspektionen

Adress: Box 199, 000 00 Xxxxxxxxx

Organisationsnummer: 202100-3310

Personuppgiftsbiträde:

Adress:

Organisationsnummer:

3Definitioner

Utöver de begrepp som definieras i löptext, i detta personuppgiftsbiträdesavtal, ska dessa definitioner oavsett om de används i plural eller singular, i bestämd eller obestämd form, ha nedanstående innebörd när de anges med versal som begynnelsebokstav.

Behandling	En åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Dataskyddslagstiftning	Avser all integritets- och personuppgiftslagstiftning, samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter), som är tillämplig på den personuppgiftsbehandling som sker enligt detta PUB-avtal, inklusive nationell sådan lagstiftning och EU-lagstiftning.
Personuppgiftsansvarig	Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamål och medlen för Behandlingen av Personuppgifter.
Instruktion	De skriftliga instruktioner som närmare anger föremål, varaktighet, art och ändamål, typ av Personuppgifter samt kategorier av Registrerade och särskilda behov som omfattas av Behandlingen.
Logg	Logg är resultatet av Loggning.
Loggning	Loggning är ett kontinuerligt insamlande av uppgifter om den Behandling av Personuppgifter som utförs enligt detta PUB-avtal och som kan knytas till en enskild fysisk person.
Personuppgiftsbiträde	Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning.
Personuppgift	Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgiftsincident	En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.
Registrerad	Fysisk person vars Personuppgifter Behandlas.
Tredje land	En stat som inte ingår i Europeiska unionen (EU) eller inte är ansluten till Europeiska ekonomiska samarbetsområdet (EES).
Underbiträde	Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som i egenskap av underleverantör till Personuppgiftsbiträdet Behandlar Personuppgifter för Personuppgiftsansvariges räkning.

4Allmänt om Personuppgiftsbiträdesavtalet

4.1 Detta Personuppgiftsbiträdesavtal utgör en del av avtal XXX, dnr: 20Si1004.

4.2 Dataskyddsrättsliga begrepp används med samma innebörd som i EU:s dataskyddsförordning.

4.3 Om Personuppgiftsbiträde inte är huvudleverantör ska underleverantör godkänna Personuppgiftsbiträdesavtal.

4.4 Personuppgiftsbiträdesavtal gäller behandlingar av personuppgifter som Personuppgiftsbiträde utför för den Personuppgiftsansvariges räkning. Dessa behandlingar förtecknas i avsnitt 1 i Instruktion till Personuppgiftsbiträdesavtal.

4.5 Alla behandlingar av personuppgifter som regleras i Personuppgiftsbiträdesavtal omfattas av EU:s dataskyddsförordning eller annan författning som reglerar behandling av personuppgifter.

4.6 Personuppgiftsbiträde garanterar att dennes verksamhet bedrivs på sätt som säkerställer dataskyddslagstiftningens krav på lämpliga tekniska och organisatoriska åtgärder och på att den registrerades rättigheter skyddas. Personuppgiftsbiträde garanterar att det har tillräcklig kunskap och förfogar över tillräckliga resurser för att dataskyddslagstiftningens krav ska kunna tillgodoses.

4.7 Om Personuppgiftsbiträde kommer att behandla personuppgifter i tredje land ska det framgå av instruktionen. Parterna måste i denna situation komma överens om en lämplig rättslig lösning för att överföringen till tredje land ska vara tillåten (jfr kapitel V i EU:s dataskyddsförordning eller motsvarande dataskyddsreglering).

5Personuppgiftsbiträdets skyldigheter

5.1 För att skydda behandlingen av personuppgifter mot bl.a. obehörig åtkomst, förstörelse eller ändring ska Personuppgiftsbiträde vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med dataskyddslagstiftningens krav.

Personuppgiftsbiträde ska under alla förutsättningar vidta de säkerhetsåtgärder som framgår nedan.

När datorutrustning och löstagbara datamedier hos Personuppgiftsbiträde inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld.

För det fall eventuella bärbara datorer eller dylik utrustning används vid behandlingar ska personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade.

Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas. Personuppgiftsbiträde ska ha en rutin för regelbunden test av återläsning.

Ett tekniskt system för behörighetskontroll ska styra åtkomsten till personuppgifterna för Personuppgiftsbiträde. Användaridentitet ska vara personlig och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter.

Åtkomst till personuppgifter ska kunna följas upp genom en logg eller liknande underlag. Underlaget ska kunna kontrolleras av Personuppgiftsbiträde och återrapporteras till den Personuppgiftsansvarige.

Anslutning för extern datorkommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig.

För åtkomst till känsliga personuppgifter krävs stark autentisering.

Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av Personuppgiftsbiträde ska skyddas med kryptering.

När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre ska användas för sitt ändamål ska personuppgifterna raderas på sådant sätt att de inte kan återskapas.

Ytterligare preciseringar av tekniska och organisatoriska säkerhetsåtgärder kan framgå av avsnitt 3 i Instruktion till Personuppgiftsbiträdesavtal samt av övriga avtalshandlingar.

5.2 Personuppgiftsbiträde får inte behandla den Personuppgiftsansvariges personuppgifter på något annat sätt, för andra ändamål eller enligt andra instruktioner än de som framgår av detta Personuppgiftsbiträdesavtal, inklusive avsnitt 1 i Instruktion till Personuppgiftsbiträdesavtal, med iakttagande av de tekniska och organisatoriska säkerhetsåtgärderna enligt detta Personuppgiftsbiträdesavtal och avsnitt 3 i Instruktion till Personuppgiftsbiträdesavtal.

Första stycket gäller inte om en behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Personuppgiftsbiträde omfattas av. I sådana fall ska Personuppgiftsbiträde informera den Personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida detta inte är otillåtet enligt den aktuella rättsordningen.

5.3 Om Personuppgiftsbiträde bedömer att det saknas instruktioner för hur den Personuppgiftsansvariges personuppgifter ska behandlas ska Personuppgiftsbiträde utan dröjsmål informera den Personuppgiftsansvarige om sin inställning, ange om fullgörandet av Avtal kan påverkas av behovet av instruktioner samt invänta vidare instruktioner från den Personuppgiftsansvarige.

Om Personuppgiftsbiträde bedömer att instruktioner om hur personuppgifter ska behandlas strider mot tillämpliga dataskyddsbestämmelser ska Personuppgiftsbiträde omedelbart informera den Personuppgiftsansvarige om detta.

5.4 Personuppgiftsbiträde åtar sig att i sin verksamhet vid var tid tillse att berörd personal följer detta Personuppgiftsbiträdesavtal och att de hålls informerade om innehållet i dataskyddslagstiftningen.

Personer som utför arbete under Personuppgiftsbiträdes överinseende, t.ex. som anställda, och som får tillgång till personuppgifter, får endast behandla uppgifterna enligt den Personuppgiftsansvariges instruktioner, såvida inte en skyldighet att göra något annat framgår i unionsrätten eller medlemsstaternas nationella rätt. Endast personer som har ett strikt behov av att få tillgång till personuppgifterna ska ges sådan tillgång.

Personuppgiftsbiträde garanterar att personer som får tillgång till personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av lämplig lagstadgad tystnadsplikt.

5.5 Personuppgiftsbiträde ska efter den Personuppgiftsansvariges beslut om radering av personuppgifter avlägsna dessa permanent från alla lagringsmedier som biträdet förfogar över. Radering ska ske utan onödigt dröjsmål. Som beslut om radering räknas t.ex. att uppgifter har raderats via användargränssnittet i den tjänst som omfattas av Avtal.

5.6 Personuppgiftsbiträdet åtar sig att bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en Personuppgiftsincident beträffande Behandlingen. Personuppgiftbiträdet ska på den Personuppgiftsansvariges begäran även bistå med att utreda misstankar om eventuell obehörigs Behandling och/eller åtkomst till Personuppgifterna.

Personuppgiftsbiträdet ska efter att biträdet fått vetskap om en personuppgiftsincident som omfattar den Personuppgiftsansvariges personuppgifter samma dag, eller senast dagen efter underrätta den Personuppgiftsansvarige om incidenten.

Personuppgiftsbiträdet ska med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå tillhandahålla den Personuppgiftsansvarige en skriftlig beskrivning av Personuppgiftsincidenten.

Beskrivningen ska redogöra för:

Personuppgiftsincidentens art och, om möjligt, de kategorier och antalet Registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
de sannolika konsekvenserna av Personuppgiftsincidenten, och
åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra Personuppgiftincidentens potentiella negativa effekter.

5.7 För det fall den registrerade, tillsynsmyndigheten eller annan tredje man begär information från Personuppgiftsbiträde som rör behandling av personuppgifter, ska Personuppgiftsbiträde hänvisa till den Personuppgiftsansvarige. Personuppgiftsbiträde får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan uttrycklig instruktion från den Personuppgiftsansvarige, såvida utlämnandeskyldigheten inte framgår i unionsrätten eller tillämplig nationell lag i en medlemsstat.

5.8 Personuppgiftsbiträde ska utan dröjsmål informera den Personuppgiftsansvarige om eventuella kontakter med tillsynsmyndigheten som rör, eller kan vara av betydelse för, Personuppgiftsbiträdes behandling av personuppgifter. Åtagandet gäller inte om Personuppgiftsbiträde är förbjudet att lämna den aktuella informationen enligt tvingande lagstiftning.

Personuppgiftsbiträde har inte rätt att företräda den

Personuppgiftsansvarige eller agera för dennes räkning gentemot tillsynsmyndigheten.

5.9 Den Personuppgiftsansvarige har rätt att kontrollera att Personuppgiftsbiträde följer Personuppgiftsbiträdesavtal och instruktioner som utfärdats av den Personuppgiftsansvarige. Personuppgiftsbiträde ska för detta ändamål ge den Personuppgiftsansvarige tillgång till all nödvändig information samt möjliggöra och bidra till granskningar inbegripet inspektioner som genomförs av den Personuppgiftsansvarige eller av en granskare som bemyndigats av den Personuppgiftsansvarige. Den som granskar biträdets verksamhet ska iaktta regler om sekretess för biträdets affärs- och driftsförhållanden.

5.10 Uppgifter i loggar som avser behandlingen av den Personuppgiftsansvariges personuppgifter får endast användas av Personuppgiftsbiträde för vad som krävs för upprätthållande av funktionalitet och kvalitet. Den Personuppgiftsansvarige har rätt att ta del av de uppgifter som registreras i sådana loggar.

5.11 Personuppgiftsbiträde ska, med beaktande av behandlingens art, genom lämpliga tekniska och organisatoriska åtgärder hjälpa den Personuppgiftsansvarige att fullgöra sina skyldigheter att tillgodose den registrerades rättigheter, t.ex. rätten till information, rätten till rättelse, rätten till radering eller begränsning av behandlingen och rätten till dataportabilitet.

6Behandling med hjälp av underbiträden

6.1Personuppgiftsbiträde äger endast rätt att anlita ett annat Personuppgiftsbiträde (underbiträde) för behandling av personuppgifter om detta anges i instruktionen.

Den Personuppgiftsansvarige har i instruktionen till detta Personuppgiftsbiträdesavtal angivit vilka underbiträden som är godkända vid Personuppgiftsbiträdesavtals ikraftträdande.

Personuppgiftsbiträde ska tillse att underbiträde inte anlitar ett annat underbiträde utan den Personuppgiftsansvariges skriftliga förhandstillstånd.

6.2 Om personuppgiftsbiträde med stöd i detta Personuppgiftsbiträdesavtal anlitar ett underbiträde för hela eller en del av behandlingen ska underbiträdet genom avtal åläggas samma skyldigheter avseende dataskydd som de som fastställs i detta Personuppgiftsbiträdesavtal och vid varje tidpunkt gällande instruktioner rörande behandlingen.

6.3 Vid en begäran om att få anlita ett nytt underbiträde ska Personuppgiftsbiträde lämna den Personuppgiftsansvarige all relevant information om det föreslagna underbiträdet som krävs för en dataskyddsrättslig bedömning. Information ska därvid särskilt lämnas om i vilket land som underbiträdet kommer att behandla personuppgifterna och vilka typer av behandlingar som underbiträdet är tänkt att utföra.

6.4 Personuppgiftsbiträde ska hålla en förteckning över de underbiträden som vid den aktuella tidpunkten anlitas, samt göra denna förteckning tillgänglig för den Personuppgiftsansvarige. Av förteckningen ska särskilt framgå i vilka länder underbiträdet behandlar personuppgifterna och vilka typer av behandlingar som underbiträdet utför. På begäran ska Personuppgiftsbiträde lämna den Personuppgiftsansvarige information om ett underbiträdes rättsliga åtaganden samt övrig information som krävs för att den Personuppgiftsansvarige ska kunna fullgöra sina skyldigheter enligt dataskyddslagstiftningen.

6.5 Om ett underbiträde inte fullgör sina skyldigheter avseende dataskydd är Personuppgiftsbiträde fullt ansvarigt i förhållande till den Personuppgiftsansvarige.

6.6 Har den Personuppgiftsansvarige enligt reglerna i detta avsnitt godtagit behandling av personuppgifter i tredje land ansvarar Personuppgiftsbiträde för att överföringen till ett sådant tredje land sker enligt tillämpliga dataskyddsregler (t.ex. kapitel V i EU:s dataskyddsförordning).

7Skyldigheter efter Avtalets upphörande

7.1 Personuppgiftsbiträde ska i samband med Avtals upphörande permanent avlägsna uppgifterna från använda lagringsmedier på ett sådant sätt att uppgifterna inte längre kan återskapas. Denna åtgärd ska vara fullt genomförd senast 30 dagar efter Avtals upphörande.

Om den Personuppgiftsansvarige kräver det ska Personuppgiftsbiträde innan sådan radering sker återlämna alla överförda personuppgifter till den Personuppgiftsansvarige. Såvida inte annat avtalats eller uppenbart följer av omständigheterna, ska personuppgifterna överlämnas i ett format som är läsbart och möjligt att använda i andra sammanhang. Detta innebär att inte enbart personuppgifterna ska tillhandahållas utan även all annan logisk information som behövs för att kunna nyttja personuppgifterna. Vidare ska också loggfiler, revisionsdata, accessdata och liknande metadata tillhandahållas. Även sådan data ska lämnas i ett sådant format att den är användbar för Personuppgiftsansvarig.

7.2 Personuppgiftsbiträde ska på den Personuppgiftsansvariges eller en behörig tillsynsmyndighets begäran ställa relevanta delar av använda lagringsmedium till förfogande för en granskning av de åtgärder som anges i punkt 7.1.

8Ändringar i Personuppgiftsbiträdesavtal

8.1 Den Personuppgiftsansvarige har rätt att påkalla ändring av Personuppgiftsbiträdesavtal om en sådan ändring är nödvändig för att tillämplig dataskyddslagstiftning ska kunna efterlevas.

Ändring ska hanteras i enlighet med Avtalet. Personuppgiftsbiträde får inte motsätta sig ändringen om inte Personuppgiftsbiträde kan visa sakliga skäl för en sådan vägran. Om Personuppgiftsbiträde inte är leverantör får inte heller leverantör motsätta sig en sådan ändring utan att kunna visa sakliga skäl.

Om Personuppgiftsbiträde inte är leverantör ska även leverantör godkänna ändringen.

9Giltighetstid

9.1 Detta Personuppgiftsbiträdesavtal gäller från undertecknandet och så länge som Personuppgiftsbiträde behandlar den Personuppgiftsansvariges personuppgifter. Regler om uppsägning av Avtal finns i Avtalet.

10Skadestånd

10.1 Ansvar för skada regleras i enlighet med Artikel 82 i dataskyddsförordning (EU) 2016/679. Kund har regressrätt mot leverantör oaktat vem som är Personuppgiftsbiträde.

Instruktion till Personuppgiftsbiträdesavtal

Avsnitt 1 Behandling som omfattas av Personuppgiftsbiträdesavtal

Denna del utgör den Personuppgiftsansvariges instruktioner till Personuppgiftsbiträde.

Registrerade

Personuppgifter som rör följande kategorier av registrerade ska behandlas av Personuppgiftsbiträde:

Fylls i.

Typ av personuppgifter som överförs

De personuppgifter som överförs är av följande slag:

Fylls i.

Känsliga personuppgifter (i förekommande fall)

Överföringen rör följande känsliga personuppgifter:

Fylls i.

Behandling

De personuppgifter som överförs kommer att behandlas på följande sätt:

Fylls i.

Art och ändamål med behandlingarna

Behandlingen av personuppgifter sker i syfte att:

Fylls i.

Särskilda instruktioner angående behandlingarna

Vid behandlingen av personuppgifter ska Personuppgiftsbiträde särskilt beakta:

Fylls i.

Behandling med hjälp av underbiträden

Alternativ 1: Personuppgiftsbiträde äger inte rätt att anlita ett annat Personuppgiftsbiträde (underbiträde) enligt denna instruktion.

Alternativ 2: Personuppgiftsbiträde får endast anlita ett annat Personuppgiftsbiträde om ett skriftligt förhandstillstånd har inhämtats från den

Personuppgiftsansvarige.

Alternativ 3: Personuppgiftsbiträde har en allmän rätt att anlita ett nytt Personuppgiftsbiträde (underbiträde), som uppfyller dataskyddslagstiftningen och Personuppgiftsbiträdesavtals krav. Ett nytt underbiträde får emellertid endast anlitas efter det att den Personuppgiftsansvarige har underrättats om planerna och givits möjlighet att inom skälig tid göra invändningar mot valet.

Behandling av personuppgifter inom Sverige, EU/EES samt tredje land

Alternativ 1: Personuppgifter får endast behandlas inom Sverige.

Alternativ 2: Personuppgifter får behandlas inom EU/EES.

Alternativ 3: Personuppgifter får överföras till ett tredje land. Ange rättslig lösning för att sådan överföring ska vara tillåten:

Fylls i.

Vid alternativ 2 eller 3 ovan, ange land där Personuppgiftsbiträde kommer att hantera personuppgifter:

Fylls i.

11Avsnitt 2 Underbiträden

I detta avsnitt förtecknas underbiträden som har godkänts av den Personuppgiftsansvarige. Enligt punkt 6.4 är Personuppgiftsbiträde skyldigt att hålla en aktuell förteckning över underbiträden som anlitas.

Underbiträde (namn)	Organisations-nummer	Bistår Personuppgiftsbiträde med följande	Behandling sker i (land)
Fylls i vid behov.	Fylls i vid behov.	Fylls i vid behov.	Fylls i vid behov.

12Avsnitt 3 Tekniska och organisatoriska säkerhetsåtgärder

Detta avsnitt utgör kompletterande instruktioner till Personuppgiftsbiträde avseende tekniska och organisatoriska säkerhetsåtgärder.

Ange kompletterande instruktioner:

Fylls i vid behov.

På Personuppgiftsansvarigs vägnar:

Namn (fullständigt):

Spelinspektionen/Befattning:

Ort och datum:

….......................................................................

Namnteckning

På Personuppgiftsbiträdes vägnar:

Namn (fullständigt):

Befattning:

Ort och datum:

….......................................................................

Namnteckning

På leverantörens vägnar (om denne inte är Personuppgiftsbiträde):

Namn (fullständigt):

Befattning:

Ort och datum:

….......................................................................

Namnteckning

Xxxxxxxxxxxxxxxx
Xxx 000, XX 000 00 Xxxxxxxxx | Besöksadress Xxxxxxxxxxxxx 00 B
Telefon x00(0)000 000 000 | E-post xxxxxxxxxxx@xxxxxxxxxxxxxxxx.xx xxxxxxxxxxxxxxxx.xx

Document Metadata

Table of Contents

Utkast till Personuppgiftsbiträdesavtal

Document Metadata