Personuppgiftsbiträdesavtal

Datum 1 (11)

Dnr

Personuppgiftsbiträdesavtal

1. Parter

Personuppgiftsansvarig: Skolverket (nedan kallad Personuppgiftsansvarig), organi- sationsnummer 202100-4185, besöksadress Xxxxxxxxxxxx 00 x Xxxxxxxxx, leverans- adress Xxxxxxxxxxx 00, 000 00 Xxxxxxxxx.

och

Personuppgiftsbiträde: Namn [det/den externa företagets, motpartens, offentliga myndighetens, institutionens/andra organets namn, inte en enskild person hos av- talsparten], (nedan kallad Biträdet), organisationsnummer [nummer], [adress],

har denna dag ingått följande personuppgiftsbiträdesavtal (nedan kallat biträdesav- tal).

Kontaktperson rörande detta biträdesavtal är hos Personuppgiftsansvarig: [ange namn], hos Personuppgiftsbiträde: [ange namn].

Ändring av kontaktperson eller kontaktuppgifter ska skriftligen meddelas den andra parten.

2. Uppdragets art

Parterna har den [infoga datum] ingått ett avtal enligt vilken [Infoga namnet på Per- sonuppgiftsbiträdet] ska bistå Skolverket med att [infoga en kort beskrivning av uppdragets art] (se Huvudavtalet). Inom ramen för Huvudavtalet kommer Person- uppgiftsbiträdet att behandla personuppgifter för den Personuppgiftsansvariges räkning. Huvudavtalet löper tills vidare [eller infoga slutdatum].

Biträdesavtalet består av detta avtal samt dess tillhörande instruktion (Bilaga 1).

Vid eventuell motstridighet i fråga om personuppgiftsbehandling inom uppdraget, mellan Huvudavtalet och detta personuppgiftsbiträdesavtal, ska vad som anges i detta avtal gälla i första hand

Postadress: Skolverket, Box 4002, 171 04 Solna

Besöksadress: Xxxxxxxxxxxx 00

Telefon: 00-000 000 00 vx Fax: 00-00 00 00

xxxxxxxxxx@xxxxxxxxxx.xx xxx.xxxxxxxxxx.xx

Datum 2 (11)

Dnr

3. Avtalets bakgrund och syfte

Detta biträdesavtal syftar till att uppfylla Dataskyddsförordningens krav, som före- skriver att det ska finnas ett skriftligt biträdesavtal om Biträdets behandling av per- sonuppgifter för den Personuppgiftsansvariges räkning.

Detta biträdesavtal ska säkerställa att de personuppgifter som omfattas av Biträdets behandling hanteras i enlighet med de krav som följer av Dataskyddsförordningen, annan gällande lagstiftning och etablerad standard samt att uppgifterna inte blir till- gängliga för obehöriga.

4. Definitioner

Detta biträdesavtal har motsvarande definitioner som återfinns i artikel 4 i Data- skyddsförordningen, vilket bland annat innebär följande.

Med Dataskyddsförordningen avses Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning, vanligen för- kortad GDPR).

Med Personuppgifter avses varje upplysning som avser en identifierad eller identi- fierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysio- logiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Med Registrerad avses den person som uppgiften avser.

Med Personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myn- dighet, institution eller annat organ som ensam eller tillsammans med andra be- stämmer ändamålen och medlen för behandling av personuppgifter; om ändamålen och medlen för behandling bestäms av unionsrätten eller medlemsstaternas nation- ella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

Med Personuppgiftsbiträde avses en fysisk eller juridisk person, offentlig myndig- het, institution eller annat organ som behandlar Personuppgifter för den Person- uppgiftsansvariges räkning.

Med Behandling avses en åtgärd eller kombination av åtgärder beträffande per- sonuppgifter eller uppsättning av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Datum 3 (11)

Dnr

Med Pseudonymisering avses behandling av personuppgifter på ett sätt som in- nebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifier- bar fysisk person.

Med Personuppgiftsincident avses en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, eller ändring eller till obehörigt röjande av eller obe- hörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt be- handlats.

5. Behandlingar omfattade av avtalet

5.1 Preciserade instruktioner till Biträdet avseende dess behandling av personupp- gifter inom ramen för detta biträdesavtal framgår av Bilaga 1.

6. Behandling av personuppgifter

6.1 Biträdet åtar sig att behandla personuppgifter i enlighet med Dataskyddsförord- ningen, annan tillämplig dataskyddslagstiftning, detta biträdesavtal samt i enlighet med vid var tid gällande skriftliga instruktioner från Personuppgiftsansvarig hänför- liga till detta biträdesavtal.

6.2 Personuppgiftsansvarig bestämmer ensam ändamålet med och medlen för den behandling av personuppgifter som Biträdet utför för Personuppgiftsansvarigs räk- ning. De aktuella ändamålen framgår av Bilaga 1.

6.3 Biträdet får inte behandla personuppgifter för något annat ändamål eller på nå- got annat sätt än vad som vid varje behandlingstillfälle är absolut nödvändigt för att uppfylla sina åtaganden enligt Huvudavtalet, detta biträdesavtal eller annan åtgärd som Personuppgiftsansvarig särskilt skriftligen medger.

7. Personuppgiftsbiträdets grundläggande skyldigheter

7.1 Biträdet garanterar att denne besitter nödvändig kapacitet och förmåga att full- göra sina skyldigheter enligt detta biträdesavtal och gällande dataskyddslagstiftning, samt att denne löpande vidtar sådana lämpliga tekniska och organisatoriska åtgärder som krävs för att säkerställa att den registrerades rättigheter skyddas.

7.2 Biträdet får inte vara bunden av regelverk som kan komma att innebära utläm- nande till myndighet i annat land i strid med Offentlighets- och sekretesslagen (2009:400) 8 kap 3 §, Dataskyddsförordningen (EU 2016/679) och/eller EU-rättig- hetsstadga (2010/C 83/02). Biträdet ska omedelbart meddela ändrade förhållanden skriftligen till kontaktperson hos Personuppgiftsansvarig.

Datum 4 (11)

Dnr

7.3 Personer som utför arbete under Personuppgiftsbiträdes överinseende, t.ex. som anställda, och som får tillgång till personuppgifter, får endast behandla uppgif- terna enligt den Personuppgiftsansvariges instruktioner, såvida inte en skyldighet att göra något annat framgår i unionsrätten eller medlemsstaternas nationella rätt. Endast personer som har ett strikt behov av att få tillgång till personuppgifterna ska ges sådan tillgång.

7.4 För det fall att Biträdet saknar instruktioner som Biträdet bedömer är nödvän- diga för att genomföra uppdraget ska Biträdet utan dröjsmål, informera Personupp- giftsansvarig om sin inställning och invänta instruktioner från Personuppgiftsansva- rig.

7.5 Biträdet ska utan dröjsmål informera Personuppgiftsansvarig om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandling av personuppgifterna. Biträdet har inte rätt att företräda Personuppgiftsansvarig el- ler agera för dennes räkning gentemot Datainspektionen eller annan tredje man.

7.6 För det fall att registrerad, Datainspektionen eller annan tredje man begär in- formation från Biträdet som rör behandlade uppgifter ska Biträdet hänvisa till Per- sonuppgiftsansvarig. Personuppgiftsansvarig och Biträdet ska därefter komma överens om lämpligt tillvägagångsätt för utgivande av efterfrågad information.

7.7 Biträdet ska vid behov bistå den Personuppgiftsansvarige att tillmötesgå en be- gäran om rättelse, blockering eller utplåning av personuppgifter som framställts av den registrerade.

7.8 Biträdet ska omgående underrätta Personuppgiftsansvarige vid upptäckt av full- bordade fall av eller försök till obehörig åtkomst, förstörelse eller ändring av per- sonuppgifter.

7.9 Personuppgiftsansvarig har rätt att själv eller genom tredje man kontrollera att Biträdet följer vad som anges i detta biträdesavtal och av de instruktioner som ut- färdats av Personuppgiftsansvarig. Biträdet ska då kostnadsfritt lämna Personupp- giftsansvarig den hjälp och tillhandahålla den dokumentation som erfordras för detta.

8. Den personuppgiftsansvariges skyldigheter

8.1 Den Personuppgiftsansvarige ansvarar gentemot biträdet för att den behandling av personuppgifter som den Personuppgiftsansvarige uppdrar åt biträdet att svara för är tillåten enligt tillämpliga rättsliga krav.

8.2 Den Personuppgiftsansvarige ansvarar för att de personuppgifter som denne uppdrar åt Biträdet att svara för endast utgörs av sådana personuppgifter som är nödvändiga för det eller de ändamål som ligger till grund för behandlingen.

8.3 Den Personuppgiftsansvarige ansvarar fullt ut för att denne har samtliga rättig- heter som krävs för dennes ingående och fullgörande av biträdesavtalet. Således ska den Personuppgiftsansvarige bland annat tillse att denne innehar samtliga sådana

Datum 5 (11)

Dnr

tillstånd, medgivande eller uppfyller andra krav som gäller för dennes fullgörande av sina åtaganden och tillse att dennes fullgörande av åtagandena inte utgör intrång i tredje mans rätt.

8.4 Den Personuppgiftsansvarige ska tillhandahålla Biträdet sådana instruktioner el- ler anvisningar avseende de aktuella personuppgifterna som är nödvändiga för att Biträdet ska kunna uppfylla sina skyldigheter enligt mellan parterna ingångna avtal där behandling av personuppgifter ingår som en del, detta biträdesavtal samt enligt tillämpliga rättsliga krav.

8.5 Den Personuppgiftsansvarige ska informera Biträdet om arten av de person- uppgifter som denne ska behandla för den Personuppgiftsansvarig räkning, särskilt om personuppgifterna anses utgöra känsliga personuppgifter eller någon annan sär- skild kategori av personuppgifter.

8.6 Den Personuppgiftsansvarige ska informera Biträdet om sådana förhållanden som den Personuppgiftsansvarige får kännedom om och som rimligen måste antas ha betydelse för Biträdets uppfyllande av sina skyldigheter enligt mellan parterna in- gånget avtal där behandling av personuppgifter ingår som en del, detta biträdesavtal samt enligt tillämpliga rättsliga krav. Sådan information ska tillhandahållas Biträdet utan oskäligt dröjsmål efter det att den Personuppgiftsansvarige fått kännedom om förhållandet.

8.7 Den Personuppgiftsansvarige har inte rätt att företräda Biträdet eller på annat sätt agera för dennes räkning utan särskild överenskommelse om detta med Biträ- det.

9. Sekretess och tystnadsplikt

9.1 All behandling av personuppgifter ska ske med hänsyn till sekretess och tillämp- liga bestämmelser i offentlighet- och sekretesslagen (2009:400) ska följas.

9.2 Biträdet ansvarar för att berörd personal och anlitad underleverantör informe- ras om och iakttar gällande sekretess.

9.3 Biträdet garanterar att personer som får tillgång till personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av lämplig lagstadgad tystnadsplikt.

9.4 Biträdet, dennes anställda eller underbiträden får inte lämna ut några uppgifter till tredje man utan att först ha inhämtat Personuppgiftsansvarigs samtycke.

10. Underbiträden

10.1 Biträdet har endast rätt att anlita ett annat Personuppgiftsbiträde (underbi- träde) för behandling av personuppgifter om detta anges i instruktionen. Medgi- vande till anlitande av underbiträde kan ges genom ett särskilt eller allmänt skriftligt förhandstillstånd till Personuppgiftsbiträdet.

Datum 6 (11)

Dnr

10.2 Om ett allmänt skriftligt medgivande erhållits enligt punkt 10.1 ska biträdet in- formera Personuppgiftsansvarig om planer på att anlita nya biträden eller ersätta bi- träden så att Personuppgiftsansvarig har möjlighet att invända mot sådant underbi- träde. Vid information om att anlita ett nytt underbiträde ska Personuppgiftsbiträde lämna den Personuppgiftsansvarige all relevant information om det föreslagna un- derbiträdet som krävs för en dataskyddsrättslig bedömning. Information ska därvid särskilt lämnas om i vilket land som underbiträdet kommer att behandla person- uppgifterna och vilka typer av behandlingar som underbiträdet är tänkt att utföra.

10.3 Om Biträdet med stöd av detta biträdesavtal anlitar ett underbiträde ska un- derbiträdet genom skriftligt avtal åläggas samma skyldigheter som enligt detta biträ- desavtal åligger Biträdet och framförallt ska underbiträdet ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder så att behand- lingen uppfyller kraven i Dataskyddsförordningen.

10.4 Personuppgiftsbiträde ska hålla en förteckning över de underbiträden som vid den aktuella tidpunkten anlitas, samt göra denna förteckning tillgänglig för den Per- sonuppgiftsansvarige. Av förteckningen ska särskilt framgå i vilka länder underbi- trädet behandlar personuppgifterna och vilka typer av behandlingar som underbi- trädet utför. På begäran ska Personuppgiftsbiträde lämna den Personuppgiftsansva- rige information om ett underbiträdes rättsliga åtaganden samt övrig information som krävs för att den Personuppgiftsansvarige ska kunna fullgöra sina skyldigheter enligt dataskyddslagstiftningen.

10.5 Om underbiträdet inte uppfyller sina skyldigheter i fråga om behandling enligt ett underbiträdesavtal ska Biträdet förbli fullt ansvarig gentemot Personuppgiftsan- svarig.

10.6 Har den Personuppgiftsansvarige enligt ovanstående punkter godtagit behand- ling av personuppgifter i tredje land ansvarar Biträdet för att överföringen till ett så- dant tredje land sker enligt gällande dataskyddsregler.

11. Säkerhetsåtgärder

11.1 Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säker- ställa och kunna visa att behandlingen utförs i enlighet med Dataskyddsförord- ningen samt säkerställa att den registrerades rättigheter skyddas mot bland annat obehörig åtkomst, förstörelse och ändring. Ytterligare specificeringar av de tekniska och organisatoriska säkerhetsåtgärderna finns i Bilaga 1.

12. Underrättelse i händelse av Personuppgiftsincident

12.1 Biträdet ska efter att ha fått vetskap om en personuppgiftsincident (se punkt 4 Definitioner) omedelbart underrätta Personuppgiftsansvarig. En sådan underrät- telse ska åtminstone innehålla följande information.

Datum 7 (11)

Dnr

a. en beskrivning av personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs, samt de kate- gorier av och det ungefärliga antalet personuppgiftsposter som berörs,

b. namnet och kontaktuppgifterna för Biträdets dataskyddsombud eller andra kontaktuppgifter där mer information kan erhållas,

c. en beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten, och

d. en beskrivning av de åtgärder som Biträdet har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

13. Konsekvensbedömning och förhandssamråd

13.1 Om en typ av behandling, särskilt med användning av ny teknik och med be- aktande av dess art, omfattning, sammanhang och ändamål sannolikt leder till en högre risk för fysiska personers rättigheter och friheter ska Biträdet före det att be- handlingen utförs, på egen bekostnad, vid behov och på begäran av Personupp- giftsansvarig, bistå Personuppgiftsansvarig vid en bedömning av den planerade be- handlingens konsekvenser för skyddet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker.

13.2 För det fall bedömningen av den planerade behandlingen visar att behand- lingen skulle leda till hög risk om Personuppgiftsansvarig inte vidtar åtgärder för att minska risken ska Biträdet före behandlingen utförs vara Personuppgiftsansvarig behjälplig vid samråd med tillsynsmyndigheten.

14. Överföring av personuppgifter till tredjeland

14.1 Biträdet äger inte rätt att överföra personuppgifter till tredjeland eller till en in- ternationell organisation utan att Personuppgiftsansvarig först har lämnat sitt skrift- liga samtycke i förväg till en sådan överföring.

14.2 En överföring till tredjeland förutsätter under alla förhållande, dvs. även för det fall Personuppgiftsansvarig lämnat sitt skriftliga samtycke, att Biträdet uppfyller de krav och åtgärder som följer av Dataskyddsförordningen vad avser tredjelandsö- verföring.

14.3 Om personuppgiftsbiträdet ska få överföra personuppgifter till eller behandla personuppgifter i tredje land och parterna inte uttryckligen avtalat om annat, ska något av följande krav uppfyllas:

a) aktuellt tredje land har en adekvat skyddsnivå,

b) de registrerade har behörigen samtyckt till överföringen eller behandlingen,

Datum 8 (11)

Dnr

c) annan laglig grund föreligger för överföringen eller behandlingen enligt tillämp- liga rättsliga krav,

d) det föreligger ett avtal med EU-kommissionens modellklausuler (2010/87/EU) som inte innehåller ändringar eller tillägg som står i strid med klausulerna,

e) personuppgiftsbiträdet tillämpar bindande företagsinterna regler (Binding Corpo- rate Rules) som även gäller för mottagaren av personuppgifter i aktuellt Tredje land, eller,

f) personuppgiftsbiträdet har genomfört självcertifiering och anslutit sig till mellan EU och USA gällande Privacy Xxxxxxx-principer eller motsvarande genom att behö- rigen registrera sig hos U.S Department of Commerce.

14.4 För det fall ett sådant avtal som avses i 14.3 d ska tecknas så gäller följande.

ALTERNATIV 1: Personuppgiftsansvarig ger Personuppgiftsbiträdet mandat att teckna Personuppgiftsbiträdesavtal för Personuppgiftsansvarigs räkning med un- derbiträden i tredje land, i enlighet med Kommissionens beslut (2010/87/EU) om standardavtalsklausuler för överföring av personuppgifter till tredje land.

ALTERNATIV 2: Ett Personuppgiftsbiträdesavtal tecknas mellan Personuppgifts- ansvarig och Personuppgiftsbiträdets underbiträde i tredje land, i enlighet med Kommissionens beslut (2010/87/EU) om standardavtalsklausuler för överföring av personuppgifter till tredje land.

15. Skada och ansvar

15.1 För den händelse registrerad, eller annan tredje man riktar ersättningskrav eller andra anspråk mot den Personuppgiftsansvarige på grund av Biträdets eller av denne anlitade underbiträdens behandling av personuppgifter ska Biträdet hålla den Personuppgiftsansvarige skadelös för sådana krav eller anspråk som orsakats av att Biträdet eller av denne anlitade underbiträden inte efterföljt de skyldigheter enligt tillämpliga bestämmelser som specifikt riktar sig till biträdet eller agerar utanför el- ler i strid med biträdesavtalet.

Biträdet ska undgå ansvar enligt ovan om det visar sig att det inte på något sätt är ansvarigt för den händelse som orsakade skadan.

15.2 Biträdet ska hålla Personuppgiftsansvarig skadelös för skada eller administra- tiva sanktionsavgifter som denna drabbats av om Biträdet, eller av denne anlitat un- derbiträde, vidtagit otillåten eller försumlig behandling av personuppgifter i strid med Dataskyddsförordningen, detta Biträdesavtal eller instruktionen.

15.3 Vad som föreskrivs i punkt 15.1 gäller även om den Personuppgiftsansvarige eller Biträdet påföres sanktionsavgifter eller annan påföljd med anledning av be- handlingen av personuppgifter.

15.4 Innan Part inleder förhandling, ingår förlikning eller träffar avtal eller förbin- der sig till någon annan förpliktelse gentemot de registrerade eller annan tredje man

Datum 9 (11)

Dnr

eller med domstol eller annan myndighet med anledning av ersättningskrav, an- språk eller påföljd ska Parterna informera den andre Parten härom och ge denne möjlighet att biträda Parten eller på annat lämpligt sätt tillvarata sina rättigheter.

16. Revision

16.1 Personuppgiftsansvarig har rätt att, själv eller genom anlitande av annan, ge- nomföra revision avseende Biträdets behandling av personuppgifter för den Per- sonuppgiftsansvariges räkning. Vid sådan revision ska Biträdet ge den Personupp- giftsansvarige det tillträde och den assistans som är nödvändig för genomförandet av sådan revision.

17. Ändringar och tillägg

17.1 Ändringar och tillägg till detta biträdesavtal ska göras skriftligen och under- tecknas av behöriga företrädare för båda parter för att vara giltiga. Ändringen eller tillägget träder i kraft 30 dagar efter att meddelandet om ändring eller tillägg kom- mit Biträdet tillhanda.

17.2 Om tjänstens innehåll ändras till exempel genom att nya funktioner tillkom- mer, och att nya sätt att behandla personuppgifter på kan uppstå ska Personupp- giftsansvarig omgående underrättas om förändringarna.

17.3 Parterna har rätt att påkalla omförhandling av detta avtal och dess bilaga, för det fall att

a. motpartens ägarförhållanden ändras väsentligt, eller

b. tillämplig lagstiftning eller tolkningen av den, ändras på ett sätt som påverkar be- handlingen av personuppgifter som omfattas av detta avtal,

c. om de personuppgiftsbehandlingar som detta avtal avser reglera ändras på ett så väsentligt vis att det påverkar Personuppgiftsbiträdets utförande av behandlingarna, eller

d. Personuppgiftsansvarig har invändningar mot anlitande av underbiträde.

17.4 En begäran om ändring av endera parten innebär inte att Personuppgiftsbiträ- desavtalet bryts utan endast att en omförhandling påbörjas.

17.5 Vardera Part har rätt att skriftligen säga upp tjänsten om motparten gör sig skyldig till väsentligt brott mot bestämmelse i detta avtal, och underlåter att vidta rättelse inom trettio (30) dagar från mottagande av skriftlig begäran därom från den andra Parten.

18. Avslut

18.1 Vid biträdesavtalets upphörande ska personuppgifterna antingen återföras till Personuppgiftsansvarig eller raderas så att informationen inte kan återskapas. Om

Datum 10 (11)

Dnr

annat inte meddelas av Personuppgiftsansvarig ska personuppgifterna återföras till Personuppgiftsansvarig och därefter raderas hos Biträdet (inom 90 dagar eller den längre tid som framgår av instruktionen i bilaga 1). På begäran ska Biträdet lämna ett skriftligt besked om vilka åtgärder som vidtagits med personuppgifterna i sam- band med att behandlingen slutförts.

18.2 Såvida inte annat avtalats eller uppenbart följer av omständigheterna, ska per- sonuppgifterna överlämnas i ett format som bestäms av Personuppgiftsansvarig. Detta innebär att inte enbart personuppgifterna ska tillhandahållas utan även all an- nan logisk information som behövs för att kunna nyttja personuppgifterna. Det- samma gäller även annan tillhörande information såsom instruktioner, systemlös- ningar, beskrivningar eller andra handlingar som Personuppgiftsbiträdet erhållit ge- nom informationsutbyte enligt detta Personuppgiftsbiträdesavtal. Även sådan data ska lämnas i ett sådant format som bestäms av Personuppgiftsansvarig.

18.3 För det fall att Biträdet på grund av lag, förordning, myndighetsföreskrifter el- ler beslut är skyldiga att behålla personuppgifter även efter det att detta biträdesav- tal har upphört att gälla får dessa uppgifter endast användas för det ändamål som framgår av den lag, förordning, myndighetsföreskrifter eller beslut som föranleder att uppgifterna behålls. Personuppgiftsansvarig ska informeras om detta och grun- derna härför.

18.4 Bestämmelser om sekretess i punkten 9 ska fortsätta att gälla även efter detta Personuppgiftsbiträdesavtal i övrigt upphört av gälla.

19. Överlåtelse av avtal

19.1 Biträdet äger inte rätt att helt eller delvis överlåta sina åtaganden enligt detta biträdesavtal, till annan utan skriftligt medgivande från Personuppgiftsansvarig.

20. Avtalstid

20.1 Detta biträdesavtal gäller så länge som Biträdet behandlar personuppgifter för den Personuppgiftsansvariges räkning.

21. Tillämplig lag och tvist

21.1 Parternas rättigheter och skyldigheter enligt detta avtal bestäms i sin helhet av svensk rätt.

21.2 Tvist angående tolkning eller tillämpning av detta biträdesavtal ska avgöras en- ligt svensk lag och föras vid allmän svensk domstol.

---------------------------

Datum 11 (11)

Dnr

Detta biträdesavtal har upprättats i två (2) likalydande exemplar av vilka parterna tagit var sitt.

För [Personuppgiftsansvarig] räkning: För [biträdets] räkning:

Ort: Ort:

Datum: Datum:

Namn: Namn:

Befattning: Befattning:

[Namnteckning] [Namnteckning]

[Namnförtydligande] [Namnförtydligande]