Datum
Datum
2017-12-12
Upprättad av Xxxxxx Xxxxxxx Version
1.0
Diarienr/Projektnr
Ä 2017-1470
Godkänd av
Bilaga b, (Användaravtal Nyps)
I detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) regleras förhållandet mellan:
1. Tillväxtverket, organisationsnummer 202100-6149 (”Biträdet”)
2. xxxxxxxxxx, xxx.xx xxxxxx-xxxx (”Personuppgiftsansvarig”) (Var och en ”part” och gemensamt ”parterna”)
1. Bakgrund och syfte
1.1 Tillväxtverket och Användarorganisationen har ingått avtal avseende tillhandahål- lande enligt förordning (2009:145) med instruktion för Tillväxtverket av ett projekt- och stödärendehanteringssystem (NYPS). Enligt regleringsbrev avseenden anslaget 1:1 ska organisationer som ansvarar för Regionala tillväxtåtgärder inom utgiftsområde 19 Reg- ional tillväxt registrera beslut m.m. i Nyps.
Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) är en del av Avtalet och styr bl.a.
hur Personuppgifter behandlas under Avtalet.
1.2 Personuppgiftsbiträdets fullgörande av Avtalet innebär att personuppgiftsbiträdet behandlar personuppgiftsansvarigs personuppgifter i enlighet med vad som stadgas i personuppgiftslagen (1998:204) (”PuL”).
Detta Biträdesavtal syftar till att uppfylla stadgandet i 30§ personuppgiftslagen som fö- reskriver att det ska finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I Biträdesavtalet finns före- skrifter om att Biträdet får behandla personuppgifter bara i enlighet med instruktioner från den Personuppgiftsansvarige och att Biträdet är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgär- derna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av
- de tekniska möjligheter som finns,
- vad det skulle kosta att genomföra åtgärderna,
- de särskilda risker som finns med behandlingen av personuppgifterna, och
- hur pass känsliga de behandlade personuppgifterna är.
1.3 Nytt personuppgiftsbiträdesavtal Dataskyddsförordningen
Med anledning av att Dataskyddsförordningen träder i kraft och börjar tillämpas i maj 2018 har Användarorganisationen och Tillväxtverket kommit överens om att ett nytt Bi- trädesavtal, anpassat till Dataskyddsförordningen, ska ingås senast den 30 april 2018.
Det nya Biträdesavtalet ska ersätta detta avtal vid tidpunkten för Dataskyddsförordning- ens ikraftträdande, den 25 maj 2018.
2. Lagval och definitioner
2.1 Vid Biträdets Behandling av Personuppgifter ska svensk lag tillämpas.
2.2 Termer såsom personuppgiftsansvarig, personuppgiftsbiträde, behandling av och personuppgifter m.m. i Biträdesavtalet har samma betydelse som i personuppgiftsla- gen. Vidare ska termer som definieras i Avtalet ha samma innebörd i detta Biträdesavtal om inte omständigheterna föranleder annat.
I händelse av konflikt mellan bestämmelser i detta Biträdesavtal och Avtalet ska i frågor som rör behandling av personuppgifter detta Biträdesavtal ha företräde framför Avtalet (inklusive övriga bilagor).
3. Behandling av personuppgifter
3.1 Biträdet åtar sig att behandla Personuppgifter i enlighet med detta Biträdesavtal, Avtalet och dess bilagor, PUL och dess förordning, Datainspektionens föreskrifter, och Personuppgiftsansvarigs vid var tid gällande instruktioner.
3.2 Biträdet får inte behandla Personuppgifter för egna eller några andra ändamål än dem som Biträdet anlitats för av Personuppgiftsansvarig.
3.3 Biträdet får inte överföra Personuppgifter till, eller tillgängliggöra Personuppgifter till Tredje land.
3.4 Biträdet ska rätta, blockera, utplåna, ändra eller gallra Personuppgifter enligt Per- sonuppgiftsansvarigs instruktioner. Om Personuppgiftsansvarig har markerat att Per- sonuppgift ska raderas ska sådan radering ske utan onödigt dröjsmål och senast 90 da- gar därefter.
3.5 Biträdet ska skyndsamt bistå Personuppgiftsansvarig med, på Personuppgiftsansva- rigs begäran, att fullgöra Personuppgiftsansvarigs skyldigheter i förhållande till Den regi- strerade avseende information enligt 26 § PUL.
4. Underbiträden
4.1 Biträdet får anlita eller byta ut en tredje part eller flera tredje parter för Behandling av Personuppgifter enligt Avtalet (”Underbiträde”) om följande förutsättningar är upp- fyllda:
(i) Biträdet har rätt att anlita Underleverantör.
(ii) Ansvarig har godkänt anlitandet av den specifika Underleverantören, och
(iii) Biträdet har ingått ett skriftligt avtal med godkänt Underbiträde avseende Be- handling av Personuppgifter i vilket Underbiträdet åläggs samma skyldigheter som åvilar Biträdet enligt detta Biträdesavtal.
4.2 Biträdet ska säkerställa att Ansvarig har kännedom om vilka Underbiträden som be- handlar Personuppgifter genom att utan dröjsmål, på begäran av Personuppgiftsansva- rig tillhandahålla Personuppgiftsansvarig fullständig, korrekt och uppdaterad informat- ion om samtliga Underbiträden, där följande information specificeras för varje enskilt Underbiträde:
(i) definition av Underbiträdet, inklusive dess kontaktinformation, bolagsform och geografisk placering;
(ii) vilken typ av tjänst som Underbiträdet utför;
(iii) vilka egenskaper Underbiträdet har,
(iv) garantier som uppställs för att PUL krav kommer att följas, samt
(v) var Underbiträdet behandlar Personuppgifter som omfattas av detta Biträdesavtal.
4.3 Biträdet får inte anlita Underbiträde om det innebär att Personuppgifter kommer att överföras till Tredje land.
4.4 Biträdet ansvarar fullt ut mot Ansvarig för Underbiträdes Behandling.
5. Begränsningar i rätten att överföra personuppgifter till tredje land
5.1 Biträdet äger inte rätt att överföra Personuppgifter till Tredje land, dvs Kunddata in- nehållande personuppgifter får endast överföras till, lagras och behandlas inom EU.
6. Säkerhetsåtgärder
6.1 Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som behandlas enligt vad som stadgas i 31 § 1 st. PUL. Personuppgifts- ansvarig kan i sina instruktioner komma att komplettera villkoren i detta avsnitt 6 uti- från vad som framkommer i Personuppgiftsansvariges laglighetsprövning enligt 10 § PUL.
6.2 Personuppgifterna ska av Biträdet skyddas mot förstöring, ändringar, otillåten sprid- ning och obehörig tillgång. Personuppgifterna ska även skyddas mot varje annat slag av otillåten Behandling.
6.3 Biträdet ska vidta åtgärder för att samtliga personer som arbetar under dennes led- ning följer vad som framgår av detta Biträdesavtal och vid var tid gällande instruktioner från Personuppgiftsansvarig, samt att de hålls informerade om innehållet i PUL. Biträdet ska begränsa åtkomsten till Personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver Personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av ingångna avtal mellan Biträdet och Personuppgiftsansvarig. Biträdet ska se till att de personer som har åtkomst till Personuppgifterna omfattas av sekretess enligt vad som framgår av avsnitt 9 samt att de är informerade om hur de får behandla Personuppgifterna. Biträdet ska ha ett behörighetskontrollsystem som förhindrar obe- hörig Behandling av Personuppgifter eller obehörig åtkomst till Personuppgifter. Använ- daridentitet och lösenord ska vara personliga och får inte överlåtas på någon annan. Bi- trädet ska använda ett loggsystem som möjliggör att Behandling av Personuppgifter kan spåras.
6.4 Utrustning ska placeras och skyddas för att minska risker för hot, obehörig åtkomst samt störningar på grund av fel i tekniska försörjningssystem
6.5 Personuppgifter ska regelbundet överföras till säkerhetskopior. Kopiorna ska förva- ras avskilt och väl skyddade så att personuppgifterna kan återskapas efter en störning. Biträdet ska ha en rutin för återläsning.
6.6. Anslutning för extern datakommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig.
Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av Biträdet ska skyddas med kryptering.
6.7 Biträdet ska tillhandahålla och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till Person- uppgifterna. Vid obehörig Behandling, obehörig åtkomst, förstörelse eller ändring av Personuppgifter, samt försök till dessa, ska Biträdet omedelbart skriftligen underrätta Personuppgiftsansvarig om händelsen.
6.8 I det fall Biträdet behandlar Känsliga personuppgifter, såsom definierat i 13 § PUL, eller på annat sätt behandlar integritetskänsliga Personuppgifter vilka exempelvis om- fattas av sekretess, ställs särskilt höga säkerhetskrav innefattande exempelvis tvåstegs- autentisering och kryptering.
6.9 När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre ska användas för sitt ändamål ska personuppgifter raderas på sådant sätt att de inte kan återskapas.
6.10 När reparation och service av datorutrustning, vilken används för att lagra Ansvari- ges personuppgifter, utförs av annan än Biträdet, ska avtal som reglerar säkerhet och sekretess träffas med serviceföretaget. Vid servicebesök ska service ske under Biträdets överinseende. Är inte detta möjligt ska lagringsmedier som innehåller personuppgifter avlägsnas. Service via fjärrstyrd datorkommunikation får endast ske via säker anslutning och efter säker elektronisk identifiering av den som utför service. Servicepersonal ska ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår.
6.11 Personuppgiftsansvarig får lämna ytterligare instruktioner om säkerhetsåtgärder. I sådant fall ska Biträdet följa instruktionerna. Personuppgiftsansvarig har rätt att kon- trollera att de tekniska och organisatoriska säkerhetsåtgärderna verkligen vidtas under Avtalets fullgörande.
6.12 Om Biträdet saknar instruktioner från Personuppgiftsansvarig som Biträdet bedö- mer är nödvändiga för att utföra Behandling av Personuppgifter, eller anser att Person- uppgiftsansvarigs instruktioner helt eller delvis står i konflikt med de författningar, före- skrifter och rekommendationer som Biträdet ska följa enligt Biträdesavtalet, ska Biträ- det utan dröjsmål meddela Personuppgiftsansvarig om sin inställning och invänta de in- struktioner som Personuppgiftsansvarig bedömer erforderliga.
6.13 Biträdet har rätt till ersättning för skäliga, styrkta och direkta merkostnader som Biträdet orsakas till följd av förändrade eller ytterligare instruktioner enligt punkterna
6.1 och 6.11 ovan. Sådan rätt till ersättning ska dock inte föreligga för förändrade säker- hetskrav som Biträdet ska uppfylla utan rätt till ersättning enligt Xxxxxxx.
7. Granskning och tillsyn
7.1 Personuppgiftsansvarig äger rätt att, själv eller genom Ekonomistyrningsverket eller annan av Personuppgiftsansvarig utsedd tredje part följa upp att Biträdet lever upp till den Personuppgiftsansvariges krav på Behandlingen. Biträdet ska vid sådan uppföljning bistå Personuppgiftsansvarig eller den som utför granskningen med dokumentation, till- gång till lokaler, IT-system och andra tillgångar som behövs för att kunna följa upp Biträ- dets efterlevnad av detta Avtal. Biträdet ska även tillförsäkra Personuppgiftsansvarig motsvarande rättigheter i förhållande till anlitade Underbiträden. Biträdet äger rätt att erbjuda alternativa tillvägagångssätt för uppföljning, exempelvis granskning genomförd av oberoende tredje part. Personuppgiftsansvarig ska i sådant fall äga rätt, men inte vara skyldig att, tillämpa detta alternativa tillvägagångssätt för uppföljning.
7.2 Biträdet ska också bereda möjlighet för Datainspektionen, eller annan myndighet som rör eller kan vara av betydelse för Behandling av Personuppgifter, att göra tillsyn på plats.
7.3 Om Datainspektionen eller annan myndighet inleder granskning av Personuppgifts- ansvarigs Behandling av Personuppgifter eller om enskild väcker talan mot Personupp- giftsansvarig med anledning av sådan Behandling och frågan rör Behandling som kan antas ha utförts av Biträdet, ska Biträdet i skälig omfattning och mot ersättning för själv- kostnader bistå Personuppgiftsansvarig med dokumentation och annan information av- seende Behandlingen i syfte att möjliggöra för Personuppgiftsansvarig att tillmötesgå myndigheter i deras granskning och bemöta framställda krav.
8. Utlämnande av information
8.1 Om Den registrerade, Datainspektionen, annan tillsynsmyndighet eller annan tredje man begär information från Biträdet som rör Behandling av Personuppgifter, ska Biträ- det hänvisa till Personuppgiftsansvarig. Biträdet får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan skriftligt föregående med- givande från Personuppgiftsansvarig. Biträdet ska bistå Personuppgiftsansvarig för det fall Den registrerade begär att få ta del av information som finns registrerad om denne i form av Personuppgifter eller begär rättelse av sådan information.
8.2 Biträdet ska utan dröjsmål skriftligen underrätta Personuppgiftsansvarig om eventu- ella kontakter från Datainspektionen eller annan tillsynsmyndighet som rör eller kan vara av betydelse för Behandling av Personuppgifter. Biträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarigs räkning gentemot Data- inspektionen eller andra tillsynsmyndigheter som rör eller kan vara av betydelse för Be- handling av Personuppgifter. För det fall Biträdet genom lag eller myndighetsföreläg- gande är nödgad att lämna ut Personuppgifter, gäller vad som stadgas i punkt 9.3.
9 Sekretess
9.1 Biträdet och de personer som arbetar under dennes ledning ska vid Behandling av Personuppgifter iaktta sekretess. Det innebär att Personuppgifter inte obehörigen får röjas för tredje man. Biträdet åtar sig att se till att den eller de personer som arbetar under Biträdets ledning och som kommer att behandla Personuppgifter iakttar och föl- jer Biträdets sekretesskyldighet enligt denna punkt 9.1 samt Offentlighets- och sekre- tesslagen.
9.2 Personuppgifter, information, instruktioner, systemlösningar, beskrivningar eller andra handlingar som Biträdet erhåller genom informationsutbyte enligt detta Biträdes- avtal eller annat avtal parterna emellan får inte utnyttjas eller röjas för annat ändamål än som framgår av detta Biträdesavtal, annat avtal parterna emellan eller offentlighets- och sekretesslagen, vare sig direkt eller indirekt, om inte Personuppgifttsansvarig på förhand skriftligen medgivit detta. Sekretesskyldigheten gäller inte information som
part kan visa var allmänt känd eller som kommit till parts kännedom från tredje man utan brott mot detta Biträdesavtal.
9.3 Biträdet får lämna ut Personuppgifter utan att det innebär ett handlande i strid med detta Biträdesavtal om Biträdet genom lag eller myndighetsföreläggande är nödgad att lämna ut Personuppgifter. I sådant fall åligger det Biträdet att omgående skriftligen meddela Personuppgiftsansvarig om detta och begära att de efterfrågade Personuppgif- terna omfattas av sekretess vid utlämnandet.
9.4 Sekretessplikten gäller även om detta Biträdesavtal i övrigt upphör.
10. Ersättning
10.1 Om det inte följer av någon annan punkt i detta Biträdesavtal har Biträdet inte rätt till särskild ersättning för Behandling av Personuppgifter under detta Biträdesavtal.
12. Avtalstid, förhållande till övriga avtal och ändringar
12.1 Detta Biträdesavtal gäller mellan parterna så länge Biträdet behandlar Personupp- gifter för vilka Personuppgiftsansvarig är personuppgiftsansvarig. Vid Användaravtalets upphörande ska Biträdet tillse att samtliga Personuppgifter överlämnas till Personupp- giftsansvarig i sådant format som Personuppgiftsansvarig definierar. Detta innebär att personuppgifterna ska överlämnas i ett format som är läsbart och möjligt att använda i andra sammanhang samt att även andra uppgifter än personuppgifter ska tillhandahål- las såsom logisk information som behövs för att kunna nyttja personuppgifter. Vidare ska också loggfiler, revisionsdata, accessdata och liknande metadata tillhandahållas. Även sådan data ska lämnas i ett sådant format att den är användbar för Ansvarig.
12.2 Biträdet åtar sig att radera samtliga Personuppgifter som behandlats enligt detta Biträdesavtal inom 180 dagar från Användaravtalets upphörande. Radering ska emeller- tid inte ske förrän Biträdet skriftligen har informerat Ansvarig om att radering kommer att ske och har överlämnat Personuppgifter enligt punkt 12.1.
12.3 Om bakomliggande Användaravtal som innebär att Biträdet behandlar Personupp- gifter upphör och nytt sådant Användaravtal träffas utan att ett nytt personuppgiftsbi- trädesavtal träffas, gäller detta Biträdesavtal även för det nya Användaravtalet.
12.4 Ändringar och tillägg till detta Biträdesavtal ska, för att vara giltiga, göras skriftligen och undertecknas av båda parter. Sådana ändringar och tillägg till Biträdesavtalet träder i kraft 30 dagar efter båda parters undertecknande om inget annat är överenskommet. Denna punkt förhindrar inte att Personuppgiftsansvarig kan ändra eller utfärda ytterli- gare instruktioner i enlighet med vad som framgår av detta Biträdesavtal.
13. Lagval och tvistlösning
13.1 För detta avtal gäller svensk rätt.
13.2 Tvist i anledning av detta Avtal ska slutligt avgöras vid allmän domstol.
Detta Avtal har upprättats i två (2) original, av vilka parterna har erhållit ett (1) original var.
Underskrift Användarorganisation | Underskrift Tillhandahållaren | ||
Ort: | ………………………………. | Ort: | ……………………………. |
Datum: | ……………………………… | Datum: | …………………………… |
Personuppgiftsbiträde: | ……………………………… | Personuppgiftsbiträde: | …………………………… |
Namn: | ……………………………… | Namn: | …………………………… |
Namnförtydligande: | ……………………………... | Namnförtydligande: | …………………………… |