PERSONUPPGIFTSBITRÄDESAVTAL Avtal enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/6791


Datum


1 (14)


2022-06-06





Kontaktperson

Xxxx Xxxxxxxx






PERSONUPPGIFTSBITRÄDESAVTAL
Avtal enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/6791



Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtal”) är träffat (ÅÅÅÅ-MM-DD) mellan: Xxxxx (nedan kallat Personuppgiftsansvarig)

Kontaktperson:[Namn, e-post, telefonnummer, Projektensnamn, Diarienummer] och,

Svenska ESF-rådet (nedan kallad Personuppgiftsbiträde),

Xxx.xx. 202100-5224

Box: 397

801 05 Gävle


Kontaktperson:

Xxxx Xxxxxxxx, IT-chef Svenska ESF-rådet, xxxx.xxxxxxxx@xxx.xx, 08-57917147.



Gemensamt benämnda ”Parterna”.


1 BAKGRUND OCH SYFTE

  1. 1.1 Detta Personuppgiftsbiträdesavtal syftar till att reglera behandlingen av de personuppgifter som personuppgiftsbiträdet behandlar för den personuppgiftsansvariges räkning vad gäller den digitala deltagarredovisning som förekommer inom ramen för det ESF-finansierade projekt den Personuppgiftsansvarige driver.

  2. 1.2 Detta Personuppgiftsbiträdesavtal syftar till att säkerställa de registrerades fri- och rättigheter när Personuppgiftsansvarig anlitar Personuppgiftsbiträde vid behandling av personuppgifter och till att uppfylla artikel 28.3 Allmänna Dataskyddsförordningen EU 2016/679, i det följande kallad Dataskyddsförordningen.



2 DEFINITIONER2


Behandling av personuppgifter


Åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Dataskyddslagstiftning









Personuppgiftsansvarig

Avser sådan integritets- och personuppgiftslagstiftning samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på den personuppgiftsbehandling som sker under detta Personuppgiftsbiträdesavtal, inklusive nationell sådan lagstiftning och EU Lagstiftning, såsom denna kan komma att förändras över tid.



Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

Personuppgiftsbiträde





Underbiträde






Personuppgifter









Personuppgiftsincident





Register





Registrerad

Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.



Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som i egenskap av underleverantör till Personuppgiftsbiträdet Behandlar Personuppgifter för Personuppgiftsansvariges räkning.



Varje upplysning som avser en identifierad eller identifierbar fysisk person (registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.


En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.


En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.


Den person som personuppgiften avser.

Tredje land

En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet.


3 BEHANDLINGENS AV PERSONUPPGIFTER, ÄNDAMÅL, TYPEN OCH AV PERSONUPPGIFTER M.M

3.1 Syftet med behandlingen, typer av behandlingar, kategorier av personuppgifter och registrerade samt behandlingens varaktighet framgår av Bilaga 1.


3.2 Personuppgiftsbiträdet får endast behandla den Personuppgiftsansvariges personuppgifter i enlighet med den Personuppgiftsansvariges skriftliga instruktioner för att fullgöra sitt uppdrag åt den Personuppgiftsansvarige såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av. I så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.


3.3 Genom Personuppgiftsbiträdets behandling och åtkomst till Personuppgiftsansvariges personuppgifter kan dessa komma att utgöra allmänna handlingar. För det fall att personuppgifterna utgör allmänna handlingar innebär det följande:

(i) Om handlingarna begärs ut som allmänna handlingar är Personuppgiftsbiträdet förpliktigat att göra en bedömning av sådant utlämnande i enlighet med tryckfrihetsförordningen (1949:105) och offentlighets- och sekretesslagen (2009:400).

(ii) Allmänna handlingar ska bevaras i enlighet med arkivlagen (1990:782) vilket innebära att Personuppgiftsbiträdet kan komma att lagra personuppgifter längre än vad som följer av den Personuppgiftsansvariges instruktioner.


3.4 Personuppgiftsansvarig är medveten om att behandlingarna som beskrivs i punkt 3.3 utgör sådana rättsliga krav enligt nationell rätt som följer av punkt 3.2 ovan samt artikel 28.3 a) allmänna Dataskyddsförordningen EU 2016/679 och medger att sådan behandling får ske.



4 Personuppgiftsansvariges ansvar

4.1 Den Personuppgiftsansvarige åtar sig att säkerställa att det finns en laglig grund för aktuella behandlingar enligt punkt 3 och att utforma skriftliga instruktioner för att Personuppgiftsbiträdet och eventuella underbiträden ska kunna fullgöra sitt uppdrag enligt detta Personuppgiftsbiträdesavtal.


4.2 Den Personuppgiftsansvarige åtar sig att utan dröjsmål informera Personuppgiftsbiträdet om förändringar i behandlingen vilka påverkar Personuppgiftsbiträdets skyldigheter enligt gällande Dataskyddslagstiftning eller annan relevant lagstiftning.


4.3 Den Personuppgiftsansvarige ansvarar för att informera registrerade om behandlingarna enligt Personuppgiftsbiträdesavtalet och för att, i de fall det krävs, inhämta samtycke från den registrerade samt tillvarata de registrerades rätt till insyn och radering m.m.


5 PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN

5.1 Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifterna för de syften som anges i punkt 3 av detta Personuppgiftsbiträdesavtal och följa gällande Dataskyddslagstiftning eller annan relevant lagstiftning med avseende på behandling av personuppgifter och att hålla sig informerad om gällande rätt på området.


5.2 Personuppgiftsbiträdet ska vidta åtgärder för att skydda Personuppgifterna mot förstörning, ändring, otillåten spridning och obehörig tillgång samt mot varje annat slag av otillåten behandling.


5.3 Personuppgiftsbiträdet åtar sig att säkerställa att personal hos Personuppgiftsbiträdet, som måste tillgå Personuppgifter, följer vad som framgår av detta Personuppgiftsbiträdesavtal och vid var tid gällande instruktion från Personuppgiftsansvarig.


5.4 Personuppgiftsbiträdet ska vid behov, och i den mån det är möjligt, assistera den personuppgiftsansvarige så att denne kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter.

5.5 För det fall att Personuppgiftsbiträdet finner att Personuppgiftsansvarigas instruktioner, enligt Bilaga 1, är otydliga, olagliga eller saknas, och som Personuppgiftsbiträdet bedömer är nödvändiga för att genomföra sina åtaganden ska denne, utan dröjsmål, informera Personuppgiftsansvarig om detta och invänta bekräftelse eller nya instruktioner.

5.6 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige vid dennes genomförande av konsekvensbedömningar i enlighet med gällande Dataskyddslagstiftning.

6 SÄKERHETSÅTGÄRDER

6.1 Personuppgiftsbiträdet åtar sig att vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med gällande dataskyddslagstiftning samt de eventuella åtgärder som framgår av instruktionerna3 för att skydda personuppgifterna.

6.2 I det fall Personuppgiftsbiträdet behandlar känsliga personuppgifter vilka omfattas av sekretess, ställs särskilt höga säkerhetskrav. Personuppgiftsansvarig ska informera Personuppgiftsbiträdet innan behandling sker av personuppgifter som omfattas av sekretess. Personuppgiftsansvarig får då lämna ytterligare instruktioner om säkerhetsåtgärder.

6.3 Personuppgiftsbiträdet ska ha ett behörighetskontrollsystem som förhindrar obehörig behandling av personuppgifter eller obehörig åtkomst till personuppgifter.

6.4 Personuppgiftbiträdet ska genom behörighetskontrollsystemet aktivt begränsa åtkomsten till personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av avtalen mellan Personuppgiftsbiträdet och Personuppgiftsansvarig.

7 SEKRETESS

7.1 Personuppgiftsbiträdet och den personal som arbetar under detta Personuppgiftsbiträdesavtal ska vid behandling av personuppgifter iaktta sekretess, såväl handlingssektess som tystnadsplikt. Personuppgifterna, information, instruktioner, systemlösningar, beskrivningar eller andra handlingar som Personuppgiftsbiträdet erhåller genom informationsutbyte enligt detta Personuppgiftsbiträdes-avtal eller annat avtal parterna emellan får inte utnyttjas eller röjas för annat ändamål än som framgår av detta Personuppgiftsbiträdesavtal eller annat avtal parterna emellan, vare sig direkt eller indirekt, om inte Personuppgiftsansvarig på förhand skriftligen medgivit detta.

7.2 Personuppgiftsbiträdet åtar sig att tillse att samtliga anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och dess Underbiträde(n) (om sådana förekommer) och som behandlar personuppgifterna är underkastade tystnadsplikt, eller står under lagstadgad tystnadsplikt.

7.3 Personuppgiftsbiträdet ska utan dröjsmål skriftligen underrätta Personuppgiftsansvarig om eventuella kontakter med tillsynsmyndighet som rör eller kan vara av betydelse för Behandling av Personuppgifterna, såvida detta är förenligt med gällande Dataskyddslagstiftning eller annan lagstiftning. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarigs räkning gentemot tillsynsmyndigheter i frågor som rör eller kan vara av betydelse för Behandling av Personuppgifterna.

7.4 Om den Registrerade, tillsynsmyndigheter eller annan tredje man begär information från Personuppgiftsbiträdet som rör Behandling av Personuppgifter, ska Personuppgiftsbiträdet hänvisa till Personuppgiftsansvarig. Personuppgiftsbiträdet får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan skriftligt föregående medgivande från Personuppgiftsansvarig såvida inte sådant inhämtande förhindras av gällande Dataskyddslagstiftning eller annan lagstiftning. Personuppgiftsbiträdet åtar sig efter sådant medgivande att, i rimlig utsträckning men i vart fall i den mån som behövs för att fullgöra de skyldigheter som anges i Dataskyddsförordningen, hjälpa till med att ge registrerade, tillsynsmyndigheter eller annan tredje man information om en viss behandling av Personuppgifter.


8 GRANSKNING, TILLSYN OCH REVISION


8.1 Personuppgiftsbiträdet ska utan dröjsmål, på Personuppgiftsansvariges begäran, tillhandahålla all information, t.ex. tekniska och organisatoriska säkerhetsåtgärder som den Personuppgiftsansvarige behöver för att kunna granska och utöva sin insyn i Personuppgiftsbiträdets behandling av personuppgifter som följer av detta Personuppgiftsbiträdesavtal.

8.2 Personuppgiftsansvarig äger rätt att, genom av denne utsedd tredje part (som inte ska vara en konkurrent till Personuppgiftsbiträdet) följa upp att Personuppgiftsbiträdet lever upp till den Personuppgiftsansvariges krav på Behandlingen. Personuppgiftsbiträdet ska vid sådan uppföljning bistå den som utför granskningen med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna följa upp Personuppgiftsbiträdets efterlevnad av detta Personuppgiftsbiträdesavtal.


8.3 Personuppgiftsbiträdet äger dock rätt att erbjuda alternativa tillvägagångssätt för uppföljning, exempelvis granskning genomförd av oberoende tredje part. Personuppgiftsansvarig ska i sådant fall äga rätt, men inte vara skyldig att, tillämpa detta alternativa tillvägagångssätt för uppföljning. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge Personuppgiftsansvarige eller en tredje part den assistans som behövs för genomförandet.


8.4 Personuppgiftbiträdet ska bereda möjlighet för tillsynsmyndighet, eller annan myndighet som rör eller kan vara av betydelse för Behandling av Personuppgifter, att göra tillsyn på plats.


8.5 Personuppgiftsbiträdet ska även tillförsäkra Personuppgiftsansvarig motsvarande rättigheter, enligt klausul 8, i förhållande till anlitade Underbiträden.


9 RÄTTELSE OCH RADERING AV PERSONUPPGIFTER samt Drift och underhåll


9.1 Personuppgiftsbiträdet åtar sig att utan dröjsmål vidta rättelse (inbegripet men inte begränsat till rättelse, radering eller blockning) av felaktiga eller ofullständiga personuppgifter efter instruktioner från Personuppgiftsansvarig.

Efter det att Personuppgiftsansvarig skriftligen begärt rättelse av personuppgift får Personuppgifts-biträdet endast behandla personuppgiften som ett led i rättelseprocessen och åtar sig att vidta åtgärden utan dröjsmål, dock senast inom 90 dagar.


9.2 Innan Personuppgiftsbiträdet och dess underbiträden driftsätter sina system för mottagande eller utlämnande av information enligt detta Personuppgiftsbiträdesavtal ska systemen kvalitetssäkras.


9.3 Om Personuppgiftsbiträdet avser att göra förändringar i sina system (uppgraderingar, felsökningar etc.) på sätt som kan förväntas påverka informationshanteringen negativt ska Personuppgiftsbiträdet samråda med den Personuppgiftsansvarige om detta. Sådan information ska lämnas i god tid före förändringen.


10 personuppgiftsincidenter


10.1 Personuppgiftbiträdet ska, utan onödigt dröjsmål, göra en skriftlig anmälan till den Personuppgiftsansvarige om varje identifierad Personuppgiftsincident kopplad till Personuppgifter som behandlas inom ramen för detta Personuppgiftsbiträdesavtal. Anmälan ska göras till den Personuppgiftsansvariges kontaktperson.

10.2 Den anmälan som omnämns i klausul 10.1 ska, beroende på vilken information som finns tillgänglig för Personuppgiftsbiträdet, innehålla:

a) Beskrivning av Personuppgiftsincidenten, inbegripet kategorierna av och antalet registrerade som berörs, datum och tid för incidenten, en sammanfattning av det som föranledde Personuppgiftsincidenten, kategorierna av och antalet personuppgiftsposter som berörs samt arten av och innehållet i de Personuppgifter som berörs.

b) Beskrivning av omständigheterna kring Personuppgiftsincidenten och de tänkbara riskerna för de registrerade som kan följa av Personuppgiftsincidenten.

c) Rekommendera åtgärder för att mildra de möjliga negativa effekterna av Personuppgiftsincidenten.

d) Beskriva de åtgärder som föreslås eller har vidtagits av Personuppgiftsbiträdet för att bemöta Personuppgiftsincidenten.


11 UNDERBITRÄDEN

11.1 Personuppgiftsbiträdet får inte utan Personuppgiftsansvarigs skriftliga godkännande anlita ett Underbiträde för Behandling av de Personuppgifter som Personuppgiftsbiträdet Behandlar för Personuppgiftsansvarigs räkning. Ett sådant godkännande ges härmed till de Underbiträden som framgår av Bilaga 2 till detta Personuppgiftsbiträdesavtal.

11.2 Det är Personuppgiftsbiträdets ansvar att genom tecknande av skriftligt avtal med Underbiträdena ålägga dem att åta sig motsvarande villkor för behandlingen av personuppgifterna som gäller enligt detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran översända en kopia på avtalet med Underbiträdet.

11.3 Om Personuppgiftsbiträdet vill anlita nytt Underbiträde eller byta ut befintligt Underbiträde, ska Personuppgiftsansvarig informeras om detta via den kontaktinformation som anges i ingressen till detta Personuppgiftsbiträdesavtal. Informationen ska ske minst tre (3) månader innan förändringen sker och kräver skriftligt godkännande från Personuppgiftsansvarig, vilket ska ges utan onödigt dröjsmål. Om förändringen inte godkänns men Personuppgiftsbiträdet ändå väljer att anlita/byta Underbiträde har Personuppgiftsansvarig rätt att säga upp detta Personuppgiftsbiträdesavtal med omedelbar verkan eller, om Personuppgiftsansvarig så önskar, ange en valfri uppsägningstid på upp till två (2) månader. Personuppgiftsansvarig ska meddela sitt beslut angående uppsägning och vald uppsägningstid inom två (2) veckor från dess att Personuppgiftsbiträdet meddelat att de kommer anlita/byta Underbiträde trots Personuppgiftsansvarigs uteblivna godkännande.



12 ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND OCH LOKALISERING

12.1 Personuppgiftsbiträdet äger endast överföra personuppgifter till tredje land, för exempelvis service, support, underhåll, utveckling, drift eller liknande hantering, om den Personuppgifts-ansvarige skriftligt godkänt sådan överföring och utfärdat särskilda instruktioner (Bilaga 1).


12.2 Innan överföring påbörjas, ska Personuppgiftsbiträdet uppvisa dokumentation som styrker att kraven i gällande Dataskyddslagstiftning eller annan relevant lagstiftning och instruktionen till detta Personuppgiftsbiträdesavtal är uppfyllda.


12.3 Personuppgiftsbiträdet ska tillse att personuppgifterna lagras inom EU/EES, om inte parterna skriftligen kommer överens om något annat.


13 ANSVAR FÖR SKADA

13.1 Vid ersättning för skada i samband med Behandling som, genom fastställd dom eller förlikning, ska utgå till den Registrerade på grund av överträdelse av bestämmelse i Personuppgiftsbiträdesavtalet, instruktioner och/eller tillämplig bestämmelse i Dataskyddslagstiftningen ska artikel i 82 i Dataskyddsförordningen tillämpas.


13.2 Sanktionsavgifter enligt artikel 83 i Dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska bäras av den av Personuppgiftsbiträdesavtalets parter som påförts en sådan avgift.


13.3 Om endera part får kännedom om omständighet som kan leda till skada för motparten ska parten omedelbart informera motparten om förhållandet och aktivt arbeta tillsammans med motparten för att förhindra och minimera sådan skada.




14 LAGVAL OCH TVISTLÖSNING

14.1 För detta avtal gäller svensk rätt. Eventuell tolkning eller tvist i anledning av avtalet, som parterna inte kan lösa på egen hand, ska avgöras av svensk allmän domstol.



15 TILLÄGG, ÄNDRING ELLER UPSÄGNING AV AVTAL

15.1 Tillägg och ändringar av detta Personuppgiftbiträdesavtal ska, för att vara giltiga, vara skriftliga och undertecknas av båda Parter.

15.2 Parterna har rätt att påkalla omförhandling av detta Personuppgiftsbiträdesavtal och andra bilagor, för det fall att

  1. motpartens ägarförhållanden ändras väsentligt, eller

  2. tillämplig lagstiftning eller tolkningen av den, ändras på ett sätt som påverkar behandlingen av personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal.

15.3 En begäran om ändring av endera parten innebär inte att Personuppgiftsbiträdesavtalet bryts utan endast att en omförhandling påbörjas.



16 AVTALSTID OCH UPPHÖRANDE AV BEHANDLING

16.1 Detta Personuppgiftsbiträdesavtal skall vara giltigt intill det datum när Personuppgiftsbiträdet upphör att behandla personuppgifterna. Personuppgiftsbiträdet ska som huvudregel lagra handlingar och uppgifter under fyra (4) år från och med den 31 december det år som utbetalningen skedde om inte Personuppgiftsansvarig ger annan instruktion.

16.2 Efter Personuppgiftsbiträdesavtalets upphörande, oavsett orsak, ska samtliga Personuppgifter som behandlats inom ramen för detta Personuppgiftsbiträdesavtal återlämnas till den Personuppgiftsansvarige genom exportering i excel-format. Överlämning ska ske inom 180 (etthundraåttio) dagar från Personuppgiftsbiträdesavtalets upphörande (vilket alltså sker fyra år från och med den 31 december det år som utbetalningen skedde om inte Personuppgiftsansvarig ger annan instruktion), dock innan Personuppgiftsbiträdet raderar personuppgifter enligt klausul 16.3.

16.3 Personuppgiftsbiträdet åtar sig att radera samtliga Personuppgifter som behandlats enligt detta Personuppgiftsbiträdesavtal inom 180 (etthundraåttio) dagar från Personuppgiftsbiträdesavtalets upphörande, såvida det inte föreligger annan lagstadgad skyldighet för Personuppgiftsbiträdet att behandla Personuppgifterna. Om radering sker innan denna raderingsfrist löpt ut ska Personuppgiftsbiträdet skriftligen informera Personuppgiftsansvarig om detta och säkerställa att personuppgifter återlämnas enligt klausul 16.2. Efter denna raderingsfrist får Personuppgiftsbiträdet radera personuppgifterna utan att underrätta därom.

Detta gäller även annan tillhörande information såsom, instruktioner, systemlösningar, beskrivningar eller andra handlingar som Personuppgiftsbiträdet erhållit genom informationsutbyte enligt detta Personuppgiftsbiträdesavtal

16.4 Bestämmelser om sekretess i punkten 7 ska fortsätta att gälla även efter detta Personuppgifts-biträdesavtal i övrigt upphört av gälla.

16.5 Vardera Part har rätt att skriftligen säga upp Personuppgiftsbiträdesavtalet. Vid uppsägning gäller en uppsägningstid om tre (3) månader.

Oaktat vad som sägs ovan är vardera Part berättigad att säga upp detta Personuppgiftsbiträdesavtal omedelbart om motparten;

1. gör sig skyldig till väsentligt brott mot bestämmelse i detta Personuppgiftsbiträdesavtal, och underlåter att vidta rättelse inom trettio (30) dagar från mottagande av skriftlig begäran därom från den andra Parten, eller

2. försätts i konkurs, inleder ackordsförhandling eller annars är på obestånd.

16.6 Om den Personuppgiftsansvarige invänder mot ett ev. utbyte av underbiträde har denne rätt att säga upp tjänsten och erhålla återbetalning av erlagda avgifter för kvarvarande period.

17 ÖVRIGT

17.1 Parterna ska utse var sin kontaktperson med ansvar för Parternas samarbete. Ändring av kontaktperson eller kontaktuppgifter ska skriftligen meddelas den andra parten.

17.2 Reglering av ersättning med anledning av detta Personuppgiftsbiträdesavtal och de eventuella merkostnader Personuppgiftsbiträdet har för att fullgöra sina skyldigheter regleras i detta Personuppgiftsbiträdesavtal. Därutöver ska Personuppgiftsbiträdet vara berättigat till ersättning för kostnader och att ta ut en rimlig avgift för dess hjälp med skyldigheter enligt klausul 8.3 och den Personuppgiftsansvarige ska betala denna avgift och alla utlägg (inbegripet granskningskostnaderna).



Detta personuppgiftsbiträdesavtal har upprättats i två (2) likalydande exemplar, varav Parterna har tagit var sitt.

Personuppgiftsansvarig Svenska ESF-rådet



________________________ Xxxx Xxxxxxxx
Ort och datum Ort och datum

________________________ ________________________

Underskrift Underskrift

________________________ ________________________

Bilaga 1 – Beskrivning av hanterade personuppgifter samt vissa former för hur hanteringen ska ske

Utöver vad som redan framgår av detta avtal ska Personuppgiftsbiträdet även följa nedanstående instruktioner. Dessa instruktioner kan ändras genom skriftlig överenskommelse mellan parterna:

Personuppgiftsbehandling



Ändamål

Specificera samtliga ändamål för vilka Personuppgiftsbiträdet kommer att behandla personuppgifter.



Personuppgiftsbiträdet kommer att behandla personuppgifter genom tillhandahållande av IT-system för att hjälpa Personuppgiftsansvarig att uppfylla krav på dokumentation av deltagarlistor och rapportering till SCB.

Kategorier av personuppgifter och registrerade

Specificera kategorier av personuppgifter som kommer att behandlas av Personuppgiftsbiträdet.

Exempelvis, namn, personnummer, anställning kontaktuppgifter m.m

Följande kategorier kan förekomma i behandlingen av personuppgifter:

  • Förnamn, efternamn, personnummer, deltagande i specifikt projekt.


Följande särskilda kategorier av personuppgifter kan förekomma i behandlingen:

  • Ras eller etniskt ursprung, religiös övertygelse, hälsa, sexuell läggning.


Följande kategorier av registrerade kan förekomma i behandlingen av personuppgifter:

  • Projektpersonal och deltagare i projekt inom Socialfonden.

Särskilda säkerhetskrav

(om sådana har bedömts nödvändiga)

I samband med tillhandahållande av systemet har personal hos Personuppgiftsbiträdet ingen instruktion att som utgångspunkt ta del av personuppgifter som behandlas inom ramen för detta biträdesavtal. Det finns inte heller någon generell teknisk direktåtkomst till personuppgifterna. För det fall Personuppgiftsansvarig behöver teknisk eller annan support som kräver Personuppgiftsbiträdets åtkomst till personuppgifter sker detta genom Personuppgiftsbiträdets IT-chef som är den enda som har teknisk åtkomst. Åtkomst sker i dessa fall genom oformaterad rådata.


Loggar

Alla aktiviteter i systemet loggas. Loggning sker genom ett kontinuerligt insamlande av uppgifter om den Behandling av Personuppgifter som utförs enligt detta PUB-avtal och som kan knytas till en enskild fysisk person.

Överföring av personuppgifter till tredje land

Den omfattning som personuppgifter kan komma att överföras utanför EES i syfte att tillhandahålla tjänsterna enligt Tjänsteavtalet.

Inga personuppgifter ska överföras till tredje land.

Praktisk hantering

Specificera hur behandling ska gå till.

Personuppgifter kan komma att behandlas av Personuppgiftsbiträdet om det krävs för att tillhandahålla IT-system för de ändamål som anges i denna Bilaga 1.

Detta sker på följande vis:

  1. Insamling av deltagarlistor i samband med genomförda insatser



  1. Exportering av personuppgifter som utförs av eller efter instruktion från Personuppgiftsansvarig.

Varaktighet

Personuppgifterna ska lagras i fyra (4) år räknat från den 31 december det år utbetalningen skedde om inte Personuppgiftsansvarig ger annan instruktion.














Bilaga 2 Lista över underbiträden

R2M Group AB, 556531-7129





1 Allmänna Dataskyddsförordningen EU 2016/679 föreskriver att det ska finnas ett skriftligt avtal om Personuppgiftsbiträdets behandling av personuppgifter för den Personuppgiftsansvariges räkning.

2 Jfr. artikel 4 Allmänna dataskyddsförordningen EU 2016/679

3 Om tjänsteavtalet innebär att sekretessreglerade uppgifter ska göras tekniskt tillgängliga för en aktör som inte behöver ta del av uppgifterna i fråga, bör avtalet utformas så att det är osannolikt att tjänsteleverantören eller någon annan obehörig faktiskt kommer att ta del av uppgifterna. I en sådan situation bör uppgifterna inte betraktas som röjda i offentlighets- och sekretesslagens mening.




Svenska ESF-rådet Huvudkontoret

Besöksadress: Xxxxxxxxxxxxxx 0, 0 tr

Postadress: Box 397, 801 05 Gävle

Telefon: 000-00 00 00

Fax: 00-000 000 00

Webbplats: xxx.xxx.xx



Document Metadata

Filed: June 7th, 2022