Kammarkollegiets anvisningar:

Bilaga Utkast till

personuppgiftsbiträdes- avtal

Kammarkollegiets anvisningar:

Detta dokument är ett utkast till personuppgiftsbiträdesavtal.

Personuppgiftsansvarig modifierar och anpassar utkastet utifrån de specifika förutsättningarna i avropet. Ramavtalet ska läsas tillsammans med personuppgiftsbiträdesavtalet.

Avsnitt 5 behandlar i första hand säkerhet och kan i Instruktion till personuppgiftsbiträdesavtalet anpassas utifrån den tänkta behandlingen.

De gula fälten måste hanteras inför avrop. Vissa delar framgår av ramavtalsleverantörens avropssvar och fylls i senast vid kontraktstecknande.

Innehåll

1 Personuppgiftsbiträdesavtalets syfte 3

2 Parter 3

3 Allmänt om Personuppgiftsbiträdesavtalet 4

4 Ersättning för kostnader 4

5 Den personuppgiftsansvariges generella åtaganden 4

6 Personuppgiftsbiträdets generella åtaganden 4

7 Behandling av personuppgifter 5

8 Den registrerades rättigheter 6

9 Personuppgiftsincidenter 6

10 Tillsyn och revision 7

11 Behandling med hjälp av underbiträden 8

12 Skyldigheter efter kontraktets upphörande 8

13 Ändringar i Personuppgiftsbiträdesavtalet 9

14 Giltighetstid 9

15 Ansvar för skada i samband med behandling 9

16 Tvistelösning 10

Instruktion till Personuppgiftsbiträdesavtalet 11

Avsnitt 1 Behandling som omfattas av Personuppgiftsbiträdesavtalet 11

Avsnitt 2 Underbiträden 13

Avsnitt 3 Tekniska och organisatoriska säkerhetsåtgärder 14

1 Personuppgiftsbiträdesavtalets syfte‌

1.1 Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) har till syfte att reglera personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. Avtalet är utformat med beaktande av kraven i EU:s dataskyddsförordning (EU) 2016/679 (”Dataskyddsförordningen”), men kan – med eventuellt nödvändiga justeringar – även användas för personuppgiftsbehandling som regleras av andra dataskyddsbestämmelser.‌

1.2 Instruktion till Personuppgiftsbiträdesavtalet (”Instruktionen”) fylls i av parterna för att kraven i Dataskyddsförordningen, och annan tillämplig författning som reglerar behandling av personuppgifter, ska kunna uppfyllas.

2 Parter‌

Personuppgiftsansvarig:

Adress:

Telefonnummer:

E-postadress:

Organisationsnummer:

Personuppgiftsbiträde:

Adress:

Telefonnummer:

E-postadress:

Organisationsnummer

3 Allmänt om Personuppgiftsbiträdesavtalet‌‌

3.1 Personuppgiftsbiträdesavtalet utgör en bilaga till avropet från ramavtalet Kommunikationstjänster inom tele- och datakom, dnr: 23.3.10150-21.

3.2 Vissa begrepp som används i Personuppgiftsbiträdesavtalet definieras i ramavtalet. Dataskyddsrättsliga begrepp används med samma innebörd som i Dataskyddsförord- ningen.

3.3 Om ramavtalsleverantör inte är personuppgiftsbiträde ska ramavtalsleverantör, genom sin underskrift, godkänna Personuppgiftsbiträdesavtalet.

3.4 Personuppgiftsbiträdesavtalet gäller behandlingar av personuppgifter som personuppgifts- biträdet utför för den personuppgiftsansvariges räkning. Dessa behandlingar förtecknas i avsnitt 1 Instruktionen. Alla behandlingar av personuppgifter enligt Personuppgifts- biträdesavtalet omfattas av Dataskyddsförordningen, dataskyddslagen och kompletterande lagstiftning (sammantaget benämnt ”Dataskyddsregleringen”).‌

4 Ersättning för kostnader

4.1 Personuppgiftsbiträdet har rätt till ersättning för direkta, skäliga och verifierbara kostnader i samband med att denne bistår den personuppgiftsansvarige att utföra sina skyldigheter gentemot registrerade.

4.2 I samband med revision enligt 10.4 svarar den personuppgiftsansvarige för kostnaden för granskningen om personuppgiftsbiträdet har fullgjort sina åtaganden. I annat fall ska personuppgiftsbiträdet stå för skäliga och verifierbara kostnader för granskningen.

5 Den personuppgiftsansvariges generella åtaganden‌‌

5.1 Den personuppgiftsansvarige ansvarar för att det vid var tid finns laglig grund för behandlingen och för att utforma korrekta instruktioner så att personuppgiftsbiträdet kan fullgöra sitt uppdrag enligt Personuppgiftsbiträdesavtalet.

5.2 Den personuppgiftsansvarige ansvarar för att informera registrerade om behandlingen, tillvarata den registrerades rättigheter samt att vidta varje annan åtgärd som åligger den personuppgiftsansvarige enligt Dataskyddsregleringen.‌

6 Personuppgiftsbiträdets generella åtaganden

6.1 Personuppgiftsbiträdet garanterar att dennes verksamhet bedrivs på ett sätt som säkerställer Dataskyddsregleringens krav på lämpliga tekniska och organisatoriska åtgärder och att den registrerades rättigheter skyddas. Personuppgiftsbiträdet garanterar att det har tillräcklig kunskap och förfogar över tillräckliga resurser för att Dataskyddsregleringens krav ska kunna tillgodoses.

6.2 Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till risken för oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörig åtkomst till den personuppgifts- ansvariges personuppgifter.

6.3 Personuppgiftsbiträdet ska under alla förutsättningar vidta de säkerhetsåtgärder som framgår nedan, punkterna 6.4-6.9.

6.4 När datorutrustning och löstagbara datamedier hos personuppgiftsbiträdet inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. För det fall eventuella bärbara datorer eller dylik utrustning används vid behandlingen ska personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade.‌‌

6.5 Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas. Personuppgiftsbiträdet ska ha en rutin för regelbunden test av återläsning.

6.6 Ett tekniskt system för behörighetskontroll ska styra åtkomsten till personuppgifterna för personuppgiftsbiträdet. Användaridentitet ska vara personlig och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter. Åtkomst till personuppgifter ska kunna följas upp genom en logg eller liknande underlag. Underlaget ska kunna kontrolleras av personuppgiftsbiträdet och återrapporteras till den personuppgiftsansvarige.

6.7 Uppgifter i loggar som avser behandlingen av den personuppgiftsansvariges person- uppgifter får endast användas av personuppgiftsbiträdet för vad som krävs för upprätthållande av funktionalitet och kvalitet. Den personuppgiftsansvarige har rätt att ta del av de uppgifter som registreras i sådana loggar.

6.8 Anslutning för extern datorkommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. För åtkomst till känsliga personuppgifter krävs stark autentisering. Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av personuppgiftsbiträdet ska skyddas med kryptering.‌

6.9 När fasta eller löstagbara lagringsmedier, som innehåller personuppgifter, inte längre ska användas för sitt ändamål ska personuppgifterna raderas på sådant sätt att de inte kan återskapas.

6.10 Om personuppgiftsbiträdet får överföra personuppgifter till eller behandla personuppgifter i tredje land ska det framgå av Instruktionen. Parterna måste i den situationen komma överens om en lämplig rättslig lösning för att överföringen till eller behandlingen i tredje land ska vara tillåten (jfr kap. V Dataskyddsförordningen eller motsvarande dataskyddsreglering).

6.11 Ytterligare preciseringar av tekniska och organisatoriska säkerhetsåtgärder ska framgå av avsnitt 3 Instruktionen samt av övriga avtalshandlingar.‌

7 Behandling av personuppgifter

7.1 Personuppgiftsbiträdet får inte behandla den personuppgiftsansvariges personuppgifter på något annat sätt, för andra ändamål eller enligt andra instruktioner än de som framgår av Personuppgiftsbiträdesavtalet, inklusive avsnitt 1 Instruktionen. Behandlingen av personuppgifter ska ske med iakttagande av de tekniska och organisatoriska säkerhetsåtgärder som följer av Personuppgiftsbiträdesavtalet och avsnitt 3 Instruktionen.

Första stycket gäller inte om en behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av. I sådana fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt. Innan personuppgiftsbiträdet behandlar personuppgifter enligt andra stycket ska personuppgiftsbiträdet ha gjort en kvalificerad rättslig prövning av om behandlingen får ske. I tveksamma fall eller om prövningen visar att behandlingen inte får ske, ska personuppgiftsbiträdet motsätta sig det rättsliga kravet på behandling för att erhålla ett lagakraftvunnet avgörande i syfte att säkerställa den registrerades rättigheter.‌

7.2 För det fall att personuppgiftsbiträdet finner att instruktioner är otydliga, i strid med Dataskyddsregleringen eller saknas och personuppgiftsbiträdet bedömer att nya eller kompletterande instruktioner är nödvändiga för att genomföra sina åtaganden ska personuppgiftsbiträdet utan dröjsmål informera den personuppgiftsansvarige, tillfälligt upphöra med behandlingen och invänta nya instruktioner.

7.3 Personuppgiftsbiträdet åtar sig, att i sin verksamhet, vid var tid tillse att berörd personal följer Personuppgiftsbiträdesavtalet och att de hålls informerade om innehållet i Dataskyddsregleringen.

7.4 Personer som utför arbete under personuppgiftsbiträdets överinseende, t.ex. som anställda, och som får tillgång till personuppgifter, får endast behandla uppgifterna enligt den personuppgiftsansvariges instruktioner, såvida inte en skyldighet att göra något annat krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av. I sådana fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt. Endast personer som behöver uppgifterna för att kunna utföra sina arbetsuppgifter ska ges sådan tillgång.

7.5 Personuppgiftsbiträdet garanterar att personer som får tillgång till personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av lämplig lagstadgad tystnadsplikt.

7.6 Personuppgiftsbiträdet ska efter den personuppgiftsansvariges beslut om radering av personuppgifter avlägsna dessa permanent från alla lagringsmedier som biträdet förfogar över. Detta ska ske snarast, dock senast 180 dagar efter beslutet om radering. Som beslut om radering räknas t.ex. att uppgifter har raderats via användargränssnittet i den tjänst som omfattas av kontraktet.‌

8 Den registrerades rättigheter

8.1 Personuppgiftsbiträdet ska på begäran från den personuppgiftsansvarige bistå denne med att säkerställa att skyldigheterna enligt art. 32-36 Dataskyddsförordningen fullgörs och svara på begäran om utövande av den registrerades rättigheter i enlighet med kap. III Dataskyddsförordningen. Detta ska göras med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå.‌

9 Personuppgiftsincidenter

9.1 Personuppgiftsbiträdet ska ha förmåga att återställa tillgängligheten och tillgången till personuppgifterna i rimlig tid vid en fysisk eller teknisk incident enligt art. 32.1 c Dataskyddsförordningen.

9.2 Personuppgiftsbiträdet åtar sig att, med beaktande av behandlingens art och den information som personuppgiftsbiträdet har att tillgå, bistå den personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en personuppgiftsincident beträffande behandlingen. Personuppgiftsbiträdet ska på den personuppgiftsansvariges begäran även bistå med att utreda misstankar om eventuell obehörig behandling och/eller åtkomst till personuppgifterna.‌

9.3 Vid personuppgiftsincidenter, vilka personuppgiftsbiträdet fått vetskap om, ska personuppgiftsbiträdet utan onödigt dröjsmål skriftligen underrätta den personuppgiftsansvarige om händelsen. Personuppgiftsbiträdet ska med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå tillhandahålla den personuppgiftsansvarige en skriftlig beskrivning av personuppgiftsincidenten.

Beskrivningen ska minst redogöra för:‌

1. personuppgiftsincidentens art och, om möjligt, de kategorier och antalet registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,

2. de sannolika konsekvenserna av personuppgiftsincidenten, och

3. åtgärder som har vidtagits till följd av personuppgiftsincidenten, förslag för att ytterligare åtgärda personuppgiftsincidenten samt förslag på åtgärder för att mildra personuppgiftsincidentens potentiella negativa effekter.‌

10 Tillsyn och revision

10.1 För det fall registrerade, tillsynsmyndigheten eller annan tredje man begär information från personuppgiftsbiträdet som rör behandlingen av personuppgifter, ska personuppgiftsbiträdet hänvisa till den personuppgiftsansvarige. Personuppgiftsbiträdet får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan uttrycklig instruktion från den personuppgiftsansvarige, såvida inte en sådan utlämnandeskyldighet krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av. I sådana fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida informationen inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.

10.2 Personuppgiftsbiträdet ska utan dröjsmål informera den personuppgiftsansvarige om eventuella kontakter med tillsynsmyndigheten som rör, eller kan vara av betydelse för, personuppgiftsbiträdes behandling av personuppgifter. Åtagandet gäller inte om personuppgiftsbiträdet är förhindrat att lämna den aktuella informationen enligt tvingande lagstiftning.

10.3 Personuppgiftsbiträdet har inte rätt att företräda den personuppgiftsansvarige eller agera för dennes räkning gentemot tillsynsmyndigheten.

10.4 Den personuppgiftsansvarige äger rätt att själv eller genom en utsedd oberoende tredje part följa upp att personuppgiftsbiträdet uppfyller Personuppgiftsbiträdesavtalets, Instruktionens och Dataskyddsregleringens krav. Personuppgiftsbiträdet ska vid sådan granskning bistå den personuppgiftsansvarige, eller den som utför granskningen i den personuppgiftsansvariges ställe, med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna granska personuppgiftsbiträdets efterlevnad av Personuppgiftsbiträdesavtalet, Instruktionen och Dataskyddsregleringen. Den personuppgiftsansvarige ska säkerställa att personal som genomför granskningen är underkastad konfidentialitet enligt lag eller avtal.

11 Behandling med hjälp av underbiträden‌‌

11.1 Personuppgiftsbiträdet äger endast rätt att anlita ett annat personuppgiftsbiträde (underbiträde) för behandlingen av personuppgifter om detta anges i Instruktionen.

11.2 Den personuppgiftsansvarige har i och med Personuppgiftsbiträdesavtalets ikraftträdande godkänt de underbiträden som angivits i Instruktionen.

11.3 Om personuppgiftsbiträdet med stöd i Personuppgiftsbiträdesavtalet anlitar ett underbiträde för hela eller en del av behandlingen ska underbiträdet genom avtal åläggas samma skyldigheter avseende dataskydd som de som fastställs i Personuppgiftsbiträdesavtalet och vid varje tidpunkt gällande instruktioner rörande behandlingen.

11.4 Vid en begäran om att få anlita ett nytt underbiträde ska personuppgiftsbiträdet lämna den personuppgiftsansvarige all relevant information om det föreslagna underbiträdet som krävs för en dataskyddsrättslig bedömning. Information ska därvid särskilt lämnas om i vilket land som underbiträdet kommer att behandla personuppgifterna och vilka typer av behandlingar som underbiträdet är tänkt att utföra.

11.5 Personuppgiftsbiträdet ska tillse att underbiträde inte anlitar ett annat underbiträde utan den personuppgiftsansvariges skriftliga förhandstillstånd.‌

11.6 Personuppgiftsbiträdet ska hålla en förteckning över de underbiträden som vid varje aktuell tidpunkt anlitas, samt göra denna förteckning tillgänglig för den personuppgiftsansvarige. Av förteckningen ska särskilt framgå vilka typer av behandlingar som underbiträdet utför, i vilka länder som underbiträdet behandlar personuppgifterna samt, om överföringar till tredje land kan förekomma, vilken rättslig lösning som då används enligt kap. V Dataskyddsförordningen. På begäran ska personuppgiftsbiträdet lämna den personuppgiftsansvarige information om ett underbiträdes rättsliga åtaganden samt övrig information som krävs för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter enligt Dataskyddsregleringen.

11.7 Om ett underbiträde inte fullgör sina skyldigheter avseende dataskydd är personuppgiftsbiträdet fullt ansvarigt i förhållande till den personuppgiftsansvarige.

12 Skyldigheter efter kontraktets upphörande‌

12.1 I samband med kontraktets upphörande ska personuppgifterna återlämnas till den personuppgiftsansvarige såvida inte denne uttryckligen önskar att uppgifterna ska raderas. Kopior från använda lagringsmedier behöver inte raderas såvida lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt. Efter att personuppgifter har återlämnats eller raderats ska eventuella kopior raderas från använda lagringsmedier på ett sådant sätt att uppgifterna inte längre kan återskapas. Denna åtgärd ska vara fullt genomförd senast 180 dagar efter kontraktets upphörande.

12.2 Såvida inte annat avtalats eller uppenbart följer av omständigheterna, ska personuppgifterna överlämnas i ett format som är läsbart och möjligt att använda i andra sammanhang. Detta innebär att, utöver personuppgifterna, även all annan logisk information som behövs för att kunna nyttja personuppgifterna ska tillhandahållas. Vidare ska också loggfiler, revisionsdata, accessdata och liknande metadata tillhandahållas. Även sådan data ska lämnas i ett sådant format att den är användbar för den personuppgiftsansvarige.

12.3 Personuppgiftsbiträdet ska på den personuppgiftsansvariges eller en behörig tillsynsmyndighets begäran ställa relevanta delar av använda lagringsmedium till förfogande för en granskning av de åtgärder som anges i punkt 12.1.‌‌

13 Ändringar i Personuppgiftsbiträdesavtalet

13.1 Den personuppgiftsansvarige har rätt att påkalla ändring av Personuppgiftsbiträdes- avtalet.

13.2 Ändring ska hanteras i enlighet med ramavtalet. Personuppgiftsbiträdet får inte motsätta sig ändringen om inte personuppgiftsbiträdet kan visa sakliga skäl för en sådan vägran. Om ramavtalsleverantör inte är personuppgiftsbiträde får inte heller ramavtalsleverantör motsätta sig en sådan ändring utan att kunna visa sakliga skäl.

13.3 Om ramavtalsleverantör inte är personuppgiftsbiträde ska ramavtalsleverantör skriftligen

godkänna ändringen.‌

14 Giltighetstid

14.1 Bestämmelser avseende uppsägning av kontraktet följer av ramavtalet.

14.2 Personuppgiftsbiträdesavtalet gäller från undertecknandet och så länge som personuppgiftsbiträdet behandlar den personuppgiftsansvariges personuppgifter inom ramen för kontraktet, samt under den efterföljande tid som krävs för att personuppgiftsbiträdet ska kunna uppfylla sina kvarvarande skyldigheter enligt Personuppgiftsbiträdesavtalet.

15 Ansvar för skada i samband med behandling‌

15.1 Vid ersättning för skada i samband med behandling som, genom fastställd dom eller beslut, utgått till den registrerade på grund av överträdelse av bestämmelse i Personuppgifts- biträdesavtalet, Instruktionen och/eller bestämmelse i Dataskyddsregleringen ska art. 82 Dataskyddsförordningen tillämpas.

15.2 Sanktionsavgifter ska enligt art. 83 Dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till Dataskyddsförordningen bäras av den av Personuppgiftsbiträdesavtalets parter som påförts en sådan avgift.

15.3 Part som får kännedom om omständighet som kan leda till skada för motparten ska omedelbart informera motparten om förhållandet och aktivt arbeta tillsammans med motparten för att förhindra och minimera sådan skada.

15.4 Den personuppgiftsansvarige har regressrätt gentemot ramavtalsleverantören avseende ansvar enligt 15.1, även för det fall att annan leverantör är personuppgiftsbiträde, med anledning av att ramavtalsleverantören är bunden av ramavtalet och har godkänt Personuppgiftsbiträdesavtalet.

15.5 Parts ansvar för skada enligt detta avsnitt gäller även efter det att personuppgifts- biträdesavtalet upphört, om skadan är hänförlig till personuppgiftsbehandling inom ramen för parternas tidigare kontraktsrelation.

16 Tvistelösning‌‌

16.1 Bestämmelser om tvist samt tillämplig lag med anledning av Personuppgiftsbiträdes- avtalet regleras i ramavtalet.

Instruktion till Personuppgiftsbiträdesavtalet‌

Avsnitt 1 Behandling som omfattas av Personuppgiftsbiträdesavtalet‌

Denna del utgör den personuppgiftsansvariges instruktioner till personuppgiftsbiträdet.

Registrerade

Personuppgifter som rör följande kategorier av registrerade ska behandlas av personuppgiftsbiträdet:

Fylls i.

Typ av personuppgifter som behandlas

De personuppgifter som behandlas är av följande slag:

Fylls i.

Känsliga personuppgifter (i förekommande fall)

Behandlingen rör följande känsliga personuppgifter:

Fylls i.

Behandling

Personuppgifter kommer att behandlas på följande sätt:

Fylls i.

Art och ändamål med behandlingen

Behandlingen av personuppgifter sker i syfte att:

Fylls i.

Särskilda instruktioner angående behandlingen

Vid behandlingen av personuppgifter ska personuppgiftsbiträdet särskilt beakta:

Fylls i.

Behandling med hjälp av underbiträden

Välj ett av alternativen nedan.

Alternativ 1: Personuppgiftsbiträdet äger inte rätt att anlita ett annat personuppgiftsbiträde (underbiträde) enligt denna instruktion.

X

Alternativ 2: Personuppgiftsbiträdet får endast anlita ett annat personuppgiftsbiträde om ett skriftligt förhandstillstånd har inhämtats från den personuppgiftsansvarige.

X

Alternativ 3: Personuppgiftsbiträdet har en allmän rätt att anlita ett nytt personuppgiftsbiträde (underbiträde), som uppfyller dataskyddsregleringen och Personuppgiftsbiträdesavtalets krav. Ett nytt underbiträde får emellertid endast anlitas efter det att den personuppgiftsansvarige har underrättats om planerna och givits möjlighet att inom skälig tid göra invändningar mot valet.

Behandling av personuppgifter inom Sverige, EU/EES samt tredje land

Väj ett av alternativen nedan.

Alt

X

Alternativ 1: Personuppgifter får endast behandlas inom Sverige. Alternativ 2: Personuppgifter får behandlas inom EU/EES.

Alternativ 3: Personuppgifter får behandlas inom EU/EES samt får överföras till och behandlas i tredje land, territorium, sektor i tredje land och inom internationell organisation som vid varje tidpunkt har ett giltigt beslut från EU-kommissionen om adekvat skyddsnivå.

Behandling av personuppgifter i tredjeland eller inom internationell organisation utan beslut om adekvat skyddsnivå

Personuppgifter får överföras till och behandlas i nedan angivet tredje land eller inom internationell organisation utan beslut om adekvat skyddsnivå med stöd av nedan angiven rättslig lösning och eventuella skyddsåtgärder. Med skyddsåtgärder avses sådana som säkerställer att överföring och efterföljande behandling är förenlig med kap. V Dataskyddsförordningen.

Fylls i vid behov

Tredje land eller internationell organisation Rättslig lösning Eventuella skyddsåtgärder (hänvisa till bilaga vid behov)

Avsnitt 2 Underbiträden‌

I detta avsnitt förtecknas underbiträden som har godkänts av den personuppgiftsansvarige. Enligt punkt 10.6 är personuppgiftsbiträdet skyldigt att hålla en vid varje tidpunkt aktuell förteckning över underbiträden som anlitas samt göra förteckningen tillgänglig för den personuppgiftsansvarige.

Underbiträde (namn)	Organisations- nummer	Bistår personuppgiftsbiträdet med följande	Behandling sker i (land)
Fylls i vid behov.	Fylls i vid behov.	Fylls i vid behov.	Fylls i vid behov.

Avsnitt 3 Tekniska och organisatoriska säkerhetsåtgärder‌

Detta avsnitt utgör kompletterande instruktioner till personuppgiftsbiträdet avseende tekniska och organisatoriska säkerhetsåtgärder.

Ange kompletterande instruktioner:

Fylls i vid behov.

På den personuppgiftsansvariges vägnar: På personuppgiftsbiträdets vägnar: Namn (fullständigt): Namn (fullständigt):

Befattning: Befattning:

Ort och datum: Ort och datum:

…............................................................. ….............................................................

Namnteckning Namnteckning

På ramavtalsleverantörens vägnar (om denne inte är personuppgiftsbiträde): Namn (fullständigt):

Befattning:

Ort och datum:

….............................................................

Namnteckning