Kammarkollegiets anvisningar:
Bilaga Utkast till
personuppgiftsbiträdes- avtal
Kammarkollegiets anvisningar:
Detta dokument är ett utkast till personuppgiftsbiträdesavtal.
Personuppgiftsansvarig modifierar och anpassar utkastet utifrån de specifika förutsättningarna i avropet. Ramavtalet ska läsas tillsammans med personuppgiftsbiträdesavtalet.
Avsnitt 5 behandlar i första hand säkerhet och kan i Instruktion till personuppgiftsbiträdesavtalet anpassas utifrån den tänkta behandlingen.
De gula fälten måste hanteras inför avrop. Vissa delar framgår av ramavtalsleverantörens avropssvar och fylls i senast vid kontraktstecknande.
Innehåll
1 Personuppgiftsbiträdesavtalets syfte 3
3 Allmänt om Personuppgiftsbiträdesavtalet 4
5 Den personuppgiftsansvariges generella åtaganden 4
6 Personuppgiftsbiträdets generella åtaganden 4
7 Behandling av personuppgifter 5
8 Den registrerades rättigheter 6
11 Behandling med hjälp av underbiträden 8
12 Skyldigheter efter kontraktets upphörande 8
13 Ändringar i Personuppgiftsbiträdesavtalet 9
15 Ansvar för skada i samband med behandling 9
Instruktion till Personuppgiftsbiträdesavtalet 11
Avsnitt 1 Behandling som omfattas av Personuppgiftsbiträdesavtalet 11
Avsnitt 3 Tekniska och organisatoriska säkerhetsåtgärder 14
1 Personuppgiftsbiträdesavtalets syfte
1.1 Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) har till syfte att reglera personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. Avtalet är utformat med beaktande av kraven i EU:s dataskyddsförordning (EU) 2016/679 (”Dataskyddsförordningen”), men kan – med eventuellt nödvändiga justeringar – även användas för personuppgiftsbehandling som regleras av andra dataskyddsbestämmelser.
1.2 Instruktion till Personuppgiftsbiträdesavtalet (”Instruktionen”) fylls i av parterna för att kraven i Dataskyddsförordningen, och annan tillämplig författning som reglerar behandling av personuppgifter, ska kunna uppfyllas.
Personuppgiftsansvarig: | |
Adress: | |
Telefonnummer: | |
E-postadress: | |
Organisationsnummer: | |
Personuppgiftsbiträde: | |
Adress: | |
Telefonnummer: | |
E-postadress: | |
Organisationsnummer |
3 Allmänt om Personuppgiftsbiträdesavtalet
3.4 Personuppgiftsbiträdesavtalet gäller behandlingar av personuppgifter som personuppgifts- biträdet utför för den personuppgiftsansvariges räkning. Dessa behandlingar förtecknas i avsnitt 1 Instruktionen. Alla behandlingar av personuppgifter enligt Personuppgifts- biträdesavtalet omfattas av Dataskyddsförordningen, dataskyddslagen och kompletterande lagstiftning (sammantaget benämnt ”Dataskyddsregleringen”).
4 Ersättning för kostnader
5 Den personuppgiftsansvariges generella åtaganden
5.2 Den personuppgiftsansvarige ansvarar för att informera registrerade om behandlingen, tillvarata den registrerades rättigheter samt att vidta varje annan åtgärd som åligger den personuppgiftsansvarige enligt Dataskyddsregleringen.
6 Personuppgiftsbiträdets generella åtaganden
6.3 Personuppgiftsbiträdet ska under alla förutsättningar vidta de säkerhetsåtgärder som framgår nedan, punkterna 6.4-6.9.
6.4 När datorutrustning och löstagbara datamedier hos personuppgiftsbiträdet inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. För det fall eventuella bärbara datorer eller dylik utrustning används vid behandlingen ska personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade.
6.8 Anslutning för extern datorkommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. För åtkomst till känsliga personuppgifter krävs stark autentisering. Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av personuppgiftsbiträdet ska skyddas med kryptering.
6.11 Ytterligare preciseringar av tekniska och organisatoriska säkerhetsåtgärder ska framgå av avsnitt 3 Instruktionen samt av övriga avtalshandlingar.
7 Behandling av personuppgifter
7.1 Personuppgiftsbiträdet får inte behandla den personuppgiftsansvariges personuppgifter på något annat sätt, för andra ändamål eller enligt andra instruktioner än de som framgår av Personuppgiftsbiträdesavtalet, inklusive avsnitt 1 Instruktionen. Behandlingen av personuppgifter ska ske med iakttagande av de tekniska och organisatoriska säkerhetsåtgärder som följer av Personuppgiftsbiträdesavtalet och avsnitt 3 Instruktionen.
Första stycket gäller inte om en behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av. I sådana fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt. Innan personuppgiftsbiträdet behandlar personuppgifter enligt andra stycket ska personuppgiftsbiträdet ha gjort en kvalificerad rättslig prövning av om behandlingen får ske. I tveksamma fall eller om prövningen visar att behandlingen inte får ske, ska personuppgiftsbiträdet motsätta sig det rättsliga kravet på behandling för att erhålla ett lagakraftvunnet avgörande i syfte att säkerställa den registrerades rättigheter.
7.6 Personuppgiftsbiträdet ska efter den personuppgiftsansvariges beslut om radering av personuppgifter avlägsna dessa permanent från alla lagringsmedier som biträdet förfogar över. Detta ska ske snarast, dock senast 180 dagar efter beslutet om radering. Som beslut om radering räknas t.ex. att uppgifter har raderats via användargränssnittet i den tjänst som omfattas av kontraktet.
8 Den registrerades rättigheter
8.1 Personuppgiftsbiträdet ska på begäran från den personuppgiftsansvarige bistå denne med att säkerställa att skyldigheterna enligt art. 32-36 Dataskyddsförordningen fullgörs och svara på begäran om utövande av den registrerades rättigheter i enlighet med kap. III Dataskyddsförordningen. Detta ska göras med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå.
9 Personuppgiftsincidenter
9.2 Personuppgiftsbiträdet åtar sig att, med beaktande av behandlingens art och den information som personuppgiftsbiträdet har att tillgå, bistå den personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en personuppgiftsincident beträffande behandlingen. Personuppgiftsbiträdet ska på den personuppgiftsansvariges begäran även bistå med att utreda misstankar om eventuell obehörig behandling och/eller åtkomst till personuppgifterna.
9.3 Vid personuppgiftsincidenter, vilka personuppgiftsbiträdet fått vetskap om, ska personuppgiftsbiträdet utan onödigt dröjsmål skriftligen underrätta den personuppgiftsansvarige om händelsen. Personuppgiftsbiträdet ska med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå tillhandahålla den personuppgiftsansvarige en skriftlig beskrivning av personuppgiftsincidenten.
Beskrivningen ska minst redogöra för:
2. de sannolika konsekvenserna av personuppgiftsincidenten, och
3. åtgärder som har vidtagits till följd av personuppgiftsincidenten, förslag för att ytterligare åtgärda personuppgiftsincidenten samt förslag på åtgärder för att mildra personuppgiftsincidentens potentiella negativa effekter.
10.4 Den personuppgiftsansvarige äger rätt att själv eller genom en utsedd oberoende tredje part följa upp att personuppgiftsbiträdet uppfyller Personuppgiftsbiträdesavtalets, Instruktionens och Dataskyddsregleringens krav. Personuppgiftsbiträdet ska vid sådan granskning bistå den personuppgiftsansvarige, eller den som utför granskningen i den personuppgiftsansvariges ställe, med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna granska personuppgiftsbiträdets efterlevnad av Personuppgiftsbiträdesavtalet, Instruktionen och Dataskyddsregleringen. Den personuppgiftsansvarige ska säkerställa att personal som genomför granskningen är underkastad konfidentialitet enligt lag eller avtal.
11 Behandling med hjälp av underbiträden
11.5 Personuppgiftsbiträdet ska tillse att underbiträde inte anlitar ett annat underbiträde utan den personuppgiftsansvariges skriftliga förhandstillstånd.
11.7 Om ett underbiträde inte fullgör sina skyldigheter avseende dataskydd är personuppgiftsbiträdet fullt ansvarigt i förhållande till den personuppgiftsansvarige.
12 Skyldigheter efter kontraktets upphörande
12.3 Personuppgiftsbiträdet ska på den personuppgiftsansvariges eller en behörig tillsynsmyndighets begäran ställa relevanta delar av använda lagringsmedium till förfogande för en granskning av de åtgärder som anges i punkt 12.1.
13 Ändringar i Personuppgiftsbiträdesavtalet
13.1 Den personuppgiftsansvarige har rätt att påkalla ändring av Personuppgiftsbiträdes- avtalet.
13.3 Om ramavtalsleverantör inte är personuppgiftsbiträde ska ramavtalsleverantör skriftligen
14 Giltighetstid
14.1 Bestämmelser avseende uppsägning av kontraktet följer av ramavtalet.
15 Ansvar för skada i samband med behandling
15.4 Den personuppgiftsansvarige har regressrätt gentemot ramavtalsleverantören avseende ansvar enligt 15.1, även för det fall att annan leverantör är personuppgiftsbiträde, med anledning av att ramavtalsleverantören är bunden av ramavtalet och har godkänt Personuppgiftsbiträdesavtalet.
16.1 Bestämmelser om tvist samt tillämplig lag med anledning av Personuppgiftsbiträdes- avtalet regleras i ramavtalet.
Instruktion till Personuppgiftsbiträdesavtalet
Avsnitt 1 Behandling som omfattas av Personuppgiftsbiträdesavtalet
Denna del utgör den personuppgiftsansvariges instruktioner till personuppgiftsbiträdet.
Registrerade
Personuppgifter som rör följande kategorier av registrerade ska behandlas av personuppgiftsbiträdet:
Fylls i.
Typ av personuppgifter som behandlas
De personuppgifter som behandlas är av följande slag:
Fylls i.
Känsliga personuppgifter (i förekommande fall)
Behandlingen rör följande känsliga personuppgifter:
Fylls i.
Behandling
Personuppgifter kommer att behandlas på följande sätt:
Fylls i.
Art och ändamål med behandlingen
Behandlingen av personuppgifter sker i syfte att:
Fylls i.
Särskilda instruktioner angående behandlingen
Vid behandlingen av personuppgifter ska personuppgiftsbiträdet särskilt beakta:
Fylls i.
Behandling med hjälp av underbiträden
Välj ett av alternativen nedan.
Alternativ 1: Personuppgiftsbiträdet äger inte rätt att anlita ett annat personuppgiftsbiträde (underbiträde) enligt denna instruktion.
X
Alternativ 2: Personuppgiftsbiträdet får endast anlita ett annat personuppgiftsbiträde om ett skriftligt förhandstillstånd har inhämtats från den personuppgiftsansvarige.
X
Alternativ 3: Personuppgiftsbiträdet har en allmän rätt att anlita ett nytt personuppgiftsbiträde (underbiträde), som uppfyller dataskyddsregleringen och Personuppgiftsbiträdesavtalets krav. Ett nytt underbiträde får emellertid endast anlitas efter det att den personuppgiftsansvarige har underrättats om planerna och givits möjlighet att inom skälig tid göra invändningar mot valet.
Behandling av personuppgifter inom Sverige, EU/EES samt tredje land
Väj ett av alternativen nedan.
Alt
X
Alternativ 1: Personuppgifter får endast behandlas inom Sverige. Alternativ 2: Personuppgifter får behandlas inom EU/EES.
Alternativ 3: Personuppgifter får behandlas inom EU/EES samt får överföras till och behandlas i tredje land, territorium, sektor i tredje land och inom internationell organisation som vid varje tidpunkt har ett giltigt beslut från EU-kommissionen om adekvat skyddsnivå.
Behandling av personuppgifter i tredjeland eller inom internationell organisation utan beslut om adekvat skyddsnivå
Personuppgifter får överföras till och behandlas i nedan angivet tredje land eller inom internationell organisation utan beslut om adekvat skyddsnivå med stöd av nedan angiven rättslig lösning och eventuella skyddsåtgärder. Med skyddsåtgärder avses sådana som säkerställer att överföring och efterföljande behandling är förenlig med kap. V Dataskyddsförordningen.
Fylls i vid behov
Tredje land eller internationell organisation | Rättslig lösning | Eventuella skyddsåtgärder (hänvisa till bilaga vid behov) |
I detta avsnitt förtecknas underbiträden som har godkänts av den personuppgiftsansvarige. Enligt punkt 10.6 är personuppgiftsbiträdet skyldigt att hålla en vid varje tidpunkt aktuell förteckning över underbiträden som anlitas samt göra förteckningen tillgänglig för den personuppgiftsansvarige.
Underbiträde (namn) | Organisations- nummer | Bistår personuppgiftsbiträdet med följande | Behandling sker i (land) |
Fylls i vid behov. | Fylls i vid behov. | Fylls i vid behov. | Fylls i vid behov. |
Avsnitt 3 Tekniska och organisatoriska säkerhetsåtgärder
Detta avsnitt utgör kompletterande instruktioner till personuppgiftsbiträdet avseende tekniska och organisatoriska säkerhetsåtgärder.
Ange kompletterande instruktioner:
Fylls i vid behov.
På den personuppgiftsansvariges vägnar: På personuppgiftsbiträdets vägnar: Namn (fullständigt): Namn (fullständigt):
Befattning: Befattning:
Ort och datum: Ort och datum:
…............................................................. ….............................................................
Namnteckning Namnteckning
På ramavtalsleverantörens vägnar (om denne inte är personuppgiftsbiträde): Namn (fullständigt):
Befattning:
Ort och datum:
….............................................................
Namnteckning