PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
Detta avtal har dagen för undertecknande ingåtts mellan:
1) [Registrerande företag], xxx.xx [nummer] [adress] (”Personuppgiftsansvarige”); och
2) Trinax AB xxx.xx 556799-4602 Xxxxxxxxxxxxxxx 0, 000 00 Trollhättan
(”Personuppgiftsbiträdet”).
Parterna ovan benämns härefter gemensamt som ”Parterna” och var för sig som ”Part”.
1 DEFINITIONER
Detta avtal har motsvarande definitioner som återfinns i artikel 4 i Europaparlamentet och rådets förordning (EU) 2016/679 (”Dataskyddsförordningen”), vilket bland annat innebär att:
Personuppgifter | avser varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
Behandling | avser en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. |
Personuppgiftsansvarig | avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. |
Personuppgiftsbiträde | avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. |
Personuppgiftsincident | avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. |
2 INNEHÅLL OCH SYFTE
2.1 Parterna har tidigare eller i samband med detta avtal ingått avtal avseende Avtal Webbplatsportal hädanefter benämnt ”Huvudavtalet”.
2.2 Inom åtagandena som följer av Huvudavtalet kan Personuppgiftsbiträdet komma att behandla personuppgifter samt annan information för Personuppgiftsansvariges räkning. Med anledning av detta ingår Parterna detta avtal, i enlighet med artikel 28 Dataskyddsförordningen, för att reglera förutsättningarna för Personuppgiftsbiträdets behandling av personuppgifter tillhöriga Personuppgiftsansvarige.
3 ALLMÄNT OM PERSONUPPGIFTSBEHANDLINGEN
3.1 Personuppgiftsansvarige är ansvarig för att de personuppgifter som behandlas inom ramen för Huvudavtalet behandlas i enlighet med Dataskyddsförordningen.
3.2 Personuppgiftsbiträdet åtar sig att endast behandla avtalade personuppgifter i enlighet med detta avtal, Huvudavtalet och andra dokumenterade instruktioner som lämnas av Personuppgiftsansvarige. Personuppgiftsbiträdet får inte behandla personuppgifterna för egna ändamål.
3.3 Personuppgiftsbiträdet kan komma att behandla följande typer av personuppgifter:
[Personnummer] [Namn] [Telefonnummer] [Adress] [E-post] [Arbetad/Stämplad tid] [Utbildning/kunskapsnivå]
3.4 Personuppgiftsbiträdet ska föra register över den personuppgiftsbehandling som sker enligt detta avtal samt hålla registret tillgängligt för Personuppgiftsansvarige och Datainspektionen så att det kan tjäna som grund för övervakningen av behandlingen.
3.5 Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarige om Personuppgiftsbiträdet inte kan uppfylla sina skyldigheter enligt detta avtal eller om Personuppgiftsbiträdet anser att en Instruktion som Personuppgiftsansvarige lämnat om behandlingen av personuppgifter skulle stå i strid med Dataskyddsförordningen.
4 UNDERBITRÄDE
4.1 Personuppgiftsbiträdet har inte rätt att anlita underbiträde för att utföra arbetet enligt avtalet utan att först ha inhämtat Personuppgiftsansvariges skriftliga godkännande.
4.2 Har Personuppgiftsansvarige lämnat ett skriftligt godkännande ska Personuppgiftsbiträdet tillse att sådant underbiträde ingår ett skriftligt personuppgiftsbiträdesavtal innan underbiträdet påbörjar arbete som har anknytning till Personuppgiftsansvarige. Ett sådant personuppgiftsbiträdesavtal ska innehålla minst de åtaganden och skyldigheter som följer av avtalet. Personuppgiftsansvarige ska äga rätt att få del av och godkänna ett sådant avtal innan det ingås mellan Personuppgiftsbiträdet och underbiträdet.
4.3 Om underbiträdet inte fullgör sina skyldigheter ska Personuppgiftsbiträdet vara fullt ansvarig gentemot Personuppgiftsansvarige för utförandet av underbiträdets skyldigheter. Personuppgiftsbiträdet svarar för underbiträdet som för eget arbete och egna åtaganden samt skyldigheter.
5 ÖVERFÖRING TILL TREDJE LAND
Personuppgiftsbiträdet får endast förflytta, förvara, överföra eller på annat sätt behandla personuppgifter tillhöriga Personuppgiftsansvarige utanför EU/EES om Personuppgiftsansvarige i förväg gett sitt skriftliga samtycke. En överföring till tredje land förutsätter även att Personuppgiftsbiträdet, innan överföring till tredje land påbörjas, uppfyller de krav och åtgärder som följer av Dataskyddsförordningen vad avser tredjelandsöverföringar.
6 REGISTER ÖVER BEHANDLINGEN
Personuppgiftsbiträdet ska föra ett register över alla kategorier av behandling som utförts för Personuppgiftsansvariges räkning och på begäran göra sådant register tillgängligt för Personuppgiftsansvarige eller, i tillämpliga fall, för tillsynsmyndigheten. Registret ska föras i enlighet med enligt artikel 30 i Dataskyddsförordningen och innehålla de uppgifter som där anges.
7 SÄKERHET OCH SEKRETESS
7.1 Personuppgiftsbiträdet garanterar att genomföra lämpliga tekniska och organisatoriska åtgärder på sådant sätt att behandlingen av personuppgifter under detta avtal uppfyller kraven i Dataskyddsförordningen (i synnerhet artikel 32).
7.2 Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
7.3 Personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk och juridisk person som utför arbete under Personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den Personuppgiftsansvarige samt därtill säkerställa att dessa har åtagit sig att iaktta konfidentialitet.
7.4 Personuppgiftsbiträdet ansvarar för att varje fysisk person som har tillgång till personuppgifterna som behandlas enligt avtalet har tillräckliga kunskaper och utbildning för att på ett säkert och ändamålsenligt sätt behandla personuppgifterna.
8 PERSONUPPGIFTSINCIDENT
8.1 Inträffar en Personuppgiftsincident ska Personuppgiftsbiträdet underrätta Personuppgiftsansvarige utan onödigt dröjsmål efter det att Personuppgiftsbiträdet fått vetskap om incidenten. Anmälan ska innehålla följande:
a) beskriva Personuppgiftsincidentens art, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
b) beskriva de sannolika konsekvenserna av Personuppgiftsincidenten.
8.2 Personuppgiftsbiträdet ska, på Personuppgiftsansvariges begäran, skyndsamt bistå denne att fullgöra sina skyldigheter att anmäla en Personuppgiftsincident till Datainspektionen.
9 KONSEKVENSBEDÖMNING M.M.
Med beaktande av typen av behandlingen och den information som Personuppgiftsbiträdet har att tillgå ska Personuppgiftsbiträdet bistå Personuppgiftsansvarige med att se till att artiklarna 35-36 fullgörs.
10 BEGÄRAN OM INFORMATION
10.1 I de fall en registrerad eller annan tredje man begär information från Personuppgiftsbiträdet avseende behandling av personuppgifter som tillhör Personuppgiftsansvarige ska Personuppgiftsbiträdet hänvisa sådan registrerad eller annan tredje man till Personuppgiftsansvarige.
10.2 Personuppgiftsbiträdet ska vara Personuppgiftsansvarige behjälplig genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med Dataskyddsförordningen.
11 TILLGÅNG TILL INFORMATION
11.1 Personuppgiftsbiträdet ska ge Personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i artikel 28 i Dataskyddsförordningen har fullgjorts.
11.2 Personuppgiftsansvarige äger rätt att, själv eller genom tredje man, genomföra revision gentemot Personuppgiftsbiträdet eller på annat sätt kontrollera att Personuppgiftsbiträdets behandling av personuppgifter följer detta avtal. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge Personuppgiftsansvarige den assistans som behövs för genomförande av revision.
11.3 Personuppgiftsbiträdet ska skriftligen dokumentera de åtgärder som denne vidtagit för att uppfylla sina skyldigheter enligt detta avtal, Dataskyddsförordningen eller annat regelverk. Personuppgiftsansvarige ska vid var tid äga rätt att ta del av Personuppgiftsbiträdets dokumentation enligt denna punkt.
12 ERSÄTTNING
Personuppgiftsbiträdet ska inte erhålla någon ersättning för åtgärder eller liknande som denne vidtar avseende behandling av personuppgifter i enlighet med avtalet eller som en följd av avtalet i övrigt.
13 ANSVAR
13.1 Personuppgiftsbiträdet ska ersätta Personuppgiftsanvarige för skada som denne, de registrerade eller annan fysisk eller juridisk person eller myndighet åsamkas med anledning av Personuppgiftsbiträdets behandling av personuppgifter i strid med dokumenterade instruktioner, avtalet, Dataskyddsförordningen eller annat regelverk.
13.2 Eventuell ansvarsbegränsning i annat avtal mellan Parterna gäller inte i förhållande till behandling som omfattas av detta avtal.
14 AVTALETS UPPHÖRANDE
Vid Huvudavtalets upphörande ska Personuppgiftsbiträdet – beroende på vad Personuppgiftsansvarige väljer – radera eller återlämna alla personuppgifter som har anknytning till avtalet.
15 ÖVERLÅTELSE AV AVTALET
Överlåtelse av avtalet får ske i enlighet med bestämmelserna för överlåtelse i Huvudavtalet och endast i samband med överlåtelse av Huvudavtalet.
16 TILLÄMPLIG LAG OCH TVISTER
Tvist angående tolkning eller tillämpning av avtalet ska avgöras enligt svensk lag och Huvudavtalets bestämmelse om tvist. I avsaknad av reglering i Huvudavtalet ska tvist avgöras av svensk allmän domstol.
Avtalet har upprättats i två likalydande exemplar, av vilka Parterna tagit var sitt. Trollhättan den 2018-05-24 Trollhättan den 2018-05-24
[Personuppgiftsansvarige] | [Personuppgiftsbiträdet] |
[Behörig firmatecknare] | Xxxxxxx Xxx-Xxxxx |