Samarbetsavtal behandling av personuppgifter

Samarbetsavtal behandling av personuppgifter

Följande parter: 1) Svenska Båtunionen (802002-3431), nedan kallad SBU, 2) till SBU anslutna Båtförbund, nedan kallade Båtförbunden och 3) till dessa anslutna båtklubbar samt Kungliga Motorbåtklubben (802002-3563) jämte Navigationssällskapet (802002-4322), nedan kallade Båtklubbarna, och gemensamt kallade Parterna, har träffats följande Samarbetsavtal angående behandling av personuppgifter, i fortsättningen kallat Samarbetsavtalet.

§ 1. Bakgrund och syfte Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR), ställer krav på skriftligt avtal när personuppgiftsbiträden ska behandla personuppgifter för en personuppgiftsansvarigs räkning. Parterna ska behandla personuppgifter om sådana registrerade som utgör medlemmar i den förening som respektive part utgör och där parterna gemensamt bestämmer ändamålen och medlen för behandlingen. Det är därmed inte fråga om att någon av Parterna intar en sådan ställning att denne ska utgöra en personuppgiftsansvarig och där övriga parter utgör personuppgiftsbiträden. Skyddet för den personliga integriteten vid behandling av personuppgifter är av väsentlig betydelse för Parterna och deras verksamhet. Syftet med detta Samarbetsavtal är att tillse att Parterna behandlar personuppgifterna i enlighet med tillämpliga lagar, föreskrifter eller andra författningar, men även i enlighet med tillämpliga branschnormer och rättspraxis.

§ 2. Samarbetsavtalets giltighetstid

Samarbetsavtalet gäller tills vidare från avtalets ingående, med en ömsesidig uppsägningstid om tre kalendermånader. Uppsägning ska vara skriftlig. Parterna får, om inte annat överenskommits eller är tillåtet enligt lag eller annan författning, endast behandla personuppgifterna under den tid som detta Samarbetsavtal gäller.

§ 3. Instruktion för behandling av personuppgifter

I Samarbetsavtalet ingår mellan Parterna överenskommen Instruktion för behandling av personuppgifter, där det närmare framgår vad som gäller vid behandling av personuppgifter. I händelse av motstridande lydelse gäller Samarbetsavtalet före Instruktionen, om inte annat anges eller överenskommits.

§ 4. Behandling av personuppgifter

Samarbetsavtalet omfattar behandling av sådana slags personuppgifter för sådana ändamål och baserat på de lagliga eller rättsliga grunder som anges i mellan Parterna överenskommen Instruktion för behandling av personuppgifter.

Om inte annat anges i Instruktionen består personuppgifterna i personnamn och kontaktuppgifter som Parterna gör tillgängliga för varandra. Ändamålen är att Parterna genom att behandla personuppgifterna ska kunna föra register over medlemmar i de register som respektive part för och för att administrera sådant medlemskap. Laglig eller rättslig grund för behandlingen är att den är nödvändig för att Parterna ska kunna uppfylla sina skyldigheter och tillvarata sina rättigheter enligt avtal med de registrerade, för att kunna fullgöra sina rättsliga skyldigheter eller för att uppfylla sådana Parternas berättigade intressen där den registrerades rättigheter och friheter inte väger tyngre.

§ 5. Förhållandet till andra överenskommelser mellan Parterna

Närmare om behandling av personuppgifter under Parternas samarbete framgår i förekommande fall även av mellan Parterna ingånget avtal. Vid motstridig lydelse mellan Samarbetsavtalet och sådant avtal, ska Samarbetsavtalet äga företräde om inte Parterna uttryckligen angett annat.

§ 6. Allmänna villkor för behandling av personuppgifter

Vilka villkor som ska gälla övergripande för Parternas behandling av personuppgifter anges på följande sidor under Allmänna villkor.

* * *

Detta Samarbetsavtal har upprättats i likalydande exemplar, av vilka parterna har tillgång till var sitt.

ALLMÄNNA VILLKOR

1. Grundläggande skyldigheter vid behandling av personuppgifter

1.1. Personuppgifter får endast behandlas enligt detta Samarbetsavtal jämte mellan Parterna överenskommen Instruktion för behandling av personuppgifter, såvida inte Part är skyldig att utföra behandlingen enligt tillämpliga rättsliga krav. Detta gäller även vid överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller medlemsstats nationella rätt som Parten omfattas av. I så fall ska Part, innan personuppgifterna behandlas, informera övriga Parter om detta rättsliga krav, med undantag för när sådan information enligt tillämplig rätt är förbjuden med hänvisning till ett viktigt allmänintresse.

2. Sekretess och behörig tillgång till personuppgifter

2.1. Parterna förbinder sig att inte lämna ut eller annars röja personuppgifterna eller uppgift om behandlingen av personuppgifterna. Part ska tillse att personer som Parten anlitar och ger behörighet att behandla personuppgifterna uttryckligen har åtagit sig att iaktta konfidentialitet eller att sådana personer uppmärksammas om att de i förekommande fall omfattas av lagstadgad tystnadsplikt som gäller för personuppgifterna.

2.2. Behörighet att behandla personuppgifter och tillgången till uppgifterna ska begränsas till vad som är nödvändigt för Partens uppfyllande av Samarbetsavtalet och för fullgörandet av Partens skyldigheter enligt lag eller annan författning. Personuppgifterna får inte utnyttjas eller behandlas för annat ändamål än som följer av Samarbetsavtalet.

3. Tekniska och organisatoriska åtgärder

3.1. Parterna ska genomföra lämpliga tekniska och organisatoriska åtgärder så att behandlingen av personuppgifter uppfyller tillämpliga bestämmelser jämte kraven i detta Samarbetsavtal, samt säkerställa att de registrerades rättigheter skyddas.

4. Parternas inbördes skyldigheter vid behandling av personuppgifter

4.1. Parterna ska lämna varandra skälig assistans vid kontroll eller revision avseende behandling av personuppgifterna.

4.2. Parterna ska, när detta är möjligt med hänsyn till behandlingens eller personuppgifternas art och omfattning, genom lämpliga tekniska och organisatoriska åtgärder hjälpa varandra att fullgöra skyldighet att svara på begäran om utövande av den registrerades rättigheter enligt tillämpliga rättsliga krav.

4.3. Parterna ska, med hänsyn till behandlingens eller personuppgifternas art och omfattning jämte den information som Parterna har att tillgå, hjälpa varandra att uppfylla skyldigheterna enligt artiklarna 32–36 GDPR fullgörs. Dessa skyldigheter omfattar bland annat säkerhet vid personuppgiftsbehandling, anmälan till

tillsynsmyndigheten och information till de registrerade vid en personuppgiftsincident, genomförande av konsekvensbedömning avseende dataskydd, samt vid förhandssamråd med tillsynsmyndigheten.

4.4. När Samarbetsavtalet eller annan överenskommelse mellan Parterna som innefattar behandling av personuppgifter avslutas, ska Parterna radera eller återlämna alla personuppgifter till den Part varifrån personuppgifterna först gjorts tillgängliga och radera befintliga kopior av personuppgifterna, såvida inte skyldighet att lagra personuppgifterna följer av tillämpliga rättsliga krav.

4.5. Parterna ska ge varandra tillgång till all information som krävs för att visa att behandlingen av personuppgifter uppfyller tillämpliga rättsliga krav jämte de villkor som gäller för behandlingen av personuppgifter enligt detta Samarbetsavtal, jämte mellan Parterna överenskommen Instruktion för behandling av personuppgifter eller enligt annan överenskommelse mellan Parterna.

4.5.1. För att vardera Part ska kunna kontrollera behandlingen av personuppgifter, ska övriga Parter möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Parten eller av revisor eller annan personal som bemyndigats av den Part som genomför kontrollen.

4.6. Om någon Part anser att mellan Parterna överenskommen Instruktion för behandling av personuppgifter eller annan överenskommelse om behandling av personuppgifter strider mot tillämpliga rättsliga krav, ska Parten omedelbart informera övriga Parter härom.

4.6.1. Om en Part anser sig sakna instruktioner som denne bedömer är nödvändiga för att genomföra behandlingen av personuppgifter, ska denne vara ålagd att utan dröjsmål informera övriga Parter om detta, varefter Parterna ska överenskomma om sådana ytterligare instruktioner som Parterna bedömer vara erforderliga.

5. Anlitande av personuppgiftsbiträden

5.1 Vid anlitande av annan att som personuppgiftsbiträde utföra behandling av personuppgifterna för Parternas gemensamma räkning eller för endera Parts räkning ska följande gälla.

5.2. Om Parterna tillsammans eller någon av Parterna anlitar ett personuppgiftsbiträde för behandlingen av personuppgifter, ska det anlitade personuppgiftsbiträdet i ett personuppgiftsbiträdesavtal eller på annat lämpligt sätt åläggas samma skyldigheter i fråga om dataskydd som gäller enligt detta Samarbetsavtal eller enligt tillämpliga rättsliga krav som följer av annan rättsakt. Ett sådant avtal ska framför allt ge tillräckliga garantier för att lämpliga tekniska och organisatoriska åtgärder genomförs på ett sådant sätt att behandlingen uppfyller kraven enligt detta Samarbetsavtal, instruktionerna eller tillämplig rättsakt. Part ska i sådant fall särskilt tillse att personuppgiftsbiträdesavtalet kommer att innehålla villkor med motsvarande skyldigheter som gäller enligt avsnitt 4 ovan.

5.3. Part ska föra en förteckning över vilka personuppgiftsbiträden som denne anlitar. På begäran från någon av övriga Parter ska dessa få tillgång till förteckningen eller uppgifter däri.

5.4. Om ett av Part anlitat personuppgiftsbiträde inte fullgör sina skyldigheter i fråga om dataskydd, är Parten fullt ansvarig gentemot övriga Parter för utförandet av det anlitade personuppgiftsbiträdets skyldigheter.

6. Vid personuppgiftsincident

6.1. Om en personuppgiftsincident inträffat ska Part informera övriga Parter om detta snarast efter det att Xxxxxx fått kännedom härom. Information behöver inte lämnas om det inte föreligger någon risk för att de registrerades rättigheter och friheter kränks. Informationen ska innehålla uppgifter som behövs för att Parterna ska kunna fullgöra skyldighet att anmäla personuppgiftsincidenten till tillsynsmyndigheten och informera de registrerade enligt lag eller annan författning.

7. Vardera Parts ansvar mot de övriga Parterna

7.1. Vardera Part ansvarar gentemot övriga Parter för att den behandling av personuppgifter som Samarbetsavtalet omfattar är tillåten för Parten enligt tillämpliga rättsliga krav.

7.2. Vardera Part ska ge övriga Parter de instruktioner eller anvisningar som är nödvändiga för att Parterna ska kunna uppfylla sina skyldigheter enligt detta Samarbetsavtal eller krav enligt tillämplig lag eller annan författning.

7.3. Vardera Part ska snarast informera övriga Parter om sådana förhållanden som denne får kännedom om och som är av vikt för Parternas uppfyllande av Samarbetsavtalet.

8. Ansvar

8.1. Vardera Part ska hålla de övriga Parterna skadeslösa om de drabbas av ersättningskrav eller andra anspråk på grund av att Parten eller någon som denne anlitar vidtagit åtgärd som strider mot detta avtal eller tillämplig lag eller annan författning. Detta gäller även sanktionsavgift eller annan påföljd med anledning av behandlingen av personuppgifter.

8.2. Vardera Parts ansvar är dock begränsat till ett totalt belopp om högst fyra procent av Partens globala årliga omsättning enligt föregående års redovisning eller budget. Begränsningen gäller dock inte vid uppsåt eller grov oaktsamhet.

8.3. Innan Part inleder förhandling, ingår förlikning eller träffar avtal eller förbinder sig till någon annan förpliktelse gentemot de registrerade eller annan tredje man eller gentemot domstol eller annan myndighet med anledning av ersättningskrav, anspråk eller påföljd, ska Parten informera övriga Parter härom och ge dem möjlighet att biträda Parten eller på annat lämpligt sätt tillvarata sina rättigheter.

9. Förtida upphörande, hävning

9.1. Om Part eller någon som denne anlitar behandlar personuppgifter i strid med Samarbetsavtalet, mellan Parterna överenskommen Instruktion för behandling av

personuppgifter eller rättsliga krav och inte vidtagit rättelse inom skälig tid efter den begäran från någon av de övriga Parterna, får den Part som framställt begäran omedelbart för sin del säga upp (häva) avtalet eller säga upp avtalet till upphörande vid viss tid efter uppsägningen. Sådan uppsägning ska vara skriftlig.

10. Ändringar eller tillägg

10.1. Om ändringar i gällande rätt eller rättspraxis medför att Samarbetsavtalet behöver ändras, får SBU ändra innehållet i avtalet genom skriftligt meddelande till de övriga Parterna. Ändringen gäller trettio (30) dagar efter meddelandets avsändande. Övriga Parter får gemensamt eller var för sig omedelbart säga upp avtalet eller delar därav om ändringen inte accepteras.