Biträdesavtal
Biträdesavtal
Detta personuppgiftsbiträdesavtal (“Biträdesavtal”) har ingåtts [ååååmmdd] mellan: Värmdö kommun, organisationsnummer: 212000–0035, adress: 134 81 Gustavsberg (i det följande “Personuppgiftsansvarige”); och , organisationsnummer: ,
adress: (i det följande “Personuppgiftsbiträdet”), var för sig benämnda ”Part” och tillsammans ”Parterna”
1. BAK G R UND OC H SY F T E
1.1 Detta Biträdesavtal börjar tillämpas den [20XXXXXX] för att uppfylla krav på Gällande dataskyddsregler inklusive de nya kraven som följer av Dataskyddsförordningen.
1.2 Personuppgiftsansvarige bedriver kommunal verksamhet där Behandling av Personuppgifter utgör en naturlig del. Personuppgifter behandlas bland annat i det Dokument- och ärendehanteringssystem som Personuppgiftsansvarige har upphandlat av Personuppgiftsbiträdet.
1.3 Personuppgiftsbiträdet är leverantör till Personuppgiftsansvariges Dokument- och ärendehanteringssystem.
1.4 Enligt Gällande dataskyddsregler ska all Behandling av Personuppgifter utförd av ett Personuppgiftsbiträde för Personuppgiftsansvariges räkning regleras genom avtal.
1.5 Parterna har överenskommit att i detta Biträdesavtal reglera Behandlingen av Personuppgifter enligt nedan.
2. DEF I NT I ONER
2.1 Samtliga nedanstående begrepp ska ha följande innebörd:
Behandling, avser den åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Gällande dataskyddsregler, avser rådsdirektiv 95/46/EG, införd i svensk rätt genom personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191) samt den allmänna dataskyddsförordningen (EU) 2016/679 (”GDPR”), med tillhörande genomförandeförfattningar. I händelse av konflikt mellan ovan nämnda författningar ska GDPR från och med den 25 maj 2018 ha företräde.
Personuppgifter, varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgiftsincident, avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats och i övrigt behandlas.
Standardavtalsvillkor, avser villkor för skydd av Personuppgifter överförda till tredje land i enlighet med Europeiska kommissionens beslut C(2010)593 av den 5 februari 2010 eller motsvarande villkor som ersätter dessa.
Underbiträde, avser sådant personuppgiftsbiträde som anlitas av det Personuppgiftsbiträde som är Part i detta Biträdesavtal och som behandlar Personuppgifter för Personuppgiftsansvariges räkning.
3. PE R SONUPPG I F T SANSV AR I G E S ANSV AR
3.1 Personuppgiftsansvarige är skyldig att under detta Biträdesavtal säkerställa att Behandlingen av Personuppgifter är laglig enligt Gällande dataskyddsregler.
3.2 Personuppgiftsansvarige får endast tillhandahålla Personuppgiftsbiträdet sådana Personuppgifter som är nödvändiga för ändamålet med Behandlingen.
3.3 Personuppgiftsansvarige ska tillhandhålla Personuppgiftsbiträdet dokumenterade instruktioner och övriga anvisningar avseende ändamålet, omfattningen, arten och varaktigheten av Behandlingen samt kategorier av registrerade i den utsträckning som är nödvändig för att Personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt detta Biträdesavtal och Gällande dataskyddsregler.
4. BE H ANDL I NG AV PE R SONUPPG I F T E R
4.1 De Personuppgifter som Personuppgiftsbiträdet har åtkomst till får endast behandlas i enlighet med detta Biträdesavtal och Gällande dataskyddsregler.
4.2 Personuppgiftsbiträdet får endast behandla Personuppgifter i enlighet med Personuppgiftsansvariges dokumenterade instruktioner enligt underbilaga A, innefattandes från tid till annan, gjorda ändringar och tillägg såvida inte Personuppgiftsbiträdet är skyldig enligt författning att behandla Personuppgifterna för annat ändamål eller på annat sätt. Har Personuppgiftsansvarige lämnat ofullständiga eller felaktiga instruktioner ska Personuppgiftsbiträdet omgående påtala detta för Personuppgiftsansvarige.
4.3 Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarige när denne anser att en Behandling strider mot Gällande dataskyddsregler eller annan tillämplig lag
och därefter invänta Personuppgiftsansvariges anvisningar. Vad som anges ovan gäller endast om Personuppgiftsbiträdet inte är förhindrad att på andra grunder lämna sådan underrättelse.
4.4 Personuppgiftsbiträdet ska utan oskäligt dröjsmål, dock senast femton (15) dagar från Personuppgiftsansvariges begäran, ge denne tillgång till Personuppgifterna som Personuppgiftsbiträdet har i sin besittning samt genomföra en begärd ändring, radering, begränsning eller överföring av nämnda Personuppgifter. Har Personuppgiftsansvarige raderat, eller anvisat Personuppgiftsbiträdet om radering, ska den senare vidta sådana åtgärder som krävs för att personuppgiften inte ska kunna återskapas.
4.5 Personuppgiftsbiträdet ska upprätthålla ett register över all Behandling av Personuppgifter som sker på uppdrag av Personuppgiftsansvarige, samt att på Personuppgiftsansvariges eller behörig tillsynsmyndighets uttryckliga begäran överlämna ett läsbart registerutdrag omfattandes, till ett minimum, uppgifter om:
(a) namn och kontaktuppgifter hos Personuppgiftsbiträdet och i förekommande fall namn och kontaktuppgifter hos sådana företrädare som Personuppgiftsbiträdet anlitar, dennes dataskyddsombud och i förekommande fall anlitade av Underbiträden,
(b) den Behandling som utförs av Personuppgiftsbiträdet för Personuppgiftsansvariges räkning, typen av Personuppgifter och i förekommande fall särskilda kategorier,
(c) i förevarande fall, överföring av Personuppgifter till tredje land, det tredje land där data behandlas samt vilka adekvata skyddsåtgärder som vidtagits och
(d) en allmän beskrivning av vilka tekniska och organisatoriska åtgärder som vidtagits för att upprätthålla en lämplig skyddsnivå.
5. K APAC I T E T OC H F ÖR M ÅG A
5.1 Personuppgiftsbiträdet garanterar att denne besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt detta Biträdesavtal och Gällande dataskyddsregler.
5.2 Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran styrka att de skyldigheter som framgår av detta Biträdesavtal och Gällande dataskyddsregler uppfylls genom att tillhandahålla relevant dokumentation, hänvisa till relevant och godkänd uppförandekod eller certifiering, möjliggöra och bidra till granskningar och inspektioner och/eller tillhandahålla Personuppgiftsansvarige annan adekvat bevisning.
5.3 Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran, utan oskäligt dröjsmål ge denne, eller en oberoende tredje part som denne anlitat, tillgång till sådana upplysningar och handlingar som är nödvändiga för att Personuppgiftsansvarige ska kunna utöva en effektiv kontroll av Personuppgiftsbiträdets åtgärder enligt detta Biträdesavtal eller Gällande dataskyddsregler.
5.4 Utan hinder av punkten 5.3 är Personuppgiftsbiträdet endast skyldig att bevilja Personuppgiftsansvarige, eller oberoende tredje part som denne anlitat, tillgång till lokaler och utrustning för inspektion om det kan ske utan säkerhets- eller integritetsrisker eller om sådana inspektioner är nödvändiga för att fullgöra en rättslig förpliktelse.
6. SÄK ER HET OC H SEK R E T E SS
6.1 Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder begränsa tillgången till Personuppgifterna och endast ge behörighet till sådan personal som behöver ha tillgång till Personuppgifterna för att fullgöra sina åtaganden enligt detta Biträdesavtal, samt att tillse att sådan personal har erforderlig utbildning och i tillräcklig mån har instruerats att hantera Personuppgifterna på ett ändamålsenligt och säkert sätt.
6.2 Personuppgiftsbiträdet ska behandla Personuppgifter med sekretess med beaktan av offentlighetsprincipen i enlighet med lagen om offentlighet och sekretess (2009:400), samt att personer med behörighet att behandla Personuppgifterna hos Personuppgiftsbiträdet har ingått särskild sekretessförbindelse eller upplysts om att särskild tystnadsplikt föreligger enligt avtal eller gällande rätt.
6.3 Personuppgiftsbiträdet ska utan oskäligt dröjsmål, dock senast inom tjugofyra (24) xxxxxx från att det kommit Personuppgiftsbiträdet till kännedom, underrätta Personuppgiftsansvarige om förekomsten av eller risken för en Personuppgiftsincident. En sådan underrättelse ska innehålla all nödvändig och tillgänglig information som Personuppgiftsansvarige behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan av Personuppgiftsincidenter till behörig tillsynsmyndighet.
7. SAM V E R K AN
7.1 Personuppgiftsbiträdet ska på Personuppgiftsansvariges förfrågan bistå denne att fullgöra sina skyldigheter enligt Gällande dataskyddsregler, såsom utförandet av konsekvensbedömningar avseende dataskydd, utformningen av lämpliga tekniska och organisatoriska åtgärder för inbyggt dataskydd, förhandssamråd med behörig tillsynsmyndighet samt medverka till utredning av inträffade Personuppgiftsincidenter. Såvida Parterna inte kommit överens om annat ska sådant bistånd som avses i detta stycke inte ge Personuppgiftsbiträdet rätt till särskild ersättning.
7.2 Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarige om denne kontaktas av behörig tillsynsmyndighet eller annan tredje part i syfte att få tillgång till Personuppgifter som Personuppgiftsbiträdet, eller i förekommande fall Underbiträdet, har i sin besittning.
7.3 Personuppgiftsbiträdet ska skriftligen och senast trettio (30) dagar innan en planerad ändring av Behandlingsförfarandet, däribland tekniska och organisatoriska ändringar som kan påverka skyddet av Personuppgifterna och Personuppgiftsbiträdets efterlevnad av Gällande dataskyddsregler, informera Personuppgiftsansvarige. Innan sådana ändringar genomförs ska Personuppgiftsansvarige lämna sitt samtycke, vilket inte skäligen ska förvägras.
8. ANL I T ANDE AV UNDE R B I T R ÄDE
8.1 Personuppgiftsbiträdet är förhindrad att utan Personuppgiftsansvariges skriftliga samtycke överföra eller på annat sätt överlåta Behandlingen av Personuppgifterna till ett Underbiträde. En sådan överlåtelse sker alltid på Personuppgiftsbiträdets egen risk och medför inga ändringar i den ansvarsfördelning som gäller mellan Parterna i detta Biträdesavtal.
8.2 Har Personuppgiftsbiträdet ansökt om att få överlåta Behandlingen av Personuppgifter till ett Underbiträde och beviljats detta enligt punkten 8.1 ska Personuppgiftsbiträdet med lämpliga åtgärder säkerställa att Underbiträdet uppfyller alla tillämpliga bestämmelser om skydd för Personuppgifter samt i väsentliga delar uppfylla de skyldigheter som regleras i detta Biträdesavtal. Personuppgiftsbiträdet ska ingå ett biträdesavtal med eventuella underbiträden. Personuppgiftsbiträdet äger fullt ansvar för samtliga underbiträden i alla led. För information om eventuella underbiträden och särskilda instruktioner se Instruktioner, underbilaga A punkt 7.
8.3 Personuppgiftsansvarige kan efter eget val ge ett allmänt skriftligt godkännande för Personuppgiftsbiträdet att anlita ett Underbiträde för viss typ av Behandling inom ramen för Biträdesavtalet. Om ett sådant allmänt godkännande har lämnats ska Personuppgiftsbiträdet, senast trettio (30) dagar innan, informera Personuppgiftsansvarige om sina avsikter att använda eller byta ut ett Underbiträde så att Personuppgiftsansvarige har möjlighet ett göra invändningar mot en sådan förändring. En sådan invändning medför hinder för Personuppgiftsbiträdet att genomföra föreslagna förändringar. Motsätter sig Personuppgiftsansvarige en sådan förändring som avses ovan eller återkallar denne sitt godkännande har Personuppgiftsansvarige rätt att säga upp detta Biträdesavtal och andra ingångna avtal som berör Behandling av Personuppgifter med en uppsägningstid som ensidigt bestäms av Personuppgiftsansvarige. Under sådan uppsägningstid får överföring av Personuppgifter till Underbiträdet inte förekomma.
9. ÖV E R F ÖR I NG AV PE R SONUPPG I F TE R TI L L TR E DJ E L AND
9.1 I fall där Personuppgiftsbiträdet i samband med Behandlingen överför Personuppgifter till ett land utanför Europeiska Ekonomiska Samarbetet (”EES”) och som av Europeiska kommissionen inte anses uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Parterna ingå ett tilläggsavtal baserad på Standardavtalsvillkor.
9.2 Har Personuppgiftsbiträdet anlitat ett Underbiträde med innebörden att Personuppgifter överförs till ett land utanför EES som Europeiska kommissionen inte anser uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Personuppgiftsbiträdet för Personuppgiftsansvariges räkning ingå ett tilläggsavtal baserad på Standardavtalsvillkor med Underbiträdet. I förekommande fall ska Personuppgiftsbiträdet på begäran tillhandahålla Personuppgiftsansvarige en underskriven kopia av ett sådant tilläggsavtal som avses ovan.
9.3 I händelse av konflikt mellan detta Biträdesavtal och Standardavtalsvillkor har de senare företräde.
10. UNDE R R ÄTTE L SE R
Alla underrättelser enligt detta Biträdesavtal ska ske skriftligen, ställda till följande kontaktpersoner hos respektive Part.
10.1 För Personuppgiftsansvarige:
[NN]
[kontaktuppgifter]
10.2 För Personuppgiftsbiträdet: [NN]
[kontaktuppgifter]
10.3 Vid inträffad eller befarad Personuppgiftsincident ska Personuppgiftsbiträdet rapportera till [mailadress].
11. ANSV AR MOT T R E DJ E M AN OCH E R SÄT T NI NG F ÖR SK ADA
11.1 Vardera Part ansvarar och står risken för sin egen efterlevnad av Gällande dataskyddsregler och ska hålla den andra Parten skadeslös avseende eventuella krav från registrerad person med anledning av den första Partens bristande uppfyllelse av Gällande dataskyddsregler, detta Biträdesavtal eller – vad gäller Personuppgiftsbiträdet - Personuppgiftsansvariges instruktioner.
11.2 Bestämmelserna avseende ansvar och ansvarsbegränsning i Kontraktet ska gälla för detta Biträdesavtal i övrigt.
12. G IL T IG HE T
12.1 Detta Biträdesavtal är giltigt tills Personuppgiftsbiträdets Behandling av Personuppgifterna upphör eller ersätts av ett annat personuppgiftsbiträdesavtal.
12.2 Personuppgiftsbiträdet ska vid avslutad Behandling återlämna Personuppgifterna i ett allmänt och läsbart format till Personuppgiftsansvarige och därefter radera Personuppgifterna från sådana system som använts vid Behandlingen, såvida inte detta är oförenligt med annan tvingande lag.
13. T I L L ÄM PL I G L AG OC H T V I ST
Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt. Tvister till följd av tolkningen och tillämpningen av detta Biträdesavtal ska slutligen lösas i allmän domstol där Personuppgiftsansvarige har sin hemvist.
***
Detta Biträdesavtal har upprättats i två (2) exemplar och vardera parten har tagit var sitt.
[Personuppgiftsansvarig] | [Personuppgiftsbiträde] | |
[Namn, titel] | [Namn, titel] | |
Ort: | Ort: | |
Datum: | Datum: |