Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal



Detta personuppgiftsbiträdesavtal (detta ”Avtal”) är träffat dagen för senaste undertecknande nedan mellan:

[Biträdet], organisationsnummer […] (”Biträdet”) och

Lunds universitet, [tillämplig fakultet/institution], organisationsnummer 202100-3211 (”Ansvarig”)

härefter enskilt benämnd ”Part” och tillsammans ”Parterna”.

  1. Bakgrund

Ansvarig har anlitat Biträdet för att utföra vissa tjänster åt Ansvarig enligt ett separat uppdragsavtal eller motsvarande (”Uppdragsavtalet”), vilket bilagts detta Avtal. Europaparlamentets och rådets förordning 2016/679 (Allmän Dataskyddsförordning), nedan kallad Förordningen, ställer krav på skriftligt personuppgiftsbiträdesavtal när en part ska behandla Personuppgifter för annan parts räkning.

  1. Definitioner


Begrepp enligt detta Avtal ska tolkas i enlighet med Förordningen.


  1. Behandling av Personuppgifter


    1. Biträdet förbinder sig att utföra behandlingen, såsom denna är specificerad i Uppdragsavtalet och dess bilagor.


    1. Biträdet förbinder sig att följa Förordningen, samt att hålla sig informerad om Förordningen och angränsande lagstiftning av relevans för den avtalade behandlingen.


    1. Biträdet och den eller de personer som arbetar under dennes ledning får endast behandla Personuppgifter i enlighet med de instruktioner som anges i detta Avtal eller som från tid till annan lämnas av den Ansvarige. För det fall Biträdet saknar instruktioner som Biträdet bedömer är nödvändiga för att genomföra det uppdrag Biträdet erhållit från den Ansvarige ska Biträdet, utan dröjsmål, informera den Ansvarige om sin inställning och invänta de instruktioner som den Ansvarige bedömer erfordras. Mottagna instruktioner ska dokumenteras.


    1. Biträdet ska endast behandla Personuppgifter på utrustning som fysiskt befinner sig inom EES, inbegripet nyttjandet av molntjänster. Biträdet äger rätt att flytta utrustningen eller behandla Personuppgifter på annan utrustning endast efter den Ansvariges medgivande.


  1. Underbiträden


    1. Biträdet får anlita eller byta ut en tredje part eller flera tredje parter för Behandling av Personuppgifter enligt Avtalet (”Underbiträde”) om följande förutsättningar är uppfyllda:


  • Biträdet har rätt att anlita underleverantör enligt Uppdragsavtalet,

  • Ansvarig har godkänt anlitandet av den specifika underleverantören, och

  • Biträdet har ingått ett skriftligt avtal med godkänt Underbiträde avseende behandling av Personuppgifter i vilket Underbiträdet åläggs motsvarande skyldigheter som åvilar Biträdet enligt detta Avtal. Om Ansvarig begär det, måste Biträdet översända en kopia av underbiträdesavtalet till Ansvarig.


    1. Biträdet ska säkerställa att Ansvarig har kännedom om de Underbiträden som behandlar Personuppgifter genom att utan dröjsmål, på begäran av Ansvarig, tillhandahålla Ansvarig fullständig, korrekt och uppdaterad information om samtliga Underbiträden, där följande information specificeras för varje enskilt Underbiträde:


  • definition av Underbiträdet, inklusive dess kontaktinformation, associationsform och geografisk placering;

  • vilken typ av tjänst som Underbiträdet utför;

  • vilka egenskaper Underbiträdet har,

  • garantier som uppställs för att Förordningens krav kommer att följas, samt

  • var Underbiträdet behandlar Personuppgifter som omfattas av detta Avtal.


    1. Biträdet ansvarar fullt ut mot Ansvarig för Underbiträdes Behandling av Personuppgifter.


  1. Begränsningar i rätten att överföra Personuppgifter till Tredje land eller Internationell Organisation


    1. Biträdet äger inte rätt att överföra Personuppgifter till Tredje land eller till en Internationell Organisation, såvida inte Ansvarig skriftligen har godkänt sådan överföring och de krav som anges för sådan överföring i Förordningens kapitel V är uppfyllda.


    1. I det fall överföring av Personuppgifter till Tredje land eller till en Internationell Organisation blir aktuellt ska Biträdet, innan överföring påbörjas, uppvisa dokumentation som styrker att kraven i punkt 5.1 är uppfyllda.


  1. Säkerhetsåtgärder, granskning och tillsyn


    1. Biträdet ska vidta skäliga tekniska och organisatoriska åtgärder för att skydda Personuppgifterna mot obehörig åtkomst, förstörelse och ändring i enlighet med Förordningens krav, med särskilt beaktande av kraven i dess artikel 32. Biträdet ska därvid särskilt iaktta Integritetsskyddsmyndighetens instruktioner i dess allmänna råd eller andra föreskrifter som Integritetsskyddsmyndigheten ger ut.


    1. Biträdet ska, i den mån det är aktuellt med hänsyn till behandlingens art, omfattning, sammanhang och ändamål, utföra en konsekvensbedömning avseende den planerade behandlingens konsekvenser för skyddet av personuppgifter, om det är sannolikt att behandlingen kan leda till hög risk för fysiska personers rättigheter och friheter. Konsekvensbedömningens utformande ska göras med utgångspunkt i artikel 35 i Förordningen.


    1. Biträdet ska samråda med Integritetsskyddsmyndigheten, om konsekvensbedömningen visar att behandlingen sannolikt leder till hög risk för Registrerade.


    1. Vid upptäckt av en personuppgiftsincident, ska Biträdet informera den Ansvarige om detta utan onödigt dröjsmål.


    1. Biträdet ska, när detta Avtal upphör, radera Personuppgifterna på ett sådant sätt att de inte kan återskapas och därvid säkerställa att det inte finns några Personuppgifter kvar hos Biträdet.


    1. Biträdet ska vidta åtgärder för att säkerställa att varje fysisk person och juridisk person som utför behandling av personuppgifter under Biträdets överinseende endast behandlar dessa på instruktion från den Ansvarige och ska säkerställa adekvat behörighetsstyrning.


    1. Den Ansvarige har rätt att på egen bekostnad själv eller genom tredje man kontrollera att Biträdet följer detta Avtal. Biträdet ska därvid lämna den Ansvarige den assistans som behövs.


    1. Biträdet ska assistera den Ansvarige med att ta fram information som begärts av Integritetsskyddsmyndigheten eller av en Registrerad, eller på annat sätt underlätta för den Ansvarige att tillgodose en Registrerads rättigheter enligt Förordningen.


    1. Om Integritetsskyddsmyndigheten eller annan myndighet inleder granskning av Ansvarigs Behandling av Personuppgifter eller om enskild väcker talan mot Ansvarig med anledning av sådan Behandling och frågan rör Behandling som kan antas ha utförts av Biträdet, ska Biträdet i skälig omfattning och mot ersättning för självkostnader bistå Ansvarig med dokumentation och annan information avseende Behandlingen i syfte att möjliggöra för Ansvarig att tillmötesgå myndigheter i deras granskning och bemöta framställda krav.


  1. Utlämnande av information


    1. För de fall att en Registrerad, Integritetsskyddsmyndigheten eller annan tredje man begär information från Biträdet som rör behandling av Personuppgifter (innefattar även rätten till information och registerutdrag, rättelse, radering med mera) ska Biträdet hänvisa till den Ansvarige. Biträdet får inte lämna ut Personuppgifter eller annan information om behandlingen av Personuppgifter utan uttrycklig instruktion från den Ansvarige.


    1. Biträdet ska utan dröjsmål informera den Ansvarige om eventuella kontakter från Integritetsskyddsmyndigheten som rör eller kan vara av betydelse för behandlingen av Personuppgifter. Biträdet har inte rätt att företräda den Ansvarige eller agera för den Ansvariges räkning gentemot Integritetsskyddsmyndigheten eller annan tredje man.



  1. Sekretess


    1. Biträdet förbinder sig att inte till tredje man lämna ut eller på annat sätt röja information om behandlingen av Personuppgifter som omfattas av detta Avtal eller annan information som Biträdet erhållit till följd av detta Avtal eller annan information som Biträdet erhållit i sin roll som Personuppgiftsbiträde. Detta åtagande gäller inte information som Biträdet föreläggs utge till myndighet. I sådant fall åligger det Biträdet att omgående skriftligen meddela Ansvarig om detta och begära att de efterfrågade Personuppgifterna omfattas av sekretess vid utlämnandet. Sekretessåtagandet gäller även efter att detta Avtal i övrigt upphört att gälla.

    1. Biträdet förbinder sig att säkerställa att personer med behörighet att behandla Personuppgifter åtar sig att iaktta samma nivå av konfidentialitet som gäller för Biträdet enligt detta Avtal eller lag.


  1. Ersättning


Biträdet har endast rätt att debitera den Ansvarige ersättning för Behandlingen av Personuppgifter om sådan rätt framgår av Uppdragsavtalet.


  1. Skadestånd och ansvar gentemot tredje man


    1. För den händelse en Registrerad, eller annan tredje man, riktar krav mot den Ansvarige på grund av Biträdets behandling av Personuppgifter ska Biträdet hålla den Ansvarige skadelös för sådana krav som följer av att Biträdet inte efterföljt detta Avtal eller av den Ansvarige meddelade instruktioner.


    1. Part ska inte vara skyldig att utge ersättning för indirekta skador såsom exempelvis utebliven vinst enligt detta Avtal. Till undvikande av missförstånd ska sådan skada som avses i punkt 10.1 anses utgöra direkt skada hos Ansvarig.


  1. Ändringar


Ändringar och tillägg till detta Avtal ska, för att vara giltiga, göras skriftligen och undertecknas av behöriga företrädare för båda Parter. Denna punkt 11 förhindrar inte att Ansvarig kan ändra eller utfärda ytterligare instruktioner i enlighet med vad som framgår av detta Avtal.


  1. Avtalstid


    1. Avtalet gäller från dess undertecknande och så länge som Biträdet behandlar Personuppgifter för den Ansvariges räkning, eller till dess endera Parten säger upp Avtalet till upphörande. Vid uppsägning ska en ömsesidig uppsägningstid om tre (3) månader gälla.


    1. Vid Avtalets och Uppdragsavtalet upphörande ska Biträdet tillse att samtliga Personuppgifter överlämnas till Ansvarig i sådant format som Ansvarig anger alternativt oåterkalleligen förstörs enligt instruktion från Ansvarig samt säkerställa att uppgifterna inte finns kvar hos Biträdet enligt punkten 6 ovan annat än om det krävs av lag.


    1. Om Uppdragsavtalet upphör och nytt sådant avtal träffas utan att ett nytt personuppgiftsbiträdesavtal träffas, gäller detta Avtal även för det nya uppdragsavtalet.



  1. Lagval och avgörande av tvist


För detta Avtal gäller svensk rätt. Tvist i anledning av detta Avtal ska avgöras vid allmän domstol.



Detta Avtal har upprättats i två original, av vilka Parterna har erhållit ett original var.



Lunds universitet [Biträdet]





___________________________ ________________________________

Ort och datum: Ort och datum:





_____________________________ ________________________________

Namnförtydligande: Namnförtydligande:





5


Document Metadata

Filed: April 26th, 2018