Personuppgiftsbiträdesavtal
Uthyrare AB med xxx.xx XXXXXX-XXXX, Adress, 123 45 X-stad, och motpartens namn, xxx.xx. XXXXXX-XXXX, Adress, 123 45 X-stad har denna dag träffat följande
[Titel/dokumentnamn]
(OBS. gör ett mellanslag i fältet om titel saknas)
Bakgrund
Europaparlamentets förordning 2016/679 (Allmän Dataskyddsförordning), nedan kallad Dataskyddsförordningen eller Förordningen, ställer krav på skriftligt personuppgiftssavtal när en part ska behandla personuppgifter (nedan kallat PU) för annan parts räkning. Med anledning av detta har parterna enats om att ingå förevarande biträdesavtal som bilaga till avtal XXXX (Här skriver du avtalet som detta avtal hör till).
1 Definitioner
1.1 Med ”personuppgifter” avses varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
1.2 Med ”Registrerad” avses nedan den som en personuppgift avser.
1.3 Med ”behandling” eller ”behandla” avses en åtgärd eller kombination av åtgärder beträffande PU eller uppsättningar av PU, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
1.4 I övrigt ska begrepp enligt detta avtal tolkas i enlighet med Förordningen.
2. Personuppgiftsbiträdets åtagande
2.1 Personuppgiftsbiträdet (nedan kallat PUB) förbinder sig att utföra behandlingen, såsom denna är specificerad i avtal XXXX. (det avtal som gör det här avtalet relevant). I det avtalet måste du specificera:
• vilka PU som kommer behandlas
• kategorierna av människor vars uppgifter kommer behandlas
• hur behandlingen kommer vara utformad
• hur länge behandlingen kommer ske
2.2 PUB förbinder sig att följa Dataskyddsförordningen, samt att hålla sig informerad om förordningen och angränsande lagstiftning.
2.3 PUB och den eller de personer som arbetar under dennes ledning får endast behandla PU i enlighet med de instruktioner som anges i detta avtal eller som från tid till annan lämnas av den personuppgiftsansvarig (nedan kallad PUA). För det fall PUB saknar instruktioner som PUB bedömer är nödvändiga för att genomföra det uppdrag PUB erhållit från den PUA ska PUB, utan dröjsmål, informera den PUA om sin inställning och invänta de instruktioner som den PUA bedömer erfordras. Mottagna instruktioner ska dokumenteras.
2.4 För det fall PUB avser anlita ytterligare PUB för uppfyllande av detta avtal, ska PUB inhämta skriftligt godkännande från den PUA innan detta sker. Har allmänt godkännande inhämtats, ska PUB informera den PUA för att tillgodose möjligheten att invända mot valet av ytterligare biträde. Vid anlitande av ytterligare PUB, ska PUB säkerställa att detta ytterligare PUB åtar sig att utföra Behandling på samma villkor och efter samma standard som PUB självt.
2.5 PUB ska endast behandla PU på utrustning som fysiskt befinner sig inom EES, inbegripet nyttjandet av molntjänster. PUB äger rätt att flytta utrustningen eller behandla PU på annan utrustning endast efter den PUA medgivande.
2.6 För de fall att en Registrerad, Datainspektionen eller annan tredjeman begär information från PUB som för behandling av PU ska PUB hänvisa till den PUA. Av punkten 2.4 ovan och punkten 4 nedan följer bland annan att PUB inte får lämna ut PU eller annan information om behandlingen av PU utan uttrycklig instruktion från den PUA.
2.7 PUB ska utan dröjsmål informera den PUA om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandlingen av PU. PUB har inte rätt att företräda den PUA eller agera för den PUA räkning gentemot Datainspektionen eller annan tredje man.
2.8 Vid upptäckt av en personuppgiftsincident ska PUB informera den PUA om detta utan onödigt dröjsmål dock senast inom 12 timmar.
2.9 PUB ska vidta skäliga tekniska och organisatoriska åtgärder för att skydda PU mot obehörig åtkomst, förstörelse och ändring i enlighet med Förordningens krav, med särskilt beaktande av kraven i artikel 32. PUB ska därvid särskilt iaktta Datainspektionens instruktioner i dess allmänna råd ”Säkerhet för PU” eller andra föreskrifter som Datainspektionen ger ut.
2.10 PUB ska, i den mån det är aktuellt med hänsyn till behandlingens art, omfattning, sammanhang och ändamål, utföra en konsekvensbedömning avseende den planerade behandlingens konsekvenser för skyddet av PU, om det är sannolikt att behandlingen kan leda till hög risk för fysiska personers rättigheter och friheter. Konsekvensbedömningens utformande ska göras med utgångspunkt i artikel 35 i Förordningen.
PUB ska samråda med Datainspektionen, om konsekvensbedömningen visar att Behandlingen sannolikt leder till hög risk för Registrerade.
2.11 Den PUA har rätt att på egen bekostnad själv eller genom tredje man kontrollera att PUB följer detta avtal. PUB ska därvid lämna den PUA den assistans som behövs.
2.12 PUB ska när detta avtal upphör att gälla överlämna PU på av den PUA angivet medium. Sedan detta har skett ska PUB radera PU på ett sådant sätt att de inte kan återskapas och därvid se till att det inte finns några PU kvar hos PUB.
2.13 PUB ska assistera den PUA med att ta fram information som begärts av Datainspektionen eller av en Registrerad, eller på annat sätt underlätta för den PUA att tillgodose en Registrerads rättigheter enligt Förordningen.
2.14 PUB får inte under några omständigheter föra ut PU från den PUA utanför EES utan den PUA samtycke.
3 Den personuppgiftsansvariges ansvar
3.1 Den PUA ska tillse att behandlingen sker i enlighet med Förordningen. Den PUA ansvarar bland annat för att informera de Registrerade om behandlingen, för att i nödvändiga fall inhämta samtycke från de Registrerade och för att i tillämpliga fall samråda avseende behandlingen till Datainspektionen.
3.2 Den PUA ska utan dröjsmål informera PUB om förändringar i behandlingen som påverkar PUB skyldigheter. Den PUA ska tillika informera PUB om tredje parts, däribland Datainspektionen och de Registrerades åtgärder med anledning av behandlingen.
4 Sekretess
4.1 PUB förbinder sig att inte till tredje man lämna ut eller på annat sätt röja information om behandlingen av PU som omfattas av detta avtal eller annan information som PUB erhållit till följd av detta avtal eller annan information som PUB erhållit i sin roll som PUB. Detta åtagande gäller inte information som PUB föreläggs utge till myndighet. Sekretessåtagandet gäller även efter att detta avtal i övrigt upphört att gälla.
4.2 PUB förbinder sig att säkerställa att personer med behörighet att behandla PU åtar sig att iaktta samma nivå av sekretess som gäller för PUB enligt detta avtal eller lag.
5 Ersättning
PUB har endast rätt att debitera den PUA ersättning för behandlingen av PU om sådan rätt framgår av särskilt och skriftligt upprättat avtal. Sådan skriftlig reglering av ersättning återfinns i så fall normalt ifrån tid till annan mellan parterna upprättat och bindande kontrakt.
6 Ansvar gentemot tredje man
För den händelse en Registrerad, eller annan tredje man, riktar krav mot den PUA på grund av PUB behandling av PU ska PUB hålla den PUA skadelös för sådana krav som följer av att PUB inte efterföljt detta avtal eller av den PUA meddelade instruktioner.
7 Avtalets omformulering
Om så krävs på grund av lagstiftning på området eller bindande föreskrifter från myndighet, ska parterna utan onödigt dröjsmål förnya detta avtal på så sätt att det är följsamt med den lagstiftning som föranledde omformuleringen.
8 Avtalstid
Avtalet gäller från dess undertecknande och så länge som PUB behandlar PU för den PUA räkning, eller till dess endera parten säger upp avtalet till upphörande. Vid uppsägning ska en ömsesidig uppsägningstid om sex månader gälla (här fyller man i som man vill!!)
Vid avtalets upphörande ska PUB överlämna alla PU till Uthyraren AB (skriv ditt företag här!) och säkerställa att alla kopior i PUB ägo destrueras på ett säkert sätt.
9 Avgörande av tvist
Tvist med anledning av detta avtal ska avgöras enligt vad som angetts i det avtal till vilket personuppgiftsavtalet är bifogat som bilaga.
Detta avtal har upprättats i två exemplar, varav parterna har tagit var sitt.
Ort & Datum Ort & Datum
Uthyrare AB XXX AB
Underskrift Underskrift
Namnförtydligande/Titel
(Samma person som har rätt att underteckna det första avtalet.)
Namnförtydligande/Titel