MALL FÖR PERSONUPPGIFTSBITRÄDESAVTAL 2018-05-28
MALL FÖR PERSONUPPGIFTSBITRÄDESAVTAL logo_maxwidth 2018-05-28

Personuppgiftsbiträdesavtal enligt dataskyddsförordningen((EU) 2016/679)

Avtal mellan personuppgiftsansvarig och personuppgiftsbiträde



  1. Parter


Personuppgiftsansvarig(PuA): [Infoga namn på personuppgiftsansvarig]

Organisationsnummer: [Infoga organisationsnummer]



Personuppgiftsbiträde (PuB): [Infoga namn på personuppgiftsbiträde]

Organisationsnummer: [Infoga organisationsnummer]



Detta Avtal består av följande dokument:

  • Detta Avtal med eventuella bilagor

  • Tjänsteavtal [Infoga benämning på tjänsteavtal] daterad den [Infoga datum] med diarienummer [Infoga diarienummer] med angivande av eventuella bilagor.

  • [Ange eventuella andra dokument]



  1. Bakgrund och syfte


    1. Dataskyddsförordningen ((EU) 2016/679) med kompletterande lagstiftning ställer krav på ett skriftligt avtal när PuB ska behandla personuppgifter för PuA:s räkning. Detta avtal har till syfte att uppfylla detta krav.



    1. Detta personuppgiftsbiträdesavtal tecknas för att,

  • klargöra den avtalade personuppgiftsbehandlingens rättsliga status, d.v.s. relationen mellan PuA och PuB,

  • reglera PuB:s behandling av personuppgifter för PuA:s räkning,

  • reglerar förutsättningarna för PuB:s behandling av personuppgifter på PuA:s vägnar på en fysisk datalagrings- och bearbetningsplats som förvaltas av PuB,

  • reglera parternas övriga skyldigheter och rättigheter gentemot varandra.



  1. Definitioner


    1. Detta Avtal ska tolkas och förstås i enlighet med de definitioner och begrepp som anges i dataskyddsförordningen och definitionerna i artikel 4.


Detta innebär bland annat ,

  • med personuppgiftsansvarig avses den som ensam eller tillsammans med annan bestämmer ändamålen med och medlen för behandlingen av personuppgifter,

  • med personuppgiftsbiträde avses den som behandlar personuppgifter för den personuppgiftsansvariges räkning,

  • med behandling avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte,

  • med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet,



[Om avtalet gäller forskning: Behåll nedanstående två punkter gällande avidentifiering och pseudoanonymisering]

Följande definitioner ska även gälla, vilket innebär att,

  • med avidentifiering avses sådan åtgärd som har till sitt syfte att bryta kopplingen mellan en person och uppgift som avser denne person (personuppgift) och som därefter medför att det inte är möjligt att koppla samman uppgiften med enskild person. Avidentifierande uppgifter betraktas inte som personuppgifter varvid dataskyddsförordningen och kompletterande lagstiftning under sådana omständigheter inte är tillämplig,


  • med pseudoanonymisering avses sådan åtgärd som har till sitt syfte att utan att bryta kopplingen mellan person och uppgift som tillkommer denne, tillförsäkra att personuppgifter inte behandlas i klartext d.v.s. kopplingen mellan person och uppgift kvarstår. Uppgifterna kommer att hanteras via en kod och är att betrakta som personuppgifter, varvid dataskyddsförordningen och kompletterande lagstiftning är tillämplig.





  1. Personuppgiftsbiträdets åtaganden



    1. PuB förbinder sig att behandla personuppgifterna i enlighet med PuA:s instruktioner och med tillämpning av gällande lag, föreskrifter och praxis samt därtill hålla sig informerad om eventuella förändringar som kan ske i lagstiftningen som har betydelse för detta personuppgiftsbiträdesavtal.

Dokumentet Instruktion till Personuppgiftsbiträde skall fyllas i och bifogas.


    1. PuB ska säkerställa att var och en som utför arbete under dennes överinseende och som får tillgång till personuppgifterna som omfattas av detta avtal, endast behandlar dessa i enlighet med givna instruktioner.

    2. För det fall att PuB saknar instruktioner som PuB bedömer är nödvändiga för att genomföra uppdraget ska PuB, utan dröjsmål, informera PuA om sin inställning och invänta instruktioner som PuA bedömer erfordras.





    1. För de fall att registrerad, Datainspektionen eller annan tredje man begär information från PuB som rör behandling av personuppgifter, ska PuB hänvisa till PuA. Av punkten 4.1. och 4.2. ovan och punkten 4.5 nedan följer bland annat att PuB inte får lämna ut personuppgifter eller annan information om behandlingen av personuppgifter, utan instruktion från PuA.


    1. PuB ska utan dröjsmål informera PuA om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandlingen av personuppgifterna. PuB har inte rätt att företräda PuA eller agera för PuA:s räkning gentemot Datainspektionen, registrerad eller annan tredje man.



    1. PuB ska vara PuA behjälplig med att förse Datainspektionen, registrerad eller tredje man information inom ramen för detta avtal.



    1. PuB ska när detta avtal upphör att gälla radera eller överlämna personuppgifterna på av PuA angivet lagringsmedium enligt avtal och förvissa sig om att det inte finns några personuppgifter kvar i egna systemen. Hur detta skall gå till skall regleras i dokumentet ”Instruktion Personuppgiftsbiträde”.



    1. PuB ska rätta, blockera, ändra eller gallra Personuppgifter enligt PuAs instruktioner. Om PuA begär att Personuppgift ska raderas ska sådan radering ske inom [xx] dagar. När Personuppgifter raderats ska PuB skriftligen informera PuA om detta.



    1. PuB ska, utöver vad som anges i Tjänsteavtalet, vidta de åtgärder som avses i dataskyddsförordningen samt övrig lagstiftning gällande tekniska, administrativa och organisatoriska åtgärder som syftar till att skydda personuppgifter mot obehörig åtkomst, förstörelse och ändring.



Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.



    1. PuA har rätt att själv eller genom tredje man kontrollera att PuB följer detta avtal. PuB ska därvid vara PuA behjälplig. PuA ska ha rätt att inspektera den hårdvara och mjukvara som används för behandlingen av de personuppgifter som omfattas av detta avtal samt ska ges tillträde till den fysiska lokal där utrustning och annan hårdvara och mjukvara är förvarad.


    1. PuB ska följa av Datainspektionen fattade beslut om åtgärder för att uppfylla dataskyddsfördordningens säkerhetskrav. PuB ska tillåta inspektioner från Datainspektionen.



    1. PuB förbinder sig att inte lämna ut till tredje man eller eljest röja information om behandling av personuppgifter som omfattas av detta avtal eller annan information som PuB erhållit till följd av detta avtal. Detta åtagande gäller inte information som PuB föreläggs utge till Datainspektionen.



PuB ska genast överlämna till PuA en eventuell begäran från domstol, annan myndighet eller enskild om att få ta del av uppgifter som behandlas enligt detta avtal.


    1. PuB får inte utnyttja personuppgifterna för egna ändamål.


    1. PuB får [anlita/ej anlita, behåll det som passar] underbiträden för behandling av Personuppgifterna. Om PuB skall anlita underbiträde måste detta i förväg skriftligen godkännas av PuA.


    1. Varje underbiträde har samma skyldigheter som PuB. PuB är fullt ansvarig för underbiträdens uppfyllande av de skyldigheter som följer av detta personuppgiftsbiträdesavtal.



    1. PuB ska tillhandahålla och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till Personuppgifterna.



    1. Vid händelse av en personuppgiftsincident ska PuB utan dröjsmål skriftligen underrätta PuA om händelsen.




  1. Personuppgiftsansvariges åtaganden


    1. PuA har ansvar för all behandling av personuppgifter, i enlighet med dataskyddsförordningen med kompletterande lagstiftning

    2. PuA har att beakta tillämplig lagstiftning och att den efterlevs beträffande behandlingarna av personuppgifter med avseende på såväl utlämnande av uppgifter och i förekommande fall även för efterföljande behandling av återlämnade personuppgifter.



    1. PuA skall ombesörja att behandling endast sker för de personuppgifter som härrör från rubricerat tjänsteavtal samt att detta sker under de förutsättningar som anges i tjänsteavtalet samt detta personuppgiftsbiträdesavtal.



    1. PuA ska utan dröjsmål informera PuB om förändringar i behandlingen vilka påverkar PuB:s skyldigheter. PuA ska tillika informera PuB om tredje parts, däribland Datainspektionens och registrerades åtgärder med anledning av behandlingen.




  1. Ersättning



    1. Rätt till ersättning för behandling av personuppgifter i enlighet med detta personuppgiftsbiträdesavtal regleras särskilt i Tjänsteavtalet.



  1. Ansvar och skadeslöshet



    1. För den händelse registrerad, eller annan tredje man riktar krav mot PuA på grund av PuB:s behandling av personuppgifter ska PuB hålla PuA skadeslös för sådana krav som följer av att PuB inte följt detta avtal. PuA ska skyndsamt informera PuB om att sådant krav inkommit.


    1. För den händelse ett krav avser personuppgifter som inte omfattas av Tjänsteavtalet, men som PuA är ansvarig för, ska PuB inte hållas skadeståndsansvarig. Detta gäller även för det fall att PuA behandlar personuppgifter för andra ändamål än som omfattas av Tjänsteavtalet.



    1. PuA ska hålla PuB skadeslös för skador eller kostnader i anledning av behandlingen som är hänförliga till PuA:s agerande. PuB ska snarast underrätta PuA om anspråk på skadestånd som riktas mot PuB med anledning av behandlingar av personuppgifter inom ramen för detta avtal.


  1. Avtalstid


    1. Avtalet gäller fr.o.m. undertecknande av båda parter och tills avtalstidens slut eller tills någon av parterna säger upp avtalet. Se Tjänsteavtal.



    1. Personuppgiftsbiträdesavtalet upphör att gälla med omedelbar verkan om någon av parterna säger upp Avtalet. PuA och PuB ska då skyndsamt vidta åtgärder som är överenskomna under punkt 5.8.



  1. Rätt till omförhandling


    1. Båda parter har rätt att påkalla omförhandling av detta avtal inklusive instruktioner och andra bilagor, för det fall att

  • motpartens ägarförhållanden ändras väsentligt

  • tillämplig lagstiftning eller tolkningen av den, ändras på ett sätt som påverkar behandlingen av personuppgifter som omfattas av detta avtal.


    1. PuB har inte rätt att avbryta uppdraget endast av den anledningen att rätten till omförhandling åberopas eller att en omförhandling påbörjas.



  1. Tvist


    1. Tvist angående tolkning och tillämpning av detta avtal ska avgöras enligt tjänsteavtalets bestämmelse om tvist. [Om annan lag skall tillämpas anges det här]


    1. Svensk lag ska tillämpas på detta avtal.





Detta avtal har upprättats i två likalydande exemplar, varav parterna tagit var sitt.







……………………………… ………………………………

Ort och datum Ort och datum

[Personuppgiftsbiträde] [Personuppgiftsansvarig]





……………………………… ………………………………

Titel Titel





IT-enheten

1 (6)

Xxxxxxxxxxxx 0, Xxx 000, 000 00 Xxxxxxxx

031 786 00 00

xxx.xx.xx


Document Metadata

Filed: May 21st, 2018