Underbiträdesavtal
Underbiträdesavtal
Mellan Jetas Quality Systems AB, xxx.xx. 000000-0000, Xxxxxxxxxx 00, 000 00 Xxxxxxxx hädanefter under benämningen ”Personuppgiftsbiträde” och XXXXXX med xxx.xx. xxxxxx-xxxx och adress, postadress hädanefter under benämningen ”Underbiträde” och gemensamt benämnda ”Parterna” har följande avtal träffats.
Avtalet består av detta huvuddokument samt följande bilagor:
1. Personuppgiftsansvariges särskilda skriftliga tillstånd
2. Personuppgiftsbiträdets information till den personuppgiftsansvarige
3. Personuppgiftsbiträdesavtalet
4. Dokumenterade instruktioner
För det fall att handlingarnas innehåll inte överensstämmer har huvuddokumentet företräde framför bilagorna. Bilagorna har företräde enligt den ovanstående ordningen.
Definitioner
I Avtalet skall nedan angivna termer ha följande betydelse:
Med Avtalet avses detta huvuddokument och vid var tid gällande bilagor.
Med Behandling avses en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Med Personuppgift avses varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Med Personuppgiftsincident avses en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Med Underbiträde avses den som behandlar personuppgifter enligt instruktioner av Personuppgiftsbiträdet.
1. Syfte
Personuppgiftsbiträdet har fått ett särskilt skriftligt tillstånd från Personuppgiftsansvarige att anlita ett Underbiträde Personuppgiftsbiträdet har informerat den Personuppgiftsansvarige om att utsetts till Underbiträde.
Underbiträdet har genom Avtalet förbundit sig att behandla personuppgifter för Personuppgiftsbiträdets räkning. En närmare beskrivning av uppdraget kan utläsas av de dokumenterade instruktionerna, se punkt 2.1.2.
2. Personuppgiftsbiträdets skyldigheter
2.1. Hur personuppgifter ska behandlas
2.1.1. Rättsenlig behandling
Personuppgiftsbiträdet ska ansvara för att all behandling av personuppgifter sker i enlighet med Personuppgiftsbiträdesavtalet. Personuppgiftsbiträdesavtalet reglerar bland annat, men inte uteslutande, vilka personuppgifter som Personuppgiftsbiträdet ska behandla, föremålet för behandlingen, behandlingens varaktighet och omfattning, art och ändamål, typen av personuppgifter och kategorier av registrerade, Personuppgiftsansvariges och Personuppgiftsbiträdets skyldigheter och rättigheter samt omfattningen av skyddsåtgärder och övriga IT-och säkerhetsrelaterade skyldigheter.
Personuppgiftsbiträdet ska tillhandahålla alla de uppgifter som kan behövas för att Underbiträdet ska kunna uppfylla sina avtalsenliga förpliktelser i förhållande till Personuppgiftsbiträdet.
2.1.2. Upprätta dokumenterade instruktioner
Personuppgiftsbiträdet ska ansvara för att tillhandahålla Underbiträdet dokumenterade instruktioner. Instruktionerna ska beskriva uppdragets närmare omfattning, vilket bland annat, men inte uteslutande, innefattar på hurdant sätt Underbiträdet ska behandla personuppgifter enligt Personuppgiftsbiträdets instruktioner, vilka kategorier av personuppgifter som omfattas av uppdraget samt vilken skyddsnivå som ska gälla för personuppgifterna. Instruktionerna får inte strida mot Personuppgiftsbiträdesavtalet.
2.1.3. Tillhandahållande av personuppgifter
Personuppgiftsbiträdet ska tillhandahålla Underbiträdet den information och de personuppgifter som krävs för att denne ska kunna fullgöra sina skyldigheter enligt Xxxxxxx.
2.1.4. Korrekta uppgifter
Personuppgiftsbiträdet ska omedelbart lämna Underbiträdet korrekta uppgifter i händelse av att de dokumenterade instruktionerna är felaktiga, ofullständiga eller i övrigt behöver förändras.
3. Underbiträdets ansvarsområden
3.1. Behandling av personuppgifter
3.1.1. Behandling enligt Avtalet
Underbiträdet ska endast behandla personuppgifter för Personuppgiftsbiträdets räkning enligt Avtalet. Underbiträdet ska också efterleva dataskyddsförordningen och annan dataskyddslagstiftning vid all behandling av personuppgifter.
Underbiträdet får inte, utan Personuppgiftsbiträdets samtycke, föreläggande från tillsynsmyndighet eller tvingande lagstiftning
• samla in eller lämna ut personuppgifter från eller till någon tredje part om inte annat skriftligen överenskommits,
• ändra metod för behandling,
• kopiera eller återskapa personuppgifter eller
• på något annat sätt behandla personuppgifter för andra ändamål än dem som anges i de dokumenterade instruktionerna.
3.1.2. Överföring av personuppgifter
Underbiträdet får inte överföra några personuppgifter till en stat utanför EU-området eller till en stat som inte omfattas av undantagen till förbud mot överföring till tredje land.
Förbudet omfattar även service, teknisk support, underhåll, utveckling och liknande tjänster av systemet.
3.1.3. Skriftligt samtycke vid överföring
En överföring som inte omfattas av ovanstående kräver Personuppgiftsbiträdets skriftliga samtycke och ett säkerställande av att sådan överföring sker i överensstämmelse med gällande dataskyddsbestämmelser.
3.1.4. Genomförande av förändringar
Underbiträdet ska genomföra ändringar, raderingar, begränsningar och överföringar på Personuppgiftsbiträdets uttryckliga begäran, dock inte om en sådan begäran strider mot Xxxxxxx.
3.2. Tekniska och organisatoriska åtgärder
3.2.1. Vidta tekniska och organisatoriska åtgärder
Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska Underbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt
• pseudonymisering och kryptering av personuppgifter
• förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,
• förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
• ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
3.2.2. Uppförandekod och certifieringsmekanism
Underbiträdet kan genom anslutning till en godkänd uppförandekod eller godkänd certifieringsmekanism visa att ovan nämnda skyldigheter efterlevs.
3.3. Upprättande av förteckning
3.3.1. Upprätta en förteckning
Underbiträdet ska föra en förteckning över alla kategorier av behandlingar som utförs för Personuppgiftsbiträdets räkning, som omfattar följande:
• Namn och kontaktuppgifter för Underbiträdet och för vars räkning Underbiträdet agerar, och, i tillämpliga fall, för Personuppgiftsbiträdets företrädare samt dataskyddsombud.
• De kategorier av behandlingar som har utförts för Personuppgiftsbiträdets räkning.
• I förekommande fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och dokumentationen av lämpliga skyddsåtgärder.
• Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna.
3.3.2. Skriftlig förteckning
Underbiträdet ska upprätta förteckningen skriftligen, inbegripet i elektronisk form.
3.4. Underrättelseskyldighet
Underbiträdet ska utan onödigt dröjsmål underrätta Personuppgiftsbiträdet för det fall personuppgiftsbehandlingen strider mot Avtalet. Underbiträdet ska därefter invänta instruktioner från Personuppgiftsbiträdet.
3.5. Information
3.5.1. Utlämnande av personuppgifter
Underbiträdet får inte lämna ut personuppgifter eller information om behandlingen av personuppgifter utan medgivande i förväg från Personuppgiftsbiträdet utom för det fall föreläggande finns därom från tillsynsmyndighet eller om Underbiträdet är skyldig att göra det enligt lag.
3.5.2. Underrättelseskyldighet vid kontakt
Underbiträdet ska utan onödigt dröjsmål meddela Personuppgiftsbiträdet om Underbiträdet kontaktas av tillsynsmyndighet, registrerad eller tredje part i syfte att få tillgång till personuppgifter som Underbiträdet behandlar.
3.6. Revision
3.6.1. Kontroll av efterlevnad
Personuppgiftsbiträdet äger rätt att, själv eller genom tredje man, genomföra revision gentemot Underbiträdet eller på annat sätt kontrollera att Underbiträdets behandling av personuppgifter följer Avtalet. Vid sådan revision eller kontroll ska Underbiträdet ge Personuppgiftsbiträdet den assistans som behövs för genomförande av revision.
3.6.2. Tillgång till lokaler och utrustning
Underbiträdet ska bereda Personuppgiftsbiträdet tillgång till lokaler och utrustning för inspektion i syfte att säkerställa att Underbiträdet uppfyller sina skyldigheter enligt Avtalet. Personuppgiftsbiträdet har dock inte sådan rätt när tillgången och/eller inspektionen kan medföra säkerhets- eller integritetsrisker för de registrerade.
3.6.3. Visa efterlevnad
Underbiträdet ska på begäran och utan onödigt dröjsmål visa att förpliktelserna enligt Avtalet efterlevs. Detta innefattar bland annat, men inte uteslutande, en skyldighet att tillhandahålla dokumentation, visa att godkända uppförandekoder eller certifieringar är uppfyllda samt möjliggöra och bidra till att Personuppgiftsbiträdet kan utföra nödvändiga granskningar och inspektioner.
3.6.4. Tillgång till personuppgifter
Underbiträdet ska ge Personuppgiftsbiträdet tillgång till alla de personuppgifter som Underbiträdet behandlar för Personuppgiftsbiträdets räkning. Detta innefattar även tillgång till upplysningar och handlingar som Personuppgiftsbiträdet behöver för att utöva kontroll över Underbiträdets efterlevnad av Xxxxxxx. En sådan tillgång ska ges utan
oskäligt dröjsmål, men inte senare än 20 dagar från Personuppgiftsbiträdets uttryckliga och skriftliga begäran.
3.7. Säkerhet och sekretess
3.7.1. Utvärdera risker
Underbiträdet ska utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas.
3.7.2. Vidta säkerhetsåtgärder
Underbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person och juridisk person som utför arbete under Underbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från Personuppgiftsbiträdet.
3.7.3. Tillräcklig kunskap och utbildning
Underbiträdet ansvarar för att varje fysisk person som har tillgång till personuppgifterna som behandlas enligt Avtalet har tillräckliga kunskaper och erforderlig utbildning för att på ett säkert och ändamålsenligt sätt behandla personuppgifterna.
3.7.4. Förändringar av personuppgiftsbehandling
Om Underbiträdet avser att genomföra förändringar av hur personuppgifter behandlas eller i övrigt genomföra förändringar som kan påverka säkerheten för de registrerade, de registrerades rättigheter eller efterlevnaden av Avtalet ska Underbiträdet skriftligen informera Personuppgiftsbiträdet i förväg. Personuppgiftsbiträdet ska ge sitt samtycke till sådana förändringar.
3.7.5. Sekretess och tystnadsplikt
Underbiträdet förbinder sig att behandla personuppgifter och annan information som uppvisar samband med Avtalet i enlighet med gällande sekretesslagstiftning. Personalen som behandlar personuppgifter har ingått särskilda sekretessförbindelser samt upplysts om att tystnadsplikt föreligger enligt avtal eller nationell rätt.
3.7.6. Ändamålsenliga sekretessåtaganden
Underbiträdet ska tillse att samtliga anställda, konsulter och övriga som Underbiträdet svarar för och som behandlar personuppgifter är bundna av ett ändamålsenligt sekretessåtagande samt att de är informerade om hur behandling av personuppgifterna får ske.
3.7.7. Information till personer med åtkomst
Underbiträdet ansvarar för att de personer som har åtkomst till personuppgifterna är informerade om hur de får behandla personuppgifterna i enlighet med Avtalet.
Underbiträdet ska även säkerställa adekvat behörighetsstyrning.
3.8. Personuppgiftsincidenter
3.8.1. Vidta skadebegränsande åtgärder
Vid en misstänkt eller upptäckt personuppgiftsincident ska Underbiträdet omedelbart undersöka incidenten och vidta lämpliga åtgärder för att mildra dess potentiella negativa effekter.
3.8.2. Beskrivning av personuppgiftsincident
Om Personuppgiftsbiträdet begär det ska en beskrivning av personuppgiftsincidenten lämnas till Personuppgiftsbiträdet inom X timmar. En sådan beskrivning ska åtminstone innehålla
a) beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
b) förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,
c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
d) beskriva de åtgärder som Underbiträdet har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
3.8.3. Bistå med skyldigheter gällande personuppgiftsincidenter
Underbiträdet ska bistå Personuppgiftsbiträdet med att se till att dennes skyldigheter vid personuppgiftsincidenter fullgörs, med beaktande av typen av behandling och den information som Underbiträdet har att tillgå.
3.8.4. Underrättelse om personuppgiftsincident
Underbiträdet ska underrätta Personuppgiftsbiträdet utan onödigt dröjsmål, dock senast inom 30 timmar, efter att ha fått vetskap om en personuppgiftsincident.
3.8.5. Information om personuppgiftsincident
En underrättelse enligt ovan ska innehålla all den information som Personuppgiftsbiträdet behöver för att uppfylla sina skyldigheter i förhållande till tillsynsmyndigheten och den Personuppgiftsansvarige.
3.9. Bistå Personuppgiftsbiträdet
3.9.1. Konsekvensbedömningar och förhandssamråd
Underbiträdet ska vid behov och på begäran bistå Personuppgiftsbiträdet med fullgörande av de skyldigheter som denne har och som härrör från bestämmelserna i dataskyddsförordningen angående utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd med tillsynsmyndigheten.
3.9.2. Fullgörande av skyldigheter gällande registrerades rättigheter
Underbiträdet ska vid behov och på begäran bistå Personuppgiftsbiträdet med fullgörande av de skyldigheter som denne har och som härrör från bestämmelserna i dataskyddsförordningen, Avtalet och Personuppgiftsbiträdesavtalet angående de registrerades rättigheter.
4. Underbiträdets anlitande av annat Underbiträde
4.1. Skriftligt tillstånd för anlitande av Underbiträde
Underbiträdet får inte anlita ett annat Underbiträde utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av Personuppgiftsbiträdet.
5. Ansvar för skada
5.1. Underbiträdets ansvar
Underbiträdet ska i förhållande till Personuppgiftsbiträdet ansvara för skada uppkommen till följd av behandling av personuppgifter endast om denne inte har fullgjort de skyldigheter enligt Avtalet som specifikt riktar sig till Underbiträdet.
Underbiträdet ska undgå ansvar enligt ovan om det visar att det inte på något sätt är ansvarigt för den händelse som orsakade skadan.
5.2. Personuppgiftsbiträdets ansvar
Personuppgiftsbiträdet ska ersätta Underbiträdet för de anspråk som riktas mot Underbiträdet, under förutsättning att anspråket har sin grund i Personuppgiftsbiträdets bristfälliga eller felaktiga instruktioner till Underbiträdet.
6. Avtalets varaktighet samt ändringar i Avtalet
6.1. Varaktighet
Avtalet gäller från dess att det har undertecknats av Parterna och under den tid Underbiträdet behandlar personuppgifter i enlighet med Personuppgiftsbiträdets instruktioner.
6.2. Återlämnande eller radering av personuppgifter
Efter det att behandlingen på Personuppgiftsbiträdets vägnar har avslutats, ska Underbiträdet återlämna eller radera personuppgifterna, såvida inte lagring av personuppgifterna krävs enligt lag som Underbiträdet omfattas av. Om personuppgifterna ska återlämnas ska det ske utan onödigt dröjsmål och i ett allmänt och läsbart elektroniskt format.
6.3. Personuppgiftsbiträdets rätt att företa ändringar
Personuppgiftsbiträdet får endast företa ändringar i Xxxxxxx i den mån det behövs för att efterleva gällande rätt.
6.4. Förändring av avtalet
En förändring i Xxxxxxx börjar gälla 30 dagar efter att underrättelsen om ändring kommit Underbiträdet tillhanda.
6.5. Underbiträdets rätt att företa ändringar
Underbiträdet äger inte rätt att påkalla ändringar i Xxxxxxx.
6.6. Samtycke vid nya typer av behandlingar
För det fall Personuppgiftsbiträdet avser att utöka Underbiträdets behandling av personuppgifter till att avse nya typer av behandlingar kräver detta Underbiträdets uttryckliga samtycke.
7. Underrättelser
7.1. Skriftliga underrättelser
Underrättelser och meddelanden enligt Xxxxxxx ska ske skriftligen. Underrättelser ska ställas till nedan nämnda kontaktpersoner.
Personuppgiftsbiträde, Jetas Quality Systems AB Xxxxxx Xxxxxxxx, xxxxxx.xxxxxxxx@xxxxx.xx Xxxxxxxxxx 00, 000 00 Xxxxxxxx
Underbiträde, xxxx AB namn, mejl
adress, postadress
7.2. Skriftlig anmälan av personuppgiftsincident Personuppgiftsincidenter ska alltid anmälas per e-mail till mailadressen xxxxxx.xxxxxxxx@xxxxx.xx.
8. Tvist
8.1. Tolkning och tillämpning
Avtalet ska tolkas och tillämpas i enlighet med svensk rätt. Tvist gällande tolkning eller tillämpning av Xxxxxxx ska lösas i allmän domstol i Sverige, under förutsättning att inte annan myndighet eller domstol i annan jurisdiktion har exklusiv behörighet att lösa tvisten.
Avtalet har upprättats i två (2) likalydiga exemplar, av vilka Xxxxxxxx tagit var sitt. Göteborg, 201x-xx-xx xxx, 201x-xx-xx
Underbiträde Personuppgiftsbiträde
....................................................... .......................................................
namnförtydligande Xxxxxx Xxxxxxxx