Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal
Detta Personuppgiftsbiträdesavtal är träffat ( i mars 2019) mellan nedanstående parter
Personuppgiftsansvarig |
Personuppgiftsbiträde |
Fyll i Avdelning på kommunen |
Information Technology Consulting i Mark AB |
Organisationsnummer |
Organisationsnummer |
Fyll i organisationsnummer |
559027-4287 |
Adress |
Adress |
Fyll i adress |
Xxxxxxxxxx 0 000 00 Kinna
|
Kontaktperson |
Kontaktperson |
Fyll i kontaktperson |
Xxxxxx Xxxxxx xxxxxx@xxxx.xx |
Innehåll
Behandling av personuppgifter, ändamål och typ av personuppgifter 2
Personuppgiftsansvariges ansvar 2
Personuppgiftsbiträdets åtagande 2
Granskning, tillsyn och revision 4
Rättelse och radering av personuppgifter samt drift och underhåll 4
Överföring av personuppgifter till tredje land 5
Ändringar av och tillägg till avtalet 6
Bilaga 1 – Instruktion för hantering av Personuppgifter 7
Bakgrund och syfte
Detta personuppgiftsbiträdesavtal tillhör ett huvudavtal om tillhandahållandet av tjänster som ingåtts mellan Personuppgiftsansvarig och leverantören ITCM AB av ett system för administration av APL-platser och ska läsas och förstås mot bakgrund av detta. Personuppgiftsbiträdesavtalet reglerar Personuppgiftsbiträdets behandling av Personuppgifter för Personuppgiftsansvarigs räkning nedan kallad behandlingen.
Personuppgiftsbiträdesavtal syftar till att säkerställa de registrerades fri- och rättigheter när ett Personuppgiftsbiträde anlitas för behandling av personuppgifter.
Avtalet reglerar inte Personuppgiftsbiträdets rätt till ersättning för tjänsterna utan denna rätt regleras genom huvudavtalet.
Behandling av personuppgifter, ändamål och typ av personuppgifter
Personuppgiftsbiträdet får endast behandla den Personuppgiftsansvariges personuppgifter i enlighet med detta avtal och tillhörande skriftliga instruktioner för att fullgöra sitt uppdrag åt den Personuppgiftsansvarige. Personuppgifterna används för att FYLL I NAMN PÅ GYMNASIESKOLA ska kunna administrera APL-platser både innan elev placeras och efter. Dokumentation kring elevernas praktik kan registreras av både elev, företagare, lärare och rektor. Det blir den gemensamma ytan för att säkerställa att elevernas når sina utbildningsmål.
De personuppgifter som kommer att hanteras är elevernas namn, e-post, personnummer, mobilnummer och omdömen från praktiken, lärares namn, telefon och e-post, kontaktpersoners och handledares namn, telefon och e-post från företagen.
Dataskyddslagstiftning
Personuppgiftsbiträdet ska se till att personuppgifter behandlas i enlighet med gällande dataskyddslagstiftning. Personuppgifterna ska behandlas i enlighet med de bestämmelser som följer av EU:s dataskyddsförordning (GDPR) och eventuell senare lagstiftning som ersätter eller kompletterar dessa.
Personuppgiftsansvariges ansvar
Den Personuppgiftsansvarige åtar sig att säkerställa att det finns en laglig grund för aktuella behandlingar enligt ovan och att utforma skriftliga instruktioner för att Personuppgiftsbiträdet och eventuella underbiträden ska kunna fullgöra sitt uppdrag enligt detta personuppgiftsbiträdesavtal (bilaga 1).
Den Personuppgiftsansvarige åtar sig att utan dröjsmål informera Personuppgiftsbiträdet om förändringar i behandlingen vilka påverkar Personuppgiftsbiträdets skyldigheter enligt Dataskyddslagstiftningen eller annan relevant lagstiftning.
Den Personuppgiftsansvarige ansvarar för att informera registrerade om behandlingarna enligt avtalet samt tillvarata de registrerades rätt till insyn och radering.
Personuppgiftsbiträdets åtagande
Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifterna för de syften i enlighet med Personuppgiftsansvarigs instruktioner i detta avtal och att följa Dataskyddslagstiftningen eller annan relevant lagstiftning med avseende på behandling av personuppgifter samt att hålla sig informerad om gällande rätt på området.
Personuppgiftsbiträdet ska vidta åtgärder för att skydda personuppgifterna mot alla slag av otillåtna behandlingar.
Personuppgiftsbiträdet åtar sig att säkerställa att samtliga personer som arbetar under dennes ledning följer vad som framgår av detta Personuppgiftsbiträdesavtal och vid var tid gällande instruktion från Personuppgiftsansvarig, samt att de informeras om relevant lagstiftning.
För det fall att Personuppgiftsbiträdet finner att Personuppgiftsansvarigas instruktioner, enligt bilaga 1, är otydliga, olagliga eller saknas, och som Personuppgiftsbiträdet bedömer är nödvändiga för att genomföra sina åtaganden ska denne, utan dröjsmål, informera Personuppgiftsansvarig om detta och invänta nya instruktioner.
Säkerhetsåtgärder
Personuppgiftsbiträdet åtar sig att vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med Dataskyddslagstiftningen eller annan relevant lagstiftning samt vidta eventuella åtgärder som framgår av instruktionerna för att skydda personuppgifterna.
Databasen för APL-administrationen ska inte innehålla känsliga personuppgifter. I de fall Personuppgiftsbiträdet ändå skulle behandla känsliga personuppgifter vilka omfattas av sekretess, kan Personuppgiftsansvarig ställa ytterligare krav på säkerhetsåtgärder.
Personuppgiftsbiträdet ska ha rutiner och verktyg som förhindrar obehörig behandling av, eller obehörig åtkomst till, personuppgifter. Personuppgiftsbiträdet ska kunna spåra behandlingen av personuppgifter genom loggning. Dessa loggar ska omfattas av erforderliga skyddsåtgärder.
Personuppgiftsbiträdet ska genom behörighetskontrollsystem aktivt kunna begränsa åtkomsten till personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av avtalen mellan Personuppgiftsbiträdet och Personuppgiftsansvarig.
Personuppgiftsbiträdet åtar sig att kontinuerligt logga åtkomst till personuppgifter enligt detta avtal i den utsträckning det krävs enligt instruktionen (bilaga 1). Loggar får gallras 30 dagar efter loggningstillfället om inte en incident inträffat, då ska de bevaras tills händelsen är utredd.
Sekretess
Personuppgiftsbiträdet och den personal som arbetar under detta personuppgiftsbiträdesavtal ska vid behandling av personuppgifter iaktta såväl handlingssekretess som tystnadsplikt. Personuppgifter som hanteras inom ramen för detta avtal får inte nyttjas eller spridas för andra ändamål, vare sig direkt eller indirekt, om inte Personuppgiftsansvarig skriftligen medgivit detta.
Personuppgiftsbiträdet ska tillse att samtliga anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar personuppgifterna, är bundna av en sekretessförbindelse. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag. Personuppgiftsbiträdet åtar sig även att tillse att det finns sekretessavtal med eventuella underbiträden samt sekretessförbindelser mellan underbiträdet och dess personal.
Personuppgiftsbiträdet ska skyndsamt underrätta Personuppgiftsansvarig om eventuella kontakter med tillsynsmyndighet avseende behandling av personuppgifterna. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för Personuppgiftsansvarigs räkning gentemot tillsynsmyndigheter i frågor avseende sådan behandling.
Begäran om information
Om en registrerad, en myndighet eller någon annan vänder sig till Personuppgiftsbiträdet med en begäran om information om behandling av personuppgifter ska Personuppgiftsbiträdet utan dröjsmål vidarebefordra en sådan begäran till Personuppgiftsansvarige, såvida inte Personuppgiftsbiträdet genom lag eller myndighetsföreläggande enligt tillämpliga rättsliga krav är skyldig att lämna ut uppgifterna. I sådant fall har Personuppgiftsbiträdet att omgående underrätta Personuppgiftsansvarige om utlämnandet, såvida det inte är förbjudet enligt lag.
Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarige gentemot tredje man i fråga om behandling av personuppgifter om inte Personuppgiftsansvarige uttryckligen har medgett det.
Personuppgiftsbiträdet ska bistå Personuppgiftsansvarige om en registrerad person begär att få ta del av information som finns registrerad om denne eller begär rättelse av sådan information. Detta ska ske utan oskäligt dröjsmål.
Granskning, tillsyn och revision
Personuppgiftsbiträdet ska utan dröjsmål, på Personuppgiftsansvariges begäran, tillhandahålla all information, t.ex. tekniska och organisatoriska säkerhetsåtgärder som den Personuppgiftsansvarige behöver för att kunna granska och utöva sin insyn i Personuppgiftsbiträdets behandling av personuppgifter som följer av detta Personuppgiftsbiträdesavtal.
Personuppgiftsbiträdet åtar sig att minst en gång om året revidera säkerheten i personuppgiftsbehandlingen genom en intern revision för att kontrollera att Personuppgiftsbiträdets behandling av personuppgifter följer detta Personuppgiftsbiträdesavtal. Resultatet ska på begäran delges Personuppgiftsansvarig.
Personuppgiftsansvarig äger rätt att, själv eller genom annan av denne utsedd tredje part (som inte får vara en konkurrent till Personuppgiftsbiträdet) följa upp att Personuppgiftsbiträdet lever upp till den Personuppgiftsansvariges krav på Behandlingen. Personuppgiftsbiträdet ska vid sådan uppföljning bistå Personuppgiftsansvarig eller den som utför granskningen med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna följa upp Personuppgiftsbiträdets efterlevnad av detta Personuppgiftsbiträdesavtal.
Personuppgiftsbiträdet äger dock rätt att erbjuda alternativa tillvägagångssätt för uppföljning, exempelvis granskning genomförd av oberoende tredje part. Personuppgiftsansvarig ska i sådant fall äga rätt, men inte skyldighet att tillämpa detta alternativa tillvägagångssätt för uppföljning. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge Personuppgiftsansvarig eller en tredje part den assistans som behövs för genomförandet.
Personuppgiftbiträdet ska bereda tillsynsmyndighet, eller annan myndighet som det rör eller kan vara av betydelse för Behandling av Personuppgifter, möjlighet att göra tillsyn på plats.
Personuppgiftsbiträdet ska även tillförsäkra Personuppgiftsansvarig motsvarande rättigheter i förhållande till anlitade Underbiträden.
Personuppgiftsansvarige har rätt att på egen bekostnad, själv eller med hjälp av tredje man, utföra kontroller av att avtalade säkerhetsåtgärder faktiskt vidtas och att Personuppgiftsbiträdet uppfyller sina åtaganden enligt detta avtal.
Personuppgiftsansvarige har rätt att utreda obehörig åtkomst hos Personuppgiftsbiträdet.
Personuppgiftsbiträdet har att möjliggöra och bistå Personuppgiftsansvarige vid dennes kontroll av behandlingen av personuppgifter hos Personuppgiftsbiträdet eller hos underbiträde som Personuppgiftsbiträdet anlitat.
Rättelse och radering av personuppgifter samt drift och underhåll
Personuppgiftsbiträdet åtar sig att utan dröjsmål vidta rättelse av felaktiga eller ofullständiga personuppgifter efter instruktioner från Personuppgiftsansvarig. Efter det att Personuppgiftsansvarig begärt rättelse som innebär borttagande av personuppgift får Personuppgiftsbiträdet endast behandla personuppgiften som ett led i rättelseprocessen och åtar sig att vidta åtgärden utan dröjsmål, dock senast inom 30 dagar.
Om Personuppgiftsbiträdet avser att göra förändringar i sina system (uppgraderingar, felsökningar etc.) på sätt som kan förväntas påverka informationshanteringen ska Personuppgiftsbiträdet samråda med den Personuppgiftsansvarige om detta. Sådan information ska lämnas i god tid före förändringen.
Personuppgiftsincidenter
Personuppgiftbiträdet åtar sig att bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en personuppgiftsincident. Personuppgiftbiträdet ska tillhandahålla stöd för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till personuppgifterna.
Vid personuppgiftsincidenter, samt risker för sådana, ska personuppgiftbiträdet utan onödigt dröjsmål skriftligen underrätta Personuppgiftsansvarig om händelsen. Personuppgiftsbiträdet ska tillhandahålla Personuppgiftsansvarig en skriftlig beskrivning av personuppgiftsincidenten. En sådan ska redogöra för:
personuppgiftsincidentens art och, om möjligt, de kategorier och antalet registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
sannolika konsekvenserna av personuppgiftsincidenten, och
åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra personuppgiftensincidentens potentiella negativa effekter.
Underbiträden
Personuppgiftsbiträdet får inte anlita underleverantör (underbiträde) för behandling av personuppgifter för den Personuppgiftsansvariges räkning utan ett särskilt eller allmänt skriftligt förhandstillstånd från Personuppgiftsansvarige.
Om Personuppgiftsansvarige har gett ett allmänt skriftligt tillstånd ska Personuppgiftsbiträdet skriftligen informera Personuppgiftsansvarige om eventuella planer på att anlita nya underbiträden så att Personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.
För det fall Personuppgiftsbiträdet för fullgörandet av Huvudavtalet anlitar underbiträde som behandlar personuppgifter, är det Personuppgiftsbiträdets ansvar att se till att varje underbiträde uppfyller vad som anges i detta avtal. Personuppgiftsbiträdet har att ingå skriftligt avtal med underbiträde varigenom denne åläggs minst samma skyldigheter som Personuppgiftsbiträdet har enligt detta avtal.
Personuppgiftsbiträdet ansvarar fullt ut gentemot Personuppgiftsansvarige för hur underbiträde behandlar personuppgifterna.
Överföring av personuppgifter till tredje land
Personuppgiftsbiträdet får inte utan Personuppgiftsansvariges skriftliga medgivande överföra personuppgifter till tredje land, det vill säga utanför EU, EES.
Ansvar
Har en registrerad eller annan person riktat anspråk mot Personuppgiftsansvarige på ersättning för skada eller om behörig myndighet utfärdar vite eller andra administrativa påföljder med anledning av Personuppgiftsbiträdets personuppgiftsbehandling i strid med Personuppgiftsansvariges instruktioner, detta biträdesavtal eller gällande bestämmelser i dataskyddslagstiftningen, ska Personuppgiftsbiträdet hålla Personuppgiftsansvarige skadeslös.
Innan Part inleder förhandling, ingår förlikning eller träffar avtal eller förbinder sig till annan förpliktelse gentemot registrerad, annan tredje man eller myndighet/domstol, ska Parten informera den andra parten härom och ge denne möjlighet att biträda Parten eller på annat lämpligt sätt tillvarata sina rättigheter.
För det fall Personuppgiftsansvarige helt eller delvis har medverkat till uppkomsten av skada, krav eller påföljder, ska ersättningen från Personuppgiftsbiträdet jämkas i motsvarande mån.
I övrigt gäller de ansvarsbestämmelser som framgår av Huvudavtalet.
Lagval och tvistlösning
För detta avtal gäller svensk rätt. Eventuell tolkning eller tvist i anledning av avtalet, som parterna inte kan lösa på egen hand, ska avgöras av svensk allmän domstol.
Ändringar av och tillägg till avtalet
Personuppgiftsansvarige får i den mån så krävs för att skyldigheter som följer av tillämpliga rättsliga krav ska kunna tillgodoses vad gäller behandling av personuppgifter, ändra innehållet i detta biträdesavtal. Sådan ändring träder i kraft 30 dagar efter att Personuppgiftsansvarige har meddelat Personuppgiftsbiträdet om ändringen eller vid det senare datum då lagändringen träder i kraft.
För det fall Personuppgiftsbiträdet inte accepterar sådan ändring, har Personuppgiftsansvarige rätt att med omedelbar verkan säga upp Huvudavtalet och alla övriga avtal, eller delar av dessa, med Personuppgiftsbiträdet och vilka innebär att Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvariges räkning.
Övriga ändringar och tillägg till detta avtal ska ske skriftligen och undertecknas av båda parterna för att vara bindande.
Avtalstid och upphörande
Detta avtal gäller från undertecknandet av avtalet och så länge som Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvariges räkning med anledning av Huvudavtalet.
Vid Huvudavtalets upphörande ska Personuppgiftsbiträdet förstöra alla personuppgifterna som finns kvar hos Personuppgiftsbiträdet eller hos dennes eventuella underbiträden och intyga att så har skett.
Detta avtal är upprättat i två likalydande exemplar, varav parterna tagit var sitt.
Personuppgiftsansvarig |
|
Personuppgiftsbiträdet |
|
|
|
|
|
|
Ort och datum |
|
Ort och datum |
|
|
|
Underskrift behörig firmatecknare |
|
Underskrift behörig firmatecknare |
|
|
Xxxxxx Xxxxxx |
Namnförtydligande |
|
Namnförtydligande |
Bilaga 1 – Instruktion för hantering av Personuppgifter
Utöver vad som redan framgår av detta avtal ska Personuppgiftsbiträdet även följa nedanstående instruktioner:
Ändamål
|
Personuppgifterna används för att FYLL I NAMN PÅ GYMNASIESKOLA ska kunna administrera APL-platser både före elev placeras och under praktiktiden. Dokumentation kring elevernas praktik kan registreras av både elev, företagare, lärare och rektor. Applikationen blir den gemensamma ytan för att säkerställa att elevernas når sina utbildningsmål.
|
Behandlingen omfattar följande typer av personuppgifter |
Personuppgifter hänförliga till den Personuppgiftsansvariges elever;
Personuppgifter hänförliga till personal i den Personuppgiftsansvariges organisation
Personuppgifter hänförliga till kontaktpersoner i de företag som knyts till tjänsten;
|
Behandlingen omfattar kategorier av registrerade personer |
|
Ange särskilda hanteringskrav avseende gallring |
Gallring utförs en gång per år av personuppgifter som markerats som arkiverade för mer än 1 år sedan.
Efter att avtalet mellan Personuppgiftsansvarige och Personuppgiftsbiträdet har avslutats skall personuppgifter som hanteras raderas enligt nedan.
Aktiva data i driftsatta databaser skall raderas 180 dagar efter att Personuppgiftsansvarig skriftligen meddelats att denna kommer att raderas. Data som finns lagrad i backup kommer att raderas inom 1 år efter att den aktiva datan raderats enligt ovan. Xxxxxx kommer att vara raderade inom 30 arbetsdagar efter avtalets upphörande. |
Ange särskilda tekniska skyddsåtgärder vad gäller personuppgiftsbehandlingen som utförs av Personuppgiftsbiträdet. |
Personuppgiftsbiträdet och ev. underbiträden ska, vidta tekniska, administrativa och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripande; kryptering av känsliga personuppgifter, förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos informationssystemet samt e-tjänster, förmågan att återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, och ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. |
Ange särskilda loggningskrav vad gäller personuppgiftsbehandlingen samt vilka som ska tillgång till dem.
|
Personuppgiftsbiträdet ansvarar för att:
|
Överföring av personuppgifter till tredje land |
Personuppgiftsbiträdet ansvarar för att inga uppgifter överförs till tredje land, annat än i de fall där rådande tillsynsmyndighet har definierat att sådant land uppnår adekvat skyddsnivå och i ett sammanhang där kompletterande information framgår i detta avtal. |
8