AVTAL NR
MDB
BILAGA: TILL CERTIFIKATTJÄNSTERNAS KUND- OCH REGI- STRERINGSAVTAL NR
1 Allmänt
1.1. Denna avtalsbilaga, "Villkor för behandling av personuppgifter", är en del av certifi- kattjänsternas kund- och registreringsavtal, nedan "Avtalet", som Beställaren (MDB) har ingått med Leverantören (kunden/registreraren).
1.2. I denna avtalsbilaga fastställs på ett sätt som binder Beställaren och Leverantören de avtalsvillkor om behandling och skydd av personuppgifter, enligt vilka Leverantören på upp- drag av Beställaren behandlar personuppgifter på Beställarens vägnar och för Beställarens räkning utöver avtalsvillkoren i Avtalet.
1.3. Parterna förbinder sig att i verksamheten iaktta tillämplig, gällande lagstiftning om be- handling och skydd av personuppgifter. Därtill förbinder sig Parterna att harmonisera be- handlingen av personuppgifterna och dataskyddet med den kravnivå som gäller i EU:s all- männa dataskyddsförordning (EU)2016/679 senast 25.5.2018, när dataskydds-förordnin- gen börjar tillämpas. När det talas nedan om nämnda nationella lagstiftning och EU-lagstift- ning hänvisas det till den tillämpliga lagstiftningen eller till lagstiftningen om behandling och skydd av personuppgifter.
2 Parternas roller vid behandlingen av personuppgifter
2.1. Beställaren är den personuppgiftsansvarige som avses i lagstiftningen om behandling och skydd av personuppgifter i de fall där Beställaren fastställer ändamålen och sätten för behandlingen av personuppgifterna. Parterna är införstådda med att Beställaren i egen- skap av personuppgiftsansvarig endast får använda sådana personuppgiftsbiträden som vidtar tillräckliga skyddsåtgärder för verkställandet av tillbörliga tekniska och organisato- riska uppgifter så, att behandlingen uppfyller kraven i den gällande lagstiftningen om be- handling och skydd av personuppgifter och från och med 25.5.2018 kraven i EU:s allmänna dataskyddsförordning, och att man därigenom säkerställer skyddet av den registrerades rättigheter.
2.2. Leverantören är det personuppgiftsbiträde som avses i lagstiftningen om behandling och skydd av personuppgifter. Personuppgiftsbiträdet behandlar Beställarens personupp- gifter på Beställarens vägnar och för Beställarens räkning. De underleverantörer som Leve- rantören anlitar i enlighet med Avtalet och denna avtalsbilaga, och som medverkar i be- handlingen av Beställarens personuppgifter, agerar också som personuppgiftsbiträden på Beställarens vägnar och för Beställarens räkning. Om Leverantören är en grupp gäller skyl- digheterna i denna avtalsbilaga alla medlemmar i gruppen, liksom de underleverantörer som gruppen anlitar och som medverkar i behandlingen av personuppgifter.
2.3. Beställaren förbinder sig att sörja för de skyldigheter som den personuppgiftsansvarige har i enlighet med lagstiftningen om behandling och skydd av personuppgifter.
Tfn. 0295 536 000 (växel) Kontaktuppgifter, se xxx.xxx.xx/xx
MDB
2.4. Föremålet för behandlingen av personuppgifter, behandlingens art och ändamål samt typerna av personuppgifter och grupper av registrerade samt den personuppgiftsansvari- ges och personuppgiftsbiträdets skyldigheter, rättigheter och ansvar beskrivs i Avtalet, i den för Leverantören bindande dokumentationen som upprättas under den tid den avtals- enliga tjänsten tillhandahålls och eller i andra anvisningar från Beställaren. Dessutom tas ovan nämnda rättigheter, skyldigheter och ansvar upp på utbildningar som Beställaren an- ordnar. Leverantören för binder sig att följa de villkor och beskrivningar som gäller behand- ling av personuppgifter i Avtalet, dokumentationen och anvisningarna. Beställaren ansvarar för underhållet av och tillgången till anvisningarna
2.5. Om en beskrivning enligt punkt 2.4 inte har gjorts eller om den är bristfällig, ska Bestäl- laren utarbeta eller komplettera beskrivningen, vid behov i samarbete med Leverantören. Leverantören ska meddela Beställaren om Beställarens anvisningar är bristfälliga eller om Leverantören misstänker att de strider mot lag.
3 Underleverantörer som behandlar personuppgifter
3.1. Leverantören får inte anlita underleverantörstjänster för behandling av personuppgifter utan Beställarens skriftliga samtycke. Leverantören ska informera Beställaren skriftligen om alla planer som gäller anlitandet av underleverantörer för behandling av personuppgifter och Beställaren ska reservers möjlighet att motsätta sig ändringar av det här slaget.
3.2. Till den del Leverantören i sin verksamhet anlitar underleverantörer som behandlar personuppgifter ska utöver Avtalet även villkoren i denna avtalsbilaga tillämpas på underle- veranserna.
3.3. Leverantören eller Leverantörens underleverantörer, vilka i egenskap av personupp- giftsbiträden behandlar Beställarens personuppgifter å Beställarens vägnar och för Bestäl- larens räkning, förbinder sig till alla skyldigheter och ansvar som enligt denna avtalsbilaga gäller personuppgiftsbiträden. Leverantören är skyldig att genom avtal förplikta sina under- leverantörer att iaktta villkoren i denna avtalsbilaga.
3.4. Leverantören ansvarar för eventuella överträdelser eller försummelser av Avtalet, denna avtalsbilaga, den tillämpliga lagstiftningen eller EU:s allmänna dataskyddsförordning som en underleverantör gör sig skyldig till som om de vore Leverantörens egna överträdel- ser eller försummelser. Om en underleverantör som behandlar personuppgifter inte uppfyll- ler skyldigheterna i anslutning till dataskydd, är Leverantören alltjämt till fullo ansvarig i för- hållande till Beställaren. Om Beställaren med fog anser att Leverantörens underleverantör inte uppfyller skyldigheterna i anslutning till dataskydd har Beställaren rätt att kräva att Le- verantören byter underleverantör. Om Leverantören trots Beställarens begäran inte går med på att byta underleverantör, är detta en grund för uppsägning av avtalet.
4 Personuppgiftsbiträdets allmänna skyldigheter och ansvar
4.1. Personuppgiftsbiträdet behandlar personuppgifter i enlighet med Avtalet och Beställa- rens anvisningar.
MDB
4.2. Personuppgiftsbiträdet ska säkerställa att alla personer som utför arbete under person- uppgiftsbiträdets överinseende, och som har rätt att behandla personuppgifter, har förbun- dit sig att iaktta tystnadsplikten eller att de omfattas av en lagstadgad tystnadsplikt.
4.3. Utöver det som i Avtalet har avtalats om skydd av personuppgifter, informationssäker- het och krav på konfidentialitet, förbinder sig personuppgiftsbiträdet att, i syfte att säker- ställa en säkerhetsnivå som motsvarar riskerna, vidta lämpliga tekniska och organisato- riska åtgärder som tryggar säkerheten vid behandlingen av personuppgifterna med beak- tande av senaste teknik och kostnaderna för genomförandet, behandlingens art, omfatt- ning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, samt att iaktta Beställarens gällande anvis- ningar.
4.4. Personuppgiftsbiträdet ska vidare genomföra åtgärder för att säkerställa att varje fysisk person som utför arbete under personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa i enlighet med Avtalet och Beställarens anvis- ningar.
4.5. Personuppgiftsbiträdet förbinder sig att utan onödigt dröjsmål i enlighet med dessa an- visningar underrätta Beställaren om alla begäranden från registrerade som gäller utövandet av den registrerades rättigheter i enlighet med tillämplig lagstiftning.
4.6. Personuppgiftsbiträdet förbinder sig att bistå Beställaren med tillbörliga tekniska och organisatoriska åtgärder för att Beställaren ska kunna fullgöra sin skyldighet att besvara begäranden som gäller utövandet av den registrerades rättigheter. Personuppgiftsbiträdet förstår att begäranden som gäller utövandet av dessa rättigheter kan förutsätta att person- uppgiftsbiträdet biträder Beställaren till exempel vid informationen och kommunikationen till den registrerade, vid rättelser av personuppgifter eller vid radering av personuppgifter.
4.7. Personuppgiftsbiträdet förbinder sig att vid behov biträda Beställaren vid utarbetandet av en konsekvensbedömning avseende dataskydd, vid ett eventuellt förhandssamråd och vid införskaffandet av en eventuell certifiering av dataskyddet. Leverantören har rätt att de- bitera skäliga arbetskostnader på det sätt som Parterna överenskommer separat.
4.8. Personuppgiftsbiträdet får i regel inte överföra personuppgifter utanför EU eller EES- området.
4.9. Personuppgiftsbiträdet tillhandahåller Beställaren alla uppgifter och allt material som behövs för att visa att de skyldigheter som fastställs i denna avtalsbilaga har fullgjorts, och tillåter Beställaren att befullmäktiga en revisor att utföra revisioner, inbegripet inspektioner, och deltar också i dem.
5 Personuppgiftsbiträdets särskilda skyldigheter och ansvar
5.1. Leverantören ska ha beredskap att ställa upp och administrera begränsningar av ut- lämnandet av information. Sådana kan bli aktuella till exempel med anledning av en regi- strerads spärrmarkering enligt lagen om befolkningsdatasystemet och Myndigheten för di- gitalisering och befolkningsdatas certifikattjänster. Leverantören ska kunna begränsa be- handlingen av en registrerads personuppgifter helt eller delvis på det sätt som Beställaren
MDB
förutsätter. En begränsning av behandlingen av en registrerads personuppgifter får inte leda till att behandlingen av andra registrerade fysiska personers personuppgifter begrän- sas, om inte Beställaren och Leverantören avtalar skriftligen om annat.
5.2. Om inte annat avtalas är Leverantören skyldig att upprätthålla en aktuell förteckning över rättelser och raderingar av registrerades personuppgifter och begränsningar i behand- lingen av registrerades personuppgifter. Förteckningen ska på begäran lämnas ut till Be- ställaren. På Beställarens begäran ska Leverantören utan onödigt dröjsmål lämna ut de uppgifter som nämns i förteckningen i den omfattning Beställaren begär till tredje parter som specificerats av Beställaren.
6 Personuppgiftsincidenter
6.1. Personuppgiftsbiträdet ska skriftligen underrätta Beställaren utan onödigt dröjsmål ef- ter att ha fått vetskap om en personuppgiftsincident. Dessutom förbinder sig Leverantören att underrätta Beställaren om andra väsentliga störningar eller problem i Leverantörens tjänst som kan ha effekter för de registrerades ställning och rättigheter. En anmälan ska göras inom ovan nämnda tidsfrist (utan onödigt dröjsmål), om ingen annan period har fast- ställts i Avtalet eller dess bilagor.
6.2. Personuppgiftsbiträdet ska ge Beställaren minst följande uppgifter om en personupp- giftsincident:
1) en beskrivning av personuppgiftsincidentens art, inbegripet, om så är möjligt, de katego- rier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs;
2) namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas;
3) en beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten, och
4) en beskrivning av de åtgärder som den personuppgiftsansvarige har vidtagit eller före- slagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
7 Övriga krav
7.1. Beställaren har rätt att ändra, komplettera och uppdatera anvisningarna till Leverantö- ren om behandlingen och skyddet av personuppgifterna. Dessa anvisningar kan vara änd- ringar, kompletteringar eller uppdateringar i anslutning till de tekniska eller organisatoriska åtgärderna för behandling och skydd av personuppgifter.
Leverantören gör behövliga ändringar enligt Beställarens anvisningar. Om Beställarens an- visningar ger upphov till
väsentliga ändringsarbeten hos Leverantören (mer än ett (1) dagsverke), ska Parterna vid behov avtala separat om kostnaderna. Leverantören och de andra personuppgiftsbiträdena förbinder sig att iaktta dessa ändrade, kompletterade eller uppdaterade anvisningar.
MDB
7.2. Parterna är införstådda med att även ämnen som gäller dataskydd behandlas i Avtalet och dess bilagor.
7.3. Leverantören förbinder sig att reagera senast inom 72 timmar från att Beställaren tagit kontakt och att svara senast inom en (1) vecka från Beställarens anmälningar, reklamat- ioner eller andra meddelanden som gäller dataskyddet, bortsett från personuppgiftsinciden- ter enligt EU:s allmänna dataskyddsförordning, på vilka tillämpas de tidsfrister som fast- ställts i Xxxxxxx och ovan i denna bilaga. Om Parterna med stöd av någon annan speciallag- stiftning har avtalet eller avtalar om andra tidsfrister, iakttas dessa andra tidsfrister i första hand.
7.4. Om Leverantören försummar eller bryter mot denna avtalsbilaga, Avtalet till övriga de- lar eller den tillämpliga lagstiftningen eller EU:s allmänna dataskyddsförordning, bestäms Leverantörens ersättningsskyldighet förutom Avtalet enligt tillämplig lagstiftning. Dessutom utgör en sådan försummelse eller överträdelse ett väsentligt avtalsbrott som avses i Avta- let, med en påföljd att Beställaren har rätt att hänvisa till de rättsmedel som fastställts i Av- talet.
7.5. Parterna är införstådda med att lagstiftningen om dataskyddet håller på att revideras när detta Avtal och denna avtalsbilaga upprättas. Om det i lagstiftningen eller i de rekom- mendationer, anvisningar eller föreskrifter som gäller tolkningen av den sker sådana änd- ringar som påverkar Beställarens ställning eller skyldigheter, eller skyldigheterna och an- svaren enligt denna avtalsbilaga, kan denna avtalsbilaga vid behov revideras till de berörda delarna. Om det i denna avtalsbilaga görs sådana ändringar som orsakar väsentliga extra kostnader för Leverantören (mer än ett (1) dagsverke), kan Parterna vid behov avtala sepa- rat om ersättningen av kostnaderna. Leverantören och de andra personuppgiftsbiträdena förbinder sig att iaktta den reviderade avtalsbilagan.