PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
Avtal enligt artikel 28.3 i Dataskyddsförordningen EU 2016/679
PARTER
Detta personuppgiftsbiträdesavtal (“Biträdesavtal”) har ingåtts mellan
, org. nr. , med adressen , (“Personuppgiftsansvarig”), och , org nr. , med adressen , (“Personuppgiftsbiträde”), var för sig benämnda ”Part” och tillsammans ”Parterna”.
BILAGOR
I Biträdesavtalet ingår Bilaga 1, benämnd instruktioner. I händelse av motstridande lydelse gäller Biträdesavtalet före bilagorna om inte parterna uttryckligen angett att annan ordning ska gälla.
KONTAKTUPPGIFTER OCH KONTAKTPERSONER
Varje meddelande, begäran eller påkallande enligt detta Biträdesavtal ska översändas enligt följande:
Personuppgiftsansvarig
Kontaktperson för administration av detta personuppgiftsbiträdesavtal och för parternas samarbete om dataskydd
Namn: E-post: Tfn:
Personuppgiftsbiträde
Kontaktperson för administration av detta personuppgiftsbiträdesavtal och för parternas samarbete om dataskydd
Namn: E-post: Tfn:
1. BAKGRUND OCH SYFTE
1.1 Enligt Gällande dataskyddsregler ska all behandling av personuppgifter utförd av ett Personuppgiftsbiträde för Personuppgiftsansvariges räkning regleras genom avtal.
1.2 Personuppgiftsbiträdet ska för den Personuppgiftsansvariges räkning behandla personuppgifter. Skyddet för den personliga integriteten vid behandling av personuppgifter är av väsentlig betydelse för den Personuppgiftsansvarige och dennes verksamhet.
1.3 Syftet med detta Biträdesavtal är att tillse att Personuppgiftsbiträdet behandlar personuppgifterna i enlighet med Gällande dataskyddsregler, den Personuppgiftsansvariges instruktioner, tillämpliga branschnormer och rättspraxis.
2. DEFINITIONER
2.1 De begrepp som förekommer i detta Biträdesavtal ska ha nedan angiven innebörd och ska tolkas i enlighet med de definitioner som förekommer i tillämpliga bestämmelser avseende behandling av personuppgifter.
Behandling, avser den åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om den utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Gällande dataskyddsregler, betyder vid var tid gällande lag eller förordning avseende behandling av Personuppgifter, innefattande men inte begränsat till Personuppgiftslagen (1998:204) och från och med den dag den ska tillämpas, Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (”Dataskyddsförordningen”), annan unionsrätt avseende behandling av personuppgifter samt Tillsynsmyndighetens vid var tid gällande beslut, råd och rekommendationer.
Personuppgifter, varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, exempelvis genom namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgiftsincident, avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats och i övrigt behandlats.
Register, avser en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
Registrerad, avser en identifierad eller identifierbar fysisk person som direkt eller indirekt kan identifieras.
Standardavtalsvillkor, avser villkor för skydd av personuppgifter överförda till tredje land i enlighet med Europeiska kommissionens beslut C(2010)593 av den 5 februari 2010 eller motsvarande villkor som ersätter dessa.
Underbiträde, avser sådant personuppgiftsbiträde som anlitas av det Personuppgiftsbiträde som är Part i detta Biträdesavtal och som behandlar personuppgifter för Personuppgiftsansvariges räkning.
3. PERSONUPPGIFTSANSVARIGES ANSVAR
3.1 Personuppgiftsansvarige ska säkerställa att behandlingen av personuppgifter är laglig enligt Gällande dataskyddsregler.
3.2 Personuppgiftsansvarige ska tillhandhålla Personuppgiftsbiträdet dokumenterade instruktioner och övriga anvisningar avseende föremålet, ändamålet, omfattningen, arten och varaktigheten av behandlingen, typen av personuppgifter samt kategorier av registrerade i den utsträckning som är nödvändig för att Personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt detta Biträdesavtal och Gällande dataskyddsregler. Den Personuppgiftsansvarige har rätt att justera Bilaga 1, och lämna ändrade eller kompletterande instruktioner till Biträdet.
4. BEHANDLING AV PERSONUPPGIFTER
4.1 De personuppgifter som Personuppgiftsbiträdet har åtkomst till får endast behandlas i enlighet med detta Biträdesavtal och Gällande dataskyddsregler.
4.2 Personuppgiftsbiträdet får endast behandla personuppgifter i enlighet med Personuppgiftsansvariges vid var tid lämnade dokumenterade instruktioner såvida inte Personuppgiftsbiträdet är skyldig enligt författning att behandla personuppgifterna för annat ändamål eller på annat sätt. Har Personuppgiftsansvarige lämnat ofullständiga eller felaktiga instruktioner ska Personuppgiftsbiträdet omgående påtala detta för Personuppgiftsansvarige och invänta Personuppgiftsansvariges vidare instruktioner.
4.3 Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarige när denne anser att en behandling strider mot Gällande dataskyddsregler eller annan tillämplig lag och därefter invänta Personuppgiftsansvariges anvisningar.
4.4 Personuppgiftsbiträdet ska utan oskäligt dröjsmål från Personuppgiftsansvariges begäran, ge denne tillgång till personuppgifterna som Personuppgiftsbiträdet har i sin besittning samt genomföra begärd ändring, radering, begränsning eller överföring av nämnda personuppgifter. Har Personuppgiftsansvarige raderat, eller anvisat Personuppgiftsbiträdet om radering, ska den senare vidta sådana åtgärder som krävs för att personuppgiften inte ska kunna återskapas.
4.5 Personuppgiftsbiträdet ska, i enlighet med artikel 30 i Dataskyddsförordningen, upprätthålla ett register över all personuppgiftsbehandling som sker på uppdrag av Personuppgiftsansvarige, samt att på Personuppgiftsansvariges eller behörig tillsynsmyndighets uttryckliga begäran överlämna ett sådant läsbart registerutdrag.
4.6 Personuppgiftsbiträdet erhåller inga rättigheter till de personuppgifter som behandlas enligt Biträdesavtalet eller till resultatet av sådan behandling, såvida inte annat följer av tillämplig lag eller annan författning.
5. KAPACITET OCH FÖRMÅGA
5.1 Personuppgiftsbiträdet garanterar att denne besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt detta Biträdesavtal och Gällande dataskyddsregler.
5.2 Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran styrka att de skyldigheter som framgår av detta Biträdesavtal och Gällande dataskyddsregler uppfylls genom att tillhandahålla relevant dokumentation, hänvisa till relevant och godkänd uppförandekod eller certifiering, möjliggöra och bidra till granskningar och inspektioner och/eller tillhandahålla Personuppgiftsansvarige annan adekvat bevisning.
5.3 Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran, utan oskäligt dröjsmål ge denne, eller en oberoende tredjeman som denne anlitat, tillgång till sådana upplysningar och handlingar som är nödvändiga för att Personuppgiftsansvarige ska kunna utöva en effektiv kontroll av Personuppgiftsbiträdets åtgärder enligt detta Biträdesavtal eller Gällande dataskyddsregler, inbegripet tillgång till Personuppgiftsbiträdets lokaler och utrustning för inspektion.
6. SÄKERHET OCH SEKRETESS
6.1 Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder säkerställa en säkerhetsnivå som är lämplig i förhållande till risken som behandlingen medför, begränsa tillgången till personuppgifterna och endast ge behörighet till sådan personal som behöver ha tillgång till personuppgifterna för att fullgöra sina åtaganden enligt detta Biträdesavtal, samt att tillse att sådan personal har erforderlig utbildning och i tillräcklig mån har instruerats att hantera personuppgifterna på ett ändamålsenligt och säkert sätt.
6.2 Personuppgiftsbiträdet ska behandla personuppgifter med sekretess enligt lagen om offentlighet och sekretess (2009:400), samt tillse att personer med behörighet att behandla personuppgifterna hos Personuppgiftsbiträdet har ingått särskild sekretessförbindelse eller upplysts om att särskild tystnadsplikt föreligger enligt avtal eller gällande rätt.
6.3 Personuppgiftsbiträdet ska utan oskäligt dröjsmål, dock senast inom fyrtioåtta (48) xxxxxx från att det kommit Personuppgiftsbiträdet till kännedom, underrätta Personuppgiftsansvarige om förekomsten av eller risken för en personuppgiftsincident. En sådan underrättelse ska innehålla all nödvändig och tillgänglig information som Personuppgiftsansvarige behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan av personuppgiftsincidenter till behörig tillsynsmyndighet och/eller Registrerade.
6.4 Åtagandet enligt punkt 6.2 gäller även under den tid efter det att Biträdesavtalet i övrigt upphört att gälla, dock längst till och med sådan tidpunkt som gäller enligt särskilt tillämpliga rättsliga krav.
7. SAMVERKAN
7.1 Personuppgiftsbiträdet ska på Personuppgiftsansvariges förfrågan bistå denne att fullgöra sina skyldigheter enligt Gällande dataskyddsregler, såsom utförandet av konsekvensbedömningar avseende dataskydd, vidtagandet av lämpliga tekniska och organisatoriska åtgärder för att säkerställa lämplig skyddsnivå för personuppgifterna, förhandssamråd med behörig tillsynsmyndighet samt medverka till utredning av inträffade personuppgiftsincidenter. Såvida Parterna inte kommit överens om annat ska sådant bistånd som avses i detta stycke inte ge Personuppgiftsbiträdet rätt till särskild ersättning.
7.2 Den Personuppgiftsansvarige är skyldig att vid behov genomföra en översyn för att bedöma om behandlingen genomförs i enlighet med eventuell föreliggande konsekvensbedömning avseende dataskydd. Behov av sådan översyn är särskilt aktuell när den risk som behandlingen medför förändras. Personuppgiftsbiträdet ska hjälpa den Personuppgiftsansvarige att genomföra översynen och iaktta de skyldigheter som anges i punkt 7.1.
7.3 Personuppgiftsbiträdet ska så snart som möjligt, utan oskäligt dröjsmål, underrätta Personuppgiftsansvarige om denne kontaktas av Registrerad, behörig tillsynsmyndighet eller annan
tredje part i syfte att få tillgång till personuppgifter som Personuppgiftsbiträdet, eller i förekommande fall Underbiträdet, har i sin besittning. Personuppgiftsbiträdet ska då även så snart som möjligt, utan oskäligt dröjsmål, hänvisa till den Personuppgiftsansvarige. Personuppgiftsbiträdet får endast lämna ut personuppgifter eller information om behandling av personuppgifter enligt instruktion från den Personuppgiftsansvarige eller om Personuppgiftsbiträdet är skyldig att lämna ut aktuell uppgift enligt lag, förordning, domstols eller annan myndighets beslut eller börsreglering.
7.4 Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den Personuppgiftsvarige kan fullgöra sina skyldigheter att svara på begäran om utövande av den Registrerades rättigheter.
7.5 Personuppgiftsbiträdet ska skriftligen och senast trettio (30) dagar innan en planerad ändring av behandlingsförfarandet, däribland tekniska och organisatoriska ändringar som kan påverka skyddet av personuppgifterna och Personuppgiftsbiträdets efterlevnad av Gällande dataskyddsregler, informera Personuppgiftsansvarige om detta. Innan sådana ändringar genomförs ska Personuppgiftsansvarige lämna sitt samtycke, vilket inte oskäligen ska förvägras.
8. ANLITANDE AV UNDERBITRÄDE
8.1 Personuppgiftsbiträdet är förhindrad att utan Personuppgiftsansvariges skriftliga samtycke överföra eller på annat sätt överlåta behandlingen av personuppgifterna till ett Underbiträde. En sådan överlåtelse sker alltid på Personuppgiftsbiträdets egen risk och medför inga ändringar i den ansvarsfördelning som gäller mellan Parterna i detta Biträdesavtal.
8.2 Har Personuppgiftsbiträdet till den Personuppgiftsansvarige ansökt om att få överlåta behandlingen av personuppgifter till ett Underbiträde och beviljats detta enligt punkten 8.1 får Underbiträdet endast behandla personuppgifter under förutsättning att Personuppgiftsbiträdet ingår ett skriftligt avtal med Underbiträdet, där Underbiträdet åläggs samma skyldigheter som Personuppgiftsbiträdet åläggs enligt detta Biträdesavtal och garanterar att vidta lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen av personuppgifterna sker i enlighet med Gällande Dataskyddslagar.
8.3 Avser Personuppgiftsbiträdet att byta ut ett befintligt Underbiträde mot ett annat Underbiträde ska Personuppgiftsbiträdet senast trettio (30) dagar innan informera Personuppgiftsansvarige om sina avsikter så att Personuppgiftsansvarige har tid och möjlighet att invända mot en sådan förändring. Motsätter sig Personuppgiftsansvarige ett utbyte av Underbiträde eller återkallar denne sitt tidigare skriftliga samtycke till användning av ett Underbiträde ska Personuppgiftsbiträdet tillse att Underbiträdets behandling av personuppgifter upphör utan onödigt dröjsmål.
8.4 Utöver vad som framgår i punkten 8 ovan får Personuppgiftsbiträdet varken överlåta eller upplåta sina rättigheter eller skyldigheter enligt detta Biträdesavtal utan den Personuppgiftsansvariges föregående skriftliga medgivande. Den Personuppgiftsansvarige får överlåta eller upplåta sina rättigheter och/eller skyldigheter enligt detta Biträdesavtal till sådan juridisk person som direkt eller indirekt kontrollerar eller kontrolleras av den Personuppgiftsansvarige.
9. ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND
9.1 Personuppgiftsbiträdet får inte behandla personuppgifter eller anlita någon annan för behandlingen av personuppgifter i land utanför EU/EES, förutom när annat särskilt avtalats mellan parterna, den
Personuppgiftsansvarige skriftligen tillåtit annat eller om annat följer av tillämplig lag eller annan författning.
9.2 I fall där Personuppgiftsbiträdet i samband med behandlingen behöver överföra personuppgifter till ett land utanför Europeiska Ekonomiska Samarbetet (”EES”) och som av Europeiska kommissionen inte anses uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Parterna ingå ett tilläggsavtal baserad på Standardavtalsvillkor.
9.3 Har Personuppgiftsbiträdet anlitat ett Underbiträde med innebörden att personuppgifter överförs till ett land utanför EES som Europeiska kommissionen inte anser uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Personuppgiftsbiträdet och Underbiträdet ingå ett tilläggsavtal baserad på Standardavtalsvillkor. I förekommande fall ska Personuppgiftsbiträdet på begäran tillhandahålla Personuppgiftsansvarige en underskriven kopia av ett sådant tilläggsavtal som avses ovan.
10. ANSVAR VID BEHANDLING AV PERSONUPPGIFTER
10.1 För den händelse Registrerad, eller annan tredje man riktar ersättningskrav eller andra anspråk mot den Personuppgiftsansvarige på grund av Personuppgiftsbiträdes eller av denne anlitade personuppgiftsbiträdens behandling av personuppgifter ska Personuppgiftsbiträdet hålla den Personuppgiftsansvarige skadeslös för samtliga sådana krav eller anspråk som orsakats av att Personuppgiftsbiträdet eller av denne anlitade Underbiträden inte efterföljt tillämpliga biträdesavtal eller tillämpliga rättsliga krav på behandlingen av personuppgifterna. Personuppgiftsbiträdet är skyldigt att hålla försäkringar som till betryggande belopp täcker det ansvar som kan komma att utkrävas enligt Biträdesavtalet.
10.2 Vad som föreskrivs i punkt 10.1 gäller även om Personuppgiftsansvarig påföres en sanktionsavgift eller annan påföljd med anledning av Personuppgiftsbiträdets behandling av personuppgifter.
11. GILTIGHET OCH UPPSÄGNING
11. 1 Detta Biträdesavtal är giltigt tills Personuppgiftsbiträdets behandling av personuppgifterna upphör eller ersätts av ett annat personuppgiftsbiträdesavtal. Personuppgiftsbiträdet ska, i enlighet med den Personuppgiftsansvariges instruktioner, vid avslutad behandling radera eller återlämna personuppgifterna i ett allmänt och läsbart format till Personuppgiftsansvarige och därefter radera befintliga kopior av personuppgifterna, såvida inte detta är oförenligt med tvingande lag.
11.2 Den Personuppgiftsansvarige har rätt att säga upp Biträdesavtalet till omedelbart upphörande om Personuppgiftsbiträdet i väsentlig mån underlåtit att fullgöra sina förpliktelser enligt detta Biträdesavtal, eller underlåtit att fullgöra sina förpliktelser enligt detta Biträdesavtal och inte inom tio dagar efter skriftlig anmodan därom (innefattande redogörelse för avtalsbrottet och med hänvisning till denna punkt), har vidtagit rättelse i fall där avtalsbrottet är möjligt att rätta. Vid sådan uppsägning ska Personuppgiftsbiträdets behandling upphöra i enlighet med 11.1 ovan.
12. ÄNDRINGAR OCH TILLÄGG
12.1 Utöver vad som framgår av 3.2 får den Personuppgiftsansvarige i den mån så erfordras för att skyldigheter som följer av tillämpliga rättsliga krav ska kunna tillgodoses, ändra innehållet i detta
Biträdesavtal. Sådan ändring träder ikraft senast trettio (30) dagar efter att den Personuppgiftsansvarige översänt ändringmeddelande till Personuppgiftsbiträdet.
12.2 Övriga ändringar av eller tillägg till Biträdesavtalet ska, för att vara bindande upprättas skriftligen och vara behörigen undertecknade av båda Parterna.
13. TILLÄMPLIG LAG OCH TVIST
Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt. Tvister till följd av tolkningen och tillämpningen av detta Biträdesavtal ska slutligen lösas i allmän domstol där Personuppgiftsansvarige har sin hemvist.
***
Detta Biträdesavtal har upprättats i två (2) exemplar och vardera parten har tagit var sitt.
Personuppgiftsansvarig Personuppgiftsbiträde
Underskrift Underskrift
Namnförtydligande Namnförtydligande
Ort: Ort:
Datum: Datum:
BILAGA 1 - INSTRUKTIONER
Dessa instruktioner utgör en integrerad del av Biträdesavtalet och ska följas av Personuppgiftsbiträdet vid utförande av personuppgiftsbehandlingen såvida inte annat uttryckligen anges i Biträdesavtalet. Genom undertecknande av Biträdesavtalet har Personuppgiftsbiträdet bekräftat innebörden av dessa instruktioner. Alla ändringar och tillägg till dessa instruktioner ska göras skriftligen för att gälla.
Typ av behandling och syftet med behandlingen som Personuppgiftsbiträdet utför
Personuppgiftsbiträdet ska behandla personuppgifter genom att: (kryssa i alla som är tillämpliga)
☐ Ta emot, lagra och tillgängliggöra
☐ Bearbeta och använda
☐ Lämna ut till extern part
☐ Publicera offentligt
☐ Annat:
Syftet med behandlingen är att
☐ Leverera de avtalade tjänsterna
☐ Annat:
Typ av personuppgifter som Personuppgiftsbiträdet behandlar (kryssa i alla som är tillämpliga)
☐ Basinformation om medarbetare. Exempelvis namn, kontaktuppgifter, titel, m.m.
☐ Information om barn. Exempelvis namn, adress, kön, personnummer, närvaro/frånvaro, uppgifter om vårdnadshavare, pedagogisk dokumentation om barnets förmågor, m.m.
☐ Elevinformation. Exempelvis namn, kontaktuppgifter, ålder, kön, personnummer, betyg, närvaro/frånvaro, uppgifter om vårdnadshavare, studie- och utvecklingsplaner, pedagogisk dokumentation, m.m.
☐ Information om vuxendeltagare. Exempelvis namn, kontaktuppgifter, ålder, kön, personnummer, betyg, närvaro/frånvaro, pedagogisk dokumentation, tidigare arbetslivserfarenhet, m.m.
☐ Kunduppgifter. Exempelvis privatkunders namn, företagsrepresentanters namn, e-post, telefonnummer, preferenser, köp- och användningshistorik, m.m.
☐ HR-relaterad information. Exempelvis namn, kön, personnummer, CV, medarbetarundersökningar, bankuppgifter, löner och förmåner, sjukfrånvaro, utvärderingar, m.m.
☐ Känsliga uppgifter. Exempelvis avseende ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska eller biometriska uppgifter för att entydigt identifiera en person, hälsa, sexualliv eller sexuell läggning.
☐ Annan typ:
Vems personuppgifter är det? (Ange kategorier av registrerade, kryssa i alla som är tillämpliga)
☐ Barn
☐ Elever
☐ Vuxendeltagare
☐ Vårdnadshavare
☐ Medarbetare
☐ Kund
☐ Samarbetspartner/leverantörer/annan kontaktperson
☐ Annan:
Hur länge ska personuppgifterna behandlas av Personuppgiftsbiträdet?
Om inte Personuppgiftsansvarig meddelar annat ska personuppgifterna behandlas som längst under den giltighetstid som gäller för det avtal mellan parterna som medför att personuppgifter behandlas.
Underbiträde
I förekommande fall, och med beaktande av punkten 8 i Biträdesavtalet, godkänner Personuppgiftsansvarig att Personuppgiftsbiträdet anlitar följande underbiträden.
Tredjelandsöverföring
Ange om personuppgifterna får överföras till land utanför EU/EES samt till vilka länder sådan överföring i så fall får ske.
Dataskydd och informationssäkerhet
Vid behov, utöver vad som anges i punkten 6 i Biträdesavtalet, ange särskilda instruktioner till Personuppgiftsbiträdet för informationssäkerhet eller skydd av data:
Kontaktuppgifter vid personuppgiftsincidenter
Vid inträffad eller befarad personuppgiftsincident ska Personuppgiftsbiträdet rapportera detta till Personuppgiftsansvariges dataskyddsombud, xxxxxxxxx@xxxxxxxxxx.xx samt till AcadeMedias IT- chef (vid avtalets tecknande xxxxxxx.xxxx@xxxxxxxxxx.xx).