Bilaga 1a Personuppgifts- biträdesavtal

Parterna har ingått ett avtal under vilket detta Personuppgiftsbiträdesavtal ingår som en bilaga, Avtalet (så som definierat i punkten 3 nedan), som Parterna bedömer medför att Personuppgiftsbiträdet kommer att behandla personuppgifter för Personuppgiftsansvarigs räkning.

Enligt Dataskyddsförordningen 2016/679 (”GDPR”), krävs att ett avtal ingås när ett rättssubjekt hanterar personuppgifter för ett annat rättssubjekts räkning.

3 Definitioner

Begreppen ”Personuppgiftsansvarig”, ”Personuppgiftsbiträde”, ”Personuppgift”, ”Registrerade” samt andra begrepp i detta Personuppgiftsbiträdesavtal, som är relaterade till personuppgifter, ska tolkas och tillämpas i enlighet med vad som följer av GDPR.

Begrepp	Förklaring
GDPR	GDPR avser Europaparlamentets och rådets förordning (EU) 2016/679.
Avtal	Det avtal som tecknats mellan parterna efter upphandling av pedagogiskt IT- stöd för Xxxxxxxxx och Bedömning och de handlingar som anges i punkten 3 i det Avtalet.
Kategorier av registrerade	Kategorier av registrerade innefattar Elever och personal inom utbildningsförvaltningen och

arbetsmarknadsförvaltningen samt

vårdnadshavare.

Omfattade

personuppgifter

Omfattande personuppgifter avser

Personuppgifter som under Avtalet behandlas av Personuppgiftsbiträdet för Personuppgiftsansvarigs räkning, d.v.s. namn, personnummer, fotografier, film

och adressuppgifter.

Personuppgifts- ansvarig

Personuppgiftsansvarig avser den som i

punkten 1 ovan anges som person- uppgiftsansvarig och som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för

behandlingen av personuppgifter.

Personuppgifts- biträde

Personuppgiftsbiträde avser den som i

punkten 1 ovan anges som person- uppgiftsbiträde och som behandlar personuppgifter för den Personuppgiftsansvariges räkning.

Personuppgifts-

biträdesavtal

Personuppgiftsbiträdesavtalet avser

detta avtal mellan Personuppgiftsansva- rig och Personuppgiftsbiträdet.

Registrerade

Registrerade avser den som en

personuppgift avser.

Tillämplig lag

GDPR samt Datainspektionens och

relevant EU-organs föreskrifter, ställningstaganden och rekommendationer inom personuppgiftsområdet.

4 Behandling av Omfattande personuppgifter

Detta Personuppgiftsbiträdesavtal ska gälla för all behandling av Omfattade personuppgifter.

Personuppgiftsbiträdet och personer som agerar för Personuppgiftsbiträdets räkning får behandla Omfattade personuppgifter endast i enlighet med Personuppgifts- biträdesavtalet och de ytterligare skriftliga instruktioner som Personuppgiftsansvarig från tid till annan lämnar.

Personuppgiftsbiträdet ska bara behandla Omfattade personuppgifter för ändamålet att uppfylla sina åtaganden i enlighet med Avtalet, vilket huvudsakligen är att rätt uppgifter ska knytas till rätt individ.

Vid behandlingen av Omfattande personuppgifter ska Personuppgiftsbiträdet särskilt beakta att det förekommer personer med skyddad identitet vilkas personuppgifter ska hanteras på särskilt sätt i enlighet med det som framkommer av Xxxxxxx.

Om Personuppgiftsbiträdet saknar instruktioner som bedöms vara nödvändiga för att genomföra en viss uppgift som innebär eller kan innebära behandling av Omfattade Personuppgifter eller är osäker på ändamålet med behandlingen, ska Personuppgiftsbiträdet, utan dröjsmål, informera Personuppgiftsansvarig om detta och därefter invänta vidare instruktioner från Personuppgiftsansvarig.

Personuppgiftbiträdet åtar sig, vad avser behandlingen av Omfattade personuppgifter, att följa Tillämplig lag.

Personuppgiftsbiträdet ska själv hålla sig informerad om Tillämplig lag.

Personuppgiftsbiträdets åtaganden att följa Tillämplig lag ska i alla avseenden tolkas i enlighet med beskaffenheten på Personuppgiftsbiträdets tillhandahållna tjänster och innebär normalt sett att Personuppgiftsbiträdet inte själv samlar in personuppgifter eller använder de Omfattade personuppgifterna för annat bruk än för uppfyllelse av avtalad leverans enligt Avtalet.

Personuppgiftsbiträdet ska i vilket fall inte, utan föreläggande från relevant myndighet eller tvingande lagstiftning:

a) samla in eller lämna ut personuppgifter från eller till någon tredje part om inte annat skriftligen överenskommits;

b) ändra metod för behandling;

c) kopiera eller återskapa personuppgifter;

eller på något annat sätt behandla personuppgifter för andra ändamål än de som anges i Avtalet.

Personuppgiftsbiträdet ska vidta alla åtgärder som krävs enligt artikel 32 GDPR.

Personuppgiftsbiträdet ska vara Personuppgiftsansvarig behjälplig genom lämpliga tekniska och organisatoriska åtgärder, så att

Personuppgiftsansvarig kan fullgöra sig skyldighet dels som Personuppgiftsansvarig enligt Tillämplig lag och dels avseende de registrerades rättigheter i enlighet med kapitel III GDPR.

Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att tillse att skyldigheterna enligt artiklarna 32-36 GDPR fullgörs, med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå.

5 Informationsplikt

Personuppgiftsbiträdet ska bistå Personuppgiftsansvarige avseende den informationsplikt den Personuppgiftsansvarige har enligt artikel 13 GDPR. Där ingår särskilt information om ändamålet med behandlingen.

6 Säkerhet och sekretess

Personuppgiftsbiträdet ska implementera tekniska och organisatoriska skyddsåtgärder i enlighet med Tillämplig lag eller i annat fall upprätta lämpliga tekniska och organisatoriska åtgärder i syfte att skydda Omfattade personuppgifter mot obehörig eller olovlig förstörelse eller oavsiktlig förlust av, förändring av, otillåtet yppande av eller tillgång till Omfattade personuppgifter, i huvudsak när behandlingen innefattar spridning av uppgifter över nätverk och mot all annan olovlig form av behandling. Vid bedömning av lämplig säkerhetsnivå ska särskilt hänsyn tas till de risker som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande eller obehörig åtkomst till Omfattade personuppgifter.

Personuppgiftsbiträdet ska säkerställa att behörighetsstyrningen är korrekt och att konfidentialitet iakttas, bland annat genom pseudonymisering och uppgiftsminimering.

Personuppgiftsbiträdet ska tillse att samtliga anställda, konsulter

och övriga som Personuppgiftsbiträdet svarar för och som behandlar personuppgifterna är bundna av ett ändamålsenligt sekretessåtagande samt att de är informerade om hur behandling av Omfattade personuppgifterna får ske. Personuppgiftsbiträdet ansvarar för att de personer som har åtkomst till de Omfattade personuppgifterna är informerade om hur de får behandla dem i enlighet med instruktioner från Personuppgiftsansvarig.

Personuppgiftsbiträdet får inte utan (i) Personuppgiftsansvariges skriftliga samtycke i förväg, och (ii) att säkerställa att sådan överföring sker i överensstämmelse med tillämplig lagstiftning, överföra Omfattade personuppgifter till land utanför EES-området eller till land som inte omfattas av undantagen till förbud mot överföring till tredje land enligt Tillämplig lag. Detta förbud omfattar även teknisk support, underhåll och liknande tjänster.

7 Revision och begäran av information

Personuppgiftsbiträdet ska utan dröjsmål informera Personuppgiftsansvarig om eventuella kontakter med Datainspektionen eller annan myndighet som rör eller kan vara av betydelse för behandling av Omfattade personuppgifter.

Personuppgiftsbiträdet äger inte rätt att företräda Personuppgiftsansvarig eller på annat sätt agera för Personuppgiftsansvarigs räkning gentemot Datainspektionen eller annan tredje man utan skriftligt medgivande från Personuppgiftsansvarig.

Personuppgiftsansvarig äger rätt att själv eller genom tredje man genomföra revision gentemot Personuppgiftsbiträdet eller på annat sätt kontrollera att Personuppgiftsbiträdets behandling av Omfattade personuppgifter följer detta Personuppgiftsbiträdesavtal. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge Personuppgiftsansvarig den assistans som behövs för genomförande av den aktuella åtgärden. Personuppgiftsbiträdet äger rätt till ersättning från Personuppgiftsansvarige för de kostnader som uppkommer till följd av en sådan revision eller kontroll.

För det fall att Registrerade, Datainspektionen eller annan tredje man begär information från någon av Parterna som på något sätt innefattar Omfattade personuppgifter ska Parterna samverka och utbyta information i nödvändig utsträckning. Ingen Part får lämna ut Omfattade personuppgifter eller någon annan information om behandlingen av Omfattade personuppgifter utan skriftligt medgivande från motparten, såvida inte föreläggande från relevant myndighet eller tvingande lagstiftning finns.

8 Personuppgiftsbiträdes anlitande av xxxxx

Personuppgiftsbiträdet får inte anlita annat personuppgiftsbiträde för behandling av personuppgifter för den Personuppgiftsansvariges räkning utan särskilt samtycke från den Personuppgiftsansvarige.

Om Personuppgiftsbiträdet anlitar ett annat personuppgiftsbiträde för behandlingen av personuppgifter, ska Personuppgiftsbiträdet ålägga det andra personuppgiftsbiträdet samma skyldigheter som gäller för Personuppgiftsbiträdet enligt detta Personuppgiftsbiträdesavtal. Om Personuppgiftsbiträdet i enlighet med detta Personuppgiftsbiträdesavtal anlitar personuppgiftsbiträden, ska Personuppgiftsbiträdet tillse att dennes avtal med dessa utformas så att personuppgiftsbiträdena blir bundna av detta Personuppgiftsbiträdesavtal och de i avtalet angivna kraven jämte tillämpliga rättsliga krav. Om det andra

personuppgiftsbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska Personuppgiftsbiträdet vara fullt ansvarig gentemot den Personuppgiftsansvarige för utförandet av det andra personuppgiftsbiträdets skyldigheter.

Den Personuppgiftsansvarige eller av denne anlitad annan part har rätt till assistans från Personuppgiftsbiträdet vid kontroll eller revision avseende behandling av personuppgifterna som utförs genom av denne anlitade personuppgiftsbiträden.

9 Personuppgiftsincident

För det fall Personuppgiftsbiträdet misstänker alternativt upptäcker någon säkerhetsöverträdelse så som obehörig åtkomst, förstörelse, ändring eller liknande av personuppgifter, eller om Personuppgiftsbiträdet av någon annan anledning inte kan uppfylla åtaganden i detta Personuppgiftsbiträdesavtal, ska Personuppgiftsbiträdet (i) utan onödigt dröjsmål informera den Personuppgiftsansvarige om incidenten, (ii) undersöka incidenten och vidta lämpliga åtgärder för att läka incidenten och förhindra en upprepning, och (iii) inom 24 timmar tillhandahålla Personuppgifts- ansvarig en beskrivning av incidenten.

Beskrivning av incidenten ska åtminstone

a. Beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet Omfattade personuppgifter som berörs,

b. Förmedla namnet på och kontaktuppgifterna till dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,

c. Beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och

d. Beskriva de åtgärder som den Personuppgiftsansvariga har vidtagit eller föreslagit för att åtgärda

personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

Personuppgiftsbiträdet ska informera Personuppgiftsansvarige om Personuppgiftsbiträdet får kännedom om att Omfattade personuppgifter behandlas i strid med Personuppgiftsansvariges instruktioner eller detta Personuppgiftsbiträdesavtal.

Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska Personuppgiftsbiträdet före det att behandlingen utförs vara Personuppgiftsansvarig behjälplig vid en bedömning av den planerade behandlingens konsekvenser för skyddet av Omfattade personuppgifter.

10 Skadelösförbindelse

För det fall Registrerade, Datainspektionen eller annan tredje man väcker krav mot någon av Partnerna avseende Personuppgiftsbiträdets behandling av Omfattade personuppgifter ska Personuppgiftsbiträdet hålla Personuppgiftsansvarig skadelös från alla krav som orsakats av Personuppgiftsbiträdets överträdelse av Personuppgiftsbiträdesavtalet. Oaktat vad som anges i Avtalet och dess Bilagor gäller denna förpliktelse före andra regler om fördelning mellan Parterna av krav sinsemellan såvitt avser behandling av personuppgifter.

11 Ersättning

Personuppgiftsbiträdet har inte rätt till ersättning under detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdets rätt till ersättning är uteslutande reglerat i Avtalet och dess bilagor.

12 Personuppgifts- biträdesavtalets giltighetstid

Detta Personuppgiftsbiträdesavtal träder ikraft på dagen för dess undertecknande och gäller så länge som Personuppgiftsbiträdet behandlar Omfattade personuppgifter.

13 Upphörande av behandling av personuppgifter

Vid uppsägning av Personuppgiftsbiträdesavtalet ska Personuppgiftbiträdet radera alla Omfattade personuppgifter eller lämna tillbaka dem till Personuppgiftsansvarige på sådant sätt som angivits av Personuppgiftsansvarige och i enlighet med Personuppgiftsansvariges instruktioner samt säkerställa att inga Omfattade personuppgifter eller kopior därav är kvar i Personuppgiftsbiträdes besittning.

14 Ändringar och tillägg

Personuppgiftsansvarig får, i den mån så erfordras för att krav som följer av Tillämplig lag enligt punkt 4 ovan ska kunna tillgodoses, ändra innehållet i detta Personuppgiftsbiträdesavtal. Sådan ändring träder ikraft senast trettio (30) dagar efter att Personuppgiftsansvarig översänt meddelandet om ändring till Personuppgiftsbiträdet. För det fall Personuppgiftsbiträdet inte accepterar den aktuella ändringen, äger Personuppgiftsansvarig rätt att omedelbart säga upp alla avtal med Personuppgiftsbiträdet enligt vilka Personuppgiftsbiträdet ska behandla Omfattade personuppgifter. Andra ändringar av och tillägg till detta Personuppgiftsbiträdesavtal ska vara skriftliga och undertecknade av båda Parterna för att vara bindande.

15 Tillämplig lag och tvist

Tvist avseende tolkning eller tillämpning av Personuppgifts- biträdesavtalet ska slutligt avgöras enligt vad som anges rörande tvist i Avtalet.

_______ _

Detta Personuppgiftsbiträdesavtal har upprättats i två originalexemplar, varav Parterna tagit var sitt.

Document Metadata

Table of Contents

Bilaga 1a Personuppgifts- biträdesavtal

Document Metadata