Bilaga Utkast till datadelningsavtal

2023-02-25 Sida 9 (9)










Bilaga

Utkast till datadelningsavtal

Shape1





















Kammarkollegiets anvisningar:

Detta dokument är ett utkast till datadelningsavtal.


Personuppgiftsansvarig modifierar och anpassar utkastet utifrån de specifika förutsättningarna i avropet. Datadelningsavtalet ska läsas tillsammans med Ramavtalet.






1Datadelningsavtalets syfte



1.1Detta datadelningsavtal (”Datadelningsavtalet”) har till syfte att reglera parternas gemensamma behandling av personuppgifter. Avtalet är utformat med beaktande av kraven i EU:s dataskyddsförordning (EU) 2016/679 (”Dataskyddsförordningen”).

2Parter



Part:

[Avropsberättigad X]

Adress:

[Avropsberättigades adress]

Telefonnummer:

[Avropsberättigades telefonnummer]

E-postadress:

[Avropsberättigades E-postadress]

Organisationsnummer:

[Avropsberättigades organisationsnummer]

Part:

[Leverantör X]

Adress:

[Leverantörens adress]

Telefonnummer:

[Leverantörens telefonnummer]

E-postadress:

[Leverantörens E-postadress]

Organisationsnummer

[Leverantörens organisationsnummer]



3Allmänt om datadelningsavtalet

3.1Datadelningsavtalet utgör en bilaga till avropet från ramavtalet XXX, dnr: XXX.

3.2Dataskyddsrättsliga begrepp används med samma innebörd som i Dataskydds-förordningen.

3.3Datadelningsavtalet har tecknats med anledning av att [Leverantör X] ska tillhandahålla [Avropsberättigad X] [vara eller tjänst xxx] i enlighet med parternas kontrakt, efter avrop från ovan angivet ramavtal. I samband med detta kommer parterna att gemensamt behandla personuppgifter.

3.4Parts självständiga personuppgiftsbehandlingar regleras inte inom ramen för Datadelningsavtalet.



4Behandlingens omfattning

4.1Nedan följer en beskrivning av datadelningsförhållandet:



Part: [Avropsberättigad X]

Part: [Leverantör X]

Registrerade: [Kategori av registrerade]

Registrerade: [Kategori av registrerade]

Typ av personuppgifter som överförs/behandlas: [Kategori/typ av personuppgifter, ex. identitetsuppgifter, kontaktuppgifter]

Typ av personuppgifter som överförs/behandlas: [Kategori/typ av personuppgifter, ex. identitetsuppgifter, kontaktuppgifter]

Känsliga personuppgifter: [Kategori/typ av känsliga personuppgifter]

Känsliga personuppgifter: [Kategori/typ av känsliga personuppgifter

Behandling/ar: [Form av behandling/ar]

Behandling: [Form av behandling/ar]

Ändamål: [Ändamål med behandlingen/behandlingarna]

Ändamål: [Ändamål med behandlingen/behandlingarna]

Rättslig grund: [Rättslig grund enligt artikel 6 dataskyddsförordningen]

Rättslig grund: [Rättslig grund enligt artikel 6 dataskyddsförordningen]



5Giltighetstid

5.1Bestämmelser avseende uppsägning av kontraktet följer av ramavtalet.

5.2Datadelningsavtalet är giltigt under tid som kontraktet är giltigt, samt under den efterföljande tid som krävs för att parterna ska kunna uppfylla sina kvarvarande skyldigheter enligt Datadelningsavtalet. Parternas åtagande enligt Datadelningsavtalet gäller så länge den gemensamma behandlingen av personuppgifter fortlöper.

5.3Parternas ansvar enligt avsnitt 13 gäller även för skada som uppstår efter det att Datadelningsavtalet upphört att gälla, om skadan inträffat inom ramen för den gemensamma behandlingen.

6Personuppgiftsansvariges generella åtaganden

6.1Part ska följa Dataskyddsförordningen, dataskyddslagen och kompletterande lagstiftning (sammantaget benämnt ”Dataskyddsregleringen”) vid behandling av personuppgifter enligt Datadelningsavtalet. Part ansvarar självständigt för att det vid var tid finns rättslig grund för sin behandling av personuppgifterna. Den rättsliga grunden ska anges av respektive part i Datadelningsavtalet, se avsnitt 4.

6.2Part ska vidta tillräckliga åtgärder inom dennes verksamhet så att verksamheten bedrivs på ett sätt som säkerställer krav på lämpliga tekniska och organisatoriska åtgärder och skydd för den registrerades rättigheter enligt Dataskyddsregleringen.

6.3Part åtar sig, att i sin verksamhet, vid var tid tillse att berörd personal följer Datadelningsavtalet och att de hålls informerade om innehållet i Dataskyddsregleringen.

6.4Respektive part garanterar att personer som får tillgång till personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av lämplig lagstadgad tystnadsplikt.

7Överföring till och behandling av personuppgifter i tredje land

7.1För det fall det inom ramen för parternas gemensamma behandling kommer att överföras personuppgifter till ett tredje land ansvarar parterna gemensamt för att det finns en rättslig lösning enligt dataskyddsförordningen till stöd för överföringen till och behandling i det landet. Part som inom ramen för parternas gemensamma behandling, utan den andra partens medgivande, har överfört personuppgifter till och behandlat personuppgifter i tredje land ansvarar fullt ut för skada gentemot den registrerade enligt 13.2.





8Registrerades rättigheter och information

8.1Respektive part ska på begäran från en registrerad svara på begäran om utövande av den registrerades rättigheter i enlighet med kap. III Dataskyddsförordningen. Detta ska göras med beaktande av typen av behandling och den information som respektive personuppgiftsansvarig har att tillgå.

8.2Parterna ansvarar för att fullgöra informationsplikten enligt art. 12–14 Dataskydds-förordningen. Ansvarsfördelningen framgår av tabellen nedan.




Kategori av registrerade

Behandling/behandlingar

Part som ansvarar för informationsplikt

[Kategori X]

[Behandling X]

[Avropsberättigad X/Leverantör X]

[Kategori X]

[Behandling X]

[Avropsberättigad X/Leverantör X]

[Kategori X]

[Behandling X]

[Avropsberättigad X/Leverantör X]

[Kategori X]

[Behandling X]

[Avropsberättigad X/Leverantör X]

[Kategori X]

[Behandling X]

[Avropsberättigad X/Leverantör X]

[Kategori X]

[Behandling X]

[Avropsberättigad X/Leverantör X]



9Personuppgiftsincidenter

9.1Respektive part ska inom ramen för sitt dataskyddsarbete vidta åtgärder i enlighet med art. 33 vid personuppgiftsincidenter.

9.2Vid personuppgiftsincidenter som påverkar den gemensamma behandlingen av personuppgifter, ska den part som fått vetskap om incidenten utan onödigt dröjsmål skriftligen underrätta den andra parten om incidenten. Part ska med beaktande av typen av behandling och den information som respektive personuppgiftsansvarig har att tillgå tillhandahålla den andra parten en skriftlig beskrivning av personuppgiftsincidenten.


Beskrivningen ska minst redogöra för:

  1. personuppgiftsincidentens art och, om möjligt, de kategorier och antalet registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,

  2. de sannolika konsekvenserna av personuppgiftsincidenten, och

  3. åtgärder som har vidtagits till följd av personuppgiftsincidenten, förslag för att ytterligare åtgärda personuppgiftsincidenten samt förslag på åtgärder för att mildra personuppgiftsincidentens potentiella negativa effekter.



10Tillsyn och revision

10.1Part ska utan dröjsmål informera den andra parten om eventuella kontakter med tillsynsmyndigheten som rör, eller kan vara av betydelse för, parternas gemensamma behandling av personuppgifter. Åtagandet gäller inte om part är förhindrad att lämna den aktuella informationen enligt tvingande lagstiftning.

10.2Part har inte rätt att företräda den andra parten eller agera för dennes räkning gentemot tillsynsmyndigheten.

10.3Part äger rätt att själv eller genom en utsedd oberoende tredje part följa upp att den andra parten uppfyller Datadelningsavtalet och Dataskyddsförordningens krav. Part ska vid sådan granskning bistå den granskande parten, eller den utsedde tredje parten, med dokumentation, tillgång till lokaler, it-system och andra tillgångar som behövs för att kunna granska partens efterlevnad av Datadelningsavtalet och Dataskyddsregleringen. Den granskande parten ska säkerställa att personal som genomför granskningen är underkastad konfidentialitet enligt lag eller avtal.



11Skyldigheter efter datadelningsavtalets upphörande

11.1Det åligger respektive part att i samband med kontraktets upphörande gallra personuppgifterna i enlighet med Dataskyddsförordningen och tillämpliga arkivförfattningar.

12Ändringar i datadelningsavtalet

12.1Part har rätt att påkalla ändring av Datadelningsavtalet. Ändring ska hanteras i enlighet med ramavtalet.


13Ansvar för skada i samband med behandling

13.1Vid ersättning för skada i samband med behandling som, genom lagakraftvunnet avgörande, skiljedom eller till följd av förlikning mellan parterna, utgått till den registrerade på grund av överträdelse av bestämmelse i Datadelningsavtalet, och/eller bestämmelse i Dataskyddsregleringen ska art. 82 Dataskyddsförordningen tillämpas.

13.2För det fall en registrerad har bedömts berättigad till sådan ersättning som avses i punkt 13.1 ska parterna i god anda diskutera orsaken till ersättningen och sinsemellan reglera den procentuella del av ersättningen som respektive part ska vara ansvarig för. För det fall en part hålls ansvarig för sådan överträdelse som avses i punkt 13.1 och överträdelsen uteslutande beror på den parten ska den andra parten hållas skadeslös för de kostnader, avgifter, böter och andra förluster som denne lider på grund av överträdelsen.

13.3Sanktionsavgifter ska enligt art. 83 Dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till Dataskyddsförordningen bäras av den av Datadelningsavtalets parter som påförts en sådan avgift.

13.4Part som får kännedom om omständighet som kan leda till skada för motparten ska omedelbart informera motparten om förhållandet och aktivt arbeta tillsammans med motparten för att förhindra och minimera sådan skada.

14Tvistelösning

14.1Bestämmelser om tvist samt tillämplig lag med anledning av Datadelningsavtalet regleras i ramavtalet.



Signatursida följer nedan






På part x:s vägnar: På part y:s vägnar:

Namn (fullständigt): Namn (fullständigt):


Befattning: Befattning:


Ort och datum: Ort och datum:




…............................................................. ….............................................................

Namnteckning Namnteckning




Kammarkollegiets version 2.0 (2021-03-18)

Document Metadata

Filed: March 7th, 2022