PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
Parter
Det här personuppgiftsbiträdesavtalet har ingåtts mellan
Installatörsföretagen Service i Sverige AB, xxx.xx 556090-8062 som är personuppgiftsbiträde. och
Motsignerande företag såsom framgår av elektronisk signering/verifikat. Det motsignerande företaget är att anse såsom personuppgiftsansvarig i detta avtal.
1. Allmänt om avtalet
Xxxxxx den personuppgiftsansvarige och personuppgiftsbiträdet har ett avtal avseende om användning av tjänsten Säker El (”Tjänsteavtalet”) upprättats. Tjänsteavtalet är det avtal som reglerar vad personuppgiftsbiträdet ska utföra för den personuppgiftsansvariges räkning.
Syftet med detta avtal är att i anslutning till användning av tjänsten Säker El reglera hur personuppgiftsbiträdet får behandla personuppgifter för den personuppgiftsansvariges räkning. Avtalet tjänar till att uppfylla de krav på personuppgiftsbiträdesavtal som uppställs i artikel 28.3 dataskyddsförordningen.
I detta avtal uppställs krav på att personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.
Parterna är införstådda med att behandling av personuppgifter inom ramen för avtalet omfattas av reglerna i tillämplig lag.
2. Definitioner
Personuppgiftsansvarig Den juridiska person som ensam eller tillsammans med andra
bestämmer ändamålen med och medlen för behandlingen av personuppgifter.
Personuppgiftsbiträde Den juridiska person som behandlar personuppgifter för den
personuppgiftsansvariges räkning.
Behandling Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning, ändring, användning, utlämnande, spridning eller annat tillhandahållande av uppgifter, sammanställning, samkörning, blockering, utplåning eller förstöring.
Personuppgifter Varje upplysning som avser en identifierad eller identifierbar fysisk
person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Registrerad En sådan identifierad eller identifierbar fysisk person vars personuppgifter behandlas.
Personuppgiftsincident En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring,
förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Tillsynsmyndighet Den eller de tillsynsmyndigheter som har behörighet att bedriva tillsyn
över hantering av personuppgifter eller anses vara berörd tillsynsmyndighet enligt tillämplig lag.
Tillämplig lag De lagar, förordningar och andra bestämmelser som reglerar behandlingen av personuppgifter. Från den 25 maj 2018 utgörs de huvudsakligen, men inte enbart, av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/ EG (”Dataskyddsförordningen), Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (”Dataskyddslagen”), föreskrifter som regeringen meddelat med stöd av Dataskyddsförordningen eller Dataskyddslagen samt tillsynsmyndighetens eller relevant EU-organs föreskrifter, ställningstaganden och rekommendationer på personuppgiftsområdet.
Underbiträde Den som behandlar personuppgifter för personuppgiftsbiträdets
räkning.
Om tillämplig lag innehåller begrepp som motsvarar de som används i detta avtal ska sådana begrepp tolkas och tillämpas i enlighet med tillämplig lag.
3. Personuppgiftsbiträdets skyldigheter
Den personuppgiftsansvarige har ansvar för all behandling av avtalade personuppgifter i enlighet med tillämplig lag.
Personuppgiftsbiträdet åtar sig att enbart behandla personuppgifterna enligt tillämplig lag. Personuppgiftsbiträdet får inte, utan föreläggande från relevant myndighet eller tvingande lagstiftning:
a) samla in eller lämna ut personuppgifter från eller till någon tredje part om inte annat skriftligen överenskommits med personuppgiftsansvarig;
b) ändra metod för behandling;
c) kopiera eller återskapa personuppgifter; eller
d) på något annat sätt behandla personuppgifter för andra ändamål än de som anges i Tjänsteavtalet, detta avtal och bifogade instruktioner från den personuppgiftsansvarige.
Om personuppgiftsbiträdet bedömer att det saknas instruktioner som är nödvändiga för att genomföra uppdraget enligt vad som sägs i detta avtal ska personuppgiftsbiträdet utan dröjsmål informera den personuppgiftsansvarige om sin inställning. Personuppgiftsbiträdet ska därefter invänta vidare instruktioner från den personuppgiftsansvarige.
Om personuppgiftsbiträdet finner att något kräver omedelbar åtgärd och personuppgiftsbiträdet inte hinner inhämta instruktioner från den personuppgiftsansvarige får personuppgiftsbiträdet vidta nödvändiga åtgärder. Personuppgiftsbiträdet måste dock snarast därefter informera den personuppgiftsansvarige om åtgärderna.
Personuppgiftsbiträdet ska informera den personuppgiftsansvarige om personuppgiftsbiträdet får kännedom om att personuppgifter behandlats i strid med den personuppgiftsansvariges instruktioner, detta personuppgiftsbiträdesavtal eller tillämplig lag.
4. Ansvar för behandling av personuppgifter
För att skydda behandlingen av personuppgifter mot obehörig åtkomst, förstörelse eller ändring vidtar personuppgiftsbiträdet lämpliga tekniska och organisatoriska säkerhetsåtgärder i syfte att upprätthålla en lämplig säkerhetsnivå.
Personuppgiftsbiträdet åtar sig att i sin verksamhet se till att berörd personal följer avtalet samt att de hålls informerade om innehållet gällande lagstiftning kring behandling av personuppgifter. Det är ytterst den personuppgiftsansvarige som är ansvarig för att lämpliga säkerhetsåtgärder vidtas.
Personuppgiftsbiträdet ska så snart det är möjligt underrätta den personuppgiftsansvarige vid upptäckt av personuppgiftsincidenter. Beskrivningen av personuppgiftsincidenten ska åtminstone:
a) beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs;
b) förmedla namnet på och kontaktuppgifter till kontaktpunkter där mer information kan erhållas;
c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten i enlighet med given instruktion; och
d) beskriva de åtgärder som personuppgiftsbiträdet har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
För det fall den registrerade, tillsynsmyndighet eller annan tredje man begär information från personuppgiftsbiträdet som rör behandling av personuppgifter, ska personuppgiftsbiträdet hänvisa till den personuppgiftsansvarige. Personuppgiftsbiträdet får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan uttrycklig instruktion från den personuppgiftsansvarige, eller om utlämnandet är en följd av en laglig skyldighet.
Personuppgiftsbiträdet har inte rätt att, utan särskilt avtalats därom, företräda den personuppgiftsansvarige eller agera för dennes räkning gentemot tillsynsmyndighet.
Den personuppgiftsansvarige har rätt att, på egen bekostnad, utöva tillsyn över att personuppgiftsbiträdet sköter sina åtaganden i enlighet med detta avtal och givna instruktioner.
5. De registrerades rättigheter
Personuppgiftsbiträdet ska vara den personuppgiftsansvarige behjälplig genom lämpliga tekniska och organisatoriska åtgärder, så att den personuppgiftsansvarige kan fullgöra sin skyldighet avseende de registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen.
Om en registrerad vänder sig till personuppgiftsbiträdet med en begäran om åtgärd ska personuppgiftsbiträdet vidarebefordra begäran till den personuppgiftsansvarige.
6. Behandlingsregister
Personuppgiftsbiträdet ska föra skriftligt register över behandling av personuppgifter under detta personuppgiftsbiträdesavtal med det innehåll som anges i artikel 30.2 Dataskyddsförordningen, vilket bland annat inbegriper alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning.
Personuppgiftsbiträdet ska samarbeta med tillsynsmyndigheten och på dennas begäran göra ovannämnda register tillgängligt, så att det kan tjäna som grund för tillsynsmyndighetens övervakning av behandlingen av personuppgifterna.
7. Tekniska och organisatoriska säkerhetsåtgärder
Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som åtminstone överensstämmer med tillämplig lag och är lämplig med beaktande av:
a) de tekniska möjligheter som finns;
b) de särskilda risker som finns med behandlingen av personuppgifterna, särskilt avseende den registrerades rättigheter och friheter; och
c) känslighetsgrad på de behandlade personuppgifterna.
Avtalade åtgärder, vilka uppfyller denna punkt, ska åstadkomma en säkerhetsnivå som personuppgiftsbiträdet bedömt som lämplig i enlighet med tillämpliga riktlinjer för informationssäkerhet.
Vid behandling ska biträdet säkerställa att dennes företrädare efterföljer de uppsatta instruktioner för behandling som överenskommits enligt detta avtal och bifogad instruktion.
Eventuella säkerhetskopior ska inte lagras längre än nödvändigt.
8. Ändringar av avtalet
Ändringar av och tillägg till detta personuppgiftsbiträdesavtal ska för att vara bindande vara behörigen undertecknade (inkluderat elektronisk signering) av personuppgiftsbiträdet och den personuppgiftsansvarige.
9. Utlämnande av uppgifter till tredje land
Personuppgiftsbiträdet får inte;
(i) utan den personuppgiftsansvariges samtycke, och
(ii) utan att säkerställa att sådan överföring sker i överensstämmelse med tillämplig lag, överföra eller tillgängliggöra några personuppgifter till land utanför EES-området, till en internationell organisation eller till land som inte omfattas av undantagen till förbud mot överföring till tredje land enligt Dataskyddsförordningen. Detta omfattar även teknisk support, underhåll och liknande tjänster.
10. Utläggning av behandlingar till underbiträden
Personuppgiftsbiträdet får anlita underbiträde om underbiträdet uppfyller de krav som ställs enligt tillämplig lag.
Personuppgiftsbiträdet ska informera den personuppgiftsansvarige om man avser att anlita nya eller byta underbiträden. I bilaga 1 anges de underbiträden som finns vid ingåendet av detta avtal. Anteckning om eventuella förändringar av underbiträden ska antecknas i bilaga 1.
Anlitande av underbiträde förutsätter att personuppgiftsbiträdet träffar ett skriftligt avtal med underbiträdet.
Personuppgiftsbiträdet ska föra en lista utvisande vilka underbiträden som anlitats för behandlingen av personuppgifter och var dessa är geografiskt belägna.
Personuppgiftsbiträdet ska på personuppgiftsansvariges begäran tillhandahålla kontaktuppgifter till de underbiträden som behandlar personuppgifter.
11. Personuppgiftsincident
Vid en personuppgiftsincident ska personuppgiftsbiträdet utan onödigt dröjsmål och, om så är möjligt, inte senare än sextio timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den personuppgiftsansvarige, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan inte görs inom sextio timmar ska den åtföljas av en motivering till förseningen.
Personuppgiftsbiträdet kan, mot ersättning, bistå den personuppgiftsansvarige med att anmäla personuppgiftsincidenten till tillsynsmyndighet och registrerade om detta krävs. Om personuppgiftsincidenten föranletts av att den personuppgiftsansvarige inte följt tillämplig lag ska den personuppgiftsansvarige ersätta personuppgiftsbiträdet för alla kostnader som denna har med anledning av detta.
12. Sekretess
All behandling av personuppgifter sker med iakttagande av sekretess. Personuppgiftsbiträdet ska lämna den personuppgiftsansvarige den assistans och tillhandahålla den dokumentation som krävs för detta.
Personuppgiftsbiträdet, eller dennes anställda eller medhjälpare, får inte till tredje part lämna ut eller på annat sätt röja eller utnyttja information om behandling av personuppgifter som omfattas av detta personuppgiftsbiträdesavtal. Personuppgiftsbiträdet ska se till att anställda och medhjälpare informeras om denna skyldighet och undertecknar nödvändiga förbindelser om tystnadsplikt.
Ovanstående åtagande gäller inte om det för personuppgiftsbiträdet föreligger en skyldighet enligt tillämplig lag att lämna ut en uppgift.
13. Giltighetstid
Detta personuppgiftsbiträdesavtal gäller från dess undertecknande och så länge som personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning.
14. Skyldigheter efter avtalets upphörande
Efter uppdragets avslutande ska personuppgiftsbiträdet antingen radera eller återlämna all data som innehåller personuppgifter på samtliga media som den är fixerad på, samt radera eventuella befintliga kopior om inte det finns laglig skyldighet att bevara uppgifterna.
15. Tvist
Vid tvist om frågor enligt detta avtal ska tvisten, om inte tvisten kan lösas genom förhandling, avgöras av allmän domstol med Stockholms tingsrätt som första instans.
Stockholm den 18/5 2018
För Installatörsföretagen Service i Sverige AB xxx.xx 556090-8062
Xxx Xxxxxxx
BILAGA 1
Information enligt punkt 10 om underbiträden
För närvarande anlitar personuppgiftsbiträdet följande underbiträden;
1. NetRelations of Scandinavia AB xxx.xx 556585-4907