Life Event Sweden AB, nedan kallad “Personuppgiftsansvarig” och
PERSONUPPGIFTSBITRÄDESAVTAL
Detta personuppgiftsbiträdesavtal (”Biträdesavtal”) är upprättat mellan följande parter:
Life Event Sweden AB, nedan kallad “Personuppgiftsansvarig” och
Företagsnamn , nedan kallad
“Personuppgiftsbiträde”.
Life Event Sweden AB Företagsnamn………………
Xxx.xx. 556745-6057 Xxx.xx………………………….
Adress: Xxxxxxxxxxxxxxx 00 Adress ………………………...
111 46 Stockholm ………………………………...
Kontaktperson…………………… Kontaktperson…………………
Email: ……………………………. Email……………………………
Mobil:............................................. Mobil:............................................
1. Avtalets omfattning
1.1 Syftet med detta Biträdesavtal är att tillse att all behandling av personuppgifter utförd av Personuppgiftsbiträde för Personuppgiftsansvariges räkning sker i enlighet med Dataskyddsförordningens (DSF) 2016/679 regler, den Personuppgiftsansvariges instruktioner, tillämpliga branschnormer och rättspraxis.
1.2 Detta Biträdesavtal utgör bilaga till ett av parterna träffat huvudavtal eller överenskommelse gällande respektive beställning/order eller uppdrag.
1.3 Detta Biträdesavtal ersätter eventuella tidigare personuppgiftsbiträdesavtal mellan parterna och har företräde framför huvudavtalet vad gäller föremålet för detta Biträdesavtal, oavsett vad som anges i huvudavtalet.
2. Avtalstid
Detta Biträdesavtal gäller från dess undertecknande och tillsvidare. Vardera part har rätt att skriftligen säga upp avtalet. Vid uppsägning av Biträdesavtalet gäller en uppsägningstid om tre (3) månader. Part är berättigad att säga upp detta Biträdesavtal till omedelbart upphörande om motparten:
i) gör sig skyldig till väsentligt brott mot bestämmelse i detta Biträdesavtal, och underlåter att vidta rättelse inom trettio (30) dagar från mottagande av skriftlig begäran därom från den andra parten;
ii) försätts i konkurs, inleder ackordsförhandling eller annars är på obestånd, eller
iii) om en icke godkänd överlåtelse av Biträdesavtal sker.
3. Behandling av personuppgifter och ändamål
3.1 Personuppgiftsbiträdet får endast behandla den Personuppgiftsansvariges personuppgifter i enlighet med detta Biträdesavtal och tillhörande skriftliga instruktioner för att fullgöra sitt uppdrag åt den Personuppgiftsansvarige.
3.2 För det fall Personuppgiftsbiträdet saknar instruktioner som denne bedömer är nödvändiga för att genomföra sina åtaganden ska Personuppgiftsbiträdet, utan dröjsmål, informera Personuppgiftsansvarig om detta och invänta instruktioner.
4. Definitioner
De begrepp som förekommer i detta Biträdesavtal ska ha nedan angiven innebörd och ska tolkas i enlighet med de definitioner som förekommer i tillämpliga bestämmelser avseende behandling av personuppgifter.
Behandling av personuppgifter | Åtgärder eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om den utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. |
Personuppgifter | Varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, exempelvis genom namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
Personuppgiftsansvarig | Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. |
Personuppgiftsbiträde | Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. |
Personuppgiftsincident | En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. |
Mottagare | En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personuppgifterna utlämnas, vare sig det är en tredje part eller inte; offentliga myndigheter som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte. |
Register | En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden |
Samtycke av den registrerade | Xxxxx slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. |
Tredje part | En fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna |
5. Personuppgiftsansvariges ansvar
5.1 Den Personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa sekretess och en säkerhetsnivå som är lämplig i förhållande till risken och kostnaden, detta för att skydda de personuppgifter som behandlas enligt detta Biträdesavtal.
Dessa åtgärder ska ses över och uppdateras vid behov.
5.2 Den Personuppgiftsansvarige åtar sig att säkerställa att det finns en laglig grund för behandling av personuppgifter och att utforma skriftliga instruktioner för att Personuppgiftsbiträdet och eventuella underbiträden ska kunna fullgöra sitt uppdrag enligt detta Biträdesavtal.
5.3 Den Personuppgiftsansvarige åtar sig att utan dröjsmål informera Personuppgiftsbiträdet om förändringar i behandlingen vilka påverkar Personuppgiftsbiträdes skyldigheter enligt Dataskyddslagstiftningen eller annan relevant lagstiftning.
5.4 Den Personuppgiftsansvarige ansvarar för att informera registrerade om behandlingarna enligt Biträdesavtalet och för att, i de fall det krävs, inhämta samtycke från den registrerade samt säkerställa de registrerades rätt till insyn och radering av personuppgifter och begränsning av behandling.
6. Personuppgiftsbiträde åtaganden
6.1 Personuppgiftsbiträde ska ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen 2016/679 och ska säkerställa att den registrerades rättigheter skyddas.
6.2 Personuppgiftsbiträdet åtar sig att säkerställa en adekvat säkerhetsnivå med hänsyn till personuppgifter behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar.
6.3 Personuppgifter som hanteras inom ramen för detta Biträdesavtal får inte nyttjas eller spridas för andra ändamål, vare sig direkt eller indirekt, om inte Personuppgiftsansvarig skriftligen medgivit detta.
6.4 Personuppgiftsbiträdet får inte överföra personuppgifterna till tredje land annat än efter Personuppgiftsansvariges i förväg lämnade skriftliga samtycke. Personuppgiftsbiträdet åtar sig att endast lämna ut personuppgifterna till de inom sin egen organisation som behöver tillgång till uppgifterna för att kunna utföra sina arbetsuppgifter.
6.5 Personuppgiftsbiträdet ska skyndsamt underrätta Personuppgiftsansvarig om eventuella kontakter med tillsynsmyndighet avseende behandling av personuppgifterna. Personuppgiftsbiträdet har inte rätt att företräda personuppgiftsansvarig eller agera för Personuppgiftsansvariges räkning gentemot tillsynsmyndigheter i frågor avseende sådan behandling.
6.6 Om den registrerade, tillsynsmyndigheter eller tredje man begär information från Personuppgiftsbiträdet som rör behandling av personuppgifter, ska Personuppgiftsbiträdet informera Personuppgiftsansvarig. Information får inte lämnas ut om behandlingen av personuppgifter till tredje man utan skriftligt medgivande från Personuppgiftsansvarig. Personuppgiftsbiträdet ska bistå med förmedling av den informationen som omfattas av ett medgivande.
6.7 Personuppgiftsbiträdet ska säkerställa att personer med behörighet som behandlar personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.
6.8 I de fall Personuppgiftsbiträdet behandlar känsliga personuppgifter vilka omfattas av sekretess, kan Personuppgiftsansvarig ställa ytterligare krav på säkerhetsåtgärder.
6.9 Personuppgiftsbiträdet ska ha rutiner och verktyg som förhindrar obehörig behandling av, eller obehörig åtkomst till, personuppgifter. Personuppgiftsbiträdet ska kunna spåra behandlingen av personuppgifter genom loggning. Dessa loggar ska omfattas av erforderliga skyddsåtgärder.
6.10 Personuppgiftsbiträdet ska genom behörighetskontrollsystem aktivt kunna begränsa åtkomsten till personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av avtalen mellan Personuppgiftsbiträdet och Personuppgiftsansvarig.
6.11 Personuppgiftsbiträdet ska omedelbart informera Personuppgiftsansvarig vid upptäckt av eller misstanke om obehörig åtkomst av personuppgifterna.
6.12 För att kunna säkerställa att Personuppgiftsbiträdet vidtar tillräckliga säkerhetsåtgärder har Personuppgiftsansvarig rätt till nödvändig insyn i Personuppgiftsbiträdes verksamhet, system och personuppgiftshantering. Personuppgiftsbiträdet åtar sig att utan dröjsmål, på Personuppgiftsansvariges begäran, tillhandahålla Personuppgiftsansvarig med den information Personuppgiftsansvarig behöver för att kunna utöva sin insyn.
6.13. Personuppgiftsbiträdet ska tillse att samtliga anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar personuppgifterna, är bundna av en sekretessförbindelse. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag. Personuppgiftsbiträdet åtar
sig även att tillse att det finns sekretessavtal med eventuella underbiträden samt sekretessförbindelser mellan underbiträden och dess personal.
6.14 Personuppgiftsbiträdet åtar sig att utan dröjsmål vidta rättelse av felaktiga eller ofullständiga personuppgifter efter instruktioner från Personuppgiftsansvarig.
6.15 Personuppgiftsbiträdet ska radera eller återlämna alla personuppgifter till den Personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänster har avslutats, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt.
7. Underbiträden
7.1 Personuppgiftsbiträdet har inte rätt att anlita underleverantör för behandling av personuppgifter för den Personuppgiftsansvariges räkning, utan skriftligt godkännande från denne.
7.2 Personuppgiftsbiträdet ska vid inhämtande av samtycke tillhandahålla Personuppgiftsansvarig med information som den Personuppgiftsansvarige anser nödvändig angående underleverantören inklusive, men inte begränsat till (Bilaga 2):
i) Underleverantörens bolagsnamn
ii) Var underleverantören är lokaliserad
iii)Vilket land underleverantören kommer att behandla Personuppgiftsansvariges personuppgifter
iv)Vilken typ av tjänst underleverantören kommer att utföra
7.3 Efter inhämtande av samtycke får Personuppgiftsbiträdet såsom ombud för Personuppgiftsansvarig underteckna ett skriftligt avtal med underleverantören enligt vilket underleverantören, som Personuppgiftsbiträde för Personuppgiftsansvarig, åtar sig samma skyldigheter som framgår av detta Biträdesavtal.
7.4 Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran översända en kopia på avtalet som undertecknats av både Personuppgiftsbiträdet och underleverantören.
7.5 Personuppgiftsbiträdet åtar sig att informera Personuppgiftsansvarige om eventuella planer på att upphöra att använda sig av en underleverantör.
8. Personuppgiftsincidenter
8.1 Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident.
8.2 Personuppgiftsbiträdet ska tillhandahålla stöd för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till personuppgifterna.
8.3 Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är behörig enligt gällande lag.
8.4 Personuppgiftsansvariges anmälan ska åtminstone redogöra för:
i) personuppgiftsincidentens art och, om möjligt, de kategorier och antalet registrerade som berörs samt kategorier och antalet personuppgifts poster som berörs
ii) förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas
iii) beskriva sannolika konsekvenserna av personuppgiftsincidenten
iv) beskriva de åtgärder som har vidtagits eller föreslagits samt åtgärder för för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
8.5 Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits.
8.6 Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den Personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.
9. Överföring av personuppgifter till tredje land
9.1 Personuppgiftsbiträdet ska tillse att personuppgifterna hanteras och lagras inom EU/ESS, om inte parterna kommer överens om något annat.
9.2 Personuppgiftsbiträdet äger endast rätt att överföra personuppgifter till tredje land, för exempelvis service, support, underhåll, utveckling, drift eller liknande hantering, om den Personuppgiftsansvarige godkänt sådan överföring och utfärdat särskilda instruktioner
(Bilaga 1).
9.3 Överföring till tredje land får endast ske om Dataskyddsförordningen (DSF) 2016/679 och annan relevant lagstiftning samt detta Biträdesavtal med tillhörande instruktioner är uppfyllda.
10. Ansvar för skada
10.1 Personuppgiftsbiträdet åtar sig att hålla Personuppgiftsansvarig skadeslös för materiell eller immateriell skada till följd av att Personuppgiftsansvarig är skyldig att utge skadestånd till någon enligt artikel 82 i Dataskyddsförordningen, om den Behandling av Personuppgifter som ligger till grund för skadestånds ersättningen har utförts av Personuppgiftsbiträdet eller ett underbiträde i strid med
Dataskyddslagstiftningen eller annan relevant lagstiftning på området, detta Biträdesavtal eller Personuppgiftsansvariges lagenliga anvisningar.
10.2 Personuppgiftsbiträdet åtar sig att även i övrigt hålla Personuppgiftsansvarig skadeslös för det fall Personuppgiftsansvarig drabbas av skada till följd av Personuppgiftsbiträde behandling av Personuppgifter i strid med detta Biträdesavtal.
10.3 Om Personuppgiftsansvarig får kännedom om omständighet som kan leda till skadestånd eller betalningsansvar för Personuppgiftsbiträde ska Personuppgiftsansvarig omedelbart informera Personuppgiftsbiträdet om förhållande och aktivt arbeta tillsammans med Personuppgiftsbiträdet för att förhindra och minimera sådant skadestånd eller betalningsansvar.
11. Kontaktperson
Parterna ska utse var sin kontaktperson med ansvar för parternas samarbete. Ändring av kontaktperson eller kontaktuppgifter ska skriftligen meddelas den andra parten.
12. Överlåtelse av Biträdesavtalet
12.1 Detta Biträdesavtal får inte överlåtas utan den andra partens föregående godkännande.
12.2 Personuppgiftsansvarig har rätt att häva detta Biträdesavtalet med omedelbar verkan om en icke godkänd överlåtelse sker och har rätt till skadestånd för eventuellt fördyrade kostnader till följd av att Biträdesavtalet hävs.
13. Övrigt
13.1 Ändringar eller tillägg till detta Biträdesavtal ska göras skriftligen och undertecknas av båda parterna för giltighet.
13.2 Reglering av ersättning med anledning av detta Biträdesavtal och de eventuella merkostnader Personuppgiftsbiträdet har för att fullgöra sina skyldigheter enligt detta Biträdesavtal regleras av huvudavtalet.
14. Tvister och tillämplig lag
Om tvist uppstår inom ramen för detta Biträdesavtal skall den i första hand lösas av parterna. I andra hand skall tvist avgöras genom svensk domstol med Stockholms tingsrätt som första instans enligt svensk rätt.
Avtalet har upprättats i två (2) exemplar varav parterna har tagit var sitt.
Behörig firmatecknare för Behörig firmatecknare för
Personuppgiftsansvarig Personuppgiftsbiträdet
Ort och datum Ort och datum
Underskrift Underskrift
Namnförtydligande Namnförtydligande
Bilaga 1 – Instruktion för hantering av Personuppgifter
Varje företag bör inventera och dokumentera vilka personuppgifter hanteras, hur de samlas in och till vem uppgifterna lämnas ut.
Utöver vad som redan framgår av detta Biträdesavtal ska Personuppgiftsbiträdet följa nedanstående instruktioner:
1. Ändamål
- Beskriv kortfattat syftet med de personuppgifter som Personuppgiftsbiträdet kommer behandla.
- Beskriv var informationen kommer lagras.
Exempel:
- Samtliga personuppgifter i systemet i supportsyfte och för tekniskt underhåll och säkerhetskopiering.
- Informationen lagras i [Land Xxx]
2. Behandlingen omfattar följande typer av personuppgifter
- Förekommer särskilt känsliga personuppgifter och vilka?
Som särskilda kategorier av personuppgifter räknas:
- uppgifter som avslöjar ras eller etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse eller - medlemskap i fackförening
- behandling av genetiska uppgifter
- biometriska uppgifter för att entydigt identifiera en fysisk person
- uppgifter om hälsa eller
- uppgifter om en fysisk persons sexualliv eller sexuella läggning
Det finns även liknande restriktioner för behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder (artikel 10).
- Ange vilka personuppgifter Personuppgiftsbiträdet kommer ha åtkomst till.
Exempel:
- Personuppgifter i systemet utgörs av: Användarnamn Personnummer Xxx Xxx
-Personuppgiftsbiträdet ansvarar också för att via teknisk integration föra över följande uppgifter till system Y Xxx Xxx xxx
3. Behandlingen omfattar kategorier av registrerade personer
Ange vilka kategorier av registrerade vars uppgifter Personuppgiftsbiträdet har åtkomst till eller kommer behandla.
Exempel: kunder, anställda, konsulter
4.Ange särskilda hanteringskrav vad gäller personuppgiftsbehandlingen som utförs av Personuppgiftsbiträdet.
Lägg till förtydligande beskrivningar i förekommande fall till exempel avseende gallring.
Exempel 1:
- Personuppgifter ska gallras efter Xxx år.
- Säkerhetskopior får inte sparas längre än Xxx år
- Personuppgiftsbiträdet får endast publicera information på webbplats Xxx som innehåller förnamn.
Exempel 2: Se huvudavtal rubrik x.x
5. Ange särskilda tekniska skyddsåtgärder vad gäller personuppgiftsbehandlingen
Lägg till förtydligande beskrivningar i förekommande fall.
Exempel 1: Leverantören ska uppfylla de krav som anges utifrån Personuppgiftsansvariges informationsklassning samt redovisa status för dessa på begäran.
Exempel 2: Se huvudavtal rubrik x x
6. Ange särskilda loggnings krav vad gäller personuppgiftsbehandlingen samt vilka som ska tillgång till dem.
Exempel 1:
Av loggar ska framgå: historik över förändring av ett betyg för enskild elev samt vem som genomfört förändringen
Exempel 2:
Inga särskilda krav utöver vad som framgår av huvudavtalet.
7. Överföring av personuppgifter till tredje land
En särskild dokumentation krävs
Exempel 1:
Endast personuppgifter om personal, konsulter relaterade till supportärenden i form av kontaktuppgifter (namn, telefonnummer och e-postadress) får föras över till Personuppgiftsbiträdets underleverantör (se bilaga 2).
Exempel 2:
Följande personuppgifter överförs till tredje land: användarens förnamn, adress, telefonnr.
8. Övriga instruktioner angående Personuppgiftshanteringen som utförs av Personuppgiftsbiträdet
Exempel :
-Upprätta fjärråtkomst till den Personuppgiftsansvariges system för att undersöka och åtgärda tekniska problem.
9.Ange kategorier av mottagare av personuppgifterna internt och externt
Exempel: Kunder, Skatteverket, mottagare internt i den egna organisationen
Bilaga 2 - Lista över underbiträden
Specificera för varje enskilt Underbiträde följande uppgifter: