ANVISNING: Denna handling innehåller avtalsvillkor som kan införas i ett avtal mellan Beställaren och Serviceproducenten när Serviceproducenten behandlar Beställarens personuppgifter på Beställarens vägnar. Utöver avtalsvillkoren kan parterna till...

Villkor för behandling av personuppgifter Version 4 Mars 2018 1 (8)


ANVISNING:

Denna handling innehåller avtalsvillkor som kan införas i ett avtal mellan Beställaren och Serviceproducenten när Serviceproducenten behandlar Beställarens personuppgifter på Beställarens vägnar. Utöver avtalsvillkoren kan parterna till avtalet foga de villkor för behandling av personuppgifter som nämns nedan. Till avtalet är det också bra att foga en handling där det tydligt framgår vilka personuppgifter som behandlas, på vilket sätt och för vilket ändamål. Enligt artikel 28 i EU:s allmänna dataskyddsförordning ska behandlingen av personuppgifter regleras genom en bindande handling där föremålet för behandlingen, behandlingens ändamål, art och varaktighet, typen av personuppgifter och kategorier av registrerade anges. Avlägsna denna anvisning när du finslipar dokumentet.


Del I: Avtalsvillkor [Inför dessa villkor i tillämpliga delar i avtalet]:


Serviceproducenten följer den gällande dataskyddslagstiftningens förfaranden och bestämmelser om behandling och skydd av personuppgifter. Serviceproducenten svarar för att tjänsten följer kraven i den gällande dataskyddslagstiftningen och i avtalet, med särskild hänsyn till vad som bestäms om inbyggt dataskydd och dataskydd som standard.


Det är Beställaren som är personuppgiftsansvarig. Serviceproducenten följer i egenskap av personuppgiftsbiträde de villkor för behandling av personuppgifter som utgör bilaga till detta avtal.


[Villkor om ansvarsbegränsning] Om en avtalspart har betalat den registrerade ersättning för skada på grund av brott mot dataskyddslagstiftningen, har avtalsparten rätt att utan begränsning av avtalade ansvarsbegränsningar hos en annan avtalspart som deltagit i samma databehandling ta ut en andel av den ersättning som betalats till den registrerade som motsvarar avtalspartens skadeståndsansvar. Avtalsparternas ansvar för skada som orsakats den registrerade bestäms enligt artikel 82 4 punkten i EU:s allmänna dataskyddsförordning eller motsvarande bestämmelse i den övriga dataskyddslagstiftningen.




Del II: Villkor för behandling av personuppgifter


ANVISNING: Kontrollera villkoren i dessa anvisningar samt de bestämmelser och bilagor i Avtalet som det hänvisas till här. När kraven specificeras beakta då de förpliktelser som åläggs Serviceproducenten och som kan orsaka tilläggskostnader under avtalsperioden. Ändra villkoren vid behov innan de ansluts till anbudsförfrågan. Avlägsna denna anvisning.


  1. Allmänt


    1. Denna avtalsbilaga, ”Villkor för behandling av personuppgifter”, är en del av avtal ____ (Dnr _____), nedan ”Avtalet”, som Beställaren har ingått med Serviceproducenten.


    1. I denna bilaga fastställs de avtalsvillkor för behandling av personuppgifter och dataskydd som binder Beställaren och Serviceproducenten och enligt vilka Serviceproducenten på Beställarens uppdrag behandlar personuppgifter på Beställarens vägnar. För de Serviceproducentens åtgärder och skyldigheter som beskrivs i dessa villkor betalas ingen separat ersättning, om inte något annat avtalas i dessa villkor.


  1. Parternas roller vid behandling av personuppgifter


    1. När personuppgifter behandlas är det Beställaren som är personuppgiftsansvarig och Serviceproducenten som är personuppgiftsbiträde, om inte annat följer av ändamålet med behandlingen. Med ”Beställarens personuppgifter” avses i dessa villkor personuppgifter som Beställaren ansvarar för som personuppgiftsansvarig.


    1. Föremålet för behandlingen av personuppgifter, behandlingens art och ändamål, typer av personuppgifter och kategorier av registrerade samt den personuppgiftsansvariges och personuppgiftsbiträdets skyldigheter och rättigheter beskrivs i Beskrivning av behandlingsåtgärder i bilaga 1 till dessa villkor eller i Beställarens övriga anvisningar. Serviceproducenten förbinder sig att iaktta villkoren och beskrivningarna i Avtalet, beskrivningen av behandlingsåtgärderna och anvisningarna. Beställaren ansvarar för att anvisningarna uppdateras och hålls tillgängliga.


    1. Om det inte har gjorts någon beskrivning av behandlingsåtgärderna enligt punkt 2.2. eller om beskrivningen är bristfällig, utarbetar Beställaren en beskrivning eller kompletterar vid behov den befintliga i samarbete med Serviceproducenten.





  1. Serviceproducentens allmänna skyldigheter

    1. Serviceproducenten ska behandla personuppgifter i enlighet med Avtalet och Beställarens anvisningar. Om Personuppgiftsbiträdet är en grupp, gäller skyldigheterna i denna avtalsbilaga samtliga medlemmar i gruppen och de underleverantörer som gruppen anlitar och som deltar i behandlingen av personuppgifter.


    1. Serviceproducenten ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen av Beställarens personuppgifter sker i enlighet med avtalade krav och förfaranden. Syftet med åtgärderna är att säkerställa konfidentialiteten, integriteten, tillgängligheten och motståndskraften hos behandlingssystemen och tjänsterna och att personuppgifter behandlas på ett lagligt sätt.


    1. Serviceproducenten får inte behandla eller på annat sätt utnyttja de personuppgifter som Serviceproducenten behandlar på basis av avtalet i något annat än det syfte som är förenligt med avtalet och även då endast i den omfattning som syftet kräver.

    1. Serviceproducenten ska utse ett dataskyddsombud eller en kontaktperson som ansvarar för dataskyddet för förfrågningar gällande Beställarens personuppgifter. Serviceproducenten ska skriftligt meddela Beställaren kontaktinformationen för dataskyddsombudet eller kontaktpersonen.


    1. Serviceproducenten ska på begäran ge Beställaren tillgång till all information som Beställaren behöver för att visa att de skyldigheter som fastställs för den personuppgiftsansvarige och Serviceproducenten har fullgjorts. Serviceproducenten ska på begäran på avtalat sätt delta i utarbetandet och upprätthållandet av beskrivningar och övriga handlingar som Beställaren ansvarar för, till exempel konsekvensbedömningar, samt i genomförandet av förhandssamråd enligt dataskyddsförordningen. Serviceproducenten genomför dessa uppgifter till priser enligt avtalet, om inte annat avtalas.


    1. Serviceproducenten ska utan dröjsmål informera Beställaren om alla registrerades begäranden som gäller den registrerades rättigheter. Serviceproducenten besvarar inte själv dessa begäranden. Serviceproducenten bistår Beställaren så att denne kan uppfylla sin skyldighet att besvara begärandena. Dessa kan förutsätta att Serviceproducenten exempelvis hjälper till med att informera och kommunicera med den registrerade, tillgodose den registrerades rätt att få tillgång till uppgifter, rätta eller radera personuppgifter, begränsa behandlingen av personuppgifter eller överföra den registrerades egna personuppgifter från ett system till ett annat. Om inget annat har avtalats, har Serviceproducenten rätt att fakturera Beställaren enligt priser som anges i avtalet, om biståendet orsakar tilläggskostnader för Serviceproducenten. Serviceproducenten är skyldig att på förhand informera Beställaren om eventuella tilläggskostnader.


    1. Serviceproducenten ska möjliggöra och bidra till granskningar som genomförs av Beställaren eller av en revisor som bemyndigats av Beställaren. Närmare villkor för inspektionsförfarandet finns i avtalet.



  1. Beställarens anvisningar


    1. Serviceproducenten ska vid behandlingen av Beställarens personuppgifter följa villkoren i avtalet och i dessa särskilda villkor samt Beställarens skriftliga anvisningar. Beställaren ansvarar för att anvisningarna uppdateras och hålls tillgängliga. Serviceproducenten informerar Beställaren utan onödigt dröjsmål om Beställarens anvisningar är bristfälliga eller om Serviceproducenten misstänker att de är lagstridiga.


    1. Beställaren har rätt att ändra, komplettera och uppdatera de anvisningar om behandling av personuppgifter och dataskydd som Beställaren gett Serviceproducenten. Om ändringar i anvisningarna orsakar större än ringa förändringar i avtalade tjänster, avtalar parterna om verkningarna genom ett förfarande för ändringshantering enligt avtalet.


  1. Servicepersonal

    1. Serviceproducenten säkerställer att alla personer under dess överinseende med behörighet att behandla Beställarens personuppgifter har åtagit sig att iaktta avtalade sekretessvillkor eller omfattas av lagstadgad tystnadsplikt.


    1. Serviceproducenten säkerställer att varje person som utför arbete under Serviceproducentens överinseende och som har tillgång till Beställarens personuppgifter är medveten om sina skyldigheter i anknytning till behandlingen av personuppgifter och behandlar uppgifterna endast i enlighet med avtalet, dessa särskilda villkor och Beställarens anvisningar.

  1. Underleverantörer som behandlar personuppgifter


    1. I den mån som Serviceproducenten i sin verksamhet anlitar underleverantörer som behandlar personuppgifter tillämpas utöver Avtalet också villkoren i denna avtalsbilaga på underentreprenaden.


    1. Om Serviceproducenten anlitar en underleverantör som behandlar Beställarens personuppgifter kräver detta ett skriftligt tillstånd av Beställaren på förhand.


    1. Serviceproducenten ingår med underleverantören ett skriftligt avtal där Serviceproducenten ålägger underleverantören att för sin del följa de förpliktelser som avtalet påför Serviceproducenten samt Beställarens gällande anvisningar för behandling av personuppgifter. Serviceproducenten säkerställer att Beställarens inspektionsrätt enligt avtalet kan utsträckas till att också gälla underleverantören.


    1. Serviceproducenten svarar för underleverantörens andel på samma sätt som för sin egen andel. Serviceproducenten svarar för att underleverantören följer de förpliktelser som gäller för personuppgiftsbiträdet. Om Beställaren av grundad anledning anser att Serviceproducentens underleverantör inte fullgör sina dataskyddsskyldigheter, har Beställaren rätt att kräva att Serviceproducenten byter underleverantör.



    1. Beställaren ska informeras på förhand om byte av en underleverantör som deltar i behandlingen av personuppgifter. I meddelandet ska det beskrivas på vilket sätt underleverantören behandlar Beställarens personuppgifter i enlighet med dataskyddslagstiftningen. Beställaren har rätt att av grundad anledning motsätta sig anlitandet av en föreslagen underleverantör.


  1. Plats för servicen


    1. Om inget annat har avtalats om var tjänsten produceras, har Serviceproducenten rätt att behandla Beställarens personuppgifter endast inom Europeiska ekonomiska samarbetsområdet. Det som avtalas om behandling av personuppgifter i avtalet och dessa särskilda villkor gäller även situationer där tillgång till Beställarens personuppgifter ges till exempel via en hanterings- eller övervakningsförbindelse.


    1. Om avtalsparterna kommer överens om att Serviceproducenten får överföra Beställarens personuppgifter utanför Europeiska ekonomiska samarbetsområdet, sörjer avtalsparterna för att överföringen sker lagenligt.


  1. Personuppgiftsincidenter


    1. Serviceproducenten ska skriftligt anmäla en personuppgiftsincident till Beställaren utan onödigt dröjsmål efter att ha fått vetskap om den. Serviceproducenten förbinder sig också att utan onödigt dröjsmål informera Beställaren om övriga störningar eller problem i tjänsten, om störningen eller problemet kan påverka de registrerades ställning och rättigheter.


    1. Serviceproducenten ska ge Beställaren åtminstone följande uppgifter om personuppgiftsincidenten:


i. en beskrivning av personuppgiftsincidentens art, inbegripet de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs, med den exakthet dessa uppgifter finns tillgängliga;

ii. namnet på och kontaktuppgifterna för dataskyddsombudet eller en annan ansvarig person hos vilken mer information kan erhållas;

iii. en beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten och

iv. en beskrivning av de åtgärder som Serviceproducenten föreslår eller redan har vidtagit för att åtgärda personuppgiftsincidenten, samt, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

    1. Efter att ha uppdagat personuppgiftsincidenten ska Serviceproducenten omedelbart vidta avtalade åtgärder för att undanröja incidenten samt begränsa och avhjälpa dess konsekvenser.




  1. Behandlingen av personuppgifter upphör


    1. Under avtalsperioden får Serviceproducenten inte avlägsna personuppgifter som Serviceproducenten behandlat för Beställarens räkning utan Beställarens uttryckliga begäran.


    1. När ett avtal upphör att gälla eller upphävs återlämnar Serviceproducenten alla de personuppgifter som behandlats på Beställarens vägnar till Beställaren och förstör eventuella kopior av uppgifterna ur sina register, om inte något annat avtalats. Uppgifterna får inte avlägsnas om det i lagstiftningen eller genom en myndighetsbestämmelse krävs att Serviceproducenten förvarar personuppgifterna.



Anvisning: Om Serviceproducenten är personuppgiftsbiträde för sådana personuppgifter för vilka Beställaren är personuppgiftsansvarig, ska denna bilaga fyllas i och fogas till villkoren för behandling av personuppgifter.

I denna bilaga specificeras de av Beställarens personuppgifter som Serviceproducenten behandlar för Beställarens räkning. Fyll i behövliga punkter och avlägsna till slut denna anvisning.


BESKRIVNING AV BEHANDLINGSÅTGÄRDER



  1. Parter

Beställare:

Serviceproducent:


  1. Handlingens syfte

Beställaren har med Serviceproducenten ingått ett Avtal om en tjänst där Serviceproducenten är personuppgiftsbiträde för personuppgifterna i ett personregister som upprätthålls av Beställaren.

I denna handling beskrivs de behandlingsåtgärder som Serviceproducenten vidtar som personuppgiftsbiträde på Beställarens vägnar, typen av personuppgifter och de personuppgifter som ska behandlas. Denna handling fogas som bilaga nr _____ till Avtal nr_______.

Vid behandling av personuppgifter ska Avtalet mellan Serviceproducenten och Beställaren samt Beställarens anvisningar följas.


  1. Typer av personuppgifter och kategorier av registrerade

Parterna har kommit överens om att Serviceproducenten behandlar följande personuppgifter i Kundens personregister på Beställarens vägnar i syfte att producera den tjänst som anges i Avtalet.

  • x [Anvisning: Ange här vilka kategorier av registrerade Serviceproducenten behandlar, t.ex. Beställarens anställda]

  • x [Anvisning: fyll i här vilka personuppgifter Serviceproducenten behandlar. T.ex. Den anställdes namn och användarnamn

  • x

  • x


  1. Behandlingens art och ändamål

Parterna har kommit överens om att Serviceproducenten...

Anvisning: ange här varför och hur Serviceproducenten behandlar personuppgifterna. Beställaren beställer till exempel installationstjänster för datorer av Serviceproducenten, och för det måste Serviceproducenten behandla uppgifterna om Kundens användare för att kunna slutföra den användarspecifika installationen av datorerna.


  1. Tiden för behandling av personuppgifter

Serviceproducenten behandlar personuppgifter som specificerats i denna bilaga under följande period: ______

Anvisning till Beställaren: ange här den tid under vilken personuppgifterna behandlas hos Serviceproducenten. Till exempel tiden för installation av vissa anordningar, varefter Serviceproducenten återlämnar/ förstör personuppgifterna. Eller alternativt avtalsperioden.






Document Metadata

Filed: May 5th, 2020