Personuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal
1 Parter
Xxxxxxx Xxxxxx 2017-9-12 10:37
Borttagen: :
Detta avtal har dagen för undertecknanden ingåtts mellan parterna;
Personuppgiftsansvarig (PuA): | Personuppgiftsbiträde (PuB) | |
2 Bakgrund och syfte
2.1 Personuppgiftsansvarige är ”xxxxxxx” för vilken behandling av personuppgifter utgör ”xxxxx”.
2.2 Personuppgiftsbiträdet är ägare att ” systemet, xxx och behandlingen av uppgifter utgörs av att tillhandahålla programvara/system/molntjänst och/eller support?? ”
2.3 Enligt Gällande dataskyddsregler ska all behandling av personuppgifter utförd av ett Personuppgiftsbiträde för Personuppgiftsansvariges räkning regleras genom avtal. Parterna har överenskommit att i detta Biträdesavtal reglera behandlingen av personuppgifter enligt nedan.
2.4 Avtalet gäller all personuppgiftsbehandling som Personuppgiftsbiträdet utför för Personuppgiftsansvariges räkning.
2.5 Mellan den Personuppgiftsansvarige och Personuppgiftsbiträdet har ett avtal avseende ” xxxxxxxxxxxxxxxxxxxxxxxxxxx” (Tjänsteavtalet) upprättats. Tjänsteavtalet är det avtal som reglerar vad Personuppgiftsbiträdet ska utföra för den Personuppgiftsansvariges räkning. Personuppgiftsbiträdet behandlar personuppgifter i den omfattning som krävs för att uppfylla åtagandena enligt Tjänsteavtalet.
3 Definitioner
3.1 I den mån Personuppgiftslagen 1998:204 (”PuL”), eller Europaparlamentets och rådets förordning (EU) 2016/679 (”Dataskyddsförordningen”), innehåller begrepp som motsvarar de som används i detta avtal ska sådana begrepp tolkas och tillämpas i enlighet med PuL eller efter den 25 maj 2018, Dataskyddsförordningen.
3.2 Gällande dataskyddsregler, avser rådets direktiv 95/46/EG, införd i svensk rätt genom personuppgiftslagen (1998:204) och personuppgiftsförordningen (1998:1191) samt Europaparlamentets och rådets förordning (EU) 2016/679 (”Dataskyddsförordningen”), med tillhörande genomförande författningar. I händelse av konflikt mellan ovan nämnda författningar ska dataskyddsförordningen från och med den 25 maj 2018 ha företräde.
3.3 Behandling, avser den åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
3.4 Personuppgifter, avser varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer
Region Västerbotten
Xxx 000, X.Xxxxxxxxxxxxxx 00, 000 00 Xxxx
Organisationsnummer: 222000-2436
Tel: 000-00 00 00, fax 000-00 00 00
E-post: xxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxxxx.xx Webbplats: xxx.xxxxxxxxxxxxxxxxxx.xx
som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
3.5 Personuppgiftsincident, avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats och i övrigt behandlas.
3.6 Standardavtalsvillkor, avser villkor för skydd av personuppgifter överförda till tredje land i enlighet med Europeiska kommissionens beslut C(2010)593 av den 5 februari 2010 eller motsvarande villkor som ersätter dessa.
3.7 Underbiträde, avser sådant Personuppgiftsbiträde som anlitas av det Personuppgiftsbiträde som är Part i detta Biträdesavtal och som behandlar personuppgifter för Personuppgiftsansvariges räkning.
3.8 Personuppgiftsansvarig avser den som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
3.9 Personuppgiftsbiträde avser den som behandlar personuppgifter för den Personuppgiftsansvariges räkning.
4 Personuppgiftsansvariges ansvar
4.1 Personuppgiftsansvarige är skyldig att under detta Biträdesavtal säkerställa att behandlingen av personuppgifter är laglig enligt Gällande dataskyddsregler.
4.2 Personuppgiftsansvarige får endast tillhandahålla Personuppgiftsbiträdet sådana personuppgifter som är nödvändiga för ändamålet med behandlingen.
4.3 Personuppgiftsansvarige ska tillhandhålla Personuppgiftsbiträdet dokumenterade instruktioner och övriga anvisningar avseende ändamålet, omfattningen, arten och varaktigheten av behandlingen samt kategorier av registrerade i den utsträckning som är nödvändig för att Personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt detta Biträdesavtal och Gällande dataskyddsregler.
5 Behandling av personuppgifter
5.1 De personuppgifter som Personuppgiftsbiträdet har åtkomst till får endast behandlas i enlighet med detta Biträdesavtal och Gällande dataskyddsregler.
5.2 Personuppgiftsbiträdet får endast behandla personuppgifter i enlighet med Personuppgiftsansvariges dokumenterade instruktioner enligt detta avtal och huvudavtalet, innefattandes från tid till annan gjorda ändringar och tillägg, samt enligt tjänsteavtalet, såvida inte Personuppgiftsbiträdet är skyldig enligt författning att behandla personuppgifterna för annat ändamål eller på annat sätt.
5.3 Har Personuppgiftsansvarige lämnat ofullständiga eller felaktiga instruktioner ska Personuppgiftsbiträdet omgående påtala detta för Personuppgiftsansvarige.
5.4 Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarige när denne anser att en behandling strider mot gällande dataskyddsregler eller annan tillämplig lag och därefter invänta Personuppgiftsansvariges anvisningar. Vad som anges ovan gäller endast om Personuppgiftsbiträdet inte är förhindrad att på andra grunder lämna sådan underrättelse.
5.5 Personuppgiftsbiträdet ska utan oskäligt dröjsmål bistå den personuppgiftsansvarige vid en begäran om ändring, radering, begränsning eller överföring av nämnda personuppgifter. Har Personuppgiftsansvarige raderat, eller anvisat Personuppgiftsbiträdet om radering, ska den senare vidta sådana åtgärder som krävs för att personuppgiften inte ska kunna återskapas.
5.6 För det fall myndighet eller annan tredje man begär ut information från Personuppgiftsbiträdet som rör personuppgiftsbehandlingen ska Personuppgiftsbiträdet utan dröjsmål vidarebefordra sådan framställan till Personuppgiftsansvarig. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för dennes räkning gentemot tredje man.
5.7 Personuppgiftsbiträdet ska upprätthålla ett register över all personuppgiftsbehandling som sker på uppdrag av Personuppgiftsansvarige, samt att på Personuppgiftsansvariges eller behörig
Region Västerbotten
Xxx 000, X.Xxxxxxxxxxxxxx 00, 000 00 Xxxx
Organisationsnummer: 222000-2436
Tel: 000-00 00 00, fax 000-00 00 00
E-post: xxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxxxx.xx Webbplats: xxx.xxxxxxxxxxxxxxxxxx.xx
tillsynsmyndighets uttryckliga begäran överlämna ett läsbart registerutdrag omfattandes, till ett minimum, uppgifter om:
• namn och kontaktuppgifter hos Personuppgiftsbiträdet och i förekommande fall namn och kontaktuppgifter hos sådana företrädare som Personuppgiftsbiträdet anlitar, dennes dataskyddsombud och i förekommande fall anlitade av Underbiträden,
• den faktiska behandlingen som utförs av Personuppgiftsbiträdet på Personuppgiftsansvariges uppdrag,
• typen av personuppgifter och i förekommande fall särskilda kategorier,
• i förekommande fall, överföring av personuppgifter till tredje land, det tredje land där data behandlas samt vilka adekvata skyddsåtgärder som vidtagits och
• en beskrivning av vilka tekniska och organisatoriska åtgärder som vidtagits för att upprätthålla en lämplig skyddsnivå
6 Kapacitet och förmåga
6.1 Personuppgiftsbiträdet garanterar att denne besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt detta Biträdesavtal och Gällande dataskyddsregler.
6.2 Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran styrka att de skyldigheter som framgår av detta Biträdesavtal och Gällande dataskyddsregler uppfylls genom att tillhandahålla relevant dokumentation, hänvisa till relevant och godkänd uppförandekod eller certifiering, möjliggöra och bidra till granskningar och inspektioner och/eller tillhandahålla Personuppgiftsansvarige annan adekvat bevisning.
6.3 Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran, utan oskäligt dröjsmål ge denne, eller en oberoende tredjeman som denne anlitat, tillgång till sådana upplysningar och handlingar som är nödvändiga för att Personuppgiftsansvarige ska kunna utöva en effektiv kontroll av Personuppgiftsbiträdets åtgärder enligt detta Biträdesavtal eller Gällande dataskyddsregler.
6.4 Utan hinder av punkten 6.3 är Personuppgiftsbiträdet endast skyldig att bevilja Personuppgiftsansvarige, eller oberoende tredjeman som denne anlitat, tillgång till lokaler och utrustning för inspektion om det kan ske utan säkerhets- eller integritetsrisker eller om sådana inspektioner är nödvändiga för att fullgöra en rättslig förpliktelse.
6.5 Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska Personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt
• pseudonymisering och kryptering av personuppgifter,
• förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och tjänsterna,
• förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
• ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
7 Säkerhet och sekretess
7.1 Personuppgiftsbiträdet förbinder sig att inte till tredje man lämna ut eller annars röja information om behandling av personuppgifter som omfattas av detta avtal eller annan information som Personuppgiftsbiträdet erhållit till följd därav. Personuppgiftsbiträdet får inte utnyttja eller behandla
Region Västerbotten
Xxx 000, X.Xxxxxxxxxxxxxx 00, 000 00 Xxxx
Organisationsnummer: 222000-2436
Tel: 000-00 00 00, fax 000-00 00 00
E-post: xxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxxxx.xx Webbplats: xxx.xxxxxxxxxxxxxxxxxx.xx
personuppgifter för egna eller några andra ändamål än de som denne har anlitats för av Personuppgiftsansvarig.
7.2 Åtagandet i punkten 7.1 gäller inte beträffande
a) Sådan behandling som part är skyldig att utföra enligt tillämpliga rättsliga krav
b) Information som part kan visa var allmänt känd vid tidpunkt för mottagandet eller,
c) Information som part enligt tillämpliga rättsliga krav är skyldig att utlämna eller föreläggs att utge till myndighet eller annan enligt tillämpliga rättsliga krav.
7.3 Personuppgiftsbiträdet ska tillse att samtliga anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar personuppgifterna är bundna av ett ändamålsenligt sekretessavtal jämte sekretesserinran och upplysts om att särskild tystnadsplikt föreligger enligt avtal eller gällande rätt samt att de är informerade om hur behandling av personuppgifterna får ske. Personuppgiftsbiträdet ansvarar för att de personer som har åtkomst till personuppgifterna är informerade om hur de får behandla personuppgifterna i enlighet med instruktioner från Personuppgiftsansvarig.
7.4 Åtagandena enligt ovanstående punkter 7.1, 7.2 samt 7.3 gäller även under tid efter det att Personuppgiftsbiträdesavtalet i övrigt upphört att gälla, dock längst till och med sådan tidpunkt som gäller enligt särskilda rättsliga krav.
7.5 Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder begränsa tillgången till personuppgifterna och endast ge behörighet till sådan personal som behöver ha tillgång till personuppgifterna för att fullgöra sina åtaganden enligt detta Biträdesavtal, samt att tillse att sådan personal har erforderlig utbildning och i tillräcklig mån har instruerats att hantera personuppgifterna på ett ändamålsenligt och säkert sätt.
7.6 För det fall Personuppgiftsbiträdet misstänker alternativt upptäcker någon personuppgiftsincident, eller om Personuppgiftsbiträdet av någon annan anledning inte kan uppfylla åtaganden i detta personuppgiftsbiträdesavtal, ska Personuppgiftsbiträdet omedelbart undersöka incidenten och vidta lämpliga åtgärder för att hantera incidenten och förhindra en upprepning samt snarast tillhandahålla Personuppgiftsansvarig en beskrivning av incidenten. Beskrivning av incidenten ska åtminstone
• beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
• förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,
• beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
• beskriva de åtgärder som den Personuppgiftsbiträdet har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
8 Samverkan
8.1 Personuppgiftsbiträdet ska på Personuppgiftsansvariges förfrågan bistå denne att fullgöra sina skyldigheter enligt Gällande dataskyddsregler, såsom utförandet av konsekvensbedömningar avseende dataskydd, utformningen av lämpliga tekniska och organisatoriska åtgärder för inbyggt dataskydd, förhandssamråd med behörig tillsynsmyndighet samt medverka till utredning av inträffade personuppgiftsincidenter. Såvida Parterna inte kommit överens om annat ska sådant bistånd som avses i detta stycke inte ge Personuppgiftsbiträdet rätt till särskild ersättning.
8.2 Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarige om denne kontaktas av behörig tillsynsmyndighet eller annan tredje part i syfte att få tillgång till personuppgifter som Peronuppgiftsbiträdet, eller i förekommande fall Underbiträdet, har i sin besittning.
Region Västerbotten
Xxx 000, X.Xxxxxxxxxxxxxx 00, 000 00 Xxxx
Organisationsnummer: 222000-2436
Tel: 000-00 00 00, fax 000-00 00 00
E-post: xxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxxxx.xx Webbplats: xxx.xxxxxxxxxxxxxxxxxx.xx
8.3 Personuppgiftsbiträdet ska skriftligen innan en planerad ändring av behandlingsförfarandet, däribland tekniska och organisatoriska ändringar som kan påverka skyddet av personuppgifterna och Personuppgiftsbiträdets efterlevnad av Gällande dataskyddsregler, informera Personuppgiftsansvarige. Innan sådana ändringar genomförs ska Personuppgiftsansvarige lämna sitt samtycke, vilket inte skäligen ska förvägras.
9 Anlitande av underbiträden
9.1 Personuppgiftsansvarige ger Personuppgiftsbiträdet ett allmänt tillstånd att överföra eller på annat sätt överlåta behandlingen av personuppgifterna till ett Underbiträde. En sådan överlåtelse sker alltid på Personuppgiftsbiträdets egen risk och medför inga ändringar i den ansvarsfördelning som gäller mellan Parterna i detta Biträdesavtal.
9.2 Om Personuppgiftsbiträdet anlitar Underbiträde, har Personuppgiftsbiträdet mandat och skyldighet att ingå särskilt Personuppgiftsbiträdesavtal med sådant Underbiträde vad avser Underbiträdets behandling av personuppgifter. I sådant avtal ska föreskrivas att Underbiträdet har motsvarande skyldigheter som Personuppgiftsbiträdet har enligt detta avtal.
9.3 I den mån Personuppgiftsbiträdet anlitar nya Underbiträden, ska dessa skriftligen meddelas till Personuppgiftsansvarig om inte annat skriftligen avtalats mellan parterna.
10 Överföring av uppgifter till tredje land
10.1 Personuppgiftsbiträdet får inte utan Personuppgiftsansvariges skriftliga samtycke i förväg, och utan att säkerställa att sådan överföring sker i överensstämmelse med tillämplig lagstiftning, överföra några personuppgifter till land utanför EES-området eller till land som inte omfattas av undantagen till förbud mot överföring till tredje land enligt Gällande Dataskyddsregler. För undvikande av missförstånd omfattar detta förbud även teknisk support, underhåll och liknande tjänster.
10.2 I fall där Personuppgiftsbiträdet i samband med behandlingen överför personuppgifter till ett land utanför Europeiska Ekonomiska Samarbetet (”EES”) och som av Europeiska kommissionen inte anses uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Parterna ingå ett tilläggsavtal baserad på Standardavtalsvillkor. Har Personuppgiftsbiträdet anlitat ett Underbiträde med innebörden att personuppgifter överförs till ett land utanför EES som Europeiska kommissionen inte anser uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Personuppgiftsbiträdet och Underbiträdet ingå ett tilläggsavtal baserad på Standardavtalsvillkor. I förekommande fall ska Personuppgiftsbiträdet på begäran tillhandahålla Personuppgiftsansvarige en underskriven kopia av ett sådant tilläggsavtal som avses ovan. I händelse av konflikt mellan detta Biträdesavtal och Standardavtalsklausuler har de senare företräde.
11 Ansvar för skada
11.1 Har en registrerad person eller tredje man riktat anspråk mot Personuppgiftsansvarige på ersättning för skada eller om en behörig myndighet utfärdar vite, sanktionsavgift eller andra administrativa påföljder med anledning av personuppgiftsbehandling i strid med Personuppgiftsansvariges instruktioner, detta Biträdesavtal eller Gällande dataskyddsregler ska Personuppgiftsbiträdet hålla Personuppgiftsansvarige skadeslös. Har en registrerad person eller tredje man riktat anspråk mot Personuppgiftsbiträdet på ersättning för skada eller om en behörig myndighet utfärdar vite, sanktionsavgift eller andra administrativa påföljder med anledning av Personuppgiftsansvariges underlåtenhet att tillgodose lagligheten av behandlingen enligt Gällande dataskyddsregler ska Personuppgiftsansvarige hålla Personuppgiftsbiträdet skadeslös.
Region Västerbotten
Xxx 000, X.Xxxxxxxxxxxxxx 00, 000 00 Xxxx
Organisationsnummer: 222000-2436
Tel: 000-00 00 00, fax 000-00 00 00
E-post: xxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxxxx.xx Webbplats: xxx.xxxxxxxxxxxxxxxxxx.xx
12 Ersättning
12.1 Personuppgiftsbiträdet har inte rätt till särskild ersättning för behandling av personuppgifter under detta avtal.
13 Avtalstid
13.1 Detta Biträdesavtal är giltigt tills Personuppgiftsbiträdets behandling av personuppgifterna upphör eller ersätts av ett annat personuppgiftsbiträdesavtal.
13.2 Personuppgiftsbiträdet ska vid avslutad behandling återlämna personuppgifterna i ett allmänt och läsbart format till Personuppgiftsansvarige och därefter radera personuppgifterna från sådana system eller lagringsmedia som använts vid behandlingen, såvida inte detta är oförenligt med annan tvingande lag.
14 Tvister och tillämplig lag
14.1 Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt. Tvister till följd av tolkningen och tillämpningen av detta Biträdesavtal ska slutligen lösas i allmän domstol där Personuppgiftsansvarige har sin hemvist.
15 Underrättelser
Alla underrättelser enligt detta Biträdesavtal ska ske skriftligen, ställda till följande kontaktpersoner hos respektive Part.
För Personuppgiftsansvarige: xxxxxxxxxxxxxxx För Personuppgiftsbiträdet: xxxxxxxxxxxxxx
Vid inträffad eller befarad personuppgiftsincident enligt 7.3 ska Personuppgiftsbiträdet rapportera denna snarast till xxxxxxxxxxxxxx
Detta avtal har upprättats i två exemplar varav parterna har tagit varsitt
Namnförtydligande
Namn, datum
För Personuppgiftsbiträdet (PuB)
Namnförtydligande
Namn, datum
För Personuppgiftsansvarig (PuA)
Region Västerbotten
Xxx 000, X.Xxxxxxxxxxxxxx 00, 000 00 Xxxx
Organisationsnummer: 222000-2436
Tel: 000-00 00 00, fax 000-00 00 00
E-post: xxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxxxx.xx Webbplats: xxx.xxxxxxxxxxxxxxxxxx.xx