Personuppgiftsbiträdesavtal


Personuppgiftsbiträdesavtal


Användarorganisation Apoteksverksamhet

Detta avtal (”Personuppgiftsbiträdesavtalet”) har denna dag träffats mellan:


E-hälsomyndigheten

Användarorganisation:

Xxx.xx: 202100-6552

Xxx.xx:

Adress: Xxx 000

000 00 Xxxxxx

Adress:


Parterna benämns här nedan gemensamt ”Parterna” eller var för sig ”Part”.


1 Bakgrund och syfte


1.1. Parterna har ingått avtal avseende anslutning till E-hälsomyndigheten (nedan benämnt ”Huvudavtalet”). För Användarorganisationen gäller även E-hälsomyndighetens Allmänna villkor för Användarorganisationer (apoteksverksamhet). Huvudavtalet medför bl.a. att Användarorganisationen, för vissa och i detta avtal specificerade ändamål, behandlar personuppgifter för E-hälsomyndighetens räkning.


1.2. Detta Personuppgiftsbiträdesavtal utgör en bilaga till Huvudavtalet med syfte att reglera Parternas rättigheter och skyldigheter i samband med Användarorganisationens behandling av personuppgifter i egenskap av personuppgiftsbiträde, för de ändamål som anges nedan i punkt 2. Avsikten är att säkerställa att personuppgifterna behandlas i enlighet med Tillämplig Dataskyddslagstiftning samt Tillämpliga Registerförfattningar.


1.3. Med ”Tillämplig Dataskyddslagstiftning” avses de bestämmelser som följer av den allmänna dataskyddsförordningen (EU) 2016/679 (”EU:s dataskyddsförordning”), och eventuell senare lagstiftning som ersätter eller kompletterar dessa bestämmelser, samt behörig tillsynsmyndighets råd, föreskrifter och beslut som är tillämpliga på den behandling av personuppgifter som kommer att ske enligt detta Personuppgiftsbiträdesavtal.


Med ”Tillämpliga Registerförfattningar” avses lag (1996:1156) om receptregister och lag (2005:258) om läkemedelsförteckning, och efter den 1 juni 2020 lag (2018:1212) om nationell läkemedelslista samt eventuell senare lagstiftning som ersätter eller kompletterar dessa författningar.


1.4. I den mån bestämmelser i detta Personuppgiftsbiträdesavtal strider mot bestämmelserna i Huvudavtalet ska detta Personuppgiftsbiträdesavtal äga företräde, om inte annat uttryckligen framgår nedan. Huvudavtalet ska dock tillämpas om inget uttryckligen reglerats i detta Personuppgiftsbiträdesavtal.


1.5. Innebörden av begrepp som inte uttryckligen definieras i Huvudavtalet, E-hälsomyndighetens Allmänna villkor eller detta Personuppgiftsbiträdesavtal ska tolkas i enlighet med Tillämplig Dataskyddslagstiftning.


2 Personuppgiftsbehandlingens ändamål och omfattning


2.1. Huvudavtalet medför att Användarorganisationen behandlar personuppgifter för E-hälsomyndighetens räkning för följande ändamål:


(i) ändamålet att, i enlighet med Tillämpliga Registerförfattningar och instruktioner i E-hälsomyndighetens Handbok, förmedla direktåtkomst till personuppgifter ur

E-hälsomyndighetens Register åt sådana enskilda som begär att få åtkomst till personuppgifter om sig själv;


(ii) ändamålet att, i enlighet med Huvudavtalet och E-hälsomyndighetens Handbok, administrera fullmakter för registrering i E-hälsomyndighetens fullmaktsregister; samt


(iii)ändamålet att, på det sätt och i den utsträckning som följer av Huvudavtalet och instruktioner i E- hälsomyndighetens Handbok, inhämta samtycke samt informera enskilda, vars personuppgifter registreras i Registren, avseende E-hälsomyndighetens behandling av personuppgifterna.


2.2. De kategorier av registrerade och kategorier av personuppgifter som kan förekomma inom ramen för detta Personuppgiftsbiträdesavtal är de personuppgifter som finns samlade i Registren, vilka framgår av E- hälsomyndighetens Handbok.


3 Personuppgiftsansvarigs skyldigheter


3.1. Personuppgiftsansvarig ansvarar för att tillhandahålla Personuppgiftsbiträdet dokumenterade instruktioner och övriga anvisningar avseende ändamålet, omfattningen, arten och varaktigheten av behandlingen samt kategorier av registrerade i den utsträckning som är nödvändigt för att Personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal, Tillämplig Dataskyddslagstiftning samt Tillämpliga Registerförfattningar.


3.2. Personuppgiftsansvarig ska utan onödigt dröjsmål anmäla till Personuppgiftsbiträdet alla förhållanden som kan medföra behov av förändringar i det sätt som Personuppgiftsbiträdet behandlar personuppgifterna.


4 Personuppgiftsbiträdets skyldigheter


4.1. Personuppgiftsbiträdet garanterar att denne besitter nödvändig kapacitet och förmåga att fullgöra sina skyldigheter enligt detta Personuppgiftsbiträdesavtal, Tillämplig Dataskyddslagstiftning och Tillämpliga Registerförfattningar samt att denne, med beaktande av behandlingens art, omfattning, aktuella ändamål och risker, löpande vidtar sådana tekniska och organisatoriska åtgärder som kan anses nödvändiga för att skydda personuppgifterna i enlighet med kraven i Tillämplig Dataskyddslagstiftning. Säkerhetskraven ska motsvara den nivå som behörig tillsynsmyndighet normalt kräver för motsvarande behandlingar. Parterna är medvetna om att de personuppgifter som kan komma att behandlas inom ramen för detta avtal kan omfatta sådana som avses i artikel 9.1. EU:s dataskyddsförordning, såsom enskildas hälsa.


4.2. Personuppgiftsbiträdet får endast behandla personuppgifterna som omfattas av detta Personuppgiftsbiträdesavtal i syfte att fullgöra de skyldigheter som följer av Huvudavtalet och detta Personuppgiftsbiträdesavtal samt i enlighet med vid var tid Tillämplig Dataskyddslagstiftning, Tillämpliga Registerförfattningar, annan tvingande lag samt Personuppgiftsansvarigs givna instruktioner.


4.3. Vid behandlingen av personuppgifter enligt detta Personuppgiftsbiträdesavtal ansvarar Personuppgiftsbiträdet särskilt för att:

(i) endast behandla personuppgifter i enlighet med Personuppgiftsansvarigs dokumenterade säkerhetsföreskrifter, instruktioner och rutiner, innefattande från tid till annan gjorda tillägg och ändringar. Gällande säkerhetsföreskrifter, instruktioner och rutiner finns beskrivna i detta Personuppgiftsbiträdesavtal, Huvudavtalet samt Handboken. Personuppgiftsansvarig kan ändra eller utfärda ytterligare skriftliga instruktioner som det åligger Personuppgiftsbiträdet att följa.


a. Om Personuppgiftsbiträdet anser att Personuppgiftsansvarigs instruktioner står i strid med Tillämplig Dataskyddslagstiftning eller Tillämpliga Registerförfattningar ska Personuppgiftsbiträdet omgående påtala detta för Personuppgiftsansvarig.


(ii) vidta åtgärder för att begränsa åtkomst till personuppgifterna till sådan personal som behöver åtkomst till personuppgifterna för att fullgöra sina arbetsuppgifter, samt säkerställa att sådan behörig personal endast behandlar personuppgifterna på givna instruktioner. Personuppgiftsbiträdet ska säkerställa att all behörig personal får information om gällande säkerhetsföreskrifter och rutiner.


(iii) vidta åtgärder för att skydda personuppgifterna mot förstöring, ändringar, otillåten spridning och obehörig tillgång samt tillse att det finns rutiner för åtkomstkontroll och loggning. Personuppgiftsbiträdet ska vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till personuppgifterna.


(iv) bistå Personuppgiftsansvarig att fullgöra sina skyldigheter enligt Tillämplig Dataskyddslagstiftning och Tillämpliga Registerförfattningar, t.ex. gentemot de registrerade när dessa utövar sina rättigheter enligt lagstiftningen.


(v) upprätthålla ett register över all personuppgiftsbehandling som sker på uppdrag av Personuppgiftsansvarig, samt att på Personuppgiftsansvarigs eller behörig tillsynsmyndighets uttryckliga begäran överlämna ett läsbart registerutdrag.


(vi) skriftligen och i förväg informera Personuppgiftsansvarig om planerade förändringar av behandlingsförfarandet, däribland tekniska och organisatoriska förändringar som direkt eller indirekt kan påverka skyddet av personuppgifterna och den Personuppgiftsansvariges efterlevnad av Tillämplig Dataskyddslagstiftning och Tillämpliga Registerförfattningar.


(vii) efter avslutad behandling återlämna och/eller radera eller förstöra alla personuppgifter som omfattats av detta Personuppgiftsbiträdesavtal på det sätt som Personuppgiftsansvarig väljer och meddelar Personuppgiftsbiträdet om vid det aktuella tillfället.


4.4. Utöver vad som anges i punkt 4.3. ansvarar Personuppgiftsbiträdet, vid förmedling av direktåtkomst till enskilda, särskilt för att:


(i) vidta åtgärder för att säkerställa den enskildes identitet genom s.k. stark autentisering och tillse att den enskilde endast får direktåtkomst till personuppgifter om sig själv, eller, om fullmakt föreligger, till personuppgifter om den person som den enskilde har fullmakt för,


(ii) vidta åtgärder för att säkerställa att behörig personal eller andra som kommer i kontakt med hanteringen av personuppgifterna, inte läser informationen eller tar del av informationsinnehållet på annat sätt än vad som krävs tekniskt för förmedlingen,


(iii) tillse att personuppgifterna i de aktuella registren presenteras i samlat skick för den enskilde samt att personuppgifterna inte förändras eller förvanskas vid presentationen.


5 Anmälan om personuppgiftsincident


5.1. Personuppgiftsbiträdet ska utan oskäligt dröjsmål, dock senast inom 24 timmar efter att ha fått vetskap om det, underrätta Personuppgiftsansvarig om säkerhetsincidenter som har medfört eller sannolikt kan leda till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till personuppgifterna.


5.2. En sådan underrättelse ska innehålla all nödvändig och tillgänglig information som Personuppgiftsansvarig behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan om personuppgiftsincidenter till behörig tillsynsmyndighet.


5.3. Alla personuppgiftsincidenter ska dokumenteras av Personuppgiftsbiträdet och dokumentationen ska överlämnas utan oskäligt dröjsmål till Personuppgiftsansvarig på begäran. I de fall en incident ska rapporternas till tillsynsmyndigheten, ska Personuppgiftsbiträdet samarbeta med och skyndsamt bistå Personuppgiftsansvarig med all information som efterfrågas.


6 Sekretess


6.1. Personuppgiftsbiträdet ska säkerställa att personuppgifterna, och annan Konfidentiell Information, behandlas med sekretess. Det innebär att personuppgifterna, och annan Konfidentiell Information, inte, utan Personuppgiftsansvarigs medgivande, får röjas eller nyttjas för andra ändamål än vad som uttryckligen framgår av Huvudavtalet eller detta Personuppgiftsbiträdesavtal.


6.2. Med ”Konfidentiell Information” förstås i denna bestämmelse personuppgifter samt varje uppgift – teknisk, kommersiell eller av annan art – oavsett om den dokumenterats eller inte, som Personuppgiftsansvarig uttryckligen anger ska hållas hemlig. Detta gäller dock inte information som Personuppgiftsbiträdet kan visa var allmänt känd eller som kommit till Personuppgiftsbiträdets kännedom från tredje man utan brott mot Huvudavtalet eller detta Personuppgiftsbiträdesavtal.


6.3. Det åligger Personuppgiftsbiträdet att informera berörd personal om innebörden av sekretessåtagandet i denna punkt 6 och se till att all personal som på något sätt kommer i kontakt med personuppgifterna, eller annan Konfidentiell Information, har ingått en särskild sekretessförbindelse, eller upplysts om att särskild tystnadsplikt föreligger enligt gällande rätt.


6.4. Personuppgiftsbiträdet får lämna ut personuppgifter utan att det innebär ett handlande i strid med detta Personuppgiftsbiträdesavtal om Personuppgiftsbiträdet genom lag eller myndighetsföreläggande är nödgad att lämna ut personuppgifter. I sådant fall åligger det Personuppgiftsbiträdet att omgående skriftligen meddela Personuppgiftsansvarig om detta och begära att de efterfrågade personuppgifterna omfattas av sekretess vid utlämnandet.


6.5. Personuppgiftsbiträdet ska vid överträdelse av sekretessåtagandet enligt denna punkt 6 vid anfordran till Personuppgiftsansvarig utge ett vite om etthundratusen (100.000) SEK i varje enskilt fall.


6.6. Sekretessåtagandet gäller även om detta Personuppgiftsbiträdesavtal i övrigt upphör att gälla.


7 Begränsningar i rätten att överföra personuppgifter till tredje land


7.1. Personuppgiftsbiträdet äger inte rätt att överföra, lagra eller i övrigt behandla personuppgifterna i land utanför EU/EES (s.k. tredje land), såvida inte Personuppgiftsansvarig skriftligen på förhand har godkänt sådan överföring.


7.2. För att ett godkännande enligt föregående stycke ska kunna lämnas måste Personuppgiftsbiträdet, innan överföring till land utanför EU/EES påbörjas, uppvisa dokumentation som styrker att förutsättningar för överföring till mottagarlandet är uppfyllda. Särskilt måste någon av förutsättningarna i artikel 45 (beslut om adekvat skyddsnivå), artikel 46 (lämpliga skyddsåtgärder), artikel 47 (bindande företagsbestämmelser) eller artikel 49 (undantag i särskilda situationer) i EU:s dataskyddsförordning vara uppfylld och överföringen måste också i övrigt uppfylla villkoren i kapitel V, EU:s dataskyddsförordning.


8 Underleverantörer


8.1. Personuppgiftsbiträdet får inte, utan Personuppgiftsansvarigs på förhand skriftliga godkännande, vidarebefordra, överföra eller på annat sätt överlåta behandlingen av personuppgifterna till en underleverantör. Detsamma gäller byte av redan befintlig godkänd underleverantör.


8.2. Personuppgiftsbiträdet ska ingå ett skriftligt avtal med godkänd underleverantör avseende behandling av personuppgifter i vilket underleverantören ska åläggas samma skyldigheter som åvilar Personuppgiftsbiträdet enligt detta Personuppgiftsbiträdesavtal samt Huvudavtalet.


Personuppgiftsbiträdet ska särskilt säkerställa att:


(i) underleverantören kan ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Tillämplig Dataskyddslagstiftning samt Tillämpliga Registerförfattningar;


(ii) personal hos underleverantören som har behörighet att behandla personuppgifterna endast behandlar personuppgifterna i enlighet med Personuppgiftsansvarigs givna instruktioner;


(iii) personal hos underleverantören som har behörighet att behandla personuppgifterna inte tar del av informationsinnehållet på annat sätt än vad som krävs för uppfyllande av deras åtaganden samt har åtagit sig tystnadsplikt i enlighet med punkt 6 ovan.


8.3. Personuppgiftsansvarig kan efter eget val ge ett allmänt skriftligt godkännande för Personuppgiftsbiträdet att anlita en underleverantör för viss typ av personuppgiftsbehandling inom ramen för detta Personuppgiftsbiträdesavtal. Om ett sådant allmänt godkännande har lämnats ska Personuppgiftsbiträdet informera Personuppgiftsansvarig om sina avsikter att använda eller byta ut en underleverantör i god tid så att Personuppgiftsansvarig har möjlighet att göra invändningar mot en sådan förändring. Sådan invändning medför hinder för Personuppgiftsbiträdet att genomföra föreslagna förändringar.


8.4. Personuppgiftsbiträdet får inte anlita underleverantör om det innebär att personuppgifterna kommer att överföras till land utanför EU/EES, såvida inte förutsättningarna i punkt 7.2 ovan är uppfyllda.


8.5. Personuppgiftsbiträdet får inte anlita underleverantör som använder sig av molntjänst för behandling av personuppgifterna, såvida inte Personuppgiftsbiträdet kan uppvisa dokumentation som styrker att tillräckliga tekniska och organisatoriska åtgärder har vidtagits för att skydda personuppgifterna och att personuppgiftsbehandlingen i övrigt är förenlig med Tillämplig Dataskyddslagstiftning och Tillämpliga Registerförfattningar.


8.6. Personuppgiftsbiträdet ansvarar fullt ut gentemot Personuppgiftsansvarig för hur underleverantörerna behandlar personuppgifterna, inklusive deras säkerhetsåtgärder.


9 Granskning och revision


9.1. Personuppgiftsbiträdet ska kunna visa att de skyldigheter som fastställts i detta Personuppgiftsbiträdesavtal är uppfyllda, samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som får genomföras av Personuppgiftsansvarig eller av en oberoende tredje part som utsetts av denne.


9.2. Personuppgiftsbiträdet har en skyldighet att på Personuppgiftsansvarigs begäran, eller på begäran av den oberoende tredje part som utsetts av denne, bistå med sådan dokumentation, upplysningar samt tillgång till lokaler och IT-system, som är nödvändiga för att Personuppgiftsansvarig ska kunna utöva effektiv kontroll av Personuppgiftsbiträdets efterlevnad av detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet ska även tillförsäkra Personuppgiftsansvarig motsvarande rättigheter i förhållande till anlitade underleverantörer.


10 Utlämnande av information


10.1. Personuppgiftsbiträdet ska utan oskäligt dröjsmål informera Personuppgiftsansvarig om denne kontaktas av behörig tillsynsmyndighet eller annan tredje part i syfte att få tillgång till Personuppgiftsansvarigs personuppgifter som Personuppgiftsbiträdet har tillgång till eller kontrollera efterlevnaden av tillämplig lagstiftning.


10.2. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för dennes räkning gentemot tillsynsmyndighet eller annan tredje part.


11 Ansvar för skada


11.1. I händelse att en registrerad person eller tredje part riktar anspråk mot Personuppgiftsansvarig för ersättning för skada eller om en behörig myndighet utfärdar vite eller andra administrativa påföljder mot Personuppgiftsansvarig till följd av personuppgiftsbehandling enligt detta Personuppgiftsbiträdesavtal ska Personuppgiftsbiträdet hålla den Personuppgiftsansvarig skadeslös för sådana anspråk som är en följd av Personuppgiftsbiträdets underlåtenhet att fullgöra sina skyldigheter enligt detta Personuppgiftsbiträdesavtal, Tillämplig Dataskyddslagstiftning, Tillämpliga Registerförfattningar eller annan tvingande lag.


11.2. På motsvarande sätt ska Personuppgiftsansvarig hålla Personuppgiftsbiträdet skadeslös för sådana anspråk på ersättning från registrerad person eller annan tredje part eller vite eller annan administrativ påföljd utfärdad av behörig myndighet som är en följd av bristfälliga instruktioner eller andra uttryckliga skyldigheter enligt detta Personuppgiftsbiträdesavtal. Personuppgiftsansvarigs ansvar för administrativa sanktionsavgifter ska dock alltid vara begränsat till i vilken mån och till de belopp som behörig tillsynsmyndighet får ta ut sanktionsavgifter av myndighet enligt svensk kompletterande lagstiftning till EU:s dataskyddsförordning.


12 Ändringar


12.1. Ändringar och tillägg till detta Personuppgiftsbiträdesavtal ska göras skriftligen och undertecknas av behöriga företrädare för båda Parter för att vara giltiga.


12.2. Denna punkt förhindrar inte att Personuppgiftsansvarig ensidigt kan ändra detta Personuppgiftsbiträdesavtal om tillämplig lagstiftning eller tolkningen av den ändras på ett sätt som påverkar behandlingen av personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal.


13 Giltighetstid


13.1. Detta Personuppgiftsbiträdesavtal ska gälla så länge Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning.


14 Tillämplig lag och tvist


14.1. Tvist angående tillämpningen av detta Personuppgiftsbiträdesavtal ska avgöras enligt Tjänsteavtalets bestämmelser om lagval och tvist.



Detta Personuppgiftsbiträdesavtal har upprättats i två likalydande exemplar, varav Parterna tagit var sitt.


E-hälsomyndigheten Användarorganisation



Ort Ort



Datum Datum



Avdelningschef E-hälsotjänster Behörig firmatecknares underskrift



Namnförtydligande Namnförtydligande

Document Metadata

Filed: March 17th, 2020