Personuppgiftsbiträdesavtal SU XX- xxxx-23




Personuppgiftsbiträdesavtal

SU XX- xxxx-23



Detta Personuppgiftsbiträdesavtal har ingåtts mellan:


  1. Stockholms universitet, org. nr 202100–3062 och


  1. NN (), xxx.xx

  1. Bakgrund


När uppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett Personuppgiftsbiträdesavtal. Detta Personuppgiftsbiträdesavtal har upprättats för att uppfylla de krav som framgår av artikel 28 i Dataskyddsförordningen.


Personuppgiftsansvarig har ingått avtal ”Avtalet” med Personuppgiftsbiträdet för att utföra vissa tjänster, vilka kan komma att innefatta Personuppgiftsbehandling.


Personuppgiftsbiträdet ska endast behandla personuppgifter (”Personuppgifterna”) i den omfattning och på det sätt som krävs för att uppfylla åtagandena enligt Xxxxxxx.


Personuppgiftsbiträdet är informerad om att Personuppgiftsansvarig i situationer agerar som personuppgiftsbiträde. Vid hantering av Personuppgifterna kan Personuppgiftsbiträdet i förekommande fall därmed komma att agera som underbiträde. I rollen som underbiträde har Personuppgiftsbiträdet samma skyldigheter i fråga om dataskydd som enligt detta Personuppgiftsbiträdesavtal. Villkoren i detta Personuppgiftsbiträdesavtal gäller således även för det fall att Personuppgiftsbiträdet agerar som underbiträde i samband med behandlingen av Personuppgifterna.


  1. Definitioner


Följande begrepp ska ha den betydelse som anges nedan vid tillämpningen av detta Personuppgiftsbiträdesavtal:


Förordningen”

Lag (2018:218) med kompletterande bestämmelser till EU:s

dataskyddsförordning.

Personuppgifterna”

avser de personuppgifter som Personuppgiftsbiträdet behandlar för den Personuppgiftsansvariges räkning i samband med tillhandahållandet av avtalade tjänster enligt Xxxxxxx (enligt definitionen nedan).

Personuppgiftsansvarige”

avser Stockholms universitet (Universitet).

Personuppgiftsbiträdet” avser NN AB (NN)


Tillämplig

dataskyddslagstiftning”

avser Förordningen och, så som tillämpligt vid var tid, nationella

lagar och förordningar, samt berörd nationell tillsynsmyndighets, eller relevant EU-organs, föreskrifter, ställningstaganden och rekommendationer i fråga om dataskydd, inkl.

Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Avtalet”

XX


I övrigt gäller att begrepp som förekommer i Tillämplig dataskyddslagstiftning ska ha den betydelse som anges däri, om annat inte uttryckligen eller uppenbart framgår av sammanhanget.


  1. Behandling av Personuppgifter


Personuppgiftsbiträdet förbinder sig att utföra behandlingen, såsom denna är specificerad i Avtalet och dess bilagor respektive detta Personuppgiftsbiträdesavtal.


Personuppgiftsbiträdet förbinder sig att hålla sig informerad om och följa Tillämplig dataskyddslagstiftning.


Personuppgiftsbiträdet och den eller de personer som arbetar under dennes ledning får endast behandla Personuppgifter i enlighet med de instruktioner som anges i detta Personuppgiftsbiträdesavtal eller enligt överenskomna rutiner. För det fall Personuppgiftsbiträdet bedömer att tillräcklig instruktion saknas ska Personuppgiftsbiträdet, utan dröjsmål, informera den Personuppgiftsansvarige om detta och invänta de instruktioner som den Personuppgiftsansvarige bedömer erfordras. Mottagna instruktioner ska dokumenteras skriftligen.


  1. Underbiträden


Om inte annat skriftligen avtalats mellan parterna, får Personuppgiftsbiträdet endast anlita ett annat personuppgiftsbiträde (underbiträde) för behandling av Personuppgifterna om den Personuppgiftsansvarige skriftligen godkänt detta.


Om Personuppgiftsbiträdet anlitar underbiträde ansvarar Personuppgiftsbiträdet för att ingå särskilt Personuppgiftsbiträdesavtal (Underbiträdesavtal) med sådant underbiträde. I sådant avtal ska föreskrivas att Underbiträdet har samma skyldigheter i fråga om dataskydd som Personuppgiftsbiträdet har enligt detta Personuppgiftsbiträdesavtal. Personuppgiftsbiträdet ska vara fullt ansvarigt gentemot den Personuppgiftsansvarige för Underbiträdets behandling av Personuppgifterna och utförandet av Underbiträdets skyldigheter i fråga om dataskydd. På begäran av Personuppgiftsansvarige ska Personuppgiftsbiträdet tillhandahålla kopia av Underbiträdesavtalet.


Personuppgiftsbiträdet ska vid var tid föra en korrekt och uppdaterad lista utvisande vilka underbiträden som anlitats för behandlingen av Personuppgifterna och var dessa är geografiskt belägna. Personuppgiftsbiträdet ska vidare på den Personuppgiftsansvariges begäran utan dröjsmål tillhandahålla kontaktuppgifter till de underbiträden som behandlar personuppgifter.


  1. Begränsningar i rätten att överföra Personuppgifter till Tredje land


Personuppgiftsbiträdet åtar sig att inte överföra Personuppgifterna utanför EU/EES utan Personuppgiftsansvariges på förhand skriftliga tillstånd. Sådan tredjelandsöverföring ska ske i enlighet med Tillämplig dataskyddslagstiftning, t.ex. med beaktande av kommissionens beslut om adekvat skyddsnivå eller andra lämpliga skyddsåtgärder enligt nämnda lagstiftning.


I det fall överföring av Personuppgifter till Tredje land blir aktuellt ska Personuppgiftsbiträdet, innan överföring påbörjas, uppvisa dokumentation som styrker att kraven är uppfyllda.


  1. Säkerhet och information


Personuppgiftsbiträdet ska, med tanke på behandlingens art och i den mån detta är möjligt, hjälpa den Personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, så att den Personuppgiftsansvarig kan fullgöra sin skyldighet avseende de registrerades rättigheter i enlighet med kapitel III i Förordningen.


Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen av Personuppgifterna medför, i synnerhet risken för oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt röjande.


Personuppgiftsbiträdet ska, i den mån det är aktuellt med hänsyn till behandlingens art, omfattning, sammanhang och ändamål, på skriftlig begäran av den Personuppgiftsansvarige assistera den Personuppgiftsansvarige vid en konsekvensbedömning avseende den planerade behandlingens konsekvenser för skyddet av personuppgifter, om det är sannolikt att behandlingen kan leda till hög risk för fysiska personers rättigheter och friheter. Konsekvensbedömnings utformande ska göras med utgångspunkt i artikel 35 i Förordningen.


Personuppgiftsbiträdet ska på begäran assistera den Personuppgiftsansvarige vid samråd med Tillsynsmyndigheten, om konsekvensbedömningen visar att behandlingen sannolikt leder till hög risk för Registrerade.


Personuppgiftsbiträdet ska utan dröjsmål informera den Personuppgiftsansvarige om Personuppgiftsbiträdet anser eller får kännedom om att en instruktion beträffande behandlingen av Personuppgifterna strider mot Tillämplig dataskyddslagstiftning eller om Personuppgifterna behandlats i strid med detta Personuppgiftsbiträdesavtal.


Personuppgiftsbiträdet ska utan dröjsmål underrätta den Personuppgiftsansvarige efter att ha fått vetskap om en personuppgiftsincident.


Personuppgiftsbiträdet ska, med beaktande av typen av behandling och den information som Personuppgiftsbiträdet har att tillgå, hjälpa den Personuppgiftsansvarige med att se till att skyldigheterna enligt Förordningen fullgörs avseende (i) säkerhet i samband med behandlingen av Personuppgifterna, (ii) anmälan av personuppgiftsincident till behörig tillsynsmyndighet, (iii) information till de registrerade i anledning av personuppgiftsincident, (iv) konsekvensbedömning avseende dataskydd och föregående samråd fullgörs. Personuppgiftsbiträdet är medvetet om att särskilt höga krav i fråga om säkerhet gäller i fråga om Personuppgifterna, med beaktande av Personuppgiftsansvariges verksamhet och myndighetsuppdrag.



Personuppgiftsbiträdet ska när detta Personuppgiftsbiträdesavtal upphört, och tillhandahållandet av tjänsterna under Avtalet avslutats, radera eller återlämna, enligt den Personuppgiftsansvariges val, Personuppgifterna på ett sådant sätt att de inte kan återskapas och därvid se till att det inte finns några Personuppgifter kvar hos Personuppgiftsbiträdet.


Personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person och juridisk person som utför behandling av personuppgifter under Personuppgiftsbiträdets överinseende, endast behandlar dessa på instruktion från den Personuppgiftsansvarige.


Personuppgiftsbiträdet ska säkerställa adekvat behörighetsstyrning.


  1. Revision


Personuppgiftsbiträdet ska på begäran av den Personuppgiftsansvarige tillhandahålla all information som krävs för att visa att Personuppgiftsbiträdets skyldigheter enligt detta avtal fullgjorts samt möjliggöra och bidra till revision, inbegripet inspektioner. Den Personuppgiftsansvarige äger rätt att genomföra sådan granskning själv eller genom tredje man.


Personuppgiftsbiträdet ska ge Personuppgiftsansvarige den assistans som behövs för genomförande av granskning.

  1. Utlämnande av information


För det fall registrerade personer eller tillsynsmyndighet begär information från Personuppgiftsbiträdet rörande behandlingen av Personuppgifterna ska parterna samverka och utbyta information i nödvändig utsträckning.


För de fall att en Registrerad eller Tillsynsmyndigheten begär information från Personuppgiftsbiträdet som rör behandling av Personuppgifter (innefattar även rätten till information och registerutdrag, rättelse, radering med mera) ska Personuppgiftsbiträdet hänvisa till den Personuppgiftsansvarige.


Personuppgiftsbiträdet får inte lämna ut Personuppgifter eller information om Personuppgifterna eller behandlingen av Personuppgifterna utan Personuppgiftsansvariges skriftliga förhandstillstånd, utom för det fall detta krävs av Personuppgiftsbiträdet enligt ett föreläggande från tillsynsmyndighet eller enligt tvingande unionsrätt eller EU-medlemsstats nationella lagstiftning.


Personuppgiftsbiträdet får inte lämna ut Personuppgifter eller annan information om behandlingen av Personuppgifter utan uttrycklig instruktion från den Personuppgiftsansvarige om annat inte följer av Avtalet eller av lag, domstols- eller myndighetsbeslut.


Personuppgiftsbiträdet ska utan dröjsmål informera den Personuppgiftsansvarige om eventuella kontakter från Tillsynsmyndigheten som rör eller kan vara av betydelse för behandlingen av Personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda den Personuppgiftsansvarige eller agera för den Personuppgiftsansvariges räkning gentemot Tillsynsmyndigheten eller annan tredje man.


  1. Sekretess


Personuppgiftsbiträdet förbinder sig att inte till tredje man lämna ut eller på annat sätt röja information om behandlingen av Personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal, annan information som Personuppgiftsbiträdet erhållit till följd av detta Personuppgiftsbiträdesavtal eller annan information som Personuppgiftsbiträdet erhållit i sin roll

som Personuppgiftsbiträde. Detta åtagande gäller inte information som Personuppgiftsbiträdet föreläggs utge till myndighet. I sådant fall åligger det Personuppgiftsbiträdet att omgående skriftligen meddela Personuppgiftsansvarig om detta och begära att de efterfrågade Personuppgifterna omfattas av sekretess vid utlämnandet. Sekretessåtagandet gäller även efter att detta Personuppgiftsbiträdesavtal i övrigt upphört att gälla.


Personuppgiftsbiträdet förbinder sig att säkerställa att samtliga anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar Personuppgifterna åtar sig att iaktta samma nivå av konfidentialitet som gäller för Personuppgiftsbiträdet enligt Avtal, detta Personuppgiftsbiträdesavtal eller lag.


  1. Skadestånd och ansvar


Personuppgiftsbiträdet ska hålla Personuppgiftsansvarig skadeslös i händelse av att den Personuppgiftsansvarige åsamkas skada som är hänförlig till Personuppgiftsbiträdets behandling av Personuppgifterna utanför eller i strid med instruktion från den Personuppgiftsansvarige eller Avtalet. Detsamma gäller om skadan har uppkommit till följd av att Personuppgiftsbiträdet inte har fullgjort sina skyldigheter enligt Tillämplig dataskyddslagstiftning.


Parts skadeståndsskyldighet enligt detta Personuppgiftsbiträdesavtal är begränsat till ansvar för skada som denne vållat motparten och/ eller Tredje part i de fall skadan enligt ovan uppkommit på grund av uppsåt eller vårdslöshet. Parts skadeståndsansvar är även begränsat till direkt skada.


Parts ansvar för skada är därutöver begränsat till maximalt 150% av total fakturering (Avtalets samtliga tjänster) det kalenderår då skadan uppstod. Denna begränsning av ansvar för skada gäller inte om skadan uppstått pga av uppsåt eller av grov oaktsamhet.


  1. Ändringar


Ändringar och tillägg till detta Avtal ska, för att vara giltiga, göras skriftligen och undertecknas av båda Parter.


Dock kan Personuppgiftsansvarig, efter samråd med Personuppgiftsbiträdet, ändra eller utfärda ytterligare instruktioner i enlighet med vad som framgår av detta Personuppgiftsbiträdesavtal.


  1. Avtalstid


Avtalet gäller från dess undertecknande och så länge som Personuppgiftsbiträdet behandlar Personuppgifter för den Personuppgiftsansvariges räkning, eller till dess endera Parten säger upp Personuppgiftsbiträdesavtalet till upphörande. Vid uppsägning ska en ömsesidig uppsägningstid om tre (3) månader gälla.


Vid Avtalets och Personuppgiftsbiträdesavtalets upphörande ska Personuppgiftsbiträdet tillse att samtliga Personuppgifter överlämnas till Personuppgiftsansvarig i sådant format som

Personuppgiftsansvarig definierar, alternativt förstörs enligt instruktion från Personuppgiftsansvarig.


Om Avtalet upphör och nytt sådant avtal träffas utan att ett nytt personuppgiftsbiträdesavtal träffas, gäller detta Personuppgiftsbiträdesavtal även för det nya Avtalet.



  1. Tvist och tillämplig lag


Tvist angående tolkning eller tillämpning av detta Personuppgiftsbiträdesavtal ska avgöras enligt Avtalets bestämmelse om tvist.

Shape2



Detta Personuppgiftsbiträdesavtal har upprättats i två original, av vilka Parterna har erhållit ett original var.



Stockholms universitet NN AB




Shape3
Shape4


Namnförtydligande: Namnförtydligande:




Shape5
Shape6


Ort och datum: Ort och datum:




Shape7
Shape8

Shape1

3


Document Metadata

Filed: March 28th, 2023