PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
Detta PERSONUPPGIFTSBITRÄDESAVTAL (detta ”Avtal”) är träffat mellan
1. , organisationsnummer med
adressen
(”Personuppgiftsansvarig”) och
2. Hälsobolaget i Uddevalla AB, organisationsnummer 556602-5002, med adressen Xxxxxxxxxx 00 X, 000 00 Xxxxxxxxx. (Personuppgiftsbiträde)
Härefter enskilt benämn ”Part” och tillsammans ”Parterna”.
1.Bakgrund
1.1 Personuppgiftsansvarig och personuppgiftsbiträde har träffat ett avtal avseende Personuppgiftsbiträdets tillhandahållande av tjänster till Personuppgiftsansvarig, vilket specificeras i de mellan parterna gällande offerterna, ingångna beställningar, avtalade leveranser, allmänna villkor och / eller avtal avseende Hälsobolagets samtliga professioner. (Alla dessa kallas härefter i detta AVTAL gemensamt för Huvudavtalet).
1.2 Detta avtal reglerar Personuppgiftsansvariges rättigheter och skyldigheter i egenskap av personuppgiftsansvarig och Personuppgiftsbiträdes rättigheter och skyldigheter i egenskap av personuppgiftsbiträde när Personuppgiftsbiträdes behandlar personuppgifter för Personuppgiftsansvariges räkning.
1.3 Det kan noteras att detta avtal är upprättat i enlighet med dataskyddsförordningen (EU) 2016/679 (”Förordningen”) och att avtalets avtalstid är anpassat efter när Förordningen träder i kraft, se punkten 11 nedan.
2. Definitioner
Begrepp i detta Avtal ska tolkas i enlighet med tillämpning dataskyddslagstiftning.
3. Bilagor till avtalet
Underbiträden och överföring av uppgifter Bilaga 1
Policy - Behandling av personuppgifter Bilaga 2
Policy vid personuppgiftsincident Bilaga 3
4. Behandling av personuppgifter
4.1 Personuppgiftsbiträdet förbinder sig att endast behandla personuppgifter enligt dokumenterade instruktioner från Personuppgiftsansvarig, såvida inte annat följer av tillämplig dataskyddslagstiftning. Den personuppgiftsansvariges ursprungliga instruktioner till Personbiträdet om behandlingens föremål och varaktighet, behandlingens karaktär och ändamål, typ av personuppgifter och kategorier av registrerade anges i detta Avtal.
4.2 Den Personuppgiftsansvarige bekräftar att Personuppgiftsbiträdets skyldigheter enligt detta avtal, med undantag för eventuella skriftliga instruktioner som lämnats i enskilda fall i enlighet med punkt 5, utgör de fullständiga och kompletta instruktioner som ska följas av Personuppgiftsbiträdet.
4.3 Eventuella ändringar i den Personuppgiftsansvariges instruktioner ska förhandlas separat och ska för att bli gällande, dokumenteras skriftligt i en ny bilaga 2 och undertecknas av båda Parterna, med undantag för sådan instruktioner som Personuppgiftsansvarig ska ha rätt att lämna på grund av ändringar i tillämplig dataskyddslagstiftning.
4.4 Personuppgiftsbiträdet ska, i den utsträckning som krävs enligt tillämpning dataskyddslagstiftningen och enligt den Personuppgiftsansvariges skriftliga instruktioner i varje enskilt fall, bistå den Personuppgiftsansvariges skriftliga instruktioner i varje enskilt fall, bistå den Personuppgiftsansvarige vid fullgörandet av dennes skyldigheter enligt tillämpning dataskyddslagstiftning.
5. Utlämnande av personuppgifter
5.1 Personuppgiftsbiträdet förbinder sig att inte utan föregående skriftligt medgivande från den Personuppgiftsansvariga utlämna eller på annat sätt göra personuppgifter som behandlats enligt detta avtal tillgängliga för tredje part, om annat inte följer av svensk eller europeisk lag, domstols- eller myndighetsbeslut.
5.2 Om registrerad person begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter ska Personuppgiftsbiträdet utan onödigt dröjsmål hänskjuta sådan begäran till Personuppgiftsansvarig.
5.3 Om behörig myndighet begär information från Personuppgiftsbiträdet om behandlingen av personuppgifter ska Personuppgiftsbiträdet utan onödigt dröjsmål informera Personuppgiftsansvarig om detta. Personuppgiftsbiträdet får inte i något avseende handla för Personuppgiftsansvariges räkning eller som ombud för denna, och får inte utan föregående medgivande från Personuppgiftsansvarig överföra eller på annat sätt lämna ut personuppgifter eller andra uppgifter rörande behandlingen av personuppgifter till tredje part, om annat inte följer svensk eller europeisk lag, domstols- eller myndighetsbeslut.
5.4 Om det enligt tillämpliga svenska eller europeiska lagar och regelverk begärs att Personuppgiftsbiträdet ska utlämna personuppgifter som Personuppgiftsbiträdet behandlar för Personuppgiftsansvariges räkning, är Personuppgiftsgiftsbiträdet skyldig att omgående meddela personuppgiftsansvarig om detta, om annat inte följer av aktuell lag, domstol- eller myndighetsbeslut, och att i samband med utlämnandet begära att uppgifterna behandlas med sekretess.
6. Underbiträden och tredjelandsöverföringar
6.1 Personuppgiftsansvarig ska godkänna om situation uppstår där Personuppgiftsbiträdet ska anlita underbiträden inom EU/EES. Om personuppgiftsbiträdet avser att anlita eller ersätta ett befintligt underbiträde för att behandla personuppgifter som omfattas av detta Avtal ska Personuppgiftsbiträdet i förväg informera Personuppgiftsansvarig om detta och bereda denna möjlighet att framföra invändningar. Sådan invändningar ska ske skriftligen inom 14 dagar från det att Personuppgiftsansvarig har fått informationen.
6.2 Personuppgiftsbiträdets skyldighet att informera den Personuppgiftsansvarige i enlighet med punkt
6.1 fullgörs genom att Personuppgiftsbiträdet lämnar information på webbsida, samt i samband med att ny information lämnas på webbsidan underrättar den Personuppgiftssansvarige om detta via e-post.
6.3 Personuppgiftsbiträdet ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid personuppgiftsbehandlingen som de skyldigheter som gäller enligt detta Avtal Bilaga1 innehåller en lista på i förhand godkända underbiträden från och med dagen för ikraftträdande av detta Avtal.
7. Datasäkerhet och sekretess
7.1 Personuppgiftsbiträdet är skyldigt att fullgöra sina rättsliga förpliktelser avseende informationssäkerhet under tillämplig dataskyddslagstiftning och ska i samtliga fall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.
7.2 Personuppgiftsbiträdet är skyldigt att säkerställa att endast sådan personal som direkt måste ha tillgång till personuppgifter för att kunna fullgöra Personuppgiftsbiträdets skyldigheter enligt detta Avtal får tillgång till sådana uppgifter och att sådan personal har ingått ett adekvat sekretessavtal med Personuppgiftsbiträdet.
8. Notifieringar vid dataintrång och personuppgiftsincident
8.1 Personuppgiftsbiträdet ska utan dröjsmål underrätta Personuppgiftsansvarig efter att ha fått vetskap om personuppgiftsincident.
8.2 Personuppgiftsbiträdet ska bistå personuppgiftsansvarig med den information som rimligen kan krävas för att uppfylla dennes skyldighet att anmäla Personuppgiftsincidenter. Bilaga 3
9. Rätt till granskning
9.1 Personuppgiftsbiträdet förbinder sig att tillhandahålla den Personuppgiftsansvarige all information som krävs för att visa att de skyldigheter som anges i detta Avtal efterlevs, samt att möjliggöra för och medverka till sådan granskning, inklusive kontroll på plats, som genomförs av den Personuppgiftsansvarige eller annan granskare som utsetts av denna, under förutsättning att de personer som utför granskningen ingår lämpliga sekretessavtal.
9.2 Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om denne anser att en instruktion enligt punkt 9.1 från den Personuppgiftsansvarige strider mot tillämplig dataskyddslagstiftning.
10. Skadestånd och ansvar gentemot tredje man
10.1 Om Personuppgiftsansvarige eller Personuppgiftsbiträdet i enlighet med artikel 82 i Förordningen har betalat den registrerade full ersättning för skada som orsakats av en behandling som båda har medverkat vid, ska vardera parten ha rätt att återkräva den del av ersättningen som i enlighet med artikel 82 i Förordningen motsvarar den andres del av ansvaret för skadan. Vardera Part ska även ha rätt att få skälig och proportionerlig ersättning för sina rättegångskostnader för att försvara sig mot den registrerades krav. Personuppgiftsbiträdets skadeståndsansvar under detta Avtal ska stå i rimlig relation till den kostnad som den Personuppgiftsansvarige har erlagt eller ska erlägga under Huvudavtalet.
10.2 Personuppgiftsbiträdes ansvar i anledning av detta Avtal är i övrigt begränsats på samma sätt som eventuella ansvarsbegräsningar i Huvudavtalet.
11. Avtalstid m.m
11.1 Detta Avtal ersätter från och med den 25 maj 2018 alla tidigare personuppgiftsbiträdesavtal eller personuppgiftsklausuler som ingåtts mellan Parterna innan den 25 maj 2018. Finns inget tidigare Personuppgiftsbiträdesavtal mellan Parterna gäller detta Avtal från den dag då det är undertecknat av båda
Parter, men ska då tolkas utifrån Personuppgiftslagen (1998:204) och endast omfatta de krav de ställs enligt denna lag fram till att denna ersätts av Förordningen den 25 maj 2018.
11.2 Bestämmelserna i detta Avtal ska gälla så länge som Personuppgiftsbiträdet behandlar personuppgifter för vilka den Personuppgiftsansvarige är personuppgiftsansvarig.
12. Åtgärder när behandlingen av personuppgifter avslutats
När Huvudavtalet upphör ska Personuppgiftsbiträdet , beroende på vad den Personuppgiftsansvarige väljer, radera eller återlämna alla personuppgifter som behandlats enligt Avtalet inom nittio (90) dagar efter Huvudavtalets upphörande. Personuppgifter som förvaras enligt journallagen hanteras enligt Hälsobolagets Policy för behandling av personuppgifter. Bilaga 2
13. Ersättning
13.1 Personuppgiftsbiträdet har rätt till ersättning enligt Personuppgiftsbiträdets vid var tid gällande prislista avseende konsulttjänster för det arbete som utförts på grund av skyldigheterna i punkterna 4.3, stycke 1, 4.4, 5, 8.2, 9 och 112 i detta avtal.
14. Tvist
14.1 Svensk rätt ska vara tillämplig på avtalet. Tvister i anledning av avtalet ska slutligt avgöras av svensk allmän domstol.
15. ÖVERLÅTELSE
Detta avtal får inte överlåtas utan den andra Partens föregående godkännande.
16. ÖVRIGT
Detta Personuppgiftsbiträdesavtal utgöra bilaga till ett av Parterna träffat Huvudavtal. Vid händelse av motstridiga uppgifter har huvudavtalet företräde.
Ändringar eller tillägg till avtalet ska göras skriftligen och undertecknas av båda Parterna för giltighet.
Avtalet har upprättats i två (2) exemplar varav Parterna har tagit varsitt.
Behörig firmatecknare för Behörig firmatecknare för
Personuppgiftsansvarig Personuppgiftsbiträdet
Ort och datum Ort och datum
Underskrift Underskrift
Namnförtydligande Namnförtydligande