PERSONUPPGIFTSBITRÄDESAVTAL Avtal enligt artikel 28.3 i Dataskyddsförordningen EU 2016/679
10 (10)
PERSONUPPGIFTSBITRÄDESAVTAL
Avtal enligt artikel 28.3 i Dataskyddsförordningen EU 2016/679
PARTER
Detta personuppgiftsbiträdesavtal (“Biträdesavtal”) har ingåtts [datum] mellan Movant AB, org. nr. 556526 - 5005, med adressen Xxxxx Xxxxxx 00, 000 00 Xxxxxxxx (“Personuppgiftsansvarig”), och [leverantörens bolagsnamn och organisationsnummer], med adressen [bolagets adress], (“Personuppgiftsbiträde”), var för sig benämnda ”Part” och tillsammans ”Parterna”.
I Biträdesavtalet ingår Bilaga 1, benämnd instruktioner. I händelse av motstridande lydelse gäller Biträdesavtalet före bilagorna om inte parterna uttryckligen angett att annan ordning ska gälla.
KONTAKTUPPGIFTER OCH KONTAKTPERSONER
Varje meddelande, begäran eller påkallande enligt detta Biträdesavtal ska översändas enligt följande:
Personuppgiftsansvarig
Kontaktperson för administration av detta personuppgiftsbiträdesavtal och för parternas samarbete om dataskydd
Xxxx: Xxxxxxx Xxxxxxx
E-post: xxxxxxx.xxxxxxx@xxxxxx.xx
Tfn: 0722-391540
Personuppgiftsbiträde
Kontaktperson för administration av detta personuppgiftsbiträdesavtal och för parternas samarbete om dataskydd
Xxxx: [Kontaktpersonens Förnamn och Efternamn]
E-post: [Kontaktpersonens e-postadress]
Tfn: [Kontaktpersonens telefonnummer]
Behandling, avser den åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om den utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Gällande dataskyddsregler, betyder vid var tid gällande lag eller förordning avseende behandling av Personuppgifter, innefattande men inte begränsat till Personuppgiftslagen (1998:204) och från och med den dag den ska tillämpas, Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (”Dataskyddsförordningen”), annan unionsrätt avseende behandling av personuppgifter samt Tillsynsmyndighetens vid var tid gällande beslut, råd och rekommendationer.
Personuppgifter, varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, exempelvis genom namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgiftsincident, avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats och i övrigt behandlats.
Register, avser en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
Registrerad, avser en identifierad eller identifierbar fysisk person som direkt eller indirekt kan identifieras.
Standardavtalsvillkor, avser villkor för skydd av personuppgifter överförda till tredje land i enlighet med Europeiska kommissionens beslut C(2010)593 av den 5 februari 2010 eller motsvarande villkor som ersätter dessa.
Underbiträde, avser sådant personuppgiftsbiträde som anlitas av det Personuppgiftsbiträde som är Part i detta Biträdesavtal och som behandlar personuppgifter för Personuppgiftsansvariges räkning.
Personuppgiftsansvarige ska tillhandhålla Personuppgiftsbiträdet dokumenterade instruktioner och övriga anvisningar avseende föremålet, ändamålet, omfattningen, arten och varaktigheten av behandlingen, typen av personuppgifter samt kategorier av registrerade i den utsträckning som är nödvändig för att Personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt detta Biträdesavtal och Gällande dataskyddsregler. Den Personuppgiftsansvarige har rätt att justera Bilaga 1, och lämna ändrade eller kompletterande instruktioner till Biträdet.
De personuppgifter som Personuppgiftsbiträdet har åtkomst till får endast behandlas i enlighet med detta Biträdesavtal och Gällande dataskyddsregler.
Personuppgiftsbiträdet får endast behandla personuppgifter i enlighet med Personuppgiftsansvariges vid var tid lämnade dokumenterade instruktioner såvida inte Personuppgiftsbiträdet är skyldig enligt författning att behandla personuppgifterna för annat ändamål eller på annat sätt. Har Personuppgiftsansvarige lämnat ofullständiga eller felaktiga instruktioner ska Personuppgiftsbiträdet omgående påtala detta för Personuppgiftsansvarige och invänta Personuppgiftsansvariges vidare instruktioner.
Personuppgiftsbiträdet ska utan oskäligt dröjsmål från Personuppgiftsansvariges begäran, ge denne tillgång till personuppgifterna som Personuppgiftsbiträdet har i sin besittning samt genomföra begärd ändring, radering, begränsning eller överföring av nämnda personuppgifter. Har Personuppgiftsansvarige raderat, eller anvisat Personuppgiftsbiträdet om radering, ska den senare vidta sådana åtgärder som krävs för att personuppgiften inte ska kunna återskapas.
Personuppgiftsbiträdet ska, i enlighet med artikel 30 i Dataskyddsförordningen, upprätthålla ett register över all personuppgiftsbehandling som sker på uppdrag av Personuppgiftsansvarige, samt att på Personuppgiftsansvariges eller behörig tillsynsmyndighets uttryckliga begäran överlämna ett sådant läsbart registerutdrag.
Personuppgiftsbiträdet erhåller inga rättigheter till de personuppgifter som behandlas enligt Biträdesavtalet eller till resultatet av sådan behandling, såvida inte annat följer av tillämplig lag eller annan författning.
Personuppgiftsbiträdet garanterar att denne besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt detta Biträdesavtal och Gällande dataskyddsregler.
Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran styrka att de skyldigheter som framgår av detta Biträdesavtal och Gällande dataskyddsregler uppfylls genom att tillhandahålla relevant dokumentation, hänvisa till relevant och godkänd uppförandekod eller certifiering, möjliggöra och bidra till granskningar och inspektioner och/eller tillhandahålla Personuppgiftsansvarige annan adekvat bevisning.
Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran, utan oskäligt dröjsmål ge denne, eller en oberoende tredjeman som denne anlitat, tillgång till sådana upplysningar och handlingar som är nödvändiga för att Personuppgiftsansvarige ska kunna utöva en effektiv kontroll av Personuppgiftsbiträdets åtgärder enligt detta Biträdesavtal eller Gällande dataskyddsregler, inbegripet tillgång till Personuppgiftsbiträdets lokaler och utrustning för inspektion.
Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder säkerställa en säkerhetsnivå som är lämplig i förhållande till risken som behandlingen medför, begränsa tillgången till personuppgifterna och endast ge behörighet till sådan personal som behöver ha tillgång till personuppgifterna för att fullgöra sina åtaganden enligt detta Biträdesavtal, samt att tillse att sådan personal har erforderlig utbildning och i tillräcklig mån har instruerats att hantera personuppgifterna på ett ändamålsenligt och säkert sätt.
Personuppgiftsbiträdet ska behandla personuppgifter med sekretess enligt lagen om offentlighet och sekretess (2009:400), samt tillse att personer med behörighet att behandla personuppgifterna hos Personuppgiftsbiträdet har ingått särskild sekretessförbindelse eller upplysts om att särskild tystnadsplikt föreligger enligt avtal eller gällande rätt.
Personuppgiftsbiträdet ska utan oskäligt dröjsmål, dock senast inom fyrtioåtta (48) timmar från att det kommit Personuppgiftsbiträdet till kännedom, underrätta Personuppgiftsansvarige om förekomsten av eller risken för en personuppgiftsincident. En sådan underrättelse ska innehålla all nödvändig och tillgänglig information som Personuppgiftsansvarige behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan av personuppgiftsincidenter till behörig tillsynsmyndighet och/eller Registrerade.
SAMVERKAN
Personuppgiftsbiträdet ska på Personuppgiftsansvariges förfrågan bistå denne att fullgöra sina skyldigheter enligt Gällande dataskyddsregler, såsom utförandet av konsekvensbedömningar avseende dataskydd, vidtagandet av lämpliga tekniska och organisatoriska åtgärder för att säkerställa lämplig skyddsnivå för personuppgifterna, förhandssamråd med behörig tillsynsmyndighet samt medverka till utredning av inträffade personuppgiftsincidenter. Såvida Parterna inte kommit överens om annat ska sådant bistånd som avses i detta stycke inte ge Personuppgiftsbiträdet rätt till särskild ersättning.
Den Personuppgiftsansvarige är skyldig att vid behov genomföra en översyn för att bedöma om behandlingen genomförs i enlighet med eventuell föreliggande konsekvensbedömning avseende dataskydd. Behov av sådan översyn är särskilt aktuell när den risk som behandlingen medför förändras. Personuppgiftsbiträdet ska hjälpa den Personuppgiftsansvarige att genomföra översynen och iaktta de skyldigheter som anges i punkt 7.1.
Personuppgiftsbiträdet ska så snart som möjligt, utan oskäligt dröjsmål, underrätta Personuppgiftsansvarige om denne kontaktas av Registrerad, behörig tillsynsmyndighet eller annan tredje part i syfte att få tillgång till personuppgifter som Personuppgiftsbiträdet, eller i förekommande fall Underbiträdet, har i sin besittning. Personuppgiftsbiträdet ska då även så snart som möjligt, utan oskäligt dröjsmål, hänvisa till den Personuppgiftsansvarige. Personuppgiftsbiträdet får endast lämna ut personuppgifter eller information om behandling av personuppgifter enligt instruktion från den Personuppgiftsansvarige eller om Personuppgiftsbiträdet är skyldig att lämna ut aktuell uppgift enligt lag, förordning, domstols eller annan myndighets beslut eller börsreglering.
Personuppgiftsbiträdet ska skriftligen och senast trettio (30) dagar innan en planerad ändring av behandlingsförfarandet, däribland tekniska och organisatoriska ändringar som kan påverka skyddet av personuppgifterna och Personuppgiftsbiträdets efterlevnad av Gällande dataskyddsregler, informera Personuppgiftsansvarige om detta. Innan sådana ändringar genomförs ska Personuppgiftsansvarige lämna sitt samtycke, vilket inte oskäligen ska förvägras.
Personuppgiftsbiträdet är förhindrad att utan Personuppgiftsansvariges skriftliga samtycke överföra eller på annat sätt överlåta behandlingen av personuppgifterna till ett Underbiträde. En sådan överlåtelse sker alltid på Personuppgiftsbiträdets egen risk och medför inga ändringar i den ansvarsfördelning som gäller mellan Parterna i detta Biträdesavtal.
Har Personuppgiftsbiträdet till den Personuppgiftsansvarige ansökt om att få överlåta behandlingen av personuppgifter till ett Underbiträde och beviljats detta enligt punkten 8.1 får Underbiträdet endast behandla personuppgifter under förutsättning att Personuppgiftsbiträdet ingår ett skriftligt avtal med Underbiträdet, där Underbiträdet åläggs samma skyldigheter som Personuppgiftsbiträdet åläggs enligt detta Biträdesavtal och garanterar att vidta lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen av personuppgifterna sker i enlighet med Gällande Dataskyddslagar.
Avser Personuppgiftsbiträdet att byta ut ett befintligt Underbiträde mot ett annat Underbiträde ska Personuppgiftsbiträdet senast trettio (30) dagar innan informera Personuppgiftsansvarige om sina avsikter så att Personuppgiftsansvarige har tid och möjlighet att invända mot en sådan förändring. Motsätter sig Personuppgiftsansvarige ett utbyte av Underbiträde eller återkallar denne sitt tidigare skriftliga samtycke till användning av ett Underbiträde ska Personuppgiftsbiträdet tillse att Underbiträdets behandling av personuppgifter upphör utan onödigt dröjsmål.
Utöver vad som framgår i punkten 8 ovan får Personuppgiftsbiträdet varken överlåta eller upplåta sina rättigheter eller skyldigheter enligt detta Biträdesavtal utan den Personuppgiftsansvariges föregående skriftliga medgivande. Den Personuppgiftsansvarige får överlåta eller upplåta sina rättigheter och/eller skyldigheter enligt detta Biträdesavtal till sådan juridisk person som direkt eller indirekt kontrollerar eller kontrolleras av den Personuppgiftsansvarige.
Personuppgiftsbiträdet får inte behandla personuppgifter eller anlita någon annan för behandlingen av personuppgifter i land utanför EU/EES, förutom när annat särskilt avtalats mellan parterna, den Personuppgiftsansvarige skriftligen tillåtit annat eller om annat följer av tillämplig lag eller annan författning.
I fall där Personuppgiftsbiträdet i samband med behandlingen behöver överföra personuppgifter till ett land utanför Europeiska Ekonomiska Samarbetet (”EES”) och som av Europeiska kommissionen inte anses uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Parterna ingå ett tilläggsavtal baserad på Standardavtalsvillkor.
Har Personuppgiftsbiträdet anlitat ett Underbiträde med innebörden att personuppgifter överförs till ett land utanför EES som Europeiska kommissionen inte anser uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Personuppgiftsbiträdet och Underbiträdet ingå ett tilläggsavtal baserad på Standardavtalsvillkor. I förekommande fall ska Personuppgiftsbiträdet på begäran tillhandahålla Personuppgiftsansvarige en underskriven kopia av ett sådant tilläggsavtal som avses ovan.
10.1 För den händelse Registrerad, eller annan tredje man riktar ersättningskrav eller andra anspråk mot den Personuppgiftsansvarige på grund av Personuppgiftsbiträdes eller av denne anlitade personuppgiftsbiträdens behandling av personuppgifter ska Personuppgiftsbiträdet hålla den Personuppgiftsansvarige skadeslös för samtliga sådana krav eller anspråk som orsakats av att Personuppgiftsbiträdet eller av denne anlitade Underbiträden inte efterföljt tillämpliga biträdesavtal eller tillämpliga rättsliga krav på behandlingen av personuppgifterna. Personuppgiftsbiträdet är skyldigt att hålla försäkringar som till betryggande belopp täcker det ansvar som kan komma att utkrävas enligt Biträdesavtalet.
10.2 Vad som föreskrivs i punkt 10.1 gäller även om Personuppgiftsansvarig påföres en sanktionsavgift eller annan påföljd med anledning av Personuppgiftsbiträdets behandling av personuppgifter.
11. 1 Detta Biträdesavtal är giltigt tills Personuppgiftsbiträdets behandling av personuppgifterna upphör eller ersätts av ett annat personuppgiftsbiträdesavtal. Personuppgiftsbiträdet ska, i enlighet med den Personuppgiftsansvariges instruktioner, vid avslutad behandling radera eller återlämna personuppgifterna i ett allmänt och läsbart format till Personuppgiftsansvarige och därefter radera befintliga kopior av personuppgifterna, såvida inte detta är oförenligt med tvingande lag.
11.2 Den Personuppgiftsansvarige har rätt att säga upp Biträdesavtalet till omedelbart upphörande om Personuppgiftsbiträdet i väsentlig mån underlåtit att fullgöra sina förpliktelser enligt detta Biträdesavtal, eller underlåtit att fullgöra sina förpliktelser enligt detta Biträdesavtal och inte inom tio dagar efter skriftlig anmodan därom (innefattande redogörelse för avtalsbrottet och med hänvisning till denna punkt), har vidtagit rättelse i fall där avtalsbrottet är möjligt att rätta. Vid sådan uppsägning ska Personuppgiftsbiträdets behandling upphöra i enlighet med 11.1 ovan.
12.1 Utöver vad som framgår av 3.2 får den Personuppgiftsansvarige i den mån så erfordras för att skyldigheter som följer av tillämpliga rättsliga krav ska kunna tillgodoses, ändra innehållet i detta Biträdesavtal. Sådan ändring träder ikraft senast trettio (30) dagar efter att den Personuppgiftsansvarige översänt ändringmeddelande till Personuppgiftsbiträdet.
12.2 Övriga ändringar av eller tillägg till Biträdesavtalet ska, för att vara bindande upprättas skriftligen och vara behörigen undertecknade av båda Parterna.
Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt. Tvister till följd av tolkningen och tillämpningen av detta Biträdesavtal ska slutligen lösas i allmän domstol där Personuppgiftsansvarige har sin hemvist.
***
Detta Biträdesavtal har upprättats i två (2) exemplar och vardera parten har tagit var sitt.
[Personuppgiftsansvarig] [Personuppgiftsbiträde]
______________________________ ______________________________
[Namn, titel] [Namn, titel]
Ort: Klicka eller tryck här för att ange text. Ort: Klicka eller tryck här för att ange text.
Datum: Klicka eller tryck här för att ange datum.Datum: Klicka eller tryck här för att ange datum.
BILAGA 1 - INSTRUKTIONER
Dessa instruktioner utgör en integrerad del av Biträdesavtalet och ska följas av Personuppgiftsbiträdet vid utförande av personuppgiftsbehandlingen såvida inte annat uttryckligen anges i Biträdesavtalet. Genom undertecknande av Biträdesavtalet har Personuppgiftsbiträdet bekräftat innebörden av dessa instruktioner. Alla ändringar och tillägg till dessa instruktioner ska göras skriftligen för att gälla.
Typ av behandling och syftet med behandlingen som Personuppgiftsbiträdet utför
Personuppgiftsbiträdet ska behandla personuppgifter genom att: (kryssa i alla som är tillämpliga) ☒ Ta emot, lagra och tillgängliggöra ☒ Bearbeta och använda ☒ Lämna ut till extern part ☐ Publicera offentligt ☐ Annat:
Syftet med behandlingen är att ☒ Leverera de avtalade tjänsterna ☐ Annat: Klicka eller tryck här för att ange text.
|
Typ av personuppgifter som Personuppgiftsbiträdet behandlar (kryssa i alla som är tillämpliga)
☒ Basinformation om medarbetare. Exempelvis namn, kontaktuppgifter, titel, m.m.
☐ Information om barn. Exempelvis namn, adress, kön, personnummer, närvaro/frånvaro, uppgifter om vårdnadshavare, pedagogisk dokumentation om barnets förmågor, m.m.
☒ Elevinformation. Exempelvis namn, kontaktuppgifter, ålder, kön, personnummer, betyg, närvaro/frånvaro, uppgifter om vårdnadshavare, studie- och utvecklingsplaner, pedagogisk dokumentation, m.m.
☒ Information om vuxendeltagare. Exempelvis namn, kontaktuppgifter, ålder, kön, personnummer, betyg, närvaro/frånvaro, pedagogisk dokumentation, tidigare arbetslivserfarenhet, m.m.
☒ Kunduppgifter. Exempelvis privatkunders namn, företagsrepresentanters namn, e-post, telefonnummer, preferenser, köp- och användningshistorik, m.m.
☐ HR-relaterad information. Exempelvis namn, kön, personnummer, CV, medarbetarundersökningar, bankuppgifter, löner och förmåner, sjukfrånvaro, utvärderingar, m.m.
☐ Känsliga uppgifter. Exempelvis avseende ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska eller biometriska uppgifter för att entydigt identifiera en person, hälsa, sexualliv eller sexuell läggning.
☐ Annan typ: Klicka eller tryck här för att ange text.
Vems personuppgifter är det? (Ange kategorier av registrerade, kryssa i alla som är tillämpliga)
☐ Barn ☒ Elever ☒ Vuxendeltagare ☐ Vårdnadshavare ☒ Medarbetare ☒ Kund ☒ Samarbetspartner/leverantörer/annan kontaktperson ☐ Xxxxx: |
Hur länge ska personuppgifterna behandlas av Personuppgiftsbiträdet?
Om inte Personuppgiftsansvarig meddelar annat ska personuppgifterna behandlas som längst under den giltighetstid som gäller för det avtal mellan parterna som medför att personuppgifter behandlas.
|
Underbiträde
I förekommande fall, och med beaktande av punkten 8 i Biträdesavtalet, godkänner Personuppgiftsansvarig att Personuppgiftsbiträdet anlitar följande underbiträden.
Klicka eller tryck här för att ange text. |
Tredjelandsöverföring
Ange om personuppgifterna får överföras till land utanför EU/EES samt till vilka länder sådan överföring i så fall får ske.
Klicka eller tryck här för att ange text. |
Dataskydd och informationssäkerhet
Vid behov, utöver vad som anges i punkten 6 i Biträdesavtalet, ange särskilda instruktioner till Personuppgiftsbiträdet för informationssäkerhet eller skydd av data:
|
Kontaktuppgifter vid personuppgiftsincidenter
Vid inträffad eller befarad personuppgiftsincident ska Personuppgiftsbiträdet rapportera detta till Personuppgiftsansvariges dataskyddsombud, xxxxxxxxx@xxxxxxxxxx.xx samt till AcadeMedias IT-chef (vid avtalets tecknande xxxxxxx.xxxx@xxxxxxxxxx.xx).