Free Standard Templates

Explore a free library of open-source, peer-reviewed contract standards, adopted by thousands of business around the world and signed millions of times.

Explore Now
oneNDA-badge

Contract


8.1 Personuppgiftsbiträdesavtal - villkor för behandling av personuppgifter


I syfte att uppfylla kravet i artikel 28.2 i Europaparlamentets och rådets förordning (EU) 2016/679 (”Dataskyddsförordningen”) på skriftligt avtal mellan personuppgiftsansvarig och personuppgiftsbiträde ska följande villkor gälla för behandling av personuppgifter i sådana elektroniska tjänster och system i denna bilaga genom vilka någon nämnd, styrelse eller bolag inom Stockholms läns landsting (SLL) eller underleverantör till SLL behandlar personuppgifter för Vårdgivarens räkning.

Parter

Personuppgiftsansvarig: Vårdgivaren

Personuppgiftsbiträde: Nämnd, styrelse eller bolag inom Stockholms läns landsting (SLL)


Definitioner

I den mån Dataskyddsförordningen innehåller begrepp som motsvarar de som används i detta avtal ska sådana begrepp tolkas och tillämpas i enlighet med förordningen.

Omfattning

Vilket/vilka elektroniska tjänster och system som berörs framgår av denna bilaga och Xxxxxxx i övrigt. Information om föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, framgår på Vårdgivarguiden.

För viss personuppgiftsbehandling som SLL utför för Vårdgivarens räkning kan gälla ett annat personuppgiftsbiträdesavtal som avviker från bestämmelserna i detta avtal. Detta andra avtal har då företräde, i den mån det inte strider mot Dataskyddsförordningen eller annan tillämplig dataskyddslagstiftning.

Ansvar och instruktion

Vårdgivaren är personuppgiftsansvarig och ansvarar därmed för att lagstöd finns för behandlingen av personuppgifter och att denna behandling även i övrigt sker i enlighet med Dataskyddsförordningen och annan tillämplig dataskyddslagstiftning.


SLL åtar sig att i egenskap av personuppgiftsbiträde endast behandla personuppgifter för att tillhandahålla berörda elektroniska tjänster och system och då i enlighet med dokumenterade instruktioner, styrdokument samt träffade avtal och andra överenskommelser samt i enlighet med Dataskyddsförordningen och eventuell övrig tillämplig dataskyddslagstiftning. Grundläggande instruktioner avseende funktioner hos respektive tjänst framgår på Vårdgivarguiden.


För det fall det skulle finnas behandlingar som SLL enligt tvingande lag måste utföra, utöver de dokumenterade instruktioner som lämnats av Vårdgivaren, ska SLL underrätta Vårdgivaren innan sådan behandling påbörjas, om det inte föreligger hinder mot att lämna sådan information enligt gällande rätt.


SLL får endast överföra personuppgifter som behandlas enligt detta avtal till ett land utanför EU/EES (tredje land) eller internationell organisation om detta uttryckligen framgår av dokumenterade instruktioner.


SLL ska ge Vårdgivaren tillgång till all information som krävs för att visa att de skyldigheter som fastställs i detta biträdesavtal har fullgjorts, inklusive information om eventuell underleverantörs behandling av personuppgifter. Information som omfattas av sekretess enligt lag får inte utlämnas. SLL ska möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Vårdgivaren eller av en annan revisor som bemyndigats av Vårdgivaren.


Inspektion enligt föregående punkt får endast göras om inte SLL:s tillhandahållande av information är tillräcklig. Om Vårdgivaren önskar genomföra en inspektion ska SLL informeras om detta i skälig tid i förväg och samtidigt specificera inspektionens innehåll och omfattning. SLL har rätt till skälig ersättning från Vårdgivaren i samband med genomförande av sådan granskning.


Vårdgivaren ger genom detta avtal SLL ett allmänt skriftligt förhandstillstånd att anlita annat personuppgiftsbiträde för behandling av personuppgifter enligt detta avtal. SLL ska därvid informera Vårdgivaren om anlitade personuppgiftsbiträden samt eventuella planer på att ersätta anlitade personuppgiftsbiträden eller anlita nya personuppgiftsbiträden, så att Vårdgivaren har möjlighet att göra invändningar mot sådana förändringar. Vilka andra personuppgiftsbiträden som anlitas vid var tid framgår på Vårdgivarguiden.


Om SLL anlitat eller anlitar annat personuppgiftsbiträde så ska det andra personuppgiftsbiträdet genom ett skriftligt avtal åläggas minst samma skyldigheter i fråga om behandling av personuppgifter som de som gäller för SLL.


För att Vårdgivaren ska kunna fullgöra sin skyldighet att svara på en begäran från registrerade vad avser registrerades rättigheter enligt Dataskyddsförordningen, och eventuell annan tillämplig dataskyddslagstiftning, åtar sig SLL att bistå Vårdgivaren genom lämpliga tekniska och organisatoriska åtgärder.


SLL ska bistå Vårdgivaren med att se till att Vårdgivarens skyldigheter enligt Dataskyddsförordningens artikel 32–36 fullgörs, med beaktande av typen av behandling och den information som SLL har att tillgå.

Föregående punkter innebär inte att SLL övertar något ansvar eller några skyldigheter som enligt Dataskyddsförordningen eller annan tillämplig dataskyddslagstiftning åvilar Vårdgivaren.


När behandlingen ska upphöra ska SLL, beroende på vad Vårdgivaren väljer, radera eller återlämna alla personuppgifter till Vårdgivaren och radera eventuella kopior, såvida inte lagring av personuppgifterna krävs enligt gällande rätt.


Säkerhetsåtgärder och sekretess m.m.

SLL ska vidta alla lämpliga tekniska och organisatoriska åtgärder som avses i Dataskyddsförordningens artikel 32 för att uppnå en lämplig säkerhetsnivå för personuppgifterna.


SLL ska säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.


SLL ansvarar för att endast personal som behöver åtkomst till personuppgifter för att kunna utföra sina arbetsuppgifter under detta avtal får åtkomst till dessa.

Document Metadata

Filed: April 19th, 2018