Fakultet/institution/avdelning Avtal SLU ID: SLU.[Skriv numret här] 20XX-MM-DD




Fakultet/institution/avdelning

Avtal SLU ID: SLU.[Skriv numret här]

20XX-MM-DD



Sveriges lantbruksuniversitet, ev. avdelning/institution, xxx.xx. 202100-2817, Box XXXX, XXX XX ORT (Personuppgiftsansvarig) och motpartens namn, xxx.xx. xxxxx-xxxxx, adress, 123 45 X-stad (Personuppgiftsbiträde) har denna dag träffat följande

Personuppgiftsbiträdesavtal

Bakgrund

Europaparlamentets och rådets förordning 2016/679 (allmän dataskyddsförordning), nedan kallad Förordningen, kräver ett skriftligt personuppgiftsbiträdesavtal (PUBA) när en part ska Behandla Personuppgifter för annan parts räkning. Med anledning av detta har parterna enats om att ingå förevarande personuppgiftsbiträdesavtal som bilaga till avtal XXXX (Här skriver du avtalet som detta avtal hör till).

  1. Definitioner

    1. Personuppgift: varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

  2. Registrerad: den som en personuppgift avser.

  3. Behandling eller behandla: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

  4. Personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats och i övrigt behandlas.

  5. I övrigt ska begrepp enligt detta avtal tolkas i enlighet med Förordningen.



  1. Kapacitet och förmåga

  2. Personuppgiftsbiträdet garanterar att hen har nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, för att fullgöra sina skyldigheter enligt detta PUBA och gällande dataskyddslagstiftning.

  3. Personuppgiftsbiträdet ska, på den Personuppgiftsansvariges begäran, visa att de skyldigheter som framgår av detta PUBA och gällande datalagstiftning uppfylls. Det ska göras genom att tillhandahålla relevant dokumentation, hänvisa till relevant och godkänd uppförandekod eller certifiering, möjliggöra och bidra till granskningar och inspektioner och/eller tillhandahålla den Personuppgiftsansvarige annan bevisning.

  4. Personuppgiftsbiträdet ska, på den Personuppgiftsansvariges begäran, utan oskäligt dröjsmål ge hen, eller en oberoende Tredje Part som den Personuppgiftsansvarige anlitat, tillgång till sådana upplysningar och handlingar som är nödvändiga för att den Personuppgiftsansvarige ska kunna utöva en effektiv kontroll av Personuppgiftsbiträdets åtgärder enligt detta PUBA.

  5. Personuppgiftsbiträdet är dock endast skyldigt att bevilja den Personuppgiftsansvarige, eller en oberoende Tredje Part som hen anlitat, tillgång till lokaler och utrustning för inspektion om det kan ske utan säkerhets- eller integritetsrisker.

  6. Personuppgiftsbiträdets åtagande

  7. Personuppgiftsbiträdet förbinder sig att utföra Behandlingen, såsom denna är specificerad i XXXX (Det avtal, bilaga eller dylikt som gör det här avtalet relevant. I det avtalet måste du specificera:

  8. vilka Personuppgifter som kommer att Behandlas,
    b) kategorierna av människor vars uppgifter kommer att Behandlas
    c) hur Behandlingen kommer att vara utformad
    d) hur länge Behandlingen kommer att pågå)

  9. Personuppgiftsbiträdet förbinder sig att följa Förordningen och hålla sig informerad om den och angränsande lagstiftning av relevans för den avtalade Behandlingen.

  10. Personuppgiftsbiträdet och den eller de personer som arbetar under hens ledning får endast Behandla Personuppgifter i enlighet med de instruktioner som anges i detta avtal, eller som lämnas av den Personuppgiftsansvariga. Om Personuppgiftsbiträdet saknar instruktioner som hen bedömer är nödvändiga för att genomföra det uppdrag som Personuppgiftsbiträdet erhållit från den Personuppgiftsansvariga ska Personuppgiftsbiträdet, utan onödigt dröjsmål, informera den Personuppgiftsansvarige om sin inställning och invänta de instruktioner som den Personuppgiftsbiträdet bedömer krävs. Mottagna instruktioner ska dokumenteras.

  11. Om Personuppgiftsbiträdet avser att anlita ytterligare Personuppgiftsbiträden för uppfyllande av detta avtal ska Personuppgiftsbiträdet inhämta skriftligt godkännande från den Personuppgiftsansvarige innan detta sker. Har allmänt godkännande inhämtats, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige för att tillgodose möjligheten att invända mot valet av ytterligare biträde. Vid anlitande av ytterligare Personuppgiftsbiträde ska Personuppgiftsbiträdet säkerställa att detta åtar sig att utföra Behandling på samma villkor och efter samma standard som Personuppgiftsbiträdet självt.

  12. Personuppgiftsbiträdet ska endast Behandla Personuppgifter på utrustning som fysiskt befinner sig inom EES, inbegripet nyttjandet av molntjänster. Personuppgiftsbiträdet äger rätt att flytta utrustningen eller Behandla Personuppgifter på annan utrustning endast efter den Personuppgiftsansvariges medgivande.

  13. Om en Registrerad, Integritetsskyddsmyndigheten eller annan Tredje Part begär information från Personuppgiftsbiträdet som rör Behandling av Personuppgifter ska Personuppgiftsbiträdet hänvisa till den Personuppgiftsansvarige. Av punkten 2.4 ovan och punkt 4 nedan följer bland annat att Personuppgiftsbiträdet inte får lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan uttrycklig instruktion från den Personuppgiftsansvarige.

  14. Personuppgiftsbiträdet ska utan dröjsmål informera den Personuppgiftsansvarige om eventuella kontakter från Integritetsskyddsmyndigheten som rör eller kan vara av betydelse för Behandlingen av Personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda den Personuppgiftsansvarige eller agera för den Personuppgiftsansvariges räkning gentemot Integritetsskyddsmyndigheten eller annan Tredje Part.

  15. Om en Personuppgiftsincident upptäcks ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om detta snarast möjligt.

  16. Personuppgiftsbiträdet ska vidta skäliga tekniska och organisatoriska åtgärder för att skydda Personuppgifter mot obehörig åtkomst, förstörelse och ändring i enlighet med Förordningens krav, med särskilt beaktande av kraven i artikel 32. Personuppgiftsbiträdet ska därvid särskilt iaktta Integritetsskyddsmyndighetens instruktioner i dess allmänna råd ”Säkerhet för personuppgifter” eller andra föreskrifter som Integritetsskyddsmyndigheten ger ut.

  17. Personuppgiftsbiträdet ska, i den mån det är aktuellt med hänsyn till Behandlingens art, omfattning, sammanhang och ändamål, utföra en konsekvensbedömning enligt artikel 35 i Förordningen om den planerade Behandlingen sannolikt leder till hög risk för fysiska personers rättigheter och friheter. Resultatet av konsekvensbedömningen ska kommuniceras till den Personuppgiftsansvarige.

  18. Om konsekvensbedömningen visar att Behandlingen sannolikt leder till hög risk för Registrerade ska Personuppgiftsbiträdet samråda med Integritetsskyddsmyndigheten.

  19. Den Personuppgiftsansvarige har rätt att på egen bekostnad, själv eller genom Tredje Part, kontrollera att Personuppgiftsbiträdet följer detta avtal. Personuppgiftsbiträdet ska därvid lämna den Personuppgiftsansvarige den assistans som behövs.

  20. När detta avtal upphör att gälla ska Personuppgiftsbiträdet överlämna Personuppgifter på av den Personuppgiftsansvarige angivet medium. Sedan detta har skett ska Personuppgiftsbiträdet radera Personuppgifterna på ett sådant sätt att de inte kan återskapas och därvid se till att det inte finns några Personuppgifter kvar hos Personuppgiftsbiträdet.

  21. Personuppgiftsbiträdet ska assistera den Personuppgiftsansvarige med att ta fram information som begärts av Integritetsskyddsmyndigheten eller av en Registrerad, eller på annat sätt underlätta för den Personuppgiftsansvarige att tillgodose en Registrerads rättigheter enligt Förordningen.

  22. Personuppgiftsbiträdet får inte under några omständigheter föra ut Personuppgifter från den Personuppgiftsansvarige utanför EES utan den Personuppgiftsansvariges samtycke.

  23. För det fall Förenade kungariket blir ett tredjeland enligt Förordningen och överföring av Personuppgifter till Förenade kungariket därför måste ske i enlighet med kapitel V i Förordningen, avser parterna att tillämpa EU-kommissionens standardavtalsklausuler för internationell överföring av Personuppgifter, publicerade i beslut 2010/87/EU.

  24. Standardavtalsklausulerna enligt 3.14 i detta avtal ska gälla från och med det första datum artikel 44 i Förordningen gäller för en överföring till Förenade kungariket, och förutsatt att överföringen inte omfattas av sådant beslut om adekvat skyddsnivå som avses i artikel 45.

  25. Den Personuppgiftsansvariges ansvar

  26. Den Personuppgiftsansvarige ska tillse att Behandlingen sker i enlighet med Förordningen. Den Personuppgiftsansvarige ansvarar bland annat för att informera de Registrerade om Behandlingen, i nödvändiga fall inhämta Samtycke från de Registrerade och i tillämpliga fall samråda med Integritetsskyddsmyndigheten.

  27. Den Personuppgiftsansvarige ska utan dröjsmål informera Personuppgiftsbiträdet om förändringar i Behandlingen som påverkar Personuppgiftsbiträdets skyldigheter. Den Personuppgiftsansvarige ska även informera Personuppgiftsbiträdet om Tredje Parts, däribland Integritetsskyddsmyndigheten och de Registrerade, åtgärder med anledning av Behandlingen.

  28. Sekretess

  29. Personuppgiftsbiträdet förbinder sig att inte till Tredje Part lämna ut eller på annat sätt röja information om Behandlingen av Personuppgifter som omfattas av detta avtal, annan information som Personuppgiftsbiträdet erhållit till följd av detta avtal eller annan information som Personuppgiftsbiträdet erhållit i sin roll som Personuppgiftsbiträde. Detta åtagande gäller inte information som Personuppgiftsbiträdet beordras att lämna till en myndighet. Sekretessåtagandet gäller även efter att detta avtal i övrigt upphört att gälla.

  30. Personuppgiftsbiträdet förbinder sig att säkerställa att personer med behörighet att Behandla Personuppgifter iakttar samma nivå av konfidentialiet som gäller för Personuppgiftsbiträdet enligt detta avtal eller lag.

  31. Ersättning

Personuppgiftsbiträdet har endast rätt att debitera den Personuppgiftsansvarige ersättning för Behandlingen av Personuppgifter om sådan rätt framgår av ett särskilt och skriftligt upprättat avtal. Sådan ersättning regleras normalt skriftligen i ett bindande kontrakt som parterna upprättar sinsemellan.

  1. Ansvar gentemot Tredje Part

För den händelse en Registrerad, eller annan Tredje Part, riktar krav mot den Personuppgiftsansvarige på grund av Personuppgiftsbiträdets Behandling av Personuppgifter ska Personuppgiftsbiträdet hålla den Personuppgiftsansvarige skadelös för sådana krav som följer av att Personuppgiftsbiträdet inte efterföljt detta avtal eller av den Personuppgiftsansvarige meddelade instruktioner.

  1. Avtalets omformulering

Om så krävs på grund av lagstiftning på området eller bindande föreskrifter från en myndighet ska parterna utan onödigt dröjsmål förnya detta avtal så att det följer den lagstiftning som föranledde omformuleringen.

  1. Avtalstid

Avtalet gäller från dess undertecknande och så länge som Personuppgiftsbiträdet Behandlar Personuppgifter för den Personuppgiftsansvariges räkning, eller till dess endera parten säger upp huvudavtalet. Vid uppsägning ska en ömsesidig uppsägningstid om sex månader gälla.

Vid avtalets upphörande ska Personuppgiftsbiträdet överlämna alla Personuppgifter till SLU och säkerställa att alla kopior i Personuppgiftsbiträdets ägo destrueras på ett säkert sätt.

  1. Avgörande av tvist

Tvist i anledning av detta Personuppgiftsbiträdesavtal ska avgöras enligt vad som angetts i det avtal till vilket Personuppgiftsbiträdesavtalet är fogat som bilaga. Har inget angetts i huvudavtalet ska tvist avgöras enligt svensk lag i svensk allmän domstol.

Är tvisten mellan svenska myndigheter ska tvisten söka avgöras genom förhandling. Kan den inte avgöras genom förhandling ska den slutligt avgöras av myndigheternas generaldirektörer eller rektor.

Detta personuppgiftsbiträdesavtal har upprättats i två exemplar, varav parterna har tagit var sitt.



Ort & Datum


Ort & Datum




Sveriges lantbruksuniversitet


XXX AB




Underskrift


Underskrift




N.N./Titel
XX-avdelningen

(Samma person som har rätt att underteckna det första avtalet.)


Namnförtydligande/Titel



Postadress: Box 7010

Tel: 000-00 00 00 (vx)

Besöksadress: Almas allé 8


Org nr: 202100-2817

xxx.xxx.xx



Document Metadata

Filed: June 4th, 2020