Avtal avseende behandling av personuppgifter.

1
Bilaga 1.
Avtal avseende behandling av personuppgifter.
1. Inledning
1.1. Avtalsparter
Detta avtal har 2013-00-00 träffats mellan Stadsbyggnadsnämnden i Karlstads kommun,
organisationsnummer 212.000-1850, som är personuppgiftsansvarig (”PuA”) och (firma),
organisationsnummer xxx.xxx-xxxx, nedan kallad Entreprenören, som är
personuppgiftsbiträde (”PuB”) i samband med upphandling avseende beställningscentral för
samhällsbetalda resor i Karlstads kommun.
1.2. Bakgrund.
Stadsbyggnadsnämnden fullgör kommunens skyldigheter enligt lag (1997:735) om
Riksfärdtjänst och ansvarar för att upphandla beställningscentral för verksamheten.
Stadsbyggnadsnämnden är personuppgiftsansvarig för den personuppgiftsbehandling hos
Karlstadsbuss som är hänförlig till förvaltningens datasystem. I den mån som Karlstadsbuss
ger uppdrag till tredje part att utföra uppgifter som innebär att personuppgifter behandlas som
Stadsbyggnadsnämnden har ansvar för, krävs att tredje man tecknar
personuppgiftsbiträdesavtal med Stadsbyggnadsnämnden.
Karlstadsbuss uppdrag att svara för förvaltning av Riksfärdtjänst som inte utgör
myndighetsutövning innebär bland annat att Karlstadsbuss äger instruera PuB för PuA:s
räkning. Karlstadsbuss instruktioner får dock inte strida mot PuA:s instruktioner.
1.3. Syfte.
Detta avtal har till syfte att dels uppfylla kravet på avtal mellan PuA och PuB enligt 30 §
andra stycket personuppgiftslagen (1998:204) PUL, dels att förtydliga att PuA äger ensamt
rätt att besluta hur personuppgifter skall hanteras även om PuA:s krav skulle vara strängare än
vad som följer av PUL.
1.4. Avtalstid.
Detta avtal gäller under samma avtalstid som avtal rörande beställningscentral för
Riksfärdtjänst, vilket gäller från och med 2014-03-01 till och med 2018-02-28 med möjlighet
till två förlängningar längst till och med 2022-02-28. I det fall, som Stadsbyggnadsnämnden
förlänger avtalet om Riksfärdtjänst, förlängs även detta avtal avseende behandling av
personuppgifter automatiskt för samma avtalstid.
1.5. Definitioner.
Nedanstående definitioner motsvarar dem som finns i 3 § PUL.
Behandling av personuppgifter =
Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på
automatiskt väg eller inte, till exempel insamling, registrering, organisering, lagring,
bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom
översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller
samkörning, blockering, utplåning eller förstöring.
2
Personuppgifter =
All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Personuppgiftsansvarig (PuA) =
Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för
behandlingen av personuppgifter.
Personuppgiftsbiträde (PuB) =
Den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
2. Åtagande.
2.1. Ansvar och instruktioner.
PuA har ansvar för all behandling av personuppgifter som omfattas av detta avtal och
bestämmer således ändamålen med behandlingen.
PuB får bara behandla personuppgifter i enlighet med PuA:s instruktioner. PuA kommer att
meddela instruktioner för behandling av personuppgifter.
2.2. Behandling av personuppgifter.
Vid riksfärdtjänstresor sker en omfattande behandling av känsliga personuppgifter som
omfattas av både personuppgiftslagen (1998:204), PUL:s och offentlighets- och
sekretesslagen (2009:400) OSL:s bestämmelser. Det är därför av yttersta vikt att behandlingen
sker i en tekniskt säker och kontrollerad miljö. Stadsbyggnadsnämnden är
personuppgiftsansvarig enligt PUL och därmed ytterst ansvarig för att den behandling av
personuppgifter som sker inom verksamheten följer gällande lagstiftning.
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde (i detta fall Entreprenören)
skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra
de säkerhetsåtgärder som måste vidtagas och se till att personuppgiftsbiträdet verkligen
vidtager åtgärderna. Ett personuppgiftsbiträde får behandla personuppgifter enbart i enlighet
med instruktioner från den personuppgiftsansvarige och är skyldig att vidtaga de
säkerhetsåtgärder som den personuppgiftsansvarige anger.
Personuppgiftsbiträdet får överföra personuppgifter som behandlas för den
personuppgiftsansvariges räkning enligt Tjänsteavtalet till tredje land om detta land är anslutet
till Europarådets konvention om skydd för enskilda vid automatisk databehandling av
personuppgifter. Anslutna länder framgår av bilaga till personuppgiftsförordning (1998:119).
Överföring av uppgifter till annat tredje land får inte förekomma.
2.3. Säkerhet och kontroll.
PuB skall vidtaga de åtgärder som avses i 31 § första stycket PUL, vilket innebär att PuB skall
vidtaga lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som
behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
de tekniska möjligheter som finns med behandlingen av personuppgifterna och hur pass
känsliga de behandlande personuppgifterna är.
PuA, Karlstadsbuss och kommunens revisorer äger rätt att på överenskomna lämpliga
tidpunkter inspektera PuB:s lokaler och datorutrustning för att kontrollerta att PuB:s
behandling av personuppgifter sker på i detta avtal föreskrivet sätt.
3
2.4. Sekretess och tystnadsplikt.
PuB förbinder sig att inte till tredje man yppa eller i övrigt göra tillgänglig information som
PuB erhållit från PuA inom ramen för detta avtal. Skyldigheten att iakttaga sekretess gäller
dock inte om PuB är skyldig enligt lag eller myndighetsbeslut att lämna ut uppgifter.
Sekretesskyldigheten gäller även efter avtalets upphörande.
2.5. Upphörande av bearbetning av personuppgifter.
När PuB slutfört det uppdrag som föranlett att PuB behandlat personuppgifter för PuA:s
räkning, skall PuB snarast utplåna de personuppgifter som behandlats inom ramen för
uppdraget och som PuA har personuppgiftsansvar för.
3. Skadeslöshet.
I det fall PuB inte uppfyller kravet på utplåning av personuppgifter som behandlats enligt
ovan, ansvarar PuB för skada som åsamkats PuA.
PuB skall hålla PuA skadeslös i händelse av att PuA åsamkas skada som är hänförlig som är
hänförlig till PuB:s behandling av personuppgifter i strid mot lag eller instruktion från PuA.
4. Tvist.
Tvist angående tillämpning eller tolkning av detta avtal och därmed sammanhängande
rättsförhållanden skall i första hand lösas genom förhandling parterna emellan. Om parterna
inte förlikas skall tvisten avgöras vid allmän domstol med Värmlands tingsrätt som första
instans och med tillämpning av svensk rätt. Den omständigheten att tvist hänskjuts till rättsligt
avgörande berättigar inte Entreprenören att avbryta sitt uppdrag.
Detta Avtal har upprättats i två originalexemplar, varav Parterna tagit var sitt.
Datum:
Datum:
_______________________________
________________________________
Ort:
Ort:
_______________________________
________________________________
Namn:
Namn:
_______________________________
________________________________
Namnförtydligande
Namnförtydligande:
_______________________________
________________________________
Position:
Position:
_______________________________
________________________________