1 Bilaga 1. Avtal avseende behandling av personuppgifter. 1. Inledning 1.1. Avtalsparter Detta avtal har 2013-00-00 träffats mellan Stadsbyggnadsnämnden i Karlstads kommun, organisationsnummer 212.000-1850, som är personuppgiftsansvarig (”PuA”) och (firma), organisationsnummer xxx.xxx-xxxx, nedan kallad Entreprenören, som är personuppgiftsbiträde (”PuB”) i samband med upphandling avseende beställningscentral för samhällsbetalda resor i Karlstads kommun. 1.2. Bakgrund. Stadsbyggnadsnämnden fullgör kommunens skyldigheter enligt lag (1997:735) om Riksfärdtjänst och ansvarar för att upphandla beställningscentral för verksamheten. Stadsbyggnadsnämnden är personuppgiftsansvarig för den personuppgiftsbehandling hos Karlstadsbuss som är hänförlig till förvaltningens datasystem. I den mån som Karlstadsbuss ger uppdrag till tredje part att utföra uppgifter som innebär att personuppgifter behandlas som Stadsbyggnadsnämnden har ansvar för, krävs att tredje man tecknar personuppgiftsbiträdesavtal med Stadsbyggnadsnämnden. Karlstadsbuss uppdrag att svara för förvaltning av Riksfärdtjänst som inte utgör myndighetsutövning innebär bland annat att Karlstadsbuss äger instruera PuB för PuA:s räkning. Karlstadsbuss instruktioner får dock inte strida mot PuA:s instruktioner. 1.3. Syfte. Detta avtal har till syfte att dels uppfylla kravet på avtal mellan PuA och PuB enligt 30 § andra stycket personuppgiftslagen (1998:204) PUL, dels att förtydliga att PuA äger ensamt rätt att besluta hur personuppgifter skall hanteras även om PuA:s krav skulle vara strängare än vad som följer av PUL. 1.4. Avtalstid. Detta avtal gäller under samma avtalstid som avtal rörande beställningscentral för Riksfärdtjänst, vilket gäller från och med 2014-03-01 till och med 2018-02-28 med möjlighet till två förlängningar längst till och med 2022-02-28. I det fall, som Stadsbyggnadsnämnden förlänger avtalet om Riksfärdtjänst, förlängs även detta avtal avseende behandling av personuppgifter automatiskt för samma avtalstid. 1.5. Definitioner. Nedanstående definitioner motsvarar dem som finns i 3 § PUL. Behandling av personuppgifter = Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatiskt väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. 2 Personuppgifter = All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftsansvarig (PuA) = Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde (PuB) = Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. 2. Åtagande. 2.1. Ansvar och instruktioner. PuA har ansvar för all behandling av personuppgifter som omfattas av detta avtal och bestämmer således ändamålen med behandlingen. PuB får bara behandla personuppgifter i enlighet med PuA:s instruktioner. PuA kommer att meddela instruktioner för behandling av personuppgifter. 2.2. Behandling av personuppgifter. Vid riksfärdtjänstresor sker en omfattande behandling av känsliga personuppgifter som omfattas av både personuppgiftslagen (1998:204), PUL:s och offentlighets- och sekretesslagen (2009:400) OSL:s bestämmelser. Det är därför av yttersta vikt att behandlingen sker i en tekniskt säker och kontrollerad miljö. Stadsbyggnadsnämnden är personuppgiftsansvarig enligt PUL och därmed ytterst ansvarig för att den behandling av personuppgifter som sker inom verksamheten följer gällande lagstiftning. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde (i detta fall Entreprenören) skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtagas och se till att personuppgiftsbiträdet verkligen vidtager åtgärderna. Ett personuppgiftsbiträde får behandla personuppgifter enbart i enlighet med instruktioner från den personuppgiftsansvarige och är skyldig att vidtaga de säkerhetsåtgärder som den personuppgiftsansvarige anger. Personuppgiftsbiträdet får överföra personuppgifter som behandlas för den personuppgiftsansvariges räkning enligt Tjänsteavtalet till tredje land om detta land är anslutet till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. Anslutna länder framgår av bilaga till personuppgiftsförordning (1998:119). Överföring av uppgifter till annat tredje land får inte förekomma. 2.3. Säkerhet och kontroll. PuB skall vidtaga de åtgärder som avses i 31 § första stycket PUL, vilket innebär att PuB skall vidtaga lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlande personuppgifterna är. PuA, Karlstadsbuss och kommunens revisorer äger rätt att på överenskomna lämpliga tidpunkter inspektera PuB:s lokaler och datorutrustning för att kontrollerta att PuB:s behandling av personuppgifter sker på i detta avtal föreskrivet sätt. 3 2.4. Sekretess och tystnadsplikt. PuB förbinder sig att inte till tredje man yppa eller i övrigt göra tillgänglig information som PuB erhållit från PuA inom ramen för detta avtal. Skyldigheten att iakttaga sekretess gäller dock inte om PuB är skyldig enligt lag eller myndighetsbeslut att lämna ut uppgifter. Sekretesskyldigheten gäller även efter avtalets upphörande. 2.5. Upphörande av bearbetning av personuppgifter. När PuB slutfört det uppdrag som föranlett att PuB behandlat personuppgifter för PuA:s räkning, skall PuB snarast utplåna de personuppgifter som behandlats inom ramen för uppdraget och som PuA har personuppgiftsansvar för. 3. Skadeslöshet. I det fall PuB inte uppfyller kravet på utplåning av personuppgifter som behandlats enligt ovan, ansvarar PuB för skada som åsamkats PuA. PuB skall hålla PuA skadeslös i händelse av att PuA åsamkas skada som är hänförlig som är hänförlig till PuB:s behandling av personuppgifter i strid mot lag eller instruktion från PuA. 4. Tvist. Tvist angående tillämpning eller tolkning av detta avtal och därmed sammanhängande rättsförhållanden skall i första hand lösas genom förhandling parterna emellan. Om parterna inte förlikas skall tvisten avgöras vid allmän domstol med Värmlands tingsrätt som första instans och med tillämpning av svensk rätt. Den omständigheten att tvist hänskjuts till rättsligt avgörande berättigar inte Entreprenören att avbryta sitt uppdrag. Detta Avtal har upprättats i två originalexemplar, varav Parterna tagit var sitt. Datum: Datum: _______________________________ ________________________________ Ort: Ort: _______________________________ ________________________________ Namn: Namn: _______________________________ ________________________________ Namnförtydligande Namnförtydligande: _______________________________ ________________________________ Position: Position: _______________________________ ________________________________