1/10 Personuppgiftsbiträdesavtal 2/10 Innehållsförteckning 1 Bakgrund och syfte ............................................................................................... 3 2 Lagval och definitioner ......................................................................................... 3 3 Behandling av personuppgifter ........................................................................... 3 4 Underbiträden ........................................................................................................ 4 5 Begränsningar i rätten att överföra personuppgifter till tredje land ................ 5 6 Säkerhetsåtgärder ................................................................................................. 6 7 Granskning och tillsyn ......................................................................................... 7 8 Utlämnande av information .................................................................................. 8 9 Sekretess ............................................................................................................... 8 10 Ersättning ............................................................................................................... 9 11 Skadestånd och ansvar gentemot tredje man ................................................... 9 12 Avtalstid, förhållande till övriga avtal och ändringar ........................................ 9 13 Lagval och tvistlösning ...................................................................................... 10 3/10 Detta personuppgiftsbiträdesavtal (detta ”Avtal”) är träffat [YYYY-MM-DD] mellan: (1) (2) [Leverantör] organisationsnummer [ ] (”Biträdet”) och [Avropande myndighet], organisationsnummer [ ] (”Ansvarig”) härefter enskilt benämnd ”part” och tillsammans ”parterna”. 1 Bakgrund och syfte 1.1 Ekonomistyrningsverket (”ESV”) har efter genomförd upphandling ingått ramavtal med Biträdet (”Ramavtalet”). Ansvarig och Biträdet har därefter träffat ett avropsavtal avseende Biträdets tillhandahållande av tjänster till Ansvarig (”Avropsavtalet”). Ramavtalets villkor ingår, i tillämpliga delar, som en bilaga till Avropsavtalet och gäller således också mellan Ansvarig och Biträdet. 1.2 Avropsavtalet innebär bl.a. att Biträdet i egenskap av Personuppgiftsbiträde behandlar Personuppgifter för vilka Ansvarig är Personuppgiftsansvarig enligt personuppgiftslagen (1998:204) (”PUL”). PUL uppställer krav på att skriftligt avtal träffas mellan den som är Personuppgiftsansvarig och den som är Personuppgiftsbiträde (personuppgiftsbiträdesavtal). Detta Avtal reglerar Biträdets Behandling av Personuppgifter för Ansvarigs räkning samt den integritetsnivå som ska uppnås vid Behandlingen. 1.3 Vad som anges i detta Avtal ska äga företräde framför Avropsavtalet och dess bilagor om inget annat uttryckligen framgår nedan. 2 Lagval och definitioner 2.1 Vid Biträdets Behandling av Personuppgifter ska svensk lag tillämpas. 2.2 Såvida inte annat framgår av detta Avtal ska begrepp med stor begynnelsebokstav ha den innebörd som de ges i PUL. Med ”Personuppgift” avses i detta Avtal all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och för vilka Ansvarig är Personuppgiftsansvarig. 3 Behandling av personuppgifter 3.1 Biträdet ska endast behandla Personuppgifter i enlighet med detta Avtal, Avropsavtalet och dess bilagor, PUL, dess förordning, Datainspektionens föreskrifter, och Ansvarigs vid var tid gällande instruktioner. 4/10 3.2 Biträdet får inte behandla Personuppgifter för egna eller några andra ändamål än dem som Biträdet anlitats för av Ansvarig. 3.3 Biträdet får inte överföra Personuppgifter till, eller tillgängliggöra Personuppgifter från Tredje land såvida det inte är tillåtet enligt vad som framgår av avsnitt 5 nedan. 3.4 Biträdet ska rätta, blockera, utplåna, ändra eller gallra Personuppgifter enligt Ansvarigs instruktioner. Om Ansvarig har markerat att Personuppgift ska raderas ska sådan radering ske senast 180 dagar därefter. 3.5 Biträdet ska skyndsamt bistå Ansvarig med, på Ansvarigs begäran, att fullgöra Ansvarigs skyldigheter i förhållande till Den registrerade avseende information enlig 26 § PUL. 4 Underbiträden 4.1 Biträdet får anlita eller byta ut en tredje part eller flera tredje parter för Behandling av Personuppgifter enligt Avtalet (”Underbiträde”) om följande förutsättningar är uppfyllda: (i) Biträdet har rätt att anlita Underleverantör (såsom detta begrepp definieras i Avropsavtalet) enligt Avropsavtalet, (ii) ESV har godkänt anlitandet av den specifika Underleverantören, och (iii) Biträdet har ingått ett skriftligt avtal med godkänt Underbiträde avseende Behandling av Personuppgifter i vilket Underbiträdet åläggs samma skyldigheter som åvilar Biträdet enligt detta Avtal. 4.2 För Underleverantörer som redan har godkänts enligt Ramavtalet vid tidpunkten för detta Avtals ingående behövs inget ytterligare godkännande. Det åligger dock fortfarande Biträdet att, i enlighet med 4.1(iii) ovan, teckna ett skriftligt avtal med sådant Underbiträde. 4.3 Biträdet ska säkerställa att Ansvarig har kännedom om vilka Underbiträden som behandlar Personuppgifter genom att utan dröjsmål, på begäran av Ansvarig tillhandahålla Ansvarig fullständig, korrekt och uppdaterad information om samtliga Underbiträden, där följande information specificeras för varje enskilt Underbiträde: 5/10 (i) definition av Underbiträdet, inklusive dess kontaktinformation, bolagsform och geografisk placering; (ii) vilken typ av tjänst som Underbiträdet utför; (iii) vilka egenskaper Underbiträdet har, (iv) garantier som uppställs för att PUL:s krav kommer att följas, samt (v) var Underbiträdet behandlar Personuppgifter som omfattas av detta Avtal. 4.4 4.5 Biträdet får inte anlita Underbiträde om det innebär att Personuppgifter kommer att överföras till Tredje land om inte bestämmelserna i avsnitt 5 är uppfyllda. Biträdet ansvarar fullt ut mot Ansvarig för Underbiträdes Behandling. 5 Begränsningar i rätten att överföra personuppgifter till tredje land 5.1 Biträdet äger inte rätt att överföra Personuppgifter till Tredje land, såvida inte Ansvarig skriftligen har godkänt sådan överföring och någon av följande förutsättningar är uppfyllda: (i) Det finns en adekvat skyddsnivå i mottagarlandet, (ii) Den registrerade har gett sitt Samtycke till överföringen, (iii) Någon av de i 34 § PUL uppräknade situationerna föreligger, (iv) Avtal som innehåller EU-kommissionens modellklausuler (2010/87/EU) har ingåtts, utan ändringar eller tillägg som står i strid med klausulerna, (v) Biträdet har upprättat bindande företagsinterna regler (så kallade Binding Corporate Rules) och mottagaren av Personuppgifterna i Tredje land omfattas av dessa, eller (vi) Biträdet har genomfört själv-certifiering och anslutit sig till EU-U.S Privacy Shield-principerna genom registring på U.S Department of Commerce Privacy Shield-lista. 5.2 I det fall överföring av Personuppgifter till Tredje land blir aktuellt ska Biträdet, innan överföring påbörjas, uppvisa dokumentation som styrker att bestämmelsen i avsnitt 5.1 är uppfyllda. 5.3 Oaktat 5.1-5.2 ovan ska eventuella begränsningar avseende överföring av Personuppgifter utanför Sverige i Avropsavtalet och dess bilagor äga företräde framför detta Avtal. 6/10 6 Säkerhetsåtgärder 6.1 Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som behandlas enligt vad som stadgas i 31 § 1 st PUL. Ansvarig kan i sina instruktioner komma att komplettera villkoren i detta avsnitt 6 utifrån vad som framkommer i Ansvariges laglighetsprövning enligt 10 § PUL och den risk- och sårbarhetsanalys som Ansvarig utför innan avrop enligt Ramavtalet. 6.2 Personuppgifterna ska av Biträdet skyddas mot förstöring, ändringar, otillåten spridning och obehörig tillgång. Personuppgifterna ska även skyddas mot varje annat slag av otillåten Behandling. 6.3 Biträdet ska vidta åtgärder för att samtliga personer som arbetar under dennes ledning följer vad som framgår av detta Avtal och vid var tid gällande instruktioner från Ansvarig, samt att de hålls informerade om innehållet i PUL. Biträdet ska begränsa åtkomsten till Personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver Personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av ingångna avtal mellan Biträdet och Ansvarig. Biträdet ska se till att de personer som har åtkomst till Personuppgifterna omfattas av sekretess enligt vad som framgår av avsnitt 9 samt att de är informerade om hur de får behandla Personuppgifterna. Biträdet ska ha ett behörighetskontrollsystem som förhindrar obehörig Behandling av Personuppgifter eller obehörig åtkomst till Personuppgifter. Biträdet ska använda ett loggsystem som möjliggör att Behandling av Personuppgifter kan spåras. 6.4 Biträdet ska tillhandahålla och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till Personuppgifterna. Vid obehörig Behandling, obehörig åtkomst, förstörelse eller ändring av Personuppgifter, samt försök till dessa, ska Biträdet omedelbart skriftligen underrätta Ansvarig om händelsen. 6.5 I det fall Biträdet behandlar Känsliga personuppgifter, såsom definierat i 13 § PUL, eller på annat sätt behandlar integritetskänsliga Personuppgifter vilka exempelvis omfattas av sekretess, ställs särskilt höga säkerhetskrav innefattande exempelvis tvåstegsautentisering och kryptering. 6.6 Ansvarig får lämna ytterligare instruktioner om säkerhetsåtgärder. I sådant fall ska Biträdet följa instruktionerna. Ansvarig har rätt att kontrollera att de tekniska och organisatoriska säkerhetsåtgärderna verkligen vidtas under Avtalets fullgörande. 7/10 6.7 Om Biträdet saknar instruktioner från Ansvarig som Biträdet bedömer är nödvändiga för att utföra Behandling av Personuppgifter, eller anser att Ansvarigs instruktioner helt eller delvis står i konflikt med de författningar, föreskrifter och rekommendationer som Biträdet ska följa enligt Avtalet, ska Biträdet utan dröjsmål meddela Ansvarig om sin inställning och invänta de instruktioner som Ansvarig bedömer erforderliga. 6.8 Biträdet har rätt till ersättning för skäliga, styrkta och direkta merkostnader som Biträdet orsakas till följd av förändrade eller ytterligare instruktioner enligt punkterna 6.1 och 6.6 ovan. Sådan rätt till ersättning ska dock inte föreligga för förändrade säkerhetskrav som Biträdet ska uppfylla utan rätt till ersättning enligt Ramavtalet. 7 Granskning och tillsyn 7.1 Ansvarig äger rätt att, själv eller genom Ekonomistyrningsverket eller annan av Ansvarig utsedd tredje part (som inte ska vara en konkurrent till Biträdet) följa upp att Biträdet lever upp till den Ansvariges krav på Behandlingen. Biträdet ska vid sådan uppföljning bistå Ansvarig eller den som utför granskningen med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna följa upp Biträdets efterlevnad av detta Avtal. Biträdet ska även tillförsäkra Ansvarig motsvarande rättigheter i förhållande till anlitade Underbiträden. Biträdet äger rätt att erbjuda alternativa tillvägagångssätt för uppföljning, exempelvis granskning genomförd av oberoende tredje part. Ansvarig ska i sådant fall äga rätt, men inte vara skyldig att, tillämpa detta alternativa tillvägagångssätt för uppföljning. 7.2 Biträdet ska också bereda möjlighet för Datainspektionen, eller annan myndighet som rör eller kan vara av betydelse för Behandling av Personuppgifter, att göra tillsyn på plats. 7.3 Om Datainspektionen eller annan myndighet inleder granskning av Ansvarigs Behandling av Personuppgifter eller om enskild väcker talan mot Ansvarig med anledning av sådan Behandling och frågan rör Behandling som kan antas ha utförts av Biträdet, ska Biträdet i skälig omfattning och mot ersättning för självkostnader bistå Ansvarig med dokumentation och annan information avseende Behandlingen i syfte att möjliggöra för Ansvarig att tillmötesgå myndigheter i deras granskning och bemöta framställda krav. 8/10 8 Utlämnande av information 8.1 Om Den registrerade, Datainspektionen, annan tillsynsmyndighet eller annan tredje man begär information från Biträdet som rör Behandling av Personuppgifter, ska Biträdet hänvisa till Ansvarig. Biträdet får inte lämna ut Personuppgifter eller annan information om Behandlingen av Personuppgifter utan skriftligt föregående medgivande från Ansvarig. Biträdet ska bistå Ansvarig för det fall Den registrerade begär att få ta del av information som finns registrerad om denne i form av Personuppgifter eller begär rättelse av sådan information. 8.2 Biträdet ska utan dröjsmål skriftligen underrätta Ansvarig om eventuella kontakter från Datainspektionen eller annan tillsynsmyndighet som rör eller kan vara av betydelse för Behandling av Personuppgifter. Biträdet har inte rätt att företräda Ansvarig eller agera för Ansvarigs räkning gentemot Datainspektionen eller andra tillsynsmyndigheter som rör eller kan vara av betydelse för Behandling av Personuppgifter. För det fall Biträdet genom lag eller myndighetsföreläggande är nödgad att lämna ut Personuppgifter, gäller vad som stadgas i punkt 9.3. 9 Sekretess 9.1 Biträdet och de personer som arbetar under dennes ledning ska vid Behandling av Personuppgifter iaktta sekretess. Det innebär att Personuppgifter inte obehörigen får röjas för tredje man. Biträdet åtar sig att se till att den eller de personer som arbetar under Biträdets ledning och som kommer att behandla Personuppgifter iakttar och följer Biträdets sekretesskyldighet enligt denna punkt 9.1. 9.2 Personuppgifter, information, instruktioner, systemlösningar, beskrivningar eller andra handlingar som Biträdet erhåller genom informationsutbyte enligt detta Avtal eller annat avtal parterna emellan får inte utnyttjas eller röjas för annat ändamål än som framgår av detta Avtal eller annat avtal parterna emellan, vare sig direkt eller indirekt, om inte Ansvarig på förhand skriftligen medgivit detta. Sekretesskyldigheten gäller inte information som part kan visa var allmänt känd eller som kommit till parts kännedom från tredje man utan brott mot detta Avtal. 9.3 Biträdet får lämna ut Personuppgifter utan att det innebär ett handlande i strid med detta Avtal om Biträdet genom lag eller myndighetsföreläggande är nödgad att lämna ut Personuppgifter. I sådant fall åligger det Biträdet att omgående skriftligen meddela Ansvarig om detta och begära att de efterfrågade Personuppgifterna omfattas av sekretess vid utlämnandet. 9/10 9.4 Sekretessplikten gäller även om detta Avtal i övrigt upphör. 10 Ersättning 10.1 Om det inte följer av någon annan punkt i detta Avtal har Biträdet inte rätt till särskild ersättning för Behandling av Personuppgifter under detta Avtal. 11 Skadestånd och ansvar gentemot tredje man 11.1 Biträdet åtar sig att hålla Ansvarig skadeslöst i det fall Ansvarig är skyldig att utge skadestånd till Den registrerade enligt 48 § PUL om den Behandling av Personuppgifter som ligger till grund för skadeståndsersättningen har utförts av Biträdet i strid med detta Avtal. 11.2 Biträdet åtar sig att även i övrigt hålla Ansvarig skadeslöst för det fall Ansvarig drabbas av skada till följd av Biträdets behandling av Personuppgifter i strid med detta Avtal. 11.3 Part ska inte vara skyldig att utge ersättning för indirekta skador såsom exempelvis utebliven vinst enligt detta Avtal. Till undvikande av missförstånd ska sådan skada som avses i punkt 11.1 anses utgöra direkt skada hos Ansvarig. 11.4 Det maximala skadeståndsbeloppet enligt Avtalet ska inte överstiga vad som framgår av Ramavtalet. 12 Avtalstid, förhållande till övriga avtal och ändringar 12.1 Detta Avtal gäller mellan parterna så länge Biträdet behandlar Personuppgifter för vilka Ansvarig är Personuppgiftsansvarig. Vid Avtalets upphörande ska Biträdet tillse att samtliga Personuppgifter överlämnas till Ansvarig i sådant format som Ansvarig definierar. Biträdet åtar sig att radera samtliga Personuppgifter som behandlats enligt detta Avtal inom 180 dagar från Avtalets upphörande. Radering ska emellertid inte ske förrän Biträdet skriftligen har informerat Ansvarig om att radering kommer att ske och har överlämnat Personuppgifter enligt punkt 12.1. 12.2 12.3 Om bakomliggande avtal som innebär att Biträdet behandlar Personuppgifter upphör och nytt sådant avtal träffas utan att ett nytt 10/10 personuppgiftsbiträdesavtal träffas, gäller detta Avtal även för det nya avtalet. 12.4 Ändringar och tillägg till detta Avtal ska, för att vara giltiga, göras skriftligen och undertecknas av båda parter. Sådana ändringar och tillägg till Avtalet träder i kraft 30 dagar efter båda parters undertecknande om inget annat är överenskommet. Denna punkt 12.4 förhindrar inte att Ansvarig kan ändra eller utfärda ytterligare instruktioner i enlighet med vad som framgår av detta Avtal. 13 Lagval och tvistlösning 13.1 För detta avtal gäller svensk rätt. 13.2 Tvist i anledning av detta Avtal ska slutligt avgöras vid allmän domstol. Detta Avtal har upprättats i två (2) original, av vilka parterna har erhållit ett (1) original var. ORT ORT DATUM DATUM MYNDIGHET FÖRETAG UNDERSKRIFT UNDERSKRIFT NAMNFÖRTYDLIGANDE NAMNFÖRTYDLIGANDE