1/10
Personuppgiftsbiträdesavtal
2/10
Innehållsförteckning
1
Bakgrund och syfte ............................................................................................... 3
2
Lagval och definitioner ......................................................................................... 3
3
Behandling av personuppgifter ........................................................................... 3
4
Underbiträden ........................................................................................................ 4
5
Begränsningar i rätten att överföra personuppgifter till tredje land ................ 5
6
Säkerhetsåtgärder ................................................................................................. 6
7
Granskning och tillsyn ......................................................................................... 7
8
Utlämnande av information .................................................................................. 8
9
Sekretess ............................................................................................................... 8
10 Ersättning ............................................................................................................... 9
11 Skadestånd och ansvar gentemot tredje man ................................................... 9
12 Avtalstid, förhållande till övriga avtal och ändringar ........................................ 9
13 Lagval och tvistlösning ...................................................................................... 10
3/10
Detta personuppgiftsbiträdesavtal (detta ”Avtal”) är träffat [YYYY-MM-DD] mellan:
(1)
(2)
[Leverantör] organisationsnummer [ ] (”Biträdet”) och
[Avropande myndighet], organisationsnummer [ ] (”Ansvarig”)
härefter enskilt benämnd ”part” och tillsammans ”parterna”.
1
Bakgrund och syfte
1.1
Ekonomistyrningsverket (”ESV”) har efter genomförd upphandling ingått
ramavtal med Biträdet (”Ramavtalet”). Ansvarig och Biträdet har därefter
träffat ett avropsavtal avseende Biträdets tillhandahållande av tjänster till
Ansvarig (”Avropsavtalet”). Ramavtalets villkor ingår, i tillämpliga delar,
som en bilaga till Avropsavtalet och gäller således också mellan Ansvarig
och Biträdet.
1.2
Avropsavtalet innebär bl.a. att Biträdet i egenskap av Personuppgiftsbiträde
behandlar Personuppgifter för vilka Ansvarig är Personuppgiftsansvarig
enligt personuppgiftslagen (1998:204) (”PUL”). PUL uppställer krav på att
skriftligt avtal träffas mellan den som är Personuppgiftsansvarig och den
som är Personuppgiftsbiträde (personuppgiftsbiträdesavtal). Detta Avtal
reglerar Biträdets Behandling av Personuppgifter för Ansvarigs räkning
samt den integritetsnivå som ska uppnås vid Behandlingen.
1.3
Vad som anges i detta Avtal ska äga företräde framför Avropsavtalet och
dess bilagor om inget annat uttryckligen framgår nedan.
2
Lagval och definitioner
2.1
Vid Biträdets Behandling av Personuppgifter ska svensk lag tillämpas.
2.2
Såvida inte annat framgår av detta Avtal ska begrepp med stor
begynnelsebokstav ha den innebörd som de ges i PUL. Med
”Personuppgift” avses i detta Avtal all slags information som direkt eller
indirekt kan hänföras till en fysisk person som är i livet och för vilka
Ansvarig är Personuppgiftsansvarig.
3
Behandling av personuppgifter
3.1
Biträdet ska endast behandla Personuppgifter i enlighet med detta Avtal,
Avropsavtalet och dess bilagor, PUL, dess förordning, Datainspektionens
föreskrifter, och Ansvarigs vid var tid gällande instruktioner.
4/10
3.2
Biträdet får inte behandla Personuppgifter för egna eller några andra
ändamål än dem som Biträdet anlitats för av Ansvarig.
3.3
Biträdet får inte överföra Personuppgifter till, eller tillgängliggöra
Personuppgifter från Tredje land såvida det inte är tillåtet enligt vad som
framgår av avsnitt 5 nedan.
3.4
Biträdet ska rätta, blockera, utplåna, ändra eller gallra Personuppgifter
enligt Ansvarigs instruktioner. Om Ansvarig har markerat att
Personuppgift ska raderas ska sådan radering ske senast 180 dagar därefter.
3.5
Biträdet ska skyndsamt bistå Ansvarig med, på Ansvarigs begäran, att
fullgöra Ansvarigs skyldigheter i förhållande till Den registrerade avseende
information enlig 26 § PUL.
4
Underbiträden
4.1
Biträdet får anlita eller byta ut en tredje part eller flera tredje parter för
Behandling av Personuppgifter enligt Avtalet (”Underbiträde”) om
följande förutsättningar är uppfyllda:
(i) Biträdet har rätt att anlita Underleverantör (såsom detta begrepp
definieras i Avropsavtalet) enligt Avropsavtalet,
(ii) ESV har godkänt anlitandet av den specifika Underleverantören, och
(iii) Biträdet har ingått ett skriftligt avtal med godkänt Underbiträde
avseende Behandling av Personuppgifter i vilket Underbiträdet åläggs
samma skyldigheter som åvilar Biträdet enligt detta Avtal.
4.2
För Underleverantörer som redan har godkänts enligt Ramavtalet vid
tidpunkten för detta Avtals ingående behövs inget ytterligare godkännande.
Det åligger dock fortfarande Biträdet att, i enlighet med 4.1(iii) ovan,
teckna ett skriftligt avtal med sådant Underbiträde.
4.3
Biträdet ska säkerställa att Ansvarig har kännedom om vilka Underbiträden
som behandlar Personuppgifter genom att utan dröjsmål, på begäran av
Ansvarig tillhandahålla Ansvarig fullständig, korrekt och uppdaterad
information om samtliga Underbiträden, där följande information
specificeras för varje enskilt Underbiträde:
5/10
(i) definition av Underbiträdet, inklusive dess kontaktinformation,
bolagsform och geografisk placering;
(ii) vilken typ av tjänst som Underbiträdet utför;
(iii) vilka egenskaper Underbiträdet har,
(iv) garantier som uppställs för att PUL:s krav kommer att följas, samt
(v) var Underbiträdet behandlar Personuppgifter som omfattas av detta
Avtal.
4.4
4.5
Biträdet får inte anlita Underbiträde om det innebär att Personuppgifter
kommer att överföras till Tredje land om inte bestämmelserna i avsnitt 5 är
uppfyllda.
Biträdet ansvarar fullt ut mot Ansvarig för Underbiträdes Behandling.
5
Begränsningar i rätten att överföra
personuppgifter till tredje land
5.1
Biträdet äger inte rätt att överföra Personuppgifter till Tredje land, såvida
inte Ansvarig skriftligen har godkänt sådan överföring och någon av
följande förutsättningar är uppfyllda:
(i) Det finns en adekvat skyddsnivå i mottagarlandet,
(ii) Den registrerade har gett sitt Samtycke till överföringen,
(iii) Någon av de i 34 § PUL uppräknade situationerna föreligger,
(iv) Avtal som innehåller EU-kommissionens modellklausuler
(2010/87/EU) har ingåtts, utan ändringar eller tillägg som står i strid
med klausulerna,
(v) Biträdet har upprättat bindande företagsinterna regler (så kallade
Binding Corporate Rules) och mottagaren av Personuppgifterna i
Tredje land omfattas av dessa, eller
(vi) Biträdet har genomfört själv-certifiering och anslutit sig till EU-U.S
Privacy Shield-principerna genom registring på U.S Department of
Commerce Privacy Shield-lista.
5.2
I det fall överföring av Personuppgifter till Tredje land blir aktuellt ska
Biträdet, innan överföring påbörjas, uppvisa dokumentation som styrker att
bestämmelsen i avsnitt 5.1 är uppfyllda.
5.3
Oaktat 5.1-5.2 ovan ska eventuella begränsningar avseende överföring av
Personuppgifter utanför Sverige i Avropsavtalet och dess bilagor äga
företräde framför detta Avtal.
6/10
6
Säkerhetsåtgärder
6.1
Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att
skydda de Personuppgifter som behandlas enligt vad som stadgas i 31 § 1
st PUL. Ansvarig kan i sina instruktioner komma att komplettera villkoren
i detta avsnitt 6 utifrån vad som framkommer i Ansvariges
laglighetsprövning enligt 10 § PUL och den risk- och sårbarhetsanalys som
Ansvarig utför innan avrop enligt Ramavtalet.
6.2
Personuppgifterna ska av Biträdet skyddas mot förstöring, ändringar,
otillåten spridning och obehörig tillgång. Personuppgifterna ska även
skyddas mot varje annat slag av otillåten Behandling.
6.3
Biträdet ska vidta åtgärder för att samtliga personer som arbetar under
dennes ledning följer vad som framgår av detta Avtal och vid var tid
gällande instruktioner från Ansvarig, samt att de hålls informerade om
innehållet i PUL. Biträdet ska begränsa åtkomsten till Personuppgifterna
till sådana personer som arbetar under dennes ledning och som behöver
Personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av
ingångna avtal mellan Biträdet och Ansvarig. Biträdet ska se till att de
personer som har åtkomst till Personuppgifterna omfattas av sekretess
enligt vad som framgår av avsnitt 9 samt att de är informerade om hur de
får behandla Personuppgifterna. Biträdet ska ha ett
behörighetskontrollsystem som förhindrar obehörig Behandling av
Personuppgifter eller obehörig åtkomst till Personuppgifter. Biträdet ska
använda ett loggsystem som möjliggör att Behandling av Personuppgifter
kan spåras.
6.4
Biträdet ska tillhandahålla och vidta tekniska och praktiska lösningar för att
utreda misstankar om att någon obehörigen behandlat eller haft obehörig
åtkomst till Personuppgifterna. Vid obehörig Behandling, obehörig
åtkomst, förstörelse eller ändring av Personuppgifter, samt försök till dessa,
ska Biträdet omedelbart skriftligen underrätta Ansvarig om händelsen.
6.5
I det fall Biträdet behandlar Känsliga personuppgifter, såsom definierat i
13 § PUL, eller på annat sätt behandlar integritetskänsliga Personuppgifter
vilka exempelvis omfattas av sekretess, ställs särskilt höga säkerhetskrav
innefattande exempelvis tvåstegsautentisering och kryptering.
6.6
Ansvarig får lämna ytterligare instruktioner om säkerhetsåtgärder. I sådant
fall ska Biträdet följa instruktionerna. Ansvarig har rätt att kontrollera att
de tekniska och organisatoriska säkerhetsåtgärderna verkligen vidtas under
Avtalets fullgörande.
7/10
6.7
Om Biträdet saknar instruktioner från Ansvarig som Biträdet bedömer är
nödvändiga för att utföra Behandling av Personuppgifter, eller anser att
Ansvarigs instruktioner helt eller delvis står i konflikt med de författningar,
föreskrifter och rekommendationer som Biträdet ska följa enligt Avtalet,
ska Biträdet utan dröjsmål meddela Ansvarig om sin inställning och
invänta de instruktioner som Ansvarig bedömer erforderliga.
6.8
Biträdet har rätt till ersättning för skäliga, styrkta och direkta merkostnader
som Biträdet orsakas till följd av förändrade eller ytterligare instruktioner
enligt punkterna 6.1 och 6.6 ovan. Sådan rätt till ersättning ska dock inte
föreligga för förändrade säkerhetskrav som Biträdet ska uppfylla utan rätt
till ersättning enligt Ramavtalet.
7
Granskning och tillsyn
7.1
Ansvarig äger rätt att, själv eller genom Ekonomistyrningsverket eller
annan av Ansvarig utsedd tredje part (som inte ska vara en konkurrent till
Biträdet) följa upp att Biträdet lever upp till den Ansvariges krav på
Behandlingen. Biträdet ska vid sådan uppföljning bistå Ansvarig eller den
som utför granskningen med dokumentation, tillgång till lokaler, IT-system
och andra tillgångar som behövs för att kunna följa upp Biträdets
efterlevnad av detta Avtal. Biträdet ska även tillförsäkra Ansvarig
motsvarande rättigheter i förhållande till anlitade Underbiträden. Biträdet
äger rätt att erbjuda alternativa tillvägagångssätt för uppföljning,
exempelvis granskning genomförd av oberoende tredje part. Ansvarig ska i
sådant fall äga rätt, men inte vara skyldig att, tillämpa detta alternativa
tillvägagångssätt för uppföljning.
7.2
Biträdet ska också bereda möjlighet för Datainspektionen, eller annan
myndighet som rör eller kan vara av betydelse för Behandling av
Personuppgifter, att göra tillsyn på plats.
7.3
Om Datainspektionen eller annan myndighet inleder granskning av
Ansvarigs Behandling av Personuppgifter eller om enskild väcker talan
mot Ansvarig med anledning av sådan Behandling och frågan rör
Behandling som kan antas ha utförts av Biträdet, ska Biträdet i skälig
omfattning och mot ersättning för självkostnader bistå Ansvarig med
dokumentation och annan information avseende Behandlingen i syfte att
möjliggöra för Ansvarig att tillmötesgå myndigheter i deras granskning och
bemöta framställda krav.
8/10
8
Utlämnande av information
8.1
Om Den registrerade, Datainspektionen, annan tillsynsmyndighet eller
annan tredje man begär information från Biträdet som rör Behandling av
Personuppgifter, ska Biträdet hänvisa till Ansvarig. Biträdet får inte lämna
ut Personuppgifter eller annan information om Behandlingen av
Personuppgifter utan skriftligt föregående medgivande från Ansvarig.
Biträdet ska bistå Ansvarig för det fall Den registrerade begär att få ta del
av information som finns registrerad om denne i form av Personuppgifter
eller begär rättelse av sådan information.
8.2
Biträdet ska utan dröjsmål skriftligen underrätta Ansvarig om eventuella
kontakter från Datainspektionen eller annan tillsynsmyndighet som rör
eller kan vara av betydelse för Behandling av Personuppgifter. Biträdet har
inte rätt att företräda Ansvarig eller agera för Ansvarigs räkning gentemot
Datainspektionen eller andra tillsynsmyndigheter som rör eller kan vara av
betydelse för Behandling av Personuppgifter. För det fall Biträdet genom
lag eller myndighetsföreläggande är nödgad att lämna ut Personuppgifter,
gäller vad som stadgas i punkt 9.3.
9
Sekretess
9.1
Biträdet och de personer som arbetar under dennes ledning ska vid
Behandling av Personuppgifter iaktta sekretess. Det innebär att
Personuppgifter inte obehörigen får röjas för tredje man. Biträdet åtar sig
att se till att den eller de personer som arbetar under Biträdets ledning och
som kommer att behandla Personuppgifter iakttar och följer Biträdets
sekretesskyldighet enligt denna punkt 9.1.
9.2
Personuppgifter, information, instruktioner, systemlösningar, beskrivningar
eller andra handlingar som Biträdet erhåller genom informationsutbyte
enligt detta Avtal eller annat avtal parterna emellan får inte utnyttjas eller
röjas för annat ändamål än som framgår av detta Avtal eller annat avtal
parterna emellan, vare sig direkt eller indirekt, om inte Ansvarig på
förhand skriftligen medgivit detta. Sekretesskyldigheten gäller inte
information som part kan visa var allmänt känd eller som kommit till parts
kännedom från tredje man utan brott mot detta Avtal.
9.3
Biträdet får lämna ut Personuppgifter utan att det innebär ett handlande i
strid med detta Avtal om Biträdet genom lag eller myndighetsföreläggande
är nödgad att lämna ut Personuppgifter. I sådant fall åligger det Biträdet att
omgående skriftligen meddela Ansvarig om detta och begära att de
efterfrågade Personuppgifterna omfattas av sekretess vid utlämnandet.
9/10
9.4
Sekretessplikten gäller även om detta Avtal i övrigt upphör.
10
Ersättning
10.1
Om det inte följer av någon annan punkt i detta Avtal har Biträdet inte rätt
till särskild ersättning för Behandling av Personuppgifter under detta Avtal.
11
Skadestånd och ansvar gentemot tredje man
11.1
Biträdet åtar sig att hålla Ansvarig skadeslöst i det fall Ansvarig är skyldig
att utge skadestånd till Den registrerade enligt 48 § PUL om den
Behandling av Personuppgifter som ligger till grund för
skadeståndsersättningen har utförts av Biträdet i strid med detta Avtal.
11.2
Biträdet åtar sig att även i övrigt hålla Ansvarig skadeslöst för det fall
Ansvarig drabbas av skada till följd av Biträdets behandling av
Personuppgifter i strid med detta Avtal.
11.3
Part ska inte vara skyldig att utge ersättning för indirekta skador såsom
exempelvis utebliven vinst enligt detta Avtal. Till undvikande av
missförstånd ska sådan skada som avses i punkt 11.1 anses utgöra direkt
skada hos Ansvarig.
11.4
Det maximala skadeståndsbeloppet enligt Avtalet ska inte överstiga vad
som framgår av Ramavtalet.
12
Avtalstid, förhållande till övriga avtal och
ändringar
12.1
Detta Avtal gäller mellan parterna så länge Biträdet behandlar
Personuppgifter för vilka Ansvarig är Personuppgiftsansvarig. Vid Avtalets
upphörande ska Biträdet tillse att samtliga Personuppgifter överlämnas till
Ansvarig i sådant format som Ansvarig definierar.
Biträdet åtar sig att radera samtliga Personuppgifter som behandlats enligt
detta Avtal inom 180 dagar från Avtalets upphörande. Radering ska
emellertid inte ske förrän Biträdet skriftligen har informerat Ansvarig om
att radering kommer att ske och har överlämnat Personuppgifter enligt
punkt 12.1.
12.2
12.3
Om bakomliggande avtal som innebär att Biträdet behandlar
Personuppgifter upphör och nytt sådant avtal träffas utan att ett nytt
10/10
personuppgiftsbiträdesavtal träffas, gäller detta Avtal även för det nya
avtalet.
12.4
Ändringar och tillägg till detta Avtal ska, för att vara giltiga, göras
skriftligen och undertecknas av båda parter. Sådana ändringar och tillägg
till Avtalet träder i kraft 30 dagar efter båda parters undertecknande om
inget annat är överenskommet. Denna punkt 12.4 förhindrar inte att
Ansvarig kan ändra eller utfärda ytterligare instruktioner i enlighet med
vad som framgår av detta Avtal.
13
Lagval och tvistlösning
13.1
För detta avtal gäller svensk rätt.
13.2
Tvist i anledning av detta Avtal ska slutligt avgöras vid allmän domstol.
Detta Avtal har upprättats i två (2) original, av vilka parterna har erhållit ett (1)
original var.
ORT
ORT
DATUM
DATUM
MYNDIGHET
FÖRETAG
UNDERSKRIFT
UNDERSKRIFT
NAMNFÖRTYDLIGANDE
NAMNFÖRTYDLIGANDE