2015-01-01 TSA 2015-xxx Personuppgiftsunderbiträdesavtal om Behandling av personuppgifter i vägtrafikregistret för Informationsförmedlares räkning. §1 Parter Personuppgiftsansvarig: Transportstyrelsen, Transportregisteravdelningen, 701 88 Örebro. organisationsnummer 202100-6099, Personuppgiftsbiträde: XXX, organisationsnummer XXXXXX-XXXX, nedan kallad Personuppgiftsbiträdet, adress. Underbiträde till Personuppgiftsbiträdet: XXX, organisationsnummer XXXXXX-XXXX , nedan kallad Underbiträdet, adress. §2 Syfte Detta avtal har upprättats för att uppfylla de krav som framgår av 30 § personuppgiftslagen (1998:204), PUL. Enligt denna bestämmelse ska det finnas ett skriftligt avtal om Personuppgiftsbiträdets Behandling av personuppgifter för den Personuppgiftsansvariges räkning. När Personuppgiftsbiträdet i sin tur anlitar annat företag som Underbiträde, vilken också kommer att utföra Behandling av personuppgifter för Transportstyrelsens räkning, ska föreskrifterna enligt Personuppgiftsbiträdesavtalet föras vidare på Underbiträdet. I det här avtalet finns föreskrifter om att Underbiträdet får Behandla personuppgifter bara i enlighet med instruktioner från Transportstyrelsen och att Underbiträdet är skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som Behandlas. Personuppgiftsbiträdet förmedlar uppgifter ur Vägtrafikregistret vidare till de Tillståndshavare som medgetts Direktåtkomst och/eller Direktanmälan. Underbiträdet utför utveckling, test, utvärdering, underhåll, förvaltning, support, etc. av Personuppgiftsbiträdets webbapplikation för Transportstyrelsens och Personuppgiftsbiträdets räkning alternativt levererar programvara med systemintegration för Direktanmälan- och Direktåtkomst till vägtrafikregistret. §3 Definitioner Användare En fysisk person anställd eller anlitad av en Tillståndshavare med Direktåtkomst till Vägtrafikregistret via Transportstyrelsens webbtjänst ”Fordon Direkt”, Informationsförmedlares tjänster eller egen integration. Sida 1 av 9 2015-01-01 TSA 2015-XX Behandling av personuppgifter (3 § PUL) Varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Den Registrerade (3 § PUL) Den som en Personuppgift avser. Direktanmälan Att direkt eller via Informationsförmedlare lämna in uppgifter till Transportstyrelsen för registrering i Vägtrafikregistret, i enlighet med 13 kap. 1 § FVTR. Direktåtkomst Att direkt eller via Informationsförmedlare söka i Vägtrafikregistret och där få svar på frågor, med användning av i FVTR bestämda sökbegrepp, i enlighet med 8 § LVTR samt 4 kap. 3-5 §§ FVTR. Informationsförmedlare Ett företag som har en icke exklusiv rätt att tillhandahålla webbtjänster eller kundanpassade integrationstjänster (s.k. programkopplingar) mot Transportstyrelsens Vägtrafikregister. Tillståndshavare kan välja att upprätta Direktåtkomst samt göra Direktanmälan till Vägtrafikregistret via en Informationsförmedlares tjänster. Integritetskänsliga personuppgifter Personuppgifter som exempelvis omfattas av sekretess, rör en Registrerads personliga sfär eller som på annat sätt värderar Den Registrerades sociala, ekonomiska eller liknande förhållanden. Känsliga personuppgifter (3 § PUL) Sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Personuppgifter (3 § PUL) All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftsansvarig (3 § PUL) Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för Behandlingen av personuppgifter. Personuppgiftsbiträde (3 § PUL) Den som Behandlar personuppgifter för den Personuppgiftsansvariges räkning. Sida 2 av 9 2015-01-01 TSA 2015-XX Programvaruleverantör Ett företag som utvecklar och levererar webbaserad programvara till företag, myndigheter, kommuner etc. på en öppen marknad. En Informationsförmedlare får erbjuda en leverantör ett API för systemintegration i programvara. En programvaruleverantör blir i sådana fall ett Personuppgiftsunderbiträde till Transportstyrelsen. Tillståndshavare Myndigheter och företag som har medgivits Direktåtkomst av Transportstyrelsen och som Personuppgiftsbiträdet förmedlar sina tjänster till. Underbiträde (Underleverantör eller Programvaruleverantör) Det företag Personuppgiftsbiträdet i sin tur anlitar som Underleverantör eller Programvaruleverantör, såsom administratör eller utvecklare av teknisk utrustning eller programvara, och som utför Behandling av personuppgifter eller som kan anses ha sådan åtkomst eller behörighet till Personuppgifterna att det kan likställas med Behandling av personuppgifter för Transportstyrelsens räkning. Vägtrafikregistret Register fört av Transportstyrelsen i enlighet med LVTR och FVTR. Registret innehåller uppgifter om fordon och ägare till dessa, behörighet enligt körkortslagen, behörighet att föra fordon i taxitrafik, rätten att bedriva yrkesmässig trafik, innehav av färdskrivarkort, fordonsbesiktningar, uppgifter för kontroll av betalning av felparkeringsavgifter m.m. §4 Allmänt om avtalet 4.1 Information om Behandlingen och, i förekommande fall, om Känsliga eller Integritetskänsliga personuppgifter kommer att Behandlas anges i avsnitt 7. 4.2 Underbiträdet har inte rätt till särskild ersättning för åtagande enligt avtalet. 4.3 Alla Behandlingar av personuppgifter som regleras i avtalet omfattas av personuppgiftslagens (1998:204) bestämmelser, eller annan författning som reglerar Behandling av personuppgifter. 4.4 Genom signeringen ges Transportstyrelsen rätt att följa upp att Underbiträdet lever upp till Transportstyrelsens krav på Behandlingen och verkligen vidtar lämpliga tekniska och organisatoriska åtgärder. 4.5 Underbiträdet intygar att dennes verksamhet bedrivs på ett sådant sätt att PUL:s bestämmelser och krav avseende adekvat skydd för Behandling av personuppgifter efterlevs. Sida 3 av 9 2015-01-01 TSA 2015-XX §5 Avtalshandlingar 5.1 Följande handlingar är avtalshandlingar som är integrerade i avtalet. Förekommer i dessa mot varandra stridande uppgifter eller föreskrifter gäller de, om inte omständigheterna uppenbarligen föranleder annat, sinsemellan i följande rangordning: 1) Skriftliga tillägg och ändringar till avtalet 2) Detta avtal 3) Transportstyrelsens instruktioner (se nedan) Instruktioner Informationssäkerhet för Informationsförmedlare Instruktioner finns på av Transportstyrelsen anvisad plats. §6 Ansvar och skyldigheter 6.1 Transportstyrelsen bestämmer ensam ändamålen med och medlen för den Behandling av personuppgifter som Underbiträdet utför för Transportstyrelsens räkning. 6.2 Enligt PUL är Transportstyrelsen i egenskap av Personuppgiftsansvarig ansvarig i förhållande till Den Registrerade för den Behandling av personuppgifter som Underbiträdet utför för Transportstyrelsens räkning. 6.3 Underbiträdet får Behandla personuppgifter endast i enlighet med detta avtal och de ytterligare skriftliga instruktioner som Transportstyrelsen lämnar på anvisad plats. Tillkommande instruktioner anses utgöra en del av avtalet. 6.4 Underbiträdet ska följa vid var tid gällande instruktion om informationssäkerhet. Instruktionen finns tillgänglig på av Transportstyrelsen anvisad plats. 6.5 Underbiträdet är enligt 30 § andra stycket PUL skyldigt att vidta de åtgärder som anges i 31 § första stycket samma lag. Underbiträdet ska enligt denna bestämmelse vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som Behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med Behandlingen av Personuppgifterna, och hur pass Känsliga de Behandlade personuppgifterna är. 6.6 Underbiträdet ska oavsett tidpunkt tillåta att Transportstyrelsen får undersöka om de säkerhetsåtgärder Underbiträdet vidtar är lämpliga. 6.7 Underbiträdet ska på begäran av Transportstyrelsen tillhandahålla information avseende sin Behandling av personuppgifter om informationen krävs för att Transportstyrelsen ska kunna uppfylla sina skyldigheter som Personuppgiftsansvarig. 6.8 Underbiträdet ska följa de eventuella beslut som Datainspektionen fattar om åtgärder för att uppfylla säkerhetskraven i PUL. Underbiträdet ska tillåta de inspektioner som Data- Sida 4 av 9 2015-01-01 TSA 2015-XX inspektionen eller Transportstyrelsen kan kräva enligt PUL för upprätthållandet av en korrekt Behandling av personuppgifter. 6.9 Transportstyrelsen ska, efter att ha fått en sammanställning av Underbiträdet över utförda säkerhetsåtgärder enligt 31 § PUL, informera Underbiträdet om de ytterligare tekniska och organisatoriska åtgärder som behövs. §7 Behandlingar som omfattas av avtalet Den Registrerade: De Personuppgifter som ska Behandlas rör följande kategorier av Registrerade: Fordonsägare Den som ansöker om, har eller har haft behörighet att framföra fordon eller luftfartyg enligt körkortslagen (1998:488), luftfartslagen (2010:500), taxitrafiklagen (2012:211) eller någon annan författning eller den som har rätt att utöva viss tjänst enligt luftfartslagen Annan person om det behövs för att underlätta handläggningen av ett körkorts-, förarbevis-, taxitrafik- eller yrkestrafikärende Den som ansöker om, har eller har haft tillstånd att bedriva yrkesmässig trafik enligt Europaparlamentets och rådets förordning (EG) nr 1071/2009 av den 21 oktober 2009 om gemensamma regler beträffande de villkor som ska uppfyllas av personer som bedriver yrkesmässig trafik och om upphävande av rådets direktiv 96/26/EG(1), yrkestrafiklagen (2012:210) eller någon annan författning, taxitrafik enligt taxitrafiklagen (2012:211) eller biluthyrning enligt lagen (1998:492) om biluthyrning Den som ansöker om, har eller har haft färdskrivarkort som avses i rådets förordning (EEG) nr 3821/85 av den 20 december 1985 om färdskrivare vid vägtransporter Den som har eller har haft yrkeskompetens att utföra transporter enligt lagen (2007:1157) om yrkesförarkompetens eller genomgår utbildning för att få sådan kompetens Den som bedriver sådan förvärvsmässig transportverksamhet på väg, som omfattas av Europaparlamentets och rådets förordning (EG) nr 561/2006 av den 15 mars 2006 om harmonisering av viss sociallagstiftning på vägtransportområdet och om ändring av rådets förordningar (EEG) nr 3821/85 och (EG) nr 2135/98 samt om upphävande av rådets förordning (EEG) nr 3820/85 eller rådets förordning (EEG) nr 3821/85 Annan person om det följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt eller av en EU-rättsakt. Typ av Personuppgifter som Behandlas: De Personuppgifter som Behandlas är av följande slag: Personuppgifter som kan ingå i Direktåtkomst är ägaruppgifter, namn, adress, personnummer, organisationsnummer, mätarställning, chassinummer, registreringsnummer m.m. Känsliga personuppgifter (i förekommande fall): Behandlingen rör följande Känsliga personuppgifter: Sida 5 av 9 2015-01-01 TSA 2015-XX Det förekommer inga Känsliga personuppgifter. Integritetskänsliga personuppgifter (i förekommande fall): Behandlingen rör följande Integritetskänsliga personuppgifter: Personnummer. Behandlingen: Personuppgifter kommer att behandlas av Underbiträdet på följande sätt: Underbiträdet utför utveckling, test, utvärdering, underhåll, förvaltning, support, etc. av Personuppgiftsbiträdets webbapplikation för Transportstyrelsens och Personuppgiftsbiträdets räkning. Ändamålet med Behandlingen: Avtalet mellan Transportstyrelsen och Personuppgiftsbiträdet omfattar Behandling av personuppgifter för att bistå Transportstyrelsen med att lämna ut information ur vägtrafikregistret för att möjliggöra Direktåtkomst och/eller Direktanmälan för Tillståndshavare som godkänts av Transportstyrelsen. Nedan följer några exempel på godkända verksamhetsområden och ändamål för Tillståndshavare: Advokatbyråer Konkursförvaltning Banker & kreditmarknadsbolag Kreditupplysning och fordonsrelaterad verksamhet Besiktningsorgan Besiktningskontroll Bilförsäljningsföretag Kontroll av förares behörighet att föra fordon innan provkörning Bilglasverkstäder Anmälan till försäkringsbolag Bilhandlare Yrkesmässig handel med fordon Bilskrotare Skrotning av fordon Biluthyrare Kontroll av förares behörighet att föra fordon innan uthyrning Bilverkstäder Hitta reservdelar, ”släcka tvåor” Bostadsrättsföreningar Parkeringsbevakning Bärgare Hantering av fordon Fastighetsförvaltare Parkeringsbevakning Finansiella institut Fordonsrelaterad verksamhet Försäkringsbolag Försäkringsgivning, skadereglering Sida 6 av 9 2015-01-01 TSA 2015-XX Försäkringsmäklare Försäkringsförmedling Inkassobolag Prövning och beslut om indrivning Invandrarnämnder & försäkringskassan Prövning av ansökan om bidrag Juridiska instanser Handläggning av rättstvist Parkeringsbolag Parkeringskontroller Revisionsbyråer & redovisningsbyråer Revisions-/redovisningsuppdrag Små vagnparksägare Administrativ hantering av fordonsflotta Socialförvaltning Prövning av ansökan om socialbidrag eller andra bidrag Stora vagnparksägare Administrativ hantering av fordonsflotta §8 Instruktioner till Underbiträdet 8.1 Underbiträdet ska utse en ansvarig för sina Behandlingar av personuppgifter. 8.2 Endast personer anställda eller anlitade av Underbiträdet som fått nödvändig utbildning får Behandla uppgifter enligt detta avtal. 8.3 Datorutrustning som används vid den Behandling av personuppgifter som utförs av Underbiträdet ska vara placerad så att obehöriga inte får tillgång till den. 8.4 Endast den personal som behöver ha tillgång till Personuppgifterna för sitt arbete ska medges tillgång. Underbiträdet ska se till att det finns ett tillfredsställande system avseende behörighetskontroll. 8.5 Om Transportstyrelsen så begär ska Underbiträdet teckna ett avtal om tystnadsplikt med samtlig personal som har tillgång till uppgifter som kan omfattas av sekretess. 8.6 Säkerheten i Underbiträdets lokaler där Personuppgifter Behandlas enligt ovan ska vara tillfredsställande avseende låsutrustning, fungerande larmutrustning, skydd mot brand, vatten och inbrott, skydd mot strömavbrott och strömstörningar. Den utrustning som används för att Behandla personuppgifter ska ha ett gott skydd mot stöld och händelser som kan förstöra utrustningen. 8.7 För hantering av utrustningen ska krävas att Användarens identitet kontrolleras t.ex. med lösenord. För att kunna kontrollera vilka som har haft tillgång till Personuppgifterna ska det finnas en logg som sparas i 12 månader efter den senaste åtgärden. 8.8 Uppgifterna får endast Behandlas för de ändamål som framgår av avsnitt 7. Sida 7 av 9 2015-01-01 TSA 2015-XX 8.9 Uppgifterna får inte spridas eller lagras, om inte fortsatt Behandling är nödvändig för att uppfylla författningsbestämmelser om bevarande av Personuppgifter som Personuppgiftsbiträdet omfattas av i egenskap av Personuppgiftsansvarig. 8.10 Om Underbiträdet, Personuppgiftsbiträdet eller den Personuppgiftsansvarige väljer att avsluta avtalet ska Personuppgiftsbiträdet och Underbiträdet inom 30 dagar radera de Personuppgifter som Personuppgiftsbiträdet och Underbiträdet behandlar för Transportstyrelsens räkning enligt detta avtal. 8.11 När fasta eller löstagbara lagringsmedier som innehåller Personuppgifter inte längre ska användas för sitt ändamål, ska medierna förstöras eller raderas på sådant sätt att uppgifterna inte kan återskapas. 8.12 Underbiträdet ska säkerställa att Personuppgifterna inte förstörs, ändras eller förvanskas vid överföring. Uppgifterna ska skyddas mot obehörig åtkomst vid sparande och vid överföring och får endast lämnas till Transportstyrelsen efter säkerställd identifiering av mottagaren. 8.13 Det är inte tillåtet att till tredje land överföra Personuppgifter som är under Behandling, om inte landet har en adekvat skyddsnivå för Personuppgifter. Med tredje land avses inte EU eller stat ansluten till EES. Personuppgifter får trots detta överföras till tredje land om Bolaget säkerställt att förutsättningarna i 13 § personuppgiftsförordningen (1998:1191) är uppfyllda eller att något av undantagen i 34 § PUL är tillämpliga. Om sådan överföring av Personuppgifter till tredje land ska genomföras, ska Bolaget skriftligen informera Transportstyrelsen om formerna och grunden för detta. §9 Ersättningsskyldighet 9.1 En Registrerad har rätt att rikta ansvarsanspråk direkt mot Underbiträdet med anledning av att Underbiträdet har Behandlat personuppgifter i strid med PUL eller detta avtal. 9.2 Om ersättningsanspråk från en Registrerad riktas mot Transportstyrelsen med anledning av att Underbiträdet har Behandlat personuppgifter i strid med PUL eller mot detta avtal, ska Underbiträdet ersätta Transportstyrelsen med samma belopp som Transportstyrelsen har fått utge till Den Registrerade. Sida 8 av 9 2015-01-01 TSA 2015-XX § 10 Giltighetstid och upphörande 10.1 Om Transportstyrelsen återkallat sitt medgivande för förmedling av uppgifter genom Direktåtkomst och/eller Direktanmälan ur Vägtrafikregistret upphör detta avtal omedelbart att gälla. 10.2 Personuppgiftsunderbiträdesavtalet upphör att gälla när Underbiträdet meddelat att det inte längre önskar Behandla personuppgifter enligt detta avtal, om parterna kommit överens om ett nytt avtal eller om Personuppgiftsbiträdet eller Underbiträdet inte längre Behandlar personuppgifter för Transportstyrelsens räkning. 10.3 Transportstyrelsen har rätt att göra ändringar i detta avtal. Ändring träder i kraft 30 dagar efter att meddelande om ändring kommit Underbiträdet tillhanda. 10.4 Underbiträdet har ingen självständig rätt att påkalla förändringar i detta avtal. Detta avtal har upprättats i två likalydande exemplar, varav parterna har tagit var sitt. Personuppgiftsansvarig Personuppgiftsbiträde Transportstyrelsen Bolaget Örebro ________________________ ________________________ Örebro och datum Ort och datum ________________________ ________________________ Underskrift Underskrift Sarwar Akmal Tf. Direktör Fordonsregistreringsoch ärendestödsavdelningen ________________________ Namnförtydligande Sida 9 av 9