8 Instruktioner till Underbiträdet

2015-01-01
TSA 2015-xxx
Personuppgiftsunderbiträdesavtal om Behandling av
personuppgifter i vägtrafikregistret för
Informationsförmedlares räkning.
§1
Parter
Personuppgiftsansvarig:
Transportstyrelsen,
Transportregisteravdelningen, 701 88 Örebro.
organisationsnummer
202100-6099,
Personuppgiftsbiträde: XXX, organisationsnummer XXXXXX-XXXX, nedan kallad
Personuppgiftsbiträdet, adress.
Underbiträde till Personuppgiftsbiträdet: XXX, organisationsnummer XXXXXX-XXXX ,
nedan kallad Underbiträdet, adress.
§2
Syfte
Detta avtal har upprättats för att uppfylla de krav som framgår av 30 § personuppgiftslagen
(1998:204), PUL. Enligt denna bestämmelse ska det finnas ett skriftligt avtal om
Personuppgiftsbiträdets Behandling av personuppgifter för den Personuppgiftsansvariges
räkning.
När Personuppgiftsbiträdet i sin tur anlitar annat företag som Underbiträde, vilken också
kommer att utföra Behandling av personuppgifter för Transportstyrelsens räkning, ska
föreskrifterna enligt Personuppgiftsbiträdesavtalet föras vidare på Underbiträdet.
I det här avtalet finns föreskrifter om att Underbiträdet får Behandla personuppgifter bara i
enlighet med instruktioner från Transportstyrelsen och att Underbiträdet är skyldig att vidta
lämpliga tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som
Behandlas.
Personuppgiftsbiträdet förmedlar uppgifter ur Vägtrafikregistret vidare till de Tillståndshavare
som medgetts Direktåtkomst och/eller Direktanmälan. Underbiträdet utför utveckling, test,
utvärdering, underhåll, förvaltning, support, etc. av Personuppgiftsbiträdets webbapplikation
för Transportstyrelsens och Personuppgiftsbiträdets räkning alternativt levererar programvara
med systemintegration för Direktanmälan- och Direktåtkomst till vägtrafikregistret.
§3
Definitioner
Användare
En fysisk person anställd eller anlitad av en Tillståndshavare med Direktåtkomst till
Vägtrafikregistret via Transportstyrelsens webbtjänst ”Fordon Direkt”, Informationsförmedlares tjänster eller egen integration.
Sida 1 av 9
2015-01-01
TSA 2015-XX
Behandling av personuppgifter (3 § PUL)
Varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på
automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller
ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning
eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering,
utplåning eller förstöring.
Den Registrerade (3 § PUL)
Den som en Personuppgift avser.
Direktanmälan
Att direkt eller via Informationsförmedlare lämna in uppgifter till Transportstyrelsen för
registrering i Vägtrafikregistret, i enlighet med 13 kap. 1 § FVTR.
Direktåtkomst
Att direkt eller via Informationsförmedlare söka i Vägtrafikregistret och där få svar på frågor,
med användning av i FVTR bestämda sökbegrepp, i enlighet med 8 § LVTR samt 4 kap. 3-5
§§ FVTR.
Informationsförmedlare
Ett företag som har en icke exklusiv rätt att tillhandahålla webbtjänster eller kundanpassade
integrationstjänster (s.k. programkopplingar) mot Transportstyrelsens Vägtrafikregister.
Tillståndshavare kan välja att upprätta Direktåtkomst samt göra Direktanmälan till
Vägtrafikregistret via en Informationsförmedlares tjänster.
Integritetskänsliga personuppgifter
Personuppgifter som exempelvis omfattas av sekretess, rör en Registrerads personliga sfär
eller som på annat sätt värderar Den Registrerades sociala, ekonomiska eller liknande
förhållanden.
Känsliga personuppgifter (3 § PUL)
Sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller
filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.
Personuppgifter (3 § PUL)
All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Personuppgiftsansvarig (3 § PUL)
Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för
Behandlingen av personuppgifter.
Personuppgiftsbiträde (3 § PUL)
Den som Behandlar personuppgifter för den Personuppgiftsansvariges räkning.
Sida 2 av 9
2015-01-01
TSA 2015-XX
Programvaruleverantör
Ett företag som utvecklar och levererar webbaserad programvara till företag, myndigheter,
kommuner etc. på en öppen marknad. En Informationsförmedlare får erbjuda en leverantör ett
API för systemintegration i programvara. En programvaruleverantör blir i sådana fall ett
Personuppgiftsunderbiträde till Transportstyrelsen.
Tillståndshavare
Myndigheter och företag som har medgivits Direktåtkomst av Transportstyrelsen och som
Personuppgiftsbiträdet förmedlar sina tjänster till.
Underbiträde (Underleverantör eller Programvaruleverantör)
Det företag Personuppgiftsbiträdet i sin tur anlitar som Underleverantör eller
Programvaruleverantör, såsom administratör eller utvecklare av teknisk utrustning eller
programvara, och som utför Behandling av personuppgifter eller som kan anses ha sådan
åtkomst eller behörighet till Personuppgifterna att det kan likställas med Behandling av
personuppgifter för Transportstyrelsens räkning.
Vägtrafikregistret
Register fört av Transportstyrelsen i enlighet med LVTR och FVTR. Registret innehåller
uppgifter om fordon och ägare till dessa, behörighet enligt körkortslagen, behörighet att föra
fordon i taxitrafik, rätten att bedriva yrkesmässig trafik, innehav av färdskrivarkort, fordonsbesiktningar, uppgifter för kontroll av betalning av felparkeringsavgifter m.m.
§4
Allmänt om avtalet
4.1
Information om Behandlingen och, i förekommande fall, om Känsliga eller Integritetskänsliga
personuppgifter kommer att Behandlas anges i avsnitt 7.
4.2
Underbiträdet har inte rätt till särskild ersättning för åtagande enligt avtalet.
4.3
Alla Behandlingar av personuppgifter som regleras i avtalet omfattas av personuppgiftslagens
(1998:204) bestämmelser, eller annan författning som reglerar Behandling av personuppgifter.
4.4
Genom signeringen ges Transportstyrelsen rätt att följa upp att Underbiträdet lever upp till
Transportstyrelsens krav på Behandlingen och verkligen vidtar lämpliga tekniska och
organisatoriska åtgärder.
4.5
Underbiträdet intygar att dennes verksamhet bedrivs på ett sådant sätt att PUL:s bestämmelser
och krav avseende adekvat skydd för Behandling av personuppgifter efterlevs.
Sida 3 av 9
2015-01-01
TSA 2015-XX
§5
Avtalshandlingar
5.1
Följande handlingar är avtalshandlingar som är integrerade i avtalet. Förekommer i dessa mot
varandra stridande uppgifter eller föreskrifter gäller de, om inte omständigheterna
uppenbarligen föranleder annat, sinsemellan i följande rangordning:
1) Skriftliga tillägg och ändringar till avtalet
2) Detta avtal
3) Transportstyrelsens instruktioner (se nedan)
Instruktioner
Informationssäkerhet för Informationsförmedlare
Instruktioner finns på av Transportstyrelsen anvisad plats.
§6
Ansvar och skyldigheter
6.1
Transportstyrelsen bestämmer ensam ändamålen med och medlen för den Behandling av
personuppgifter som Underbiträdet utför för Transportstyrelsens räkning.
6.2
Enligt PUL är Transportstyrelsen i egenskap av Personuppgiftsansvarig ansvarig i förhållande
till Den Registrerade för den Behandling av personuppgifter som Underbiträdet utför för
Transportstyrelsens räkning.
6.3
Underbiträdet får Behandla personuppgifter endast i enlighet med detta avtal och de ytterligare
skriftliga instruktioner som Transportstyrelsen lämnar på anvisad plats. Tillkommande
instruktioner anses utgöra en del av avtalet.
6.4
Underbiträdet ska följa vid var tid gällande instruktion om informationssäkerhet. Instruktionen
finns tillgänglig på av Transportstyrelsen anvisad plats.
6.5
Underbiträdet är enligt 30 § andra stycket PUL skyldigt att vidta de åtgärder som anges i 31 §
första stycket samma lag. Underbiträdet ska enligt denna bestämmelse vidta lämpliga tekniska
och organisatoriska åtgärder för att skydda de Personuppgifter som Behandlas.
Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska
möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som
finns med Behandlingen av Personuppgifterna, och hur pass Känsliga de Behandlade
personuppgifterna är.
6.6
Underbiträdet ska oavsett tidpunkt tillåta att Transportstyrelsen får undersöka om de
säkerhetsåtgärder Underbiträdet vidtar är lämpliga.
6.7
Underbiträdet ska på begäran av Transportstyrelsen tillhandahålla information avseende sin
Behandling av personuppgifter om informationen krävs för att Transportstyrelsen ska kunna
uppfylla sina skyldigheter som Personuppgiftsansvarig.
6.8
Underbiträdet ska följa de eventuella beslut som Datainspektionen fattar om åtgärder för att
uppfylla säkerhetskraven i PUL. Underbiträdet ska tillåta de inspektioner som Data-
Sida 4 av 9
2015-01-01
TSA 2015-XX
inspektionen eller Transportstyrelsen kan kräva enligt PUL för upprätthållandet av en korrekt
Behandling av personuppgifter.
6.9
Transportstyrelsen ska, efter att ha fått en sammanställning av Underbiträdet över utförda
säkerhetsåtgärder enligt 31 § PUL, informera Underbiträdet om de ytterligare tekniska och
organisatoriska åtgärder som behövs.
§7
Behandlingar som omfattas av avtalet
Den Registrerade:
De Personuppgifter som ska Behandlas rör följande kategorier av Registrerade:
Fordonsägare
Den som ansöker om, har eller har haft behörighet att framföra fordon eller luftfartyg enligt
körkortslagen (1998:488), luftfartslagen (2010:500), taxitrafiklagen (2012:211) eller någon
annan författning eller den som har rätt att utöva viss tjänst enligt luftfartslagen
Annan person om det behövs för att underlätta handläggningen av ett körkorts-, förarbevis-,
taxitrafik- eller yrkestrafikärende
Den som ansöker om, har eller har haft tillstånd att bedriva yrkesmässig trafik enligt
Europaparlamentets och rådets förordning (EG) nr 1071/2009 av den 21 oktober 2009 om
gemensamma regler beträffande de villkor som ska uppfyllas av personer som bedriver
yrkesmässig trafik och om upphävande av rådets direktiv 96/26/EG(1), yrkestrafiklagen
(2012:210) eller någon annan författning, taxitrafik enligt taxitrafiklagen (2012:211) eller
biluthyrning enligt lagen (1998:492) om biluthyrning
Den som ansöker om, har eller har haft färdskrivarkort som avses i rådets förordning (EEG)
nr 3821/85 av den 20 december 1985 om färdskrivare vid vägtransporter
Den som har eller har haft yrkeskompetens att utföra transporter enligt lagen (2007:1157) om
yrkesförarkompetens eller genomgår utbildning för att få sådan kompetens
Den som bedriver sådan förvärvsmässig transportverksamhet på väg, som omfattas av
Europaparlamentets och rådets förordning (EG) nr 561/2006 av den 15 mars 2006 om
harmonisering av viss sociallagstiftning på vägtransportområdet och om ändring av rådets
förordningar (EEG) nr 3821/85 och (EG) nr 2135/98 samt om upphävande av rådets
förordning (EEG) nr 3820/85 eller rådets förordning (EEG) nr 3821/85
Annan person om det följer av en internationell överenskommelse som Sverige efter
riksdagens godkännande har tillträtt eller av en EU-rättsakt.
Typ av Personuppgifter som Behandlas:
De Personuppgifter som Behandlas är av följande slag:
Personuppgifter som kan ingå i Direktåtkomst är ägaruppgifter, namn, adress,
personnummer, organisationsnummer, mätarställning, chassinummer, registreringsnummer
m.m.
Känsliga personuppgifter (i förekommande fall):
Behandlingen rör följande Känsliga personuppgifter:
Sida 5 av 9
2015-01-01
TSA 2015-XX
Det förekommer inga Känsliga personuppgifter.
Integritetskänsliga personuppgifter (i förekommande fall):
Behandlingen rör följande Integritetskänsliga personuppgifter:
Personnummer.
Behandlingen:
Personuppgifter kommer att behandlas av Underbiträdet på följande sätt:
Underbiträdet utför utveckling, test, utvärdering, underhåll, förvaltning, support, etc. av
Personuppgiftsbiträdets webbapplikation för Transportstyrelsens och Personuppgiftsbiträdets
räkning.
Ändamålet med Behandlingen:
Avtalet mellan Transportstyrelsen och Personuppgiftsbiträdet omfattar Behandling av
personuppgifter för att bistå Transportstyrelsen med att lämna ut information ur
vägtrafikregistret för att möjliggöra Direktåtkomst och/eller Direktanmälan för
Tillståndshavare som godkänts av Transportstyrelsen.
Nedan följer några exempel på godkända verksamhetsområden och ändamål för
Tillståndshavare:
Advokatbyråer
Konkursförvaltning
Banker & kreditmarknadsbolag
Kreditupplysning och
fordonsrelaterad verksamhet
Besiktningsorgan
Besiktningskontroll
Bilförsäljningsföretag
Kontroll av förares behörighet att
föra fordon innan provkörning
Bilglasverkstäder
Anmälan till försäkringsbolag
Bilhandlare
Yrkesmässig handel med fordon
Bilskrotare
Skrotning av fordon
Biluthyrare
Kontroll av förares behörighet att
föra fordon innan uthyrning
Bilverkstäder
Hitta reservdelar, ”släcka tvåor”
Bostadsrättsföreningar
Parkeringsbevakning
Bärgare
Hantering av fordon
Fastighetsförvaltare
Parkeringsbevakning
Finansiella institut
Fordonsrelaterad verksamhet
Försäkringsbolag
Försäkringsgivning,
skadereglering
Sida 6 av 9
2015-01-01
TSA 2015-XX
Försäkringsmäklare
Försäkringsförmedling
Inkassobolag
Prövning och beslut om indrivning
Invandrarnämnder &
försäkringskassan
Prövning av ansökan om bidrag
Juridiska instanser
Handläggning av rättstvist
Parkeringsbolag
Parkeringskontroller
Revisionsbyråer &
redovisningsbyråer
Revisions-/redovisningsuppdrag
Små vagnparksägare
Administrativ hantering av
fordonsflotta
Socialförvaltning
Prövning av ansökan om
socialbidrag eller andra bidrag
Stora vagnparksägare
Administrativ hantering av
fordonsflotta
§8
Instruktioner till Underbiträdet
8.1
Underbiträdet ska utse en ansvarig för sina Behandlingar av personuppgifter.
8.2
Endast personer anställda eller anlitade av Underbiträdet som fått nödvändig utbildning får
Behandla uppgifter enligt detta avtal.
8.3
Datorutrustning som används vid den Behandling av personuppgifter som utförs av
Underbiträdet ska vara placerad så att obehöriga inte får tillgång till den.
8.4
Endast den personal som behöver ha tillgång till Personuppgifterna för sitt arbete ska medges
tillgång. Underbiträdet ska se till att det finns ett tillfredsställande system avseende
behörighetskontroll.
8.5
Om Transportstyrelsen så begär ska Underbiträdet teckna ett avtal om tystnadsplikt med
samtlig personal som har tillgång till uppgifter som kan omfattas av sekretess.
8.6
Säkerheten i Underbiträdets lokaler där Personuppgifter Behandlas enligt ovan ska vara
tillfredsställande avseende låsutrustning, fungerande larmutrustning, skydd mot brand, vatten
och inbrott, skydd mot strömavbrott och strömstörningar. Den utrustning som används för att
Behandla personuppgifter ska ha ett gott skydd mot stöld och händelser som kan förstöra
utrustningen.
8.7
För hantering av utrustningen ska krävas att Användarens identitet kontrolleras t.ex. med
lösenord. För att kunna kontrollera vilka som har haft tillgång till Personuppgifterna ska det
finnas en logg som sparas i 12 månader efter den senaste åtgärden.
8.8
Uppgifterna får endast Behandlas för de ändamål som framgår av avsnitt 7.
Sida 7 av 9
2015-01-01
TSA 2015-XX
8.9
Uppgifterna får inte spridas eller lagras, om inte fortsatt Behandling är nödvändig för att
uppfylla författningsbestämmelser om bevarande av Personuppgifter som Personuppgiftsbiträdet omfattas av i egenskap av Personuppgiftsansvarig.
8.10
Om Underbiträdet, Personuppgiftsbiträdet eller den Personuppgiftsansvarige väljer att avsluta
avtalet ska Personuppgiftsbiträdet och Underbiträdet inom 30 dagar radera de Personuppgifter
som Personuppgiftsbiträdet och Underbiträdet behandlar för Transportstyrelsens räkning
enligt detta avtal.
8.11
När fasta eller löstagbara lagringsmedier som innehåller Personuppgifter inte längre ska
användas för sitt ändamål, ska medierna förstöras eller raderas på sådant sätt att uppgifterna
inte kan återskapas.
8.12
Underbiträdet ska säkerställa att Personuppgifterna inte förstörs, ändras eller förvanskas vid
överföring. Uppgifterna ska skyddas mot obehörig åtkomst vid sparande och vid överföring
och får endast lämnas till Transportstyrelsen efter säkerställd identifiering av mottagaren.
8.13
Det är inte tillåtet att till tredje land överföra Personuppgifter som är under Behandling, om
inte landet har en adekvat skyddsnivå för Personuppgifter. Med tredje land avses inte EU eller
stat ansluten till EES. Personuppgifter får trots detta överföras till tredje land om Bolaget
säkerställt att förutsättningarna i 13 § personuppgiftsförordningen (1998:1191) är uppfyllda
eller att något av undantagen i 34 § PUL är tillämpliga. Om sådan överföring av
Personuppgifter till tredje land ska genomföras, ska Bolaget skriftligen informera
Transportstyrelsen om formerna och grunden för detta.
§9
Ersättningsskyldighet
9.1
En Registrerad har rätt att rikta ansvarsanspråk direkt mot Underbiträdet med anledning av att
Underbiträdet har Behandlat personuppgifter i strid med PUL eller detta avtal.
9.2
Om ersättningsanspråk från en Registrerad riktas mot Transportstyrelsen med anledning av att
Underbiträdet har Behandlat personuppgifter i strid med PUL eller mot detta avtal, ska
Underbiträdet ersätta Transportstyrelsen med samma belopp som Transportstyrelsen har fått
utge till Den Registrerade.
Sida 8 av 9
2015-01-01
TSA 2015-XX
§ 10 Giltighetstid och upphörande
10.1
Om Transportstyrelsen återkallat sitt medgivande för förmedling av uppgifter genom
Direktåtkomst och/eller Direktanmälan ur Vägtrafikregistret upphör detta avtal omedelbart att
gälla.
10.2
Personuppgiftsunderbiträdesavtalet upphör att gälla när Underbiträdet meddelat att det inte
längre önskar Behandla personuppgifter enligt detta avtal, om parterna kommit överens om ett
nytt avtal eller om Personuppgiftsbiträdet eller Underbiträdet inte längre Behandlar
personuppgifter för Transportstyrelsens räkning.
10.3
Transportstyrelsen har rätt att göra ändringar i detta avtal. Ändring träder i kraft 30 dagar efter
att meddelande om ändring kommit Underbiträdet tillhanda.
10.4
Underbiträdet har ingen självständig rätt att påkalla förändringar i detta avtal.
Detta avtal har upprättats i två likalydande exemplar, varav parterna har tagit var sitt.
Personuppgiftsansvarig
Personuppgiftsbiträde
Transportstyrelsen
Bolaget
Örebro
________________________
________________________
Örebro och datum
Ort och datum
________________________
________________________
Underskrift
Underskrift
Sarwar Akmal
Tf. Direktör Fordonsregistreringsoch ärendestödsavdelningen
________________________
Namnförtydligande
Sida 9 av 9