2017-07-14
[1]
PERSONUPPGIFTSBITRÄDESAVTAL
avseende
2015-03-25
Staffanstorps kommun
Postadress
245 80 STAFFANSTORP
framtidenskommun.se Telefon
staffanstorp.se
046-25 11
00
[email protected]
Telefax
046-25 55
70
BG 281-1222
Org nr
212000-1017
[2]
DETTA PERSONUPPGIFTSBITRÄDESAVTAL
(”Personuppgiftsbiträdesavtalet”) är dag som nedan träffat
mellan:
(1)
Staffanstorps
kommun,
(”Kommunen”); och
organisationsnummer
(2)
[
], organisationsnummer [
(”Personuppgiftsbiträdet”).
212000-1017
]
Kommunen och Personuppgiftsbiträdet benämns nedan var för
sig ”Part” eller gemensamt ”Parterna”.
1.
Bakgrund
Parterna har efter genomförd upphandling ingått ett avtal
avseende verksamhetsdrift av vård- och omsorgsboende för
äldre personer, särskilt boende enligt socialtjänstlagen
(2001:453)
(”SoL”)
i
Staffanstorps
kommun
för
Magnoliagården
vid
fullgörande
av
vilket
Personuppgiftsbiträdet kommer att Behandla (se definition
nedan)
Personuppgifter
(se
definition
nedan)
för
Kommunens räkning.
Personuppgiftsbiträdesavtalet har till syfte att uppfylla
personuppgiftslagens
(1998:204)
(”PUL”)
krav
på
skriftligt
avtal
mellan
Personuppgiftsansvarig
(se
definition
nedan)
och
Personuppgiftsbiträde
(se
definition nedan) angående sådant biträdes Behandling av
Personuppgifter för den Personuppgiftsansvariges räkning.
2.
Definitioner
I Personuppgiftsbiträdesavtalet används de definitioner
som återfinns i 3 § PUL, vilket bl.a. innebär att:
a) ”Behandla”/”Behandling” betyder varje åtgärd eller
serie
av
åtgärder
som
vidtas
i
fråga
om
Personuppgifter, vare sig det sker på automatisk väg
eller
inte,
såsom
men
inte
endast
insamling,
registrering, lagring eller överföring.
b) ”Personuppgifter” betyder all slags information som
direkt eller indirekt kan hänföras till en fysisk
person som är i livet.
c) ”Personuppgiftsansvarig” betyder den som ensam eller
tillsammans med andra bestämmer ändamålen med och
medlen för Behandlingen av Personuppgifter.
[3]
d) ”Personuppgiftsbiträde” betyder den som Behandlar
Personuppgifter
för
den
Personuppgiftsansvariges
räkning.
e) ”Registrerad”
Behandlas.
3.
betyder
den
vars
Personuppgifter
Personuppgiftsansvar och instruktion
Kommunen har såsom Personuppgiftsansvarig ansvar för att
all Behandling av Personuppgifter sker i enlighet med
PUL.
Kommunen
ger
Personuppgiftsbiträdet
i
uppdrag
att
Behandla de typer av Personuppgifter som anges i Bilaga 1
”Personuppgifterna” för de ändamål och i enlighet med de
instruktioner som anges i nämnda bilaga eller som från
tid till annan lämnas av Kommunen. Personuppgiftsbiträdet
får således inte Behandla Personuppgifterna på annat
sätt, för andra ändamål eller enligt andra instruktioner
än vad som följer av bilaga 1 eller som på annat sätt
lämnas av Kommunen.
4.
Personuppgiftsbiträdets åtaganden
Personuppgiftsbiträdet åtar sig att tillse att all
Behandling av Personuppgifterna sker i enlighet med PUL
och andra vid var tid tillämpliga svenska författningar
och i enlighet med Datainspektionens föreskrifter.
Personuppgiftsbiträdet åtar sig att löpande hålla sig
informerat om innehållet i PUL och andra vid var tid
tillämpliga
författningar,
råd
och
branschöverenskommelser
avseende
Behandling
av
Personuppgifter.
Personuppgiftsbiträdet åtar sig att endast Behandla
Personuppgifter i enlighet med vad som följer av punkten
3 ovan. Om Personuppgiftsbiträdet saknar instruktioner
som Personuppgiftsbiträdet bedömer nödvändiga för att
fullgöra
sina
åtaganden
enligt
Personuppgiftsbiträdesavtalet
eller
Avtalet
ska
Personuppgiftsbiträdet utan dröjsmål informera Kommunen
om detta och inhämta nödvändiga instruktioner från
Kommunen.
Personuppgiftsbiträdet åtar sig att begränsa behörigheten
för sin personal att få åtkomst till Personuppgifterna i
så
stor
utsträckning
som
är
möjligt
för
att
Personuppgiftsbiträdet fortfarande ska kunna utföra sitt
[4]
uppdrag enligt Personuppgiftsbiträdesavtalet och enligt
Avtalet. Personuppgiftsbiträdet åtar sig att tillse att
berörd personal följer Personuppgiftsbiträdesavtalet och
övriga instruktioner som ges av Kommunen, samt att de
hålls informerade om innehållet i PUL och andra vid var
tid tillämpliga författningar.
Utöver vad som följer av fjärde stycket i denna punkt ska
Personuppgiftsbiträdet företa säkerhetsåtgärder som avses
i 31 § PUL, vilket innebär att Personuppgiftsbiträdet ska
vidta lämpliga tekniska och organisatoriska åtgärder för
att
skydda
Personuppgifterna
mot
obehörig
åtkomst,
förstörelse eller ändring, till en nivå som är lämplig
med hänsyn till hur känsliga Personuppgifterna är,
särskilda risker som finns och befintliga tekniska
möjligheter.
Personuppgiftsbiträdet ska tillse att det finns tekniska
och praktiska förutsättningar att utreda misstankar om
att någon hos endera Part har haft obehörig åtkomst till
Personuppgifterna.
Personuppgiftsbiträdet ska omgående underrätta Kommunen
vid upptäckt av fullbordande fall eller försök till
obehörig
åtkomst,
förstörelse
eller
ändring
av
Personuppgifterna.
För det fall den Registrerade, Datainspektionen eller
annan
tredje
part
begär
information
från
Personuppgiftsbiträdet
som
rör
Behandling
av
Personuppgifterna,
ska
Personuppgiftsbiträdet
hänvisa
till Kommunen.
Personuppgiftsbiträdet får inte till annan än Kommunen
lämna ut information om Behandling av Personuppgifterna
utan skriftlig instruktion från Kommunen, såvida sådant
utlämnande inte är en följd av skyldighet enligt lag.
Personuppgiftsbiträdet
ska
utan
dröjsmål
informera
Kommunen om eventuella kontakter med Datainspektionen,
vilka rör eller kan vara av betydelse för Behandling av
Personuppgifterna. Personuppgiftsbiträdet har inte rätt
att företräda Kommunen eller agera för Kommunens räkning
gentemot Datainspektionen.
Personuppgiftsbiträdet
ska,
efter
att
ha
inhämtat
Kommunens samtycke, tillåta eventuella inspektioner som
Datainspektionen kräver avseende Personuppgiftsbiträdets
Behandling av Personuppgifterna.
[5]
Den Registrerade har rätt att begära registerutdrag eller
kräva rättelse, blockering eller utplåning av dennes
Personuppgifter som Behandlas av Personuppgiftsbiträdet.
Personuppgiftsbiträdet är skyldigt att bistå Kommunen i
sådan omfattning att denna rätt kan säkerställas.
Kommunen har rätt att själv eller genom annan kontrollera
att Personuppgiftsbiträdet Behandlar Personuppgifterna i
enlighet med och vidtar de säkerhetsåtgärder som följer
av
Personuppgiftsbiträdesavtalet
eller
av
andra
instruktioner lämnade av Kommunen. Personuppgiftsbiträdet
har en skyldighet att utan oskäligt dröjsmål rätta sådana
brister i Behandlingen som upptäcks vid kontroller eller
inspektioner.
5.
Anlitande av underbiträde
Personuppgiftsbiträdet har inte rätt att utan Kommunens
skriftliga
medgivande
anlita
underleverantör
för
uppfyllandet
av
sina
åtaganden
enligt
Personuppgiftsbiträdesavtalet (”Underbiträde”).
Utses ett Underbiträde ska Personuppgiftsbiträdet med
Underbiträdet ingå ett skriftligt avtal varigenom (i)
motsvarande
villkor
som
gäller
för
Personuppgiftsbiträdets
Behandling
av
Personuppgifter
enligt Personuppgiftsbiträdesavtalet även gäller för
Underbiträdets Behandling av Personuppgifterna: och (ii)
Underbiträdet
har
samma
skyldigheter
som
Personuppgiftsbiträdet har gentemot Kommunen.
Utses ett Underbiträde i ett tredje land ska avtal
tecknas
med
sådant
Underbiträde
i
enlighet
med
Kommissionens
beslut
(2010/87/EU)
om
standardavtalsklausuler för överföring av Personuppgifter
till tredje land, d.v.s. utanför EU/EES..
Om ett Underbiträde inte uppfyller sina skyldigheter i
fråga om Behandling av Personuppgifterna på sätt som
anges
i
Personuppgiftsbiträdesavtalet,
ska
Personuppgiftsbiträdet svara härför.
6.
Skada
Personuppgiftsbiträdet ska ersätta Kommunen för skada som
Kommunen drabbas av till följd av Personuppgiftsbiträdets
eller ett Underbiträdes, otillåtna eller försumliga
Behandling av Personuppgifterna, i strid med PUL eller
Personuppgiftsbiträdesavtalet.
[6]
För det fall en Registrerad eller annan tredje part
riktar krav mot Kommunen p.g.a. Personuppgiftsbiträdets
eller ett Underbiträdes Behandling av Personuppgifterna
ska Personuppgiftsbiträdet hålla Kommunen skadeslös för
sådana krav som följer av att Personuppgiftsbiträdet
eller
ett
Underbiträde
inte
efterföljt
Personuppgiftsbiträdesavtalet.
7.
Ersättning
Personuppgiftsbiträdet
har
inte
rätt
ersättning
för
sina
åtaganden
i
Personuppgiftsbiträdesavtalet.
8.
till
särskild
enlighet
med
Upphörande av behandling av personuppgifter
Vid upphörande av Personuppgiftsbiträdets Behandling av
Personuppgifterna
enligt
Personuppgiftsbiträdesavtalet
ska Personuppgiftsbiträdet till Kommunen återlämna eller
på Kommunens begäran förstöra all data som innehåller
Personuppgifter och samtliga media som Personuppgifterna
är fixerad på.
Kommunen
har
rätt
att
även
efter
Personuppgiftsbiträdesavtalets upphörande kontrollera att
Personuppgiftsbiträdet har fullföljt sina åtagande som
följer av första stycket denna punkt.
9.
Sekretess
All Behandling av Personuppgifterna sker med iakttagande
av sekretess, innebärande att Personuppgiftsbiträdet,
dess anställda och i förekommande fall Underbiträden inte
till tredje part får lämna ut eller på annat sätt röja
information om Behandling av Personuppgifter som omfattas
av Personuppgiftsbiträdesavtalet eller annan information
som
Personuppgiftsbiträdet
erhållit
till
följd
av
Avtalet. Detta åtagande gäller inte information som
Personuppgiftsbiträdet föreläggs att utge till myndighet
eller information som är allmänt känd.
Sekretessåtagandet
gäller
även
efter
Personuppgiftsbiträdesavtalet har upphört att gälla.
10.
att
Ändring av personuppgiftsbiträdesavtalet
Kommunen får ändra innehållet i Avtalet endast i den mån
som så erfordras för att tillgodose krav som följer av
tillämplig
uppgiftsskyddslagstiftning
eller
för
att
möjliggöra sådana Behandlingar som avses nedan.
[7]
Personuppgiftsbiträdet har inte rätt att självständigt
påkalla ändringar av Personuppgiftsbiträdesavtalet.
För det fall Personuppgiftsbiträdets åtaganden under
Avtalet ändras på ett sätt som kan föranleda nya typer av
Behandlingar
av
Personuppgifterna
ska
Personuppgiftsbiträdet genast underrätta Kommunen om
sådana förändringar.
11.
Överlåtelse av personuppgiftsbiträdesavtalet
Personuppgiftsbiträdet har inte rätt att, helt eller
delvis,
överlåta
eller
pantsätta
sina
rättigheter
och/eller
skyldigheter
enligt
Personuppgiftsbiträdesavtalet utan Kommunens skriftliga
godkännande.
12.
Avtalstid
Personuppgiftsbiträdesavtalet
gäller
från
dess
undertecknande och så länge som Personuppgiftsbiträdet
Behandlar Personuppgifterna med anledning av Avtalet.
Regler om förtida upphörande finns i Avtalet.
13.
Tvist
Tvist med anledning av Personuppgiftsbiträdesavtalet ska
slutligt avgöras i enlighet med vad som anges om tvist i
Avtalet.
___________________
Personuppgiftsbiträdesavtalet är upprättat i
likalydande exemplar, varav Parterna tagit
exemplar vardera.
Ort och datum:
STAFFANSTORPS KOMMUN
(2)
(1)
Ort och datum:
[
]
_________________________
_________________________
[Namn]
två
ett
[Namn]
[8]
Bilaga 1
Kommunens
närmare
instruktioner
Personuppgiftsbiträdets
Behandling
av
enligt Personuppgiftsbiträdesavtalet.
beträffande
Personuppgifter
De Personuppgifter som Personuppgiftsbiträdet Behandlar å
Kommunens
räkning
rör
följande
kategorier
av
Registrerade:

Person som har beviljats
enligt 4 kap. 1 § SoL
De Personuppgifter som
är av följande slag:
vård-
och
omsorgsboende
Personuppgiftsbiträdet
Behandlar
Personnummer,
namn,
bostadsadress,
telefonnummer,
kontaktuppgifter
till
anhöriga
och/eller
legal
företrädare, uppgifter om behov av stöd och hjälp i
enlighet med gällande SoL och HSL-beslut samt andra
uppgifter som personen lämnar och som direkt eller
indirekt kan hänföras till en fysisk person som är i
livet.
Personuppgiftsbiträdet
får
Personuppgifter på följande sätt:
endast
Behandla
I syfte att kunna fullgöra sina skyldigheter enligt
Avtalet.
Personuppgiftsbiträdets
sker i syfte att:
Behandling
av
Personuppgifter
Tillhandahålla vård, omsorg, service och aktiviteter i
särskilt boende i enlighet med Avtalet.