2017-07-14 [1] PERSONUPPGIFTSBITRÄDESAVTAL avseende 2015-03-25 Staffanstorps kommun Postadress 245 80 STAFFANSTORP framtidenskommun.se Telefon staffanstorp.se 046-25 11 00 [email protected] Telefax 046-25 55 70 BG 281-1222 Org nr 212000-1017 [2] DETTA PERSONUPPGIFTSBITRÄDESAVTAL (”Personuppgiftsbiträdesavtalet”) är dag som nedan träffat mellan: (1) Staffanstorps kommun, (”Kommunen”); och organisationsnummer (2) [ ], organisationsnummer [ (”Personuppgiftsbiträdet”). 212000-1017 ] Kommunen och Personuppgiftsbiträdet benämns nedan var för sig ”Part” eller gemensamt ”Parterna”. 1. Bakgrund Parterna har efter genomförd upphandling ingått ett avtal avseende verksamhetsdrift av vård- och omsorgsboende för äldre personer, särskilt boende enligt socialtjänstlagen (2001:453) (”SoL”) i Staffanstorps kommun för Magnoliagården vid fullgörande av vilket Personuppgiftsbiträdet kommer att Behandla (se definition nedan) Personuppgifter (se definition nedan) för Kommunens räkning. Personuppgiftsbiträdesavtalet har till syfte att uppfylla personuppgiftslagens (1998:204) (”PUL”) krav på skriftligt avtal mellan Personuppgiftsansvarig (se definition nedan) och Personuppgiftsbiträde (se definition nedan) angående sådant biträdes Behandling av Personuppgifter för den Personuppgiftsansvariges räkning. 2. Definitioner I Personuppgiftsbiträdesavtalet används de definitioner som återfinns i 3 § PUL, vilket bl.a. innebär att: a) ”Behandla”/”Behandling” betyder varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte, såsom men inte endast insamling, registrering, lagring eller överföring. b) ”Personuppgifter” betyder all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. c) ”Personuppgiftsansvarig” betyder den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för Behandlingen av Personuppgifter. [3] d) ”Personuppgiftsbiträde” betyder den som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning. e) ”Registrerad” Behandlas. 3. betyder den vars Personuppgifter Personuppgiftsansvar och instruktion Kommunen har såsom Personuppgiftsansvarig ansvar för att all Behandling av Personuppgifter sker i enlighet med PUL. Kommunen ger Personuppgiftsbiträdet i uppdrag att Behandla de typer av Personuppgifter som anges i Bilaga 1 ”Personuppgifterna” för de ändamål och i enlighet med de instruktioner som anges i nämnda bilaga eller som från tid till annan lämnas av Kommunen. Personuppgiftsbiträdet får således inte Behandla Personuppgifterna på annat sätt, för andra ändamål eller enligt andra instruktioner än vad som följer av bilaga 1 eller som på annat sätt lämnas av Kommunen. 4. Personuppgiftsbiträdets åtaganden Personuppgiftsbiträdet åtar sig att tillse att all Behandling av Personuppgifterna sker i enlighet med PUL och andra vid var tid tillämpliga svenska författningar och i enlighet med Datainspektionens föreskrifter. Personuppgiftsbiträdet åtar sig att löpande hålla sig informerat om innehållet i PUL och andra vid var tid tillämpliga författningar, råd och branschöverenskommelser avseende Behandling av Personuppgifter. Personuppgiftsbiträdet åtar sig att endast Behandla Personuppgifter i enlighet med vad som följer av punkten 3 ovan. Om Personuppgiftsbiträdet saknar instruktioner som Personuppgiftsbiträdet bedömer nödvändiga för att fullgöra sina åtaganden enligt Personuppgiftsbiträdesavtalet eller Avtalet ska Personuppgiftsbiträdet utan dröjsmål informera Kommunen om detta och inhämta nödvändiga instruktioner från Kommunen. Personuppgiftsbiträdet åtar sig att begränsa behörigheten för sin personal att få åtkomst till Personuppgifterna i så stor utsträckning som är möjligt för att Personuppgiftsbiträdet fortfarande ska kunna utföra sitt [4] uppdrag enligt Personuppgiftsbiträdesavtalet och enligt Avtalet. Personuppgiftsbiträdet åtar sig att tillse att berörd personal följer Personuppgiftsbiträdesavtalet och övriga instruktioner som ges av Kommunen, samt att de hålls informerade om innehållet i PUL och andra vid var tid tillämpliga författningar. Utöver vad som följer av fjärde stycket i denna punkt ska Personuppgiftsbiträdet företa säkerhetsåtgärder som avses i 31 § PUL, vilket innebär att Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda Personuppgifterna mot obehörig åtkomst, förstörelse eller ändring, till en nivå som är lämplig med hänsyn till hur känsliga Personuppgifterna är, särskilda risker som finns och befintliga tekniska möjligheter. Personuppgiftsbiträdet ska tillse att det finns tekniska och praktiska förutsättningar att utreda misstankar om att någon hos endera Part har haft obehörig åtkomst till Personuppgifterna. Personuppgiftsbiträdet ska omgående underrätta Kommunen vid upptäckt av fullbordande fall eller försök till obehörig åtkomst, förstörelse eller ändring av Personuppgifterna. För det fall den Registrerade, Datainspektionen eller annan tredje part begär information från Personuppgiftsbiträdet som rör Behandling av Personuppgifterna, ska Personuppgiftsbiträdet hänvisa till Kommunen. Personuppgiftsbiträdet får inte till annan än Kommunen lämna ut information om Behandling av Personuppgifterna utan skriftlig instruktion från Kommunen, såvida sådant utlämnande inte är en följd av skyldighet enligt lag. Personuppgiftsbiträdet ska utan dröjsmål informera Kommunen om eventuella kontakter med Datainspektionen, vilka rör eller kan vara av betydelse för Behandling av Personuppgifterna. Personuppgiftsbiträdet har inte rätt att företräda Kommunen eller agera för Kommunens räkning gentemot Datainspektionen. Personuppgiftsbiträdet ska, efter att ha inhämtat Kommunens samtycke, tillåta eventuella inspektioner som Datainspektionen kräver avseende Personuppgiftsbiträdets Behandling av Personuppgifterna. [5] Den Registrerade har rätt att begära registerutdrag eller kräva rättelse, blockering eller utplåning av dennes Personuppgifter som Behandlas av Personuppgiftsbiträdet. Personuppgiftsbiträdet är skyldigt att bistå Kommunen i sådan omfattning att denna rätt kan säkerställas. Kommunen har rätt att själv eller genom annan kontrollera att Personuppgiftsbiträdet Behandlar Personuppgifterna i enlighet med och vidtar de säkerhetsåtgärder som följer av Personuppgiftsbiträdesavtalet eller av andra instruktioner lämnade av Kommunen. Personuppgiftsbiträdet har en skyldighet att utan oskäligt dröjsmål rätta sådana brister i Behandlingen som upptäcks vid kontroller eller inspektioner. 5. Anlitande av underbiträde Personuppgiftsbiträdet har inte rätt att utan Kommunens skriftliga medgivande anlita underleverantör för uppfyllandet av sina åtaganden enligt Personuppgiftsbiträdesavtalet (”Underbiträde”). Utses ett Underbiträde ska Personuppgiftsbiträdet med Underbiträdet ingå ett skriftligt avtal varigenom (i) motsvarande villkor som gäller för Personuppgiftsbiträdets Behandling av Personuppgifter enligt Personuppgiftsbiträdesavtalet även gäller för Underbiträdets Behandling av Personuppgifterna: och (ii) Underbiträdet har samma skyldigheter som Personuppgiftsbiträdet har gentemot Kommunen. Utses ett Underbiträde i ett tredje land ska avtal tecknas med sådant Underbiträde i enlighet med Kommissionens beslut (2010/87/EU) om standardavtalsklausuler för överföring av Personuppgifter till tredje land, d.v.s. utanför EU/EES.. Om ett Underbiträde inte uppfyller sina skyldigheter i fråga om Behandling av Personuppgifterna på sätt som anges i Personuppgiftsbiträdesavtalet, ska Personuppgiftsbiträdet svara härför. 6. Skada Personuppgiftsbiträdet ska ersätta Kommunen för skada som Kommunen drabbas av till följd av Personuppgiftsbiträdets eller ett Underbiträdes, otillåtna eller försumliga Behandling av Personuppgifterna, i strid med PUL eller Personuppgiftsbiträdesavtalet. [6] För det fall en Registrerad eller annan tredje part riktar krav mot Kommunen p.g.a. Personuppgiftsbiträdets eller ett Underbiträdes Behandling av Personuppgifterna ska Personuppgiftsbiträdet hålla Kommunen skadeslös för sådana krav som följer av att Personuppgiftsbiträdet eller ett Underbiträde inte efterföljt Personuppgiftsbiträdesavtalet. 7. Ersättning Personuppgiftsbiträdet har inte rätt ersättning för sina åtaganden i Personuppgiftsbiträdesavtalet. 8. till särskild enlighet med Upphörande av behandling av personuppgifter Vid upphörande av Personuppgiftsbiträdets Behandling av Personuppgifterna enligt Personuppgiftsbiträdesavtalet ska Personuppgiftsbiträdet till Kommunen återlämna eller på Kommunens begäran förstöra all data som innehåller Personuppgifter och samtliga media som Personuppgifterna är fixerad på. Kommunen har rätt att även efter Personuppgiftsbiträdesavtalets upphörande kontrollera att Personuppgiftsbiträdet har fullföljt sina åtagande som följer av första stycket denna punkt. 9. Sekretess All Behandling av Personuppgifterna sker med iakttagande av sekretess, innebärande att Personuppgiftsbiträdet, dess anställda och i förekommande fall Underbiträden inte till tredje part får lämna ut eller på annat sätt röja information om Behandling av Personuppgifter som omfattas av Personuppgiftsbiträdesavtalet eller annan information som Personuppgiftsbiträdet erhållit till följd av Avtalet. Detta åtagande gäller inte information som Personuppgiftsbiträdet föreläggs att utge till myndighet eller information som är allmänt känd. Sekretessåtagandet gäller även efter Personuppgiftsbiträdesavtalet har upphört att gälla. 10. att Ändring av personuppgiftsbiträdesavtalet Kommunen får ändra innehållet i Avtalet endast i den mån som så erfordras för att tillgodose krav som följer av tillämplig uppgiftsskyddslagstiftning eller för att möjliggöra sådana Behandlingar som avses nedan. [7] Personuppgiftsbiträdet har inte rätt att självständigt påkalla ändringar av Personuppgiftsbiträdesavtalet. För det fall Personuppgiftsbiträdets åtaganden under Avtalet ändras på ett sätt som kan föranleda nya typer av Behandlingar av Personuppgifterna ska Personuppgiftsbiträdet genast underrätta Kommunen om sådana förändringar. 11. Överlåtelse av personuppgiftsbiträdesavtalet Personuppgiftsbiträdet har inte rätt att, helt eller delvis, överlåta eller pantsätta sina rättigheter och/eller skyldigheter enligt Personuppgiftsbiträdesavtalet utan Kommunens skriftliga godkännande. 12. Avtalstid Personuppgiftsbiträdesavtalet gäller från dess undertecknande och så länge som Personuppgiftsbiträdet Behandlar Personuppgifterna med anledning av Avtalet. Regler om förtida upphörande finns i Avtalet. 13. Tvist Tvist med anledning av Personuppgiftsbiträdesavtalet ska slutligt avgöras i enlighet med vad som anges om tvist i Avtalet. ___________________ Personuppgiftsbiträdesavtalet är upprättat i likalydande exemplar, varav Parterna tagit exemplar vardera. Ort och datum: STAFFANSTORPS KOMMUN (2) (1) Ort och datum: [ ] _________________________ _________________________ [Namn] två ett [Namn] [8] Bilaga 1 Kommunens närmare instruktioner Personuppgiftsbiträdets Behandling av enligt Personuppgiftsbiträdesavtalet. beträffande Personuppgifter De Personuppgifter som Personuppgiftsbiträdet Behandlar å Kommunens räkning rör följande kategorier av Registrerade: Person som har beviljats enligt 4 kap. 1 § SoL De Personuppgifter som är av följande slag: vård- och omsorgsboende Personuppgiftsbiträdet Behandlar Personnummer, namn, bostadsadress, telefonnummer, kontaktuppgifter till anhöriga och/eller legal företrädare, uppgifter om behov av stöd och hjälp i enlighet med gällande SoL och HSL-beslut samt andra uppgifter som personen lämnar och som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Personuppgiftsbiträdet får Personuppgifter på följande sätt: endast Behandla I syfte att kunna fullgöra sina skyldigheter enligt Avtalet. Personuppgiftsbiträdets sker i syfte att: Behandling av Personuppgifter Tillhandahålla vård, omsorg, service och aktiviteter i särskilt boende i enlighet med Avtalet.