Dnr 13-027 Bilaga 7 Avtal om behandling av personuppgifter 1. Parter Uppsala kommun, 753 75 Uppsala med organisationsnummer 212000-3005 är personuppgiftsansvarig kund och anlitar genom detta avtal (leverantörens namn), org. nr. , som personuppgiftsbiträde. 2. Inledning och bakgrund Enligt § 30 Personuppgiftslagen (1998:204), PuL, skall ett skriftligt avtal mellan personuppgiftsansvarig och personuppgiftsbiträde finnas. Eftersom leverantören och kunden har ett avtal omfattande skolskjutstransporter och liknande uppdrag daterat kommer leverantören att behandla personuppgifter för kundens räkning. Detta avtal är inget fristående avtal utan utgör en integrerad del av huvudavtalet. Huvudavtalet skall i alla delar tillämpas på parternas rättigheter och skyldigheter enligt nedan. 3. Giltighetstid Avtalet har samma giltighetstid som ovan refererat huvudavtal. Vid avtalets upphörande skall leverantören återlämna eller förstöra (vilket som avses avtalas i huvudavtalet) samtliga personuppgifter som leverantören behandlar vid tidpunkten för avtalets upphörande och i enlighet med kundens instruktioner. Återlämnande eller information om förstöring skall till ske till kunden i omedelbar anslutning till avtalets upphörande. 4. Personuppgiftsansvarig – personuppgiftsbiträde Den som bestämmer ändamålen med och medlen för behandling av personuppgifter är enligt PuLs definition att betrakta som personuppgiftsansvarig det vill säga kunden. Leverantören har i enlighet med huvudavtalet åtagit sig att behandla data där personuppgifter kommer att ingå och hjälper därför Uppsala kommun att behandla personuppgifter. Leverantören är enligt PuLs definition att betrakta som personuppgiftsbiträde. 5. Syfte Avtalets syfte är att säkerställa att personuppgifter hanteras lagligt och korrekt i enlighet med Pul eller annan speciallagstiftning inom verksamhetsområdet hos leverantören. 1 Dnr 13-027 Bilaga 7 6. Leverantörens åtagande Leverantören garanterar att personuppgifter som behandlas/mottagits under huvudavtalet enbart kommer att behandlas inom ramen för huvudavtalet. Samtliga personer som kommer att ta del av uppgifter från de behandlingar som omfattas av avtalsrelationen har kännedom om PuL och åläggs tystnadsplikt för dessa uppgifter. Leverantören skall behandla kundens personuppgifter i enlighet med överenskommen generell säkerhetsnivå och/eller överlämnade instruktioner samt skall vidta de tekniska och organisatoriska åtgärder som krävs för att skydda de personuppgifter som behandlas enligt PuL. Leverantören skall följa Datainspektionens allmänna råd ”Säkerhet för personuppgifter”. Leverantören får inte till tredje man röja eller på annat sätt utnyttja vad han fått veta om enskilda personliga förhållanden (personuppgifter). Tystnadsplikten gäller inte för sådan information om den blivit känd för leverantörer på annat sätt än genom fullföljandet av detta avtal eller om den är allmänt känd. Tystnadsplikten gäller även om detta avtal upphör. Leverantören äger inte utöver vad som framgår enligt instruktioner från kunden rätt att t.ex. lämna ut personuppgifter till tredje man, ändra ändamålen med behandlingen eller medlen för behandlingen, vidta åtgärder eller serier av åtgärder såsom insamling, registrering, bearbetning, ändring, blockering, utplåning eller förstöring av personuppgift, mångfaldiga uppgifterna i kundens databas, sammanställa eller samköra personuppgifterna 7. Kontrollmöjligheter Kunden har rätt att kontrollera att leverantören vidtar de åtgärder som avses i punkt 7 andra stycket och behandlar personuppgifter enligt huvudavtalet och gällande lagstiftning. En sådan kontroll skall ske efter skäligt varsel och under leverantörens normala kontorstid. Kontrollen skall utföras på ett sådant sätt att leverantörens verksamhet inte störs. Om ett brott mot överenskommelsen förekommer hos leverantören (att någon hos leverantören bryter mot avtalet) ska detta omedelbart skriftligen meddelas kunden. 2 Dnr 13-027 Bilaga 7 8. Skadestånd Anspråk med anledning av skada eller integritetsintrång av den registrerade, som orsakats av leverantören skall handläggas av kunden. Kunden har rätt till ersättning av leverantören med belopp som utbetalats av leverantören som skadestånd enligt bestämmelserna i PuL om den behandling av personuppgifter som ligger till grund för skadeståndsersättningen utförts av leverantören i strid mot lag, detta avtal eller utan instruktion från kunden. 9. Kontaktpersoner Kontaktperson hos kund utsedd att företräda personuppgiftsansvarig: Leverantörens namn: 10. Underskrift Detta avtal har upprättats i två exemplar varav parterna tagit var sitt. _______________________________________________________________ Uppsala 2013Ort och datum Ort och datum Uppsala kommun Köpare Leverantör Underskrift Underskrift Namnförtydligande Namnförtydligande 3