Avtal om behandling av personuppgifter

Dnr 13-027
Bilaga 7
Avtal om behandling av personuppgifter
1. Parter
Uppsala kommun, 753 75 Uppsala med organisationsnummer 212000-3005 är
personuppgiftsansvarig kund och anlitar genom detta avtal
(leverantörens namn), org. nr.
, som personuppgiftsbiträde.
2. Inledning och bakgrund
Enligt § 30 Personuppgiftslagen (1998:204), PuL, skall ett skriftligt avtal
mellan personuppgiftsansvarig och personuppgiftsbiträde finnas. Eftersom
leverantören och kunden har ett avtal omfattande skolskjutstransporter och
liknande uppdrag daterat
kommer leverantören att behandla
personuppgifter för kundens räkning. Detta avtal är inget fristående avtal utan
utgör en integrerad del av huvudavtalet. Huvudavtalet skall i alla delar
tillämpas på parternas rättigheter och skyldigheter enligt nedan.
3. Giltighetstid
Avtalet har samma giltighetstid som ovan refererat huvudavtal.
Vid avtalets upphörande skall leverantören återlämna eller förstöra (vilket som
avses avtalas i huvudavtalet) samtliga personuppgifter som leverantören
behandlar vid tidpunkten för avtalets upphörande och i enlighet med kundens
instruktioner. Återlämnande eller information om förstöring skall till ske till
kunden i omedelbar anslutning till avtalets upphörande.
4. Personuppgiftsansvarig – personuppgiftsbiträde
Den som bestämmer ändamålen med och medlen för behandling av
personuppgifter är enligt PuLs definition att betrakta som
personuppgiftsansvarig det vill säga kunden.
Leverantören har i enlighet med huvudavtalet åtagit sig att behandla data där
personuppgifter kommer att ingå och hjälper därför Uppsala kommun att
behandla personuppgifter. Leverantören är enligt PuLs definition att betrakta
som personuppgiftsbiträde.
5. Syfte
Avtalets syfte är att säkerställa att personuppgifter hanteras lagligt och korrekt i
enlighet med Pul eller annan speciallagstiftning inom verksamhetsområdet hos
leverantören.
1
Dnr 13-027
Bilaga 7
6. Leverantörens åtagande
Leverantören garanterar att personuppgifter som behandlas/mottagits under
huvudavtalet enbart kommer att behandlas inom ramen för huvudavtalet.
Samtliga personer som kommer att ta del av uppgifter från de behandlingar
som omfattas av avtalsrelationen har kännedom om PuL och åläggs
tystnadsplikt för dessa uppgifter.
Leverantören skall behandla kundens personuppgifter i enlighet med
överenskommen generell säkerhetsnivå och/eller överlämnade instruktioner
samt skall vidta de tekniska och organisatoriska åtgärder som krävs för att
skydda de personuppgifter som behandlas enligt PuL.
Leverantören skall följa Datainspektionens allmänna råd ”Säkerhet för
personuppgifter”.
Leverantören får inte till tredje man röja eller på annat sätt utnyttja vad han fått
veta om enskilda personliga förhållanden (personuppgifter). Tystnadsplikten
gäller inte för sådan information om den blivit känd för leverantörer på annat
sätt än genom fullföljandet av detta avtal eller om den är allmänt känd.
Tystnadsplikten gäller även om detta avtal upphör.
Leverantören äger inte utöver vad som framgår enligt instruktioner från kunden
rätt att t.ex. lämna ut personuppgifter till tredje man, ändra ändamålen med
behandlingen eller medlen för behandlingen, vidta åtgärder eller serier av
åtgärder såsom insamling, registrering, bearbetning, ändring, blockering,
utplåning eller förstöring av personuppgift, mångfaldiga uppgifterna i kundens
databas, sammanställa eller samköra personuppgifterna
7. Kontrollmöjligheter
Kunden har rätt att kontrollera att leverantören vidtar de åtgärder som avses i
punkt 7 andra stycket och behandlar personuppgifter enligt huvudavtalet och
gällande lagstiftning. En sådan kontroll skall ske efter skäligt varsel och under
leverantörens normala kontorstid. Kontrollen skall utföras på ett sådant sätt att
leverantörens verksamhet inte störs.
Om ett brott mot överenskommelsen förekommer hos leverantören (att någon
hos leverantören bryter mot avtalet) ska detta omedelbart skriftligen meddelas
kunden.
2
Dnr 13-027
Bilaga 7
8. Skadestånd
Anspråk med anledning av skada eller integritetsintrång av den registrerade,
som orsakats av leverantören skall handläggas av kunden.
Kunden har rätt till ersättning av leverantören med belopp som utbetalats av
leverantören som skadestånd enligt bestämmelserna i PuL om den behandling
av personuppgifter som ligger till grund för skadeståndsersättningen utförts av
leverantören i strid mot lag, detta avtal eller utan instruktion från kunden.
9. Kontaktpersoner
Kontaktperson hos kund utsedd att företräda personuppgiftsansvarig:
Leverantörens namn:
10. Underskrift
Detta avtal har upprättats i två exemplar varav parterna tagit var sitt.
_______________________________________________________________
Uppsala 2013Ort och datum
Ort och datum
Uppsala kommun
Köpare
Leverantör
Underskrift
Underskrift
Namnförtydligande
Namnförtydligande
3