PARTER, PARTERNAS STÄLLNING, KONTAKTUPPGIFTER OCH KONTAKTPERSONER
DEFINITIONER
BAKGRUND OCH SYFTE
BEHANDLING AV PERSONUPPGIFTER OCH SPECIFIKATION
DEN PERSONUPPGIFTSANSVARIGES ANSVAR
PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN
SÄKERHETSÅTGÄRDER
SEKRETESS, TYSTNADSPLIKT
GRANSKNING, TILLSYN OCH REVISION
HANTERING AV RÄTTELSER, RADERING, BEGRÄNSNING, REGISTERUTDRAG M.M.
PERSONUPPGIFTSINCIDENTER
UNDERBITRÄDE
LOKALISERING OCH ÖVERFÖRING TILL TREDJE LAND
ANSVAR FÖR SKADA I SAMBAND MED BEHANDLING
PUB-AVTALETS TECKNANDE, AVTALSTID OCH UPPSÄGNING
ÄNDRINGAR OCH UPPSÄGNING MED OMEDELBAR VERKAN M.M.
ÅTGÄRDER VID PUB-AVTALETS UPPHÖRANDE
MEDDELANDEN INOM RAMEN FÖR DETTA PUB-AVTAL OCH INSTRUKTIONER
KONTAKTPERSONER
ANSVAR FÖR UPPGIFTER OM PARTERNA OCH KONTAKTPERSONER
LAGVAL OCH TVISTER
PARTERNAS UNDERTECKNANDEN AV PUB-AVTALET
Avtal enligt artikel 28.3 i Allmänna dataskyddsförordningen EU 2016/679
1.1 Personuppgiftsansvarig
Beställande organisation enligt beställningsformulär (”Personuppgiftsansvarig”).
1.2 Personuppgiftsbiträde
Samhällsutvecklingsbolaget i Östergötland AB, org.nr 559390-3932, c/o Klas Liljestrand, Jäppestad Västerbo 1, 585 92 Linköping (”Personuppgiftsbiträdet”).
1.3 Kontaktpersoner
Parternas kontaktpersoner för dataskydd och avtalsadministration anges i beställningsflödet eller via skriftligt meddelande enligt avsnitt 18. Personuppgiftsbiträdets kontaktperson är Klas Liljestrand, e-post klas@samhallsutvecklingsbolaget.se, telefon 070-263 67 74.
Om inte annat särskilt anges i detta PUB-avtal ska begrepp som används i avtalet ha samma innebörd som i Europaparlamentets och rådets förordning (EU) 2016/679 (dataskyddsförordningen, ”GDPR”). Därutöver ska följande begrepp, oavsett om de används i singular eller plural, i bestämd eller obestämd form, ha nedanstående betydelse.
Bakgrundskontroll eller Tjänsten
Avser den eller de kontrolltjänster som Personuppgiftsbiträdet tillhandahåller Personuppgiftsansvarig enligt beställning, och som kan omfatta analys, sammanställning och bedömning av uppgifter rörande fysiska personer eller juridiska personer, i syfte att ge Personuppgiftsansvarig underlag för beslut, riskbedömning eller uppföljning inom ramen för dennes verksamhet.
Behandling
En åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Dataskyddslagstiftning
Avser GDPR samt all tillämplig nationell lagstiftning som kompletterar eller ersätter denna, inklusive lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, samt tillhörande föreskrifter, vägledningar och bindande beslut från behörig tillsynsmyndighet.
Instruktioner
Avser de dokumenterade instruktioner som Personuppgiftsansvarig lämnar till Personuppgiftsbiträdet avseende Behandlingen, vilka utgörs av detta PUB-avtal, beställningen av Tjänsten inklusive dess omfattning och valda parametrar, samt eventuella skriftliga kompletteringar enligt avsnitt 18.
Personuppgift
Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare såsom namn, identifikationsnummer, lokaliseringsuppgift, online-identifierare eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgiftsansvarig
Den juridiska person som beställer Tjänsten och som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för Behandlingen av Personuppgifter enligt detta PUB-avtal.
Personuppgiftsbiträde
Samhällsutvecklingsbolaget i Östergötland AB, som för Personuppgiftsansvarigs räkning Behandlar Personuppgifter i samband med utförande av Tjänsten och i enlighet med Personuppgiftsansvarigs Instruktioner.
Personuppgiftsincident
En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av, eller till obehörigt röjande av eller obehörig åtkomst till, Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.
Registrerad
Den fysiska person vars Personuppgifter Behandlas enligt detta PUB-avtal.
Tredje land
Stat som inte ingår i Europeiska unionen (EU) eller inte är ansluten till Europeiska ekonomiska samarbetsområdet (EES).
Underbiträde
Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som i egenskap av underleverantör till Personuppgiftsbiträdet Behandlar Personuppgifter för Personuppgiftsansvarigs räkning.
3.1 Personuppgiftsansvarig beställer tjänsten ”Bakgrundskontroll” eller motsvarande kontrolltjänst (”Tjänsten”). Personuppgiftsbiträdet behandlar Personuppgifter för Personuppgiftsansvarigs räkning i samband med utförande och leverans av Tjänsten.
3.2 Detta avtal (”PUB-avtalet”) reglerar Personuppgiftsbiträdets behandling av Personuppgifter för Personuppgiftsansvarigs räkning, i enlighet med artikel 28.3 GDPR.
3.3 Om PUB-avtalet ingår som del av ett huvudavtal eller allmänna villkor för Tjänsten ska PUB-avtalet ha företräde i frågor som rör behandling av Personuppgifter.
4.1 Föremål och varaktighet
Behandlingen avser genomförande av Tjänsten samt hantering av ärendet, kommunikation, kvalitetssäkring, leverans och efterföljande administration, under avtalstiden och under den lagringstid som följer av avsnitt 10 och 17.
4.2 Behandlingens art
Behandlingen kan omfatta insamling, registrering, strukturering, analys, sammanställning, lagring, utlämning till Personuppgiftsansvarig, samt radering eller återlämning.
4.3 Ändamål
Ändamålet är att Personuppgiftsansvarig ska kunna genomföra bakgrundskontroller och motpartskontroller kopplade till exempelvis uthyrning, fastighetsaffär, avtal, upphandling av konsulttjänster och entreprenader eller annan kontroll där Personuppgiftsansvarig bedömer att kontrollen är nödvändig för sin verksamhet.
4.4 Kategorier av registrerade
Behandlingen kan avse exempelvis följande kategorier av registrerade, beroende på vad Personuppgiftsansvarig beställer: firmatecknare, styrelseledamöter, verkställande direktör, verklig huvudman, nyckelpersoner i bolagsledning, samt andra personer som Personuppgiftsansvarig uttryckligen anger i beställningen.
4.5 Typer av personuppgifter
Behandlingen kan omfatta följande typer av personuppgifter, beroende på beställningens omfattning:
a) identitetsuppgifter, namn, befattning, kontaktuppgifter,
b) bolagskopplingar, ägarförhållanden och roller,
c) uppgifter från offentliga register och öppna källor,
d) ekonomirelaterade uppgifter som förekommer i offentliga handlingar eller i beställda bedömningar,
e) riskindikatorer och iakttagelser som Personuppgiftsbiträdet sammanställer.
4.6 Särskilda kategorier och brottsrelaterade uppgifter
PUB-avtalet omfattar endast behandling av känsliga personuppgifter enligt artikel 9 GDPR eller uppgifter om lagöverträdelser enligt artikel 10 GDPR i den utsträckning Personuppgiftsansvarig uttryckligen instruerar detta i beställningen och säkerställer att erforderlig rättslig grund, tillåtlighet och informationsskyldighet föreligger. Personuppgiftsbiträdet får inte på eget initiativ utöka behandlingen till sådan datatyp.
4.7 Källor och material
Personuppgiftsbiträdet behandlar personuppgifter som,
a) Personuppgiftsansvarig lämnar i beställningen eller i kompletteringar,
b) framgår av material som Personuppgiftsansvarig tillhandahåller,
c) inhämtas från öppna källor, offentliga register eller andra källor som Personuppgiftsansvarig instruerat att använda.
4.8 Instruktioner
Personuppgiftsansvarigs instruktioner utgörs av,
a) detta avtal,
b) beställningen och dess val av kontrollnivå, objekt och omfattning,
c) eventuella skriftliga kompletterande instruktioner som lämnas enligt avsnitt 18.
Personuppgiftsbiträdet får endast behandla personuppgifter i enlighet med instruktionerna.
5.1 Personuppgiftsansvarig ansvarar för att det finns laglig grund, tillåtlighet och uppfylld informationsskyldighet för den behandling som beställs, inklusive eventuella bedömningar avseende artikel 9 och 10 GDPR.
5.2 Personuppgiftsansvarig ansvarar för att beställningen och eventuella kompletteringar är korrekta och proportionerliga, samt att endast nödvändiga uppgifter lämnas till Personuppgiftsbiträdet.
5.3 Personuppgiftsansvarig ansvarar för att hantera registrerades rättigheter, om inte annat följer av avsnitt 10.
6.1 Personuppgiftsbiträdet ska behandla personuppgifter endast på dokumenterade instruktioner från Personuppgiftsansvarig och i enlighet med Dataskyddslagstiftningen.
6.2 Personuppgiftsbiträdet ska säkerställa att personer under dess ledning som behandlar personuppgifter omfattas av sekretess enligt avsnitt 8.
6.3 Om Personuppgiftsbiträdet bedömer att en instruktion strider mot Dataskyddslagstiftningen ska Personuppgiftsbiträdet utan dröjsmål informera Personuppgiftsansvarig och avvakta förtydligande, om inte tvingande rätt kräver annat.
6.4 Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig i skälig omfattning vid fullgörande av skyldigheter enligt artiklarna 32–36 GDPR, med beaktande av behandlingens art och den information som Personuppgiftsbiträdet har tillgång till.
6.5 Om nya instruktioner medför ökade kostnader ska Personuppgiftsbiträdet informera Personuppgiftsansvarig innan sådana åtgärder vidtas.
7.1 Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna.
7.2 Åtgärderna ska omfatta, i relevant mån, åtkomststyrning, behörighetsprinciper, starka lösenord eller motsvarande, säkerhetskopiering, skydd mot skadlig kod, säker kommunikation, samt rutiner för incidenthantering.
7.3 Personuppgiftsbiträdet ska begränsa åtkomst till personuppgifter till de personer som behöver åtkomst för att utföra Tjänsten.
7.4 Loggning ska ske i den utsträckning som följer av använda systemens standardloggar och Personuppgiftsbiträdets rutiner. Loggar ska skyddas och gallras när de inte längre behövs för säkerhet, spårbarhet eller rättsliga krav.
8.1 Personuppgiftsbiträdet ska behandla personuppgifter konfidentiellt och får inte röja uppgifter till tredje man annat än enligt detta PUB-avtal eller instruktioner.
8.2 Personuppgiftsbiträdet ska säkerställa att personer under dess ledning är bundna av sekretessförbindelse eller motsvarande.
8.3 Om tillsynsmyndighet eller registrerad kontaktar Personuppgiftsbiträdet avseende behandlingen ska Personuppgiftsbiträdet utan dröjsmål informera Personuppgiftsansvarig, om inte lag förbjuder sådan information.
9.1 Personuppgiftsbiträdet ska på begäran kunna lämna skälig information om vidtagna säkerhetsåtgärder och efterlevnad av PUB-avtalet.
9.2 Personuppgiftsansvarig har rätt att genomföra revision i skälig omfattning, under förutsättning att den som reviderar omfattas av sekretess och att revisionen planeras med skälig framförhållning.
9.3 Personuppgiftsbiträdet får i stället erbjuda revision genom oberoende tredje part eller genom att tillhandahålla relevant dokumentation, om detta ger motsvarande kontroll och minskar intrång i Personuppgiftsbiträdets verksamhet.
10.1 Om Personuppgiftsansvarig begär åtgärd avseende personuppgifter som behandlas av Personuppgiftsbiträdet ska Personuppgiftsbiträdet bistå i skälig omfattning och utan onödigt dröjsmål.
10.2 Personuppgiftsbiträdet ska inte besvara registrerades förfrågningar direkt, annat än efter skriftlig instruktion från Personuppgiftsansvarig eller när det krävs enligt tvingande lag.
11.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta Personuppgiftsansvarig efter att ha fått kännedom om en personuppgiftsincident.
11.2 Underrättelsen ska i relevant mån innehålla incidentens art, sannolika konsekvenser, samt vidtagna eller föreslagna åtgärder för att begränsa skadan.
12.1 Personuppgiftsbiträdet får anlita underbiträden för att kunna leverera Tjänsten, exempelvis IT-drift, molnlagring, e-post, ärendehantering och säkerhetskopiering, under förutsättning att underbiträdet omfattas av skriftligt avtal med motsvarande dataskyddsåtaganden.
12.2 Personuppgiftsbiträdet ska på begäran lämna uppgift om anlitade underbiträden som används för behandlingen.
12.3 Personuppgiftsbiträdet ansvarar gentemot Personuppgiftsansvarig för underbiträdets behandling i samma utsträckning som för egen behandling.
13.1 Personuppgiftsbiträdet ska som utgångspunkt behandla och lagra personuppgifter inom EU/EES.
13.2 Om behandling eller åtkomst kan komma att ske i tredje land krävs Personuppgiftsansvarigs förhandsgodkännande och att överföringen sker i enlighet med Dataskyddslagstiftningen, exempelvis genom standardavtalsklausuler och kompletterande skyddsåtgärder när så krävs.
14.1 Parternas ansvar gentemot registrerade följer av artikel 82 GDPR.
14.2 Administrativa sanktionsavgifter som åläggs en part bärs av den part som påförts avgiften, med regressrätt mot motparten i den utsträckning det följer av tillämplig rätt och den andra parten orsakat överträdelsen.
14.3 Part ska utan dröjsmål informera den andra parten om omständigheter som kan leda till skada och samarbeta för att begränsa skadan.
15.1 PUB-avtalet gäller från och med tidpunkten för giltig accept enligt avsnitt 22 och gäller tills vidare eller så länge Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning enligt avtalet.
15.2 Vardera parten får säga upp avtalet med trettio (30) dagars uppsägningstid, om inte behandlingen upphör tidigare.
16.1 Ändringar ska vara skriftliga.
16.2 Part får med omedelbar verkan avbryta behandling om motparten lämnar instruktioner som uppenbart strider mot Dataskyddslagstiftningen och inte rättar sig efter skriftlig anmodan.
17.1 När behandlingen upphör ska Personuppgiftsbiträdet, enligt Personuppgiftsansvarigs val, radera eller återlämna personuppgifter som behandlats för Personuppgiftsansvarigs räkning, inom trettio (30) kalenderdagar.
17.2 Undantag gäller om fortsatt lagring krävs enligt unionsrätt eller svensk rätt. I sådant fall ska uppgifterna endast lagras för att uppfylla rättslig skyldighet och med lämpliga skyddsåtgärder.
18.1 Meddelanden och instruktioner ska lämnas skriftligen via e-post till respektive parts kontaktperson.
18.2 Meddelande anses mottaget senast första arbetsdagen efter avsändande.
19.1 Parterna ska säkerställa att kontaktuppgifter hålls uppdaterade.
20.1 Varje part ansvarar för att uppgifter om part, behörig företrädare och kontaktperson är korrekta.
21.1 Svensk rätt ska tillämpas.
21.2 Tvist med anledning av PUB-avtalet ska avgöras av Linköpings tingsrätt.
22.1 Detta PUB-avtal tillhandahålls i digital form. PUB-avtalet anses bindande när Personuppgiftsansvarig, genom behörig företrädare, vid beställning av Tjänsten på Samhällsutvecklingsbolaget.se aktivt accepterar PUB-avtalet genom kryssruta och skickar in beställningen.
22.2 Personuppgiftsansvarig intygar därmed att företrädaren har behörighet att ingå avtalet för organisationens räkning.
