Bilaga C - Personuppgiftsbiträdesavtal

Bilaga C - Personuppgiftsbiträdesavtal

Senast uppdaterad: 2025-01-30

Bilagor - Tjänsteavtal

Bilaga B - SLA (Service Level Agreement)

Bilaga B - SLA

Bilaga B - SLA (Service Level Agreement)

Bilaga C - Personuppgiftsbiträdesavtal

Bilaga C - PUB-avtal

Bilaga D - Supportvillkor

Bilaga D - Supportvillkor

Bilaga E - Integritetspolicy

Bilaga E - Integritetspolicy

Bilaga F - Allmänna villkor

Bilaga F - Allmänna villkor

INNEHÅLL

  1. BAKGRUND OCH SYFTE

  2. DEFINITIONER

  3. BEHANDLING AV PERSONUPPGIFTER OCH SPECIFIKATIONER

  4. PERSONUPPGIFTSANSVARIGS ANSVAR

  5. PERSONUPPGIFTSBITRÄDETS

  6. FÖRPLIKTELSER

  7. SÄKERHETSÅTGÄRDER

  8. SEKRETESS

  9. GRANSKNING, TILLSYN OCH REVISION

  10. RÄTTELSE OCH RADERING AV PERSONUPPGIFTER, M.M.

  11. PERSONUPPGIFTSINCIDENTER

  12. UNDERBITRÄDEN

  13. ÖVERFÖRING AV PERSONUPPGIFTER TILL ANNAN PERSONUPPGIFTSANSVARIG

  14. ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND OCH LOKALISERING

  15. ANSVAR FÖR SKADOR

  16. TILLÄMPLIG LAG OCH TVISTLÖSNING

  17. ÄNDRING ELLER UPPHÖRANDE AV AVTALET

  18. AVTALSTID OCH UPPHÖRANDE AV BEHANDLING

  19. ÖVRIGT

BILAGOR

Bilagorna utgör en integrerad del av detta personuppgiftsbiträdesavtal. Vid eventuella motsägelsefulla bestämmelser ska detta avtalsdokument ha företräde framför bilagorna i den nedan angivna ordningen eller andra dokument, såvida inte annat uttryckligen anges av parterna.

Bilaga C-1

Instruktion för behandling av personuppgifter

Bilaga C-2

Anlitade underbiträden

  1. BAKGRUND OCH SYFTE

1.1 Detta Personuppgiftsbiträdesavtal är en bilaga som utgör en integrerad del av huvudavtalet för tillhandahållandet av tjänster som reglerar ansvarsförhållandet mellan parterna Personuppgiftsansvarig och Personuppgiftsbiträde, vid Behandlingen av Personuppgifter.

1.2 Personuppgiftsbiträdesavtalets syfte är att säkerställa de Registrerades fri- och rättigheter vid Behandlingen, i enlighet med vad som stadgas i artikel 28.3 i Allmänna dataskyddsförordningen EU 2016/679 (”Dataskyddsförordningen”) och de skyldigheter Personuppgiftsbiträdet har mot den Personuppgiftsansvarige enligt Personuppgiftsbiträdesavtalet dem emellan.

  1. DEFINITIONER

Utöver de termer som definieras i huvudtexten i detta Personuppgiftsbiträdesavtal ska följande definitioner, oavsett om de används i plural eller singular, bestämd eller obestämd form, ha följande betydelser när de skrivs med stor bokstav:

Personuppgiftsansvarig

Personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

Personuppgiftsbiträde

Personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Behandling

Avser en åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Dataskyddslagstiftning

Avser all integritets- och personuppgiftslagstiftning, samt annan lagstiftning, förordningar och föreskrifter som är tillämplig på den Behandling som sker enligt detta PUB-avtal, inklusive nationell sådan lagstiftning och EU-lagstiftning.

Instruktion

De skriftliga instruktioner som närmare anger föremål, varaktighet, art och ändamål, typ av Personuppgifter samt kategorier av Registrerade och särskilda behov som omfattas av Behandlingen.

Logg

Logg är resultatet av en loggad händelse som inträffar oavsett om den är manuell eller en del av en automatiserad process.

Loggning

Loggning är ett kontinuerligt insamlande av uppgifter om den Behandling av Personuppgifter som utförs enligt detta Personuppgiftsbiträdesavtal och som kan knytas till en enskild fysisk person.

Personuppgift

Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Personuppgiftsincident

En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.

Registrerad

Fysisk person vars Personuppgifter Behandlas.

Tredje land

En stat som inte ingår i Europeiska unionen (EU) eller inte är ansluten till Europeiska ekonomiska samarbetsområdet (EES).

Underbiträde

Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som i egenskap av underleverantör till Personuppgiftsbiträdet Behandlar Personuppgifter för Personuppgiftsansvariges räkning.

  1. BEHANDLING AV PERSONUPPGIFTER OCH SPECIFIKATIONER

3.1 Personuppgiftsansvarig utser härmed Personuppgiftsbiträdet att utföra alla kategorier av Behandling på Personuppgiftsansvariges vägnar som stadgas i detta personuppgiftsbiträdesavtal.

3.2 Personuppgiftsansvarig ska tillhandahålla skriftliga instruktioner till Personuppgiftsbiträdet om hur Behandlingen ska utföras.

3.3 Personuppgiftsbiträdet får endast utföra Behandlingen i enlighet med detta Personuppgiftsbiträdesavtal och de vid var tid gällande Instruktionerna.

  1. PERSONUPPGIFTSANSVARIGS ANSVAR

4.1 Personuppgiftsansvarig förbinder sig att säkerställa att det finns en rättslig grund för all Behandling av Personuppgifter och att tillhandahålla skriftliga Instruktioner till Personuppgiftsbiträdet och eventuella Underbiträden för att uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal (Bilaga 1).

4.2 Personuppgiftsansvarig förbinder sig att snarast informera Personuppgiftsbiträdet om eventuella förändringar i Behandlingen som påverkar Personuppgiftsbiträdets skyldigheter enligt tillämplig dataskyddslagstiftning eller annan relevant lagstiftning.

4.3 Personuppgiftsansvarig är ansvarig för att informera de Registrerade om Behandlingen och för att skydda de Registrerades rättigheter enligt Dataskyddslagstiftningen, samt för att vidta alla andra åtgärder som krävs av Personuppgiftsansvarig enligt Dataskyddslagstiftningen.

  1. PERSONUPPGIFTSBITRÄDETS FÖRPLIKTELSER

5.1 Personuppgiftsbiträdet förbinder sig att endast utföra Behandlingen i enlighet med detta Personuppgiftsbiträdesavtal, Personuppgiftsansvarigs instruktioner och att följa Dataskyddslagstiftningen. Personuppgiftsbiträdet åtar sig även att hålla sig informerad om tillämpliga lagar och förordningar inom detta område.

5.2 Personuppgiftsbiträdet ska vidta åtgärder för att skydda Personuppgifterna mot alla slag av Behandlingar som inte är förenliga med Personuppgiftsbiträdesavtalet, Instruktioner och Dataskyddslagstiftningen.

5.3 Personuppgiftsbiträdet förbinder sig att säkerställa att alla samtliga fysiska personer som arbetar under dess ledning följer bestämmelserna i detta Personuppgiftsbiträdesavtal och de vid var tid gällande Instruktionerna från Personuppgiftsansvarig, samt är informerade om relevant lagstiftning.

5.4 Personuppgiftsbiträdet ska på begäran från den Personuppgiftsansvarige bistå denne med att säkerställa att skyldigheterna enligt artikel 32–36 i Dataskyddsförordningen fullgörs och svara på begäran om utövande av den Registrerades rättigheter i enlighet med Dataskyddsförordningen, kap. III, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå.

5.5 För det fall att Personuppgiftsbiträdet finner att Instruktioner är otydliga, i strid med Dataskyddslagstiftningen eller saknas och Personuppgiftsbiträdet bedömer att nya eller kompletterande Instruktioner är nödvändiga för att genomföra sina åtaganden ska Personuppgiftsbiträdet utan dröjsmål informera Personuppgiftsansvarig, tillfälligt upphöra med Behandlingen och invänta nya Instruktioner, om inte parterna kommer överens om annat.

5.6 För det fall att den Personuppgiftsansvarige förser Personuppgiftsbiträdet med nya eller ändrade Instruktioner ska Personuppgiftsbiträdet, utan onödigt dröjsmål från mottagandet, meddela Personuppgiftsansvarige huruvida genomförandet av de nya Instruktionerna föranleder förändrade kostnader.

  1. SÄKERHETSÅTGÄRDER

6.1 Personuppgiftsbiträdet ska vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgärder som krävs enligt Dataskyddslagstiftningen för att förhindra Personuppgiftsincidenter, genom att säkerställa att Behandlingen uppfyller kraven i Dataskyddsförordningen och att den Registrerades rättigheter skyddas.

6.2 Personuppgiftsbiträdet ska fortlöpande säkerställa att den tekniska och organisatoriska säkerheten i samband med Behandlingen medför en lämplig nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft.

6.3 Eventuella ytterligare eller ändrade krav på säkerhetsåtgärder från Personuppgiftsansvarig, efter undertecknandet av detta Personuppgiftsbiträdesavtal, ska betraktas som nya instruktioner enligt detta Personuppgiftsbiträdesavtal.

6.4 Personuppgiftsbiträdet ska genom behörighetskontrollsystem endast ge åtkomst till Personuppgifterna för sådana fysiska personer som arbetar under Personuppgiftsbiträdets ledning och som behöver åtkomsten för att kunna utföra sina arbetsuppgifter.

6.5 Personuppgiftsbiträdet åtar sig att logga tillgången till personuppgifterna i enlighet med Personuppgiftsbiträdesavtalet i den omfattning som Instruktionerna kräver. Loggar ska bevaras under en period av tio (10) år från loggningsdatumet om inte annat anges i Instruktionerna. Loggar ska vara föremål för nödvändiga skyddsåtgärder i enlighet med Dataskyddslagstiftningen.

6.6 Personuppgiftsbiträdet ska systematiskt testa, bedöma och utvärdera effektiviteten av de tekniska och organisatoriska åtgärderna för att säkerställa säkerheten vid Behandlingen.

6.7 I de fall där Personuppgiftsbiträdet behandlar känsliga personuppgifter som är underkastade sekretesskrav ska specifika säkerhetsåtgärder av hög nivå införas. Personuppgiftsansvarig ska tillhandahålla Instruktioner om specifika säkerhetsåtgärder i detta avtal.

  1. SEKRETESS

7.1 Personuppgiftsbiträdet och personal som arbetar enligt detta Personuppgiftsbiträdesavtal ska iaktta sekretess, inklusive yrkesmässig tystnadsplikt och icke-offentliggörande, vid behandling av personuppgifter. Personuppgifter, information, Instruktioner, systemlösningar, beskrivningar eller andra handlingar som Personuppgiftsbiträdet får tillgång till genom informationsutbyte enligt detta Personuppgiftsbiträdesavtal eller något annat avtal mellan parterna får inte användas eller avslöjas för något annat syfte än vad som anges i detta Personuppgiftsbiträdesavtal eller något annat avtal mellan parterna, varken direkt eller indirekt, utan att skriftligt medgivande först inhämtats från Personuppgiftsansvarig.

7.2 Personuppgiftsbiträdet förbinder sig att säkerställa att alla anställda, konsulter och andra individer, för vilka Personuppgiftsbiträdet är ansvarigt och som behandlar personuppgifterna, är bundna av sekretessförpliktelser. (Sekretessförpliktelser krävs inte om Personuppgiftsbiträdet och dess personal redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag.) Personuppgiftsbiträdet ska också säkerställa att eventuella Underbiträden som har tillgång till känsliga Personuppgifter är bundna av samma sekretessvillkor som Personuppgiftsbiträdet. Bilaga C- Personuppgiftsbiträdesavtal Konfidentiellt Ver 2024-04-05

7.3 Personuppgiftsbiträdet ska skyndsamt underrätta Personuppgiftsansvarig om eventuella kontakter med tillsynsmyndighet avseende Behandlingen. Personuppgiftsbiträdet har inte rätt att företräda den Personuppgiftsansvarige eller agera för deras räkning gentemot tillsynsmyndigheter i frågor avseende Behandlingen. Personuppgiftsbiträdet ska utan onödigt dröjsmål från mottagandet av underrättelsen informera den Personuppgiftsansvarige och avvakta den Personuppgiftsansvariges instruktioner.

7.4 Om en Registrerad, tillsynsmyndigheter eller någon annan tredje part begär information från Personuppgiftsbiträdet avseende Behandlingen av Personuppgifter, ska Personuppgiftsbiträdet hänvisa dem till Personuppgiftsansvarig. Personuppgiftsbiträdet får inte avslöja Personuppgifter eller någon annan information om Behandlingen av Personuppgifter utan skriftligt förhandsgodkännande från Personuppgiftsansvarig. Efter att ha erhållit sådant medgivande förbinder sig Personuppgiftsbiträdet att bistå vid tillhandahållandet av information till Registrerade, tillsynsmyndigheter eller någon annan tredje part om specifik Behandling av Personuppgifter.

  1. GRANSKNING, TILLSYN OCH REVISION

8.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål som en del av sina garantier, enligt artikel 28.1 i Dataskyddsförordningen, på den Personuppgiftsansvariges begäran kunna redovisa vilka tekniska och organisatoriska säkerhetsåtgärder som används för att Behandlingen ska uppfylla kraven enligt Personuppgiftsbiträdesavtalet och artikel 28.3.h i Dataskyddsförordningen.

8.2 Personuppgiftsbiträdet åtar sig att årligen genomföra en intern revision för att granska säkerheten vid behandlingen av personuppgifter, för att säkerställa efterlevnaden av detta Personuppgiftsbiträdesavtal. Resultaten av revisionen ska tillhandahållas Personuppgiftsansvarig på begäran.

8.3 Personuppgiftsansvarig har rätt, antingen direkt eller genom en tredje part utsedd av Personuppgiftsansvarig (som inte får vara en konkurrent till Personuppgiftsbiträdet), att verifiera att Personuppgiftsbiträdet följer kraven i detta Personuppgiftsbiträdesavtal, Instruktionerna och Dataskyddslagstiftningen. I sådana revisioner ska Personuppgiftsbiträdet bistå Personuppgiftsansvarig, eller den part som utför revisionen på Personuppgiftsansvarigs vägnar, med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som är nödvändiga för att granska Personuppgiftsbiträdets efterlevnad av detta Personuppgiftsbiträdesavtal, Instruktionerna och Dataskyddslagstiftningen. Personuppgiftsansvarig ska säkerställa att personalen som utför revisionen är bundna av sekretess eller tystnadsplikt enligt lag eller avtal.

8.4 Alternativt har personuppgiftsbiträdet rätt, utöver bestämmelserna i punkterna 8.2-8.3, att erbjuda alternativa metoder för revision av Behandlingen, såsom en revision utförd av en oberoende tredje part. I sådana fall har Personuppgiftsansvarig rätt, men inte skyldighet, att tillämpa alternativa revisionsmetoder. Personuppgiftsbiträdet ska bistå personuppgiftsansvarig eller den tredje part som utför revisionen med nödvändig assistans.

8.5 Personuppgiftsbiträdet ska bereda tillsynsmyndighet, eller annan myndighet som har laglig rätt till det, möjlighet att göra tillsyn enligt myndighetens begäran i enlighet med vid var tid gällande lagstiftning, även om sådan tillsyn annars skulle stå i strid med bestämmelserna i personuppgiftsbiträdesavtalet. Bilaga C- Personuppgiftsbiträdesavtal Konfidentiellt Ver 2024-04-05

8.6 Personuppgiftsbiträdet ska säkerställa att Personuppgiftsansvarig har rättigheter gentemot Underbiträden som Personuppgiftsbiträdet anlitar som motsvarar alla Personuppgiftsansvarigs rättigheter gentemot Personuppgiftsbiträdet enligt avsnitt 8 i detta Personuppgiftsbiträdesavtal.

  1. RÄTTELSE OCH RADERING AV PERSONUPPGIFTER, M.M.

9.1 Om Personuppgiftsansvarig begär rättelse eller radering på grund av felaktig behandling av Personuppgiftsbiträdet, ska Personuppgiftsbiträdet vidta lämpliga åtgärder utan onödigt dröjsmål, dock senast trettio (30) dagar efter mottagandet av nödvändig information från Personuppgiftsansvarig. När Personuppgiftsansvarig begär radering får Personuppgiftsbiträdet endast Behandla de aktuella Personuppgifterna som en del av rättelse- eller raderingsprocessen.

9.2 Om Personuppgiftsbiträdet vidtar tekniska och organisatoriska åtgärder (såsom uppgraderingar eller felsökningar) i Behandlingen som förväntas påverka Behandlingen, ska Personuppgiftsbiträdet informera Personuppgiftsansvarig skriftligen. Informationen ska lämnas i god tid före åtgärderna vidtas.

  1. PERSONUPPGIFTSINCIDENTER

10.1 Personuppgiftsbiträdet ska tillhandahålla och genomföra tekniska och praktiska lösningar för att undersöka misstankar om obehörig behandling eller obehörig åtkomst till personuppgifterna. Vid obehörig behandling, obehörig åtkomst, förstörelse eller ändring av personuppgifter, liksom eventuella försök därtill, vilken Personuppgiftbiträdet fått vetskap om, ska Personuppgifts-biträdet utan onödigt dröjsmål skriftligen underrätta den Personuppgiftsansvarige om händelsen.

10.2 Personuppgiftsbiträdet ska ha förmågan att återställa tillgängligheten och åtkomsten till personuppgifterna på ett tillbörligt sätt vid en fysisk eller teknisk incident, som krävs enligt artikel 32.1(c) i GDPR.

10.3 Personuppgiftsbiträdet åtar sig att bistå personuppgiftsansvarig med att uppfylla sina skyldigheter enligt artikel 32 i GDPR.

10.4 Personuppgiftsbiträdet ska tillhandahålla personuppgiftsansvarig en beskrivning av incidenten rörande personuppgifter. En sådan beskrivning ska: 1. Specificera incidentens karaktär, inklusive, om möjligt, kategorier och antal berörda registrerade samt kategorier och antal berörda personuppgiftsposter. 2. Beskriva de troliga konsekvenserna av incidenten rörande personuppgifter. 3. Beskriva de åtgärder som har vidtagits eller föreslagits, samt åtgärder för att mildra potentiella negativa effekter av incidenten rörande personuppgifter.

10.5 Om det inte är möjligt för personuppgiftsbiträdet att tillhandahålla den fullständiga beskrivningen på en gång, som anges i punkt 10.4 i personuppgiftsbiträdesavtalet, får beskrivningen lämnas i etapper utan onödigt ytterligare dröjsmål.

  1. UNDERBITRÄDEN

11.1 Personuppgiftsbiträdet äger rätt att anlita den eller de Underbiträden som framgår av bilagd förteckningen över Underbiträden, bilaga 2.

11.2 Personuppgiftsbiträdet åtar sig att teckna ett skriftligt avtal med Underbiträdet som reglerar den Behandling som Underbiträdet utför å den Personuppgiftsansvariges vägnar samt att endast anlita Underbiträden som ger tillräckliga garantier. Underbiträdet ska genomföra lämpliga tekniska och organisatoriska åtgärder så att Behandlingen uppfyller kraven i Dataskyddslagstiftningen. I fråga om dataskydd ska avtalet ålägga Underbiträdet samma skyldigheter som åläggs Personuppgiftsbiträdet i detta PUB-avtal.

11.3 Personuppgiftsbiträdet ska i avtalet med Underbiträdet säkerställa att den Personuppgifts-ansvarige har rätt att säga upp Underbiträdet och instruera Underbiträdet att exempelvis radera eller återlämna Personuppgifterna om Personuppgiftsbiträdet har upphört att existera i faktisk eller rättslig mening eller hamnat på obestånd.

11.4 Personuppgiftsbiträdet äger rätt att anlita nya underbiträden och ersätta befintliga underbiträden om inte annat anges i Instruktionen.

11.5 När Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt Underbiträde ska Personuppgiftsbiträdet säkerställa Underbiträdets kapacitet och förmåga att uppfylla sina skyldigheter enligt Dataskyddslagstiftningen. Personuppgiftsbiträdet ska skriftligen meddela den Personuppgiftsansvarige om Underbiträdet, dess säte, vilken typ av uppgifter som behandlas och var Personuppgifterna kommer behandlas.

11.6 Personuppgiftsbiträdet ska vid var tid föra en korrekt och uppdaterad förteckning över de Underbiträden som anlitas för Behandling av Personuppgifter för den Personuppgiftsansvariges räkning samt göra denna förteckning tillgänglig för den Personuppgiftsansvarige. Av förteckningen ska särskilt framgå i vilket land Underbiträdet behandlar Personuppgifterna och vilka typer av Behandlingar som Underbiträdet utför.

11.7 Den Personuppgiftsansvarige äger rätt att inom trettio (30) dagar från dag för meddelande enligt punkten 11.3 invända mot Personuppgiftsbiträdets anlitande av ett nytt Underbiträde. Om Personuppgiftsansvarig motsätter sig att Personuppgiftsbiträdet använder ett nytt Underbiträde, har Personuppgiftsansvarig rätt att säga upp detta avtal.

11.8 När Personuppgiftsbiträdet slutar använda ett Underbiträde ska Personuppgiftsbiträdet skriftligen meddela den Personuppgiftsansvarige om detta. Personuppgiftsbiträdet ska när ett avtal upphör säkerställa att Underbiträdet raderar eller återlämnar Personuppgifterna.

  1. ÖVERFÖRING AV PERSONUPPGIFTER TILL ANNAN PERSONUPPGIFTSANSVARIG

12.1 Vid gemensamt eller självständigt personuppgiftsansvar kan Personuppgiftsansvarig i sina Instruktioner begära att Personuppgiftsbiträdet överför och delar Personuppgifter med en annan Personuppgiftsansvarig. Vid gemensamt personuppgiftsansvar ska det finnas ett datadelningsavtal mellan Personuppgiftsansvariga som reglerar fördelningen av ansvar mellan deras respektive ansvarsområden. Instruktionerna till Personuppgiftsbiträdet i detta avtal bör återspegla dessa ansvarsområden, tydligt ange vilken Personuppgiftsansvarig som är ansvarig för syftena och medlen för varje typ av Behandling.

  1. ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND OCH LOKALISERING

13.1 Personuppgiftsbiträdet ska säkerställa att Behandlingen av Personuppgifter sker inom EU/EES av en fysisk eller juridisk person etablerad inom EU/EES, om inte annat överenskommits mellan Personuppgiftsbiträdesavtalets parter.

13.2 Personuppgiftsbiträdet får endast överföra Personuppgifter till ett tredje land, till exempel för service, support, underhåll, utveckling, drift eller liknande Behandling, om Personuppgiftsansvarig har gett skriftligt godkännande för sådan överföring och utfärdat specifika Instruktioner (Bilaga 1).

13.3 Innan någon överföring sker ska Personuppgiftsbiträdet tillhandahålla dokumentation som visar att de uppfyller kraven i tillämplig Dataskyddslagstiftning eller annan relevant lagstiftning och de Instruktioner som ges i detta Personuppgiftsbiträdesavtal.

  1. ANSVAR FÖR SKADOR

14.1 I de fall där ersättning för skador, som fastställts genom en slutlig dom eller förlikning, ska betalas till den Registrerade på grund av ett brott mot bestämmelserna i Personuppgiftsbiträdesavtalet, Instruktionerna och/eller tillämpliga bestämmelser i Dataskyddslagstiftningen, ska artikel 82 i Dataskyddsförordningen tillämpas.

14.2 Sanktionsavgifter enligt artikel 83 i Dataskyddsförordningen, eller 6 § andra stycket i lagen (2018:218) om kompletterande bestämmelser till EU:s allmänna Dataskyddsförordning, ska bäras av den part på vilken sådan avgift har ålagts.

14.3 Om någon av parterna blir medveten om omständigheter som kan orsaka skada för den andra parten, ska parten snarast informera den andra parten om sådana omständigheter och aktivt samarbeta med den andra parten för att förebygga och minimera sådan skada.

14.4 Oaktat motsägande bestämmelser i huvudavtalet, ska detta Personuppgiftsbiträdesavtal, inklusive punkterna 14.1 och 14.2, ha företräde framför andra bestämmelser som styr fördelningen av anspråk mellan parterna med avseende på Behandlingen.

  1. TILLÄMPLIG LAG OCH TVISTLÖSNING

15.1 Svensk lag ska tillämpas på detta avtal. Varje tolkning eller tvist som uppstår ur avtalet, som parterna inte kan lösa på egen hand, ska avgöras av svenska allmänna domstolar.

  1. ÄNDRING ELLER UPPHÖRANDE AV AVTALET

16.1 Ändringar och tillägg till detta Personuppgiftsbiträdesavtal är endast giltiga om de är skriftliga och undertecknade av båda parterna.

16.2 Parterna har rätt att begära omförhandling av detta avtal och andra bilagor om det sker en väsentlig förändring i ägandet av den andra parten eller om tillämplig lagstiftning eller dess tolkning ändras på ett sätt som påverkar Behandlingen av Personuppgifter som omfattas av avtalet.

16.3 En begäran om ändring från någon av parterna innebär inte ett avtalsbrott, utan inleder en omförhandlingsprocess.

  1. AVTALSTID OCH UPPHÖRANDE AV BEHANDLING

17.1 Detta Personuppgiftsbiträdesavtal ska gälla på obestämd tid och upphör endast när Personuppgiftsbiträdet upphör att Behandla Personuppgifter på uppdrag av Personuppgiftsansvarig. Vid upphörande av Personuppgiftsbiträdesavtalet, oavsett orsak, ska alla Personuppgifter överföras till den ansvarige i JSON-format.

17.2 Personuppgiftsbiträdet åtar sig att radera alla Personuppgifter som Behandlats enligt detta Personuppgiftsbiträdesavtal inom 180 dagar från avtalets upphörande. Radering ska dock inte ske förrän Personuppgiftsbiträdet skriftligen informerat den ansvarige om raderingsdatumet och överfört Personuppgifterna. Detta gäller även för all relaterad information såsom Instruktioner, systemlösningar, beskrivningar eller andra dokument som Personuppgiftsbiträdet erhållit genom informationsutbyte enligt detta Personuppgiftsbiträdesavtal.

17.3 Personuppgiftsbiträdet ska även tillhandahålla loggarna till den ansvarige i det överenskomna formatet om detta avtal upphör att gälla. 17.4 Bestämmelserna om sekretess i punkt 7 ska fortsätta att gälla även efter detta Personuppgiftsbiträdesavtals upphörande.

17.5 Vardera parten har rätt att skriftligen säga upp detta avtal. Vid uppsägning av avtalet ska en uppsägningstid om tre (3) månader gälla. En part är berättigad att säga upp detta avtal om den andra parten: 1. begår ett väsentligt avtalsbrott och misslyckas med att rätta till det inom trettio (30) dagar efter att ha mottagit en skriftlig begäran om detta från den andra parten, eller 2. blir försatt i konkurs, inleder ackordsförhandlingar eller på annat sätt är insolvent.

17.6 Om Personuppgiftsbiträdet beslutar att anlita ett nytt Underbiträde med tillgång till den Personuppgiftsansvariges känsliga Personuppgifter som omfattas av detta avtal, har den Personuppgiftsansvarige rätt att invända mot det nya Underbiträdet. Om Personuppgiftsbiträdet bortser från invändningen har den Personuppgiftsansvarige rätt att avsluta tjänsten och få återbetalning för eventuella avgifter som betalats för återstående period.

Bilaga C-1 - Instruktioner för behandling av Personuppgifter

Utöver det som redan anges i detta avtal ska Personuppgiftsbiträdet även följa följande instruktioner:

Syfte och ändamål med Behandlingen

Det huvudsakliga syftet med Personuppgiftsbiträdets lösning är att kvalitetssäkra, förenkla och automatisera Personuppgiftsansvariges processer där Personuppgifter Behandlas för e-remisshantering, ärendehantering och dataöverföring, genom integration mot olika system och hälsotjänster som den Personuppgiftsansvarige har behov av, samt att möjliggöra tillgängliggörandet av hälsodata till den Registrerade (Patienten). Ändamålet med Personuppgiftsbiträdets system och de Behandlingar som det möjliggör är att med hög säkerhet och i enlighet med gällande lagar och förordningar förenkla administrationen, kommunikationen och distributionen av Personuppgifter mellan Personuppgiftsansvarige och tredje part. Detta gäller t.ex. i form av remisser, provsvar och annan hälsodata som överförs mellan vårdgivare och labb, mellan två vårdgivare där båda är självständigt Personuppgiftsansvariga, mellan vårdgivare och annan plattformsleverantör eller teknisk plattform, samt mellan vårdgivare och patient. Systemet möjliggör för Personuppgiftsansvarige att själv på ett säkert sätt administrera vilka parter som ges tillgång till vilka Personuppgifter. Personuppgiftsansvarige kan även med behörighetskontroller administrera sin egen personals tillgång till och Behandling av Personuppgifter, där olika roller får tillgång till olika Personuppgifter och möjlighet till Behandlingar i systemet baserat på kravet att kunna utföra sina respektive arbetsuppgifter. Sammanfattningsvis ger systemet vårdgivaren möjlighet till effektiv administration av remisser och provsvar till labb och andra vårdgivare, samt möjlighet till att koppla upp sig mot enheter och teknologier för insamling och kommunikation av hälsodata. Det kan vara allt från patientnära analyser (PNA) och medicinska screeningutrustningar som tillhandhålls genom vårdgivare till IoT som t.ex. smarta klockor, vågar och pulsoximetrar mm. Systemet knyter även patient och vårdgivare närmare varandra. Det genom att patienter får möjlighet till säker dialog med vårdgivaren via meddelanden och realtidsmedia och tillgång till sin egen hälsodata från alla uppkopplade vårdsystemen och teknologier, genom att vårdgivaren kan synliggöra datat och var i vård- och hälsoprocessen patienten befinner sig.

Beskrivning av Behandlingar

Personuppgiftsbiträdet har rätt att utföra följande Behandlingar för den Personuppgiftsansvariges räkning: Insamling, strukturering, läsning, lagring och överföring av data i form av:


  • Kontaktuppgifter och identifikationer

  • Remisser och relaterade data baserat på analyser, tolkning, anteckningar, utlåtande och åtgärdsplaner

  • Meddelanden och media som t.ex ljudupptagningar, bilder, rörliga bilder och realtidsmedia

  • Digital screening baserat på medicinska produkter och IoT-enheter

Kategorier av Personuppgifter

Kategorier av Personuppgifter som Behandlas av Personuppgiftsbiträdet är:


  1. Kontaktuppgifter relaterade till Personuppgiftsansvariges personal:

    • Fullständigt namn

    • E-postadress

    • Telefonnummer

  2. Personuppgifter relaterade till Patienter:

    • Fullständigt namn

    • Personnummer, Samordningsnummer, Reservnummer

    • Nationellt ID-nummer eller övriga identifikations-nummer

    • Adressuppgifter

    • E-postadress

    • Telefonnummer

    • IP-adresser

    • Hälsotillstånd

Kategorier av Registrerade

Personuppgiftsbiträdet har rätt att Behandla Personuppgifter avseende följande kategorier av Registrerade:


  1. Patienter, närstående och vårdnadshavare

  2. Personuppgifter om Personuppgiftsansvariges anställda, konsulter eller inhyrd personal

Kategorier av mottagare av Personuppgifter

Personuppgiftsbiträdet gör överföring till följande kategorier av mottagare på Personuppgiftsansvarigs uppdrag:


  1. Andra Personuppgiftsansvariga så som vårdgivare och labb

  2. Registrerade i form av patienter

  3. Andra systemleverantörer som är Personuppgiftsbiträden till Personuppgiftsansvarig så som journalsystemleverantörer

  4. Underbiträden enligt Bilaga F-2

Behandling av underbiträde

Underbiträdet till Personuppgiftsbiträde ska iaktta samma krav vid Behandlingen av Personuppgifter åt den Personuppgiftsansvarige som specificerat i detta avtal. Dvs. ska följa samma legala krav vid Behandlingen av Personuppgifter som Personuppgiftsansvarige har avtalat med Personuppgiftsbiträdet. Underbiträdet får Behandla Personuppgifter åt den Personuppgiftsansvarige i enighet med samma villkor som Personuppgiftsbiträdets varaktighet. Det förutsatt att Underbiträdet inte omfattas av andra nationella krav för bevarandet av Personuppgifterna.

Specifika säkerhetskrav

Personuppgiftsbiträdet och eventuella Underbiträden ska implementera tekniska, administrativa och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inklusive:


  1. Pseudonymisering och kryptering av Personuppgifter

  2. Förmågan att säkerställa informationens riktighet, konfidentialitet, integriteten, tillgängligheten samt upprätthålla informationssystemet motståndskraft för obehörig åtkomst.

  3. Förmågan att i tid återställa tillgängligheten och tillgången till Personuppgifter vid en fysisk eller teknisk incident

  4. En procedur för regelbundet att testa, utvärdera och bedöma effektiviteten av de tekniska och organisatoriska åtgärderna för att säkerställa Behandlingens säkerhet

  5. I fall där patientdata Behandlas, att säkerställa efterlevnad av säkerhetsåtgärderna som specificeras i HSLF-FS 2016:40, Socialstyrelsens föreskrifter och allmänna råd om journalhantering och Behandling av Personuppgifter inom hälso- och sjukvården.

Loggar

Personuppgiftsbiträdet ska säkerställa att:


  1. Dokumentationen av tillgång (loggar) specificerar de åtgärder som vidtagits avseende en Registrerads Personuppgifter

  2. Loggarna anger IP-numret från vilket åtgärderna genomfördes

  3. Loggarna anger tidsstämpeln för åtgärderna

  4. Loggarna möjliggör identifiering av användaren och den Registrerade

  5. Systematiska och periodiska stickprovskontroller av Loggarna genomförs

  6. Kontroller av Loggarna dokumenteras Loggar relaterade till patientdata och systemanvändare ska lagras MINST 5 år och ska raderas enligt instruktioner från Personuppgiftsansvarig.

Överföring av Personuppgifter till tredjeländer

Som en del av Personuppgiftsbiträdets fullgörande av de tjänster som tillhandahålls enligt tjänsteavtalet, kan avidentifierade Personuppgifter relaterade till supportärenden och Personuppgifter i form av kontaktuppgifter såsom namn, telefonnummer och e-postadresser kopplade till Personuppgiftsansvariges personal överföras till Personuppgiftsbiträdets Underbiträden, såsom listas i Bilaga 2. Underbiträden måste vara baserade inom EES eller uppfylla kraven som anges i Kapitel V i Dataskyddsförordningen.

Bevarandeperiod

Den tjänst som tillhandahålls av Personuppgiftsbiträdet ska möjliggöra bevarande av Personuppgifter i enlighet med tillämplig aktuell lagstiftning, förordningar och föreskrifter.

Övrigt

Personuppgifter får Behandlas av Personuppgiftsbiträdet när det är nödvändigt för att tillhandahålla tjänsterna till Personuppgiftsansvarig. Detta kan innefatta, från tid till annan:


  1. Upprättande av fjärråtkomst till Personuppgiftsansvariges system för att undersöka och lösa tekniska problem; samt

  2. Hantering av supportärenden, samtal och andra supportförfrågningar från Personuppgiftsansvarig.

  3. Att säkerställa ett adekvat skydd av data vid elektronisk överföring av Personuppgifter till eller från Personuppgiftsansvarig, med hänsyn till känsligheten och arten av de Personuppgifter som kommuniceras.

Bilaga C-2 - Anlitade Underbiträden

Vid tidpunkten för ingånget avtal listas nedan Personuppgiftsbiträdets anlitade Underbiträden. Aktuell uppdatering av listade Underbiträden sker enligt detta avtal löpande och finns att tillgå på denna sida.

Google Cloud EMEA Limited

  • Land där underbiträdet är etablerat: Irland

  • Land för Behandling av Personuppgifter: Tyskland, Frankfurt

  • Typ av Behandling: Systemdrift

Bank-ID Finansiell ID-Teknik BID AB

  • Land där underbiträdet är etablerat: Sverige

  • Land för Behandling av Personuppgifter: Sverige

  • Typ av Behandling: Autentisering av användare

SecureAppbox AB

  • Land där underbiträdet är etablerat: Sverige

  • Land för Behandling av Personuppgifter: Sverige

  • Typ av Behandling: Autentisering av användare

Microsoft 365 Microsoft Ireland Operations Ltd

  • Land där underbiträdet är etablerat: Ireland

  • Land för Behandling av Personuppgifter: Ireland

  • Typ av Behandling: Dokumentation, onlinemöten med kunder, E-post kommunikation

Pipedrive CRM-system Pipedrive OÜ

  • Land där underbiträdet är etablerat: Estland

  • Land för Behandling av Personuppgifter: Estland

  • Typ av Behandling: Bolagsinformation, kontaktuppgifter till kunder

Freshworks Inc.

  • Land där underbiträdet är etablerat: USA

  • Land för Behandling av Personuppgifter: Tyskland, Frankfurt

  • Typ av Behandling: Kundsupport

LegalHub