Personuppgiftsbiträdesavtal

Transkript

1 Personuppgiftsbiträdesavtal mellan Sophiahemmet AB och Hyresgäst avseende personuppgiftsbehandling OKTOBER 2018

2 Detta personuppgiftsbiträdesavtal ( Biträdesavtalet ) är giltigt från och med elektronsik signatur eller det sista datumet nedan mellan Sophiahemmet AB, org. nr , Box 5605, Stockholm ("Sophiahemmet"), och hyresgästen (företagsnamn och org. nr. anges i e- tjänsteverktyget) ("Hyresgästen"). Sophiahemmet och Hyresgästen kallas härefter vardera Part och gemensamt Parterna. PERSONUPPGIFTSBITRÄDESAVTAL 1. BAKGRUND 1.1 Parterna har träffat avtal ( Hyresavtal ) med tillhörande bilagor. 1.2 Sophiahemmet kommer med anledning av Hyresavtalet att behandla personuppgifter för Hyresgästens räkning. Med anledning av sådan personuppgiftsbehandling ingår Parterna detta Biträdesavtal. Personuppgiftsbiträdesavtal för Sophiahemmets IT-tjänster tecknas dock separat. 1.3 För de personuppgifter som Sophiahemmet behandlar för Hyresgästens räkning är Sophiahemmet personuppgiftsbiträde och Hyresgästen är personuppgiftsansvarig. 1.4 För undvikande av missförstånd ska detta Personuppgiftsbiträdesavtal inte under några omständigheter anses omfatta Sophiahemmets Behandling av Personuppgifter som regleras av Patientdatalag (2008:355, PDL) och som sker enligt något av de ändamål som beskrivs i 2 kap. 4 den lagen där Sophiahemmet således agerar i egenskap av vårdgivare, och därför är att betrakta som personuppgiftsansvarig. 2. BITRÄDESAVTALETS STRUKTUR 2.1 Detta Biträdesavtal består av detta dokument samt Bilaga 1 (Personuppgiftsbehandling) i vilken personuppgiftsansvarigs nyttjande av biträdets tjänster som innefattar personuppgiftsbehandling närmare preciseras i E-tjänsteplattformen. 3. DEFINITIONER 3.1 Biträdesavtalet ska tolkas med bakgrund av terminologin som används i Europaparlamentets och Rådets förordning (EU) 2016/679 ( GDPR ) Behandling Dataskyddsreglering avser vid var tid gällande legaldefinition av Behandling enligt Dataskyddsreglering. Vid tidpunkten för Avtalets undertecknande innefattar Behandling varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning efter annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. avser vid var tid gällande lag eller förordning som ska tillämpas på Behandling av Personuppgifter vilket innefattar men inte är begränsat till Europaparlamentets och Rådets Förordning (EU) 2016/679 ( Dataskyddsförordningen ), rättsakter inom unionsrätten eller medlemsstats nationella rätt samt Tillsynsmyndighets bindande beslut och föreskrifter. Sophiahemmet Personuppgiftsbiträdesavtal, Tjänsteutbud Sida 2 av 6

3 Personuppgifter Registrerad Tillsynsmyndighet Underbiträde avser de personuppgifter, som Sophiahemmet behandlar för Hyresgästens räkning under detta Personuppgifts-biträdesavtal. Vid tidpunkten för Avtalets undertecknande definieras personuppgifter som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet men begreppet personuppgifter ska anses ha den innebörd som framgår av vid var tid gällande legaldefinition under Dataskyddsreglering. avser den fysiska person som en Personuppgift avser. avser den eller de tillsynsmyndigheter som har behörighet att bedriva tillsyn över hantering av Personuppgifter eller anses vara berörd tillsynsmyndighet enligt Dataskyddsreglering. avser den som behandlar Personuppgifter som underleveran-tör åt Sophiahemmet (vilket innefattar men inte är begränsat till Sophiahemmets koncernbolag). 4. AVTALSTID OCH PRIORITETSORDNING 4.1 Detta Biträdesavtal träder ikraft i och med undertecknandet och gäller fram tills dess hyresavtalet upphör och att Biträdets behandling av Personuppgifter för den Personuppgiftsansvariges räkning därmed upphör. 4.2 Hyresavtalet ska gälla före Biträdesavtalet 5. BEHANDLINGENS VARAKTIGHET, ART OCH ÄNDAMÅL 5.1 I Bilaga 1 (Personuppgiftsbehandling) ska Parterna ange föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av Personuppgifter som behandlas och kategorier av registrerade. 6. HYRESGÄSTENS SKYLDIGHETER OCH RÄTTIGHETER 6.1 Hyresgästen ska säkerställa att Personuppgifter som Sophiahemmet behandlar för Hyresgästens räkning har samlats in för särskilda, uttryckligt angivna och berättigade ändamål. 6.2 Hyresgästen ansvarar för att dess instruktioner till Sophiahemmet avseende personuppgiftsbehandlingen är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka Personuppgifterna samlades in. 6.3 Hyresgästen ska säkerställa att de registrerade har lämnat sitt samtycke till behandlingen av dess Personuppgifter eller att behandlingen stödjs av en annan legitim grund. 7. SOPHIAHEMMETS SKYLDIGHETER 7.1 Sophiahemmet får endast behandla Personuppgifter i enlighet med dokumenterade instruktioner (enligt bilaga 1) från Hyresgästen, inbegripet när det gäller överföringar av Personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt Dataskyddsreglering som Sophiahemmet omfattas av, och i så fall ska Sophiahemmet informera Hyresgästen om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden enligt Dataskyddsreglering. 7.2 Sophiahemmet ska omedelbart informera Hyresgästen om Sophiahemmet anser att en instruktion strider mot Dataskyddsreglering. Sophiahemmet Personuppgiftsbiträdesavtal, Tjänsteutbud Sida 3 av 6

4 7.3 Hyresgästen ska ersätta Sophiahemmet för de kostnader som uppkommer om Hyresgästens nya instruktioner leder till att Sophiahemmet behöver ändra sina rutiner, tekniska och organisatoriska åtgärder eller av andra skäl ådrar sig kostnader. 7.4 Sophiahemmet ska, inom ramen för den behandling som definierats i Bilaga 1, och med tanke på behandlingens art, rådge eller hjälpa Hyresgästen att genomföra lämpliga tekniska och organisatoriska åtgärder inom levererade tjänster så att Hyresgästen kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III (Den registrerades rättigheter) i GDPR. Detta gäller dock ej om Hyresgästen genom någon av parternas avtal med en eller flera leverantörer har möjlighet att kräva att en sådan åtgärd utförs av en sådan leverantör. 7.5 Sophiahemmet ska bistå Hyresgästen, i rimlig utsträckning, att se till att skyldigheterna enligt artiklarna GDPR kan fullgöras, med beaktande av de faktiska IT-tjänster som utförs och typen av behandling och den information som Biträdet har att tillgå. 7.6 Sophiahemmet ska, beroende på vad Hyresgästen väljer, permanent radera eller återlämna alla Personuppgifter till Hyresgästen efter det att tillhandahållandet av behandlingstjänster har avslutats, och permanent radera befintliga kopior såvida inte lagring av Personuppgifter krävs enligt unionsrätten eller medlemsstats nationella rätt. 8. SÄKERHET 8.1 Sophiahemmet ska med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt a) pseudonymisering och kryptering av Personuppgifter, b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och tjänsterna, c) förmågan att återställa tillgängligheten och tillgången till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident, och d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. Ovan punkter a)-d) ska dock inte tolkas som en skyldighet för Sophiahemmet att i någon viss angiven situation använda sig av någon viss metod som beskrivs i punkterna. 8.2 Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt behandlats. 8.3 Sophiahemmet ska säkerställa att personer med behörighet att behandla Personuppgifter har åtagit sig att iaktta sekretess enligt särskilt upprättad sekretessförbindelse. 8.4 Sophiahemmet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under Sophiahemmets överinseende, och som får tillgång till Personuppgifter, endast behandlar dessa på instruktion från Hyresgästen, såvida inte annat följer enligt Dataskyddsreglering. Sophiahemmet Personuppgiftsbiträdesavtal, Tjänsteutbud Sida 4 av 6

5 9. BEHANDLING UTANFÖR EU/EES 9.1 Sophiahemmet får inte behandla Personuppgifter utanför EU/EES utan ett på förhand skriftligt medgivande från Hyresgästen. 9.2 Om Hyresgästen ger Sophiahemmet tillåtelse att anlita ett Underbiträde som behandlar Personuppgifter utanför EU/EES ska Sophiahemmet säkerställa att Underbiträdet, i tillägg till punkt 11 nedan, upprätthåller en adekvat säkerhetsnivå i enlighet med artikel 44 av GDPR. 10. GRANSKNING OCH KONTROLL 10.1 Sophiahemmet ska ge Hyresgästen tillgång till information som rimligen krävs för att visa att de skyldigheter som fastställs i Biträdesavtalet och GDPR har fullgjorts, samt möjliggöra och bidra till granskningar som genomförs av Hyresgästen eller av annan som bemyndigats av Hyresgästen. Hyresgästen ska täcka kostnaderna för sådan granskning, samt ersätta Sophiahemmet för eventuella kostnader som uppkommer i samband med sådan granskning Om det till Sophiahemmet kommer in en begäran från en registrerad, tillsynsmyndighet eller annan tredje man om att få ta del av information som Sophiahemmet behandlar för Hyresgästen räkning ska Sophiahemmet utan dröjsmål vidarebefordra sådan begäran till Hyresgästen. Sophiahemmet, eller den som arbetar under Sophiahemmets ledning, får inte lämna ut Personuppgifter eller annan information om behandlingen utan uttrycklig instruktion om detta från Personuppgiftsansvarige, såvida inte sådan skyldighet föreligger enligt Dataskyddsreglering Sophiahemmet ska informera om eventuella kontakter från tillsynsmyndigheten som rör behandling av Personuppgifter. Sophiahemmet har inte rätt att företräda Hyresgästen eller agera för den Personuppgiftsansvariges räkning gentemot tillsynsmyndighet. 11. ANLITANDE AV UNDERBITRÄDEN 11.1 Sophiahemmet får anlita ett annat personuppgiftsbiträde ( Underbiträde ) att utföra dess skyldigheter under Biträdesavtalet I de fall där Sophiahemmet anlitar Underbiträden för utförande av specifik behandling på Personuppgiftsansvariges vägnar ska Underbiträden, genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstats nationella rätt, åläggas samma skyldigheter i fråga om personuppgiftsskydd som de som fastställs i detta Biträdesavtal, och framför allt att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i GDPR. Om Underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska Sophiahemmet vara fullt ansvarig gentemot den Personuppgiftsansvarige för utförandet av Underbiträdets skyldigheter. Sophiahemmet ska i förväg informera Hyresgästen om planer på att anlita eller ersätta Underbiträde och bereda Hyresgästen möjlighet att invända mot Underbiträdet. 12. SKADA 12.1 Sophiahemmet ska ersätta Personuppgiftsansvarig för sådan ren förmögenhetsskada som drabbat Personuppgiftsansvarig och som är direkt orsakad av Sophiahemmets behandling av Personuppgifter i strid med Personuppgiftsansvarig instruktioner eller Dataskyddsreglering Den ersättningsskyldighet som följer av denna punkt 1 äger inte tillämpning på a) någon sådan ersättning som Personuppgiftsansvarig är förpliktigad att utge enligt Art. 82 Dataskyddsförordningen, eller Sophiahemmet Personuppgiftsbiträdesavtal, Tjänsteutbud Sida 5 av 6

6 b) någon sanktionsavgift som påförts Personuppgiftsansvarig enligt Art. 83 Dataskyddsförordningen Sophiahemmets ersättningsskyldighet enligt denna punkt 1. är begränsad till ett belopp motsvarande sex gånger den genomsnittliga samlade månadskostnad som Personuppgiftsansvarig utgett till Sophiahemmet under de sex kalendermånader som föregått händelsen, eller den första i en serie av händelser, som föranleder ersättningsskyldighet. 13. LAGVAL OCH TVISTELÖSNING 13.1 Tvister som uppstår i anledning av detta Biträdesavtal ska slutligt avgöras i enlighet med Avtalets villkor om tvistelösning och lagval. Detta Biträdesavtal har upprättats i två (2) exemplar varav Parterna har fått var sitt. Signerar gör Hyresgästen i den digitala E-tjänsteplattformen med hjälp av BankId. Ort och datum: Stockholm SOPHIAHEMMET AB Ort och datum: HYRESGÄSTEN Signatur Peter Seger VD Namnförtydligande Titel Sophiahemmet Personuppgiftsbiträdesavtal, Tjänsteutbud Sida 6 av 6