Allmänna råd. Datainspektionen informerar. Nr 3/2016

Relevanta dokument
Datainspektionen informerar

Personuppgiftsbiträdesavtal

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Bilaga Personuppgiftsbiträdesavtal

Allmänna Råd. Datainspektionen informerar Nr 3/2017

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

BILAGA Personuppgiftsbiträdesavtal

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

1. Bakgrund. 2. Parter. 3. Definitioner

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

PERSONUPPGIFTSBITRÄDESAVTAL

Datainspektionen informerar. Vägledningen ska tjäna som verktyg för att bedöma integritetsriskerna med ny eller ändrad lagstiftning.

Datainspektionen informerar

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Policy för hantering av personuppgifter

Riktlinjer för hantering av personuppgifter

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Södertörns brandförsvarsförbund

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

M E L L A N P E R S O N U P P G I F T S A N S V A R I G O C H P E R S O N U P P G I F T S B I T R Ä D E

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Personuppgiftsbiträde

Villkor för kommunens användning av GeoVy och behandling av personuppgifter för Lantmäteriets räkning

Allmänna råd. Datainspektionen informerar. Nr 2/2016

Personuppgiftsbiträdesavtal

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftspolicy. Dokument: Personuppgiftspolicy för Åda Ab Version: 1.0 Fastställd av Åda Ab:s styrelse Version datum:

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

Personuppgiftsbiträde

Allmänna råd. Datainspektionen informerar Nr 2/2014. om användning av molntjänster (Cloud Computing) i den offentliga sektorn.

Kanslichef - Tillsvidare

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Personuppgiftsbiträdesavtal

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

JUHTA Delegationen för informationsförvaltningen inom den offentliga förvaltningen

Personuppgiftsbiträdesavtal

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSLAGEN (PUL)

Riktlinjer för dataskydd

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal har träffats mellan följande parter.

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL - DM

Personuppgiftsinformation för Svedala kommun

Bilaga - Personuppgiftsbiträdesavtal

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Universitetet och Datainspektionen i Molnet

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

Victoria Behandlingscenter AB Integritetspolicy

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Allmänna råd. Datainspektionen informerar. Nr 1/2014

Informationsfullmakt koncern

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Bilaga 3 Personuppgiftsbiträdesavtal

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillägg om Zervants behandling av personuppgifter

GRABBARNA FLYTT SWEDEN AB PRIVACY POLICY

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

Säkerhet vid behandling av personuppgifter i forskning

Bilaga Personuppgiftsbiträdesavtal UPP 2016/235. Innehållsförteckning

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Bilaga 1a Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

BILAGA Personuppgiftsbiträdesavtal

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Hantering av personuppgifter

PERSONUPPGIFTSBITRÄ DESÄVTÄL

PERSONUPPGIFTSBITRÄDESAVTAL. ("Personuppgiftsbiträdesavtalet")

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

BILAGA OM BEHANDLINGEN AV PERSONUPPGIFTER

Bilaga b, (Användaravtal Nyps) Personuppgiftsbiträdesavtal

Lathund Personuppgiftslagen (PuL)

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Personuppgiftsbehandling för forskningsändamål

Personuppgiftsbiträdesavtal

1. Integritetsmeddelande för Danish Crownkoncernen

Denna policy gäller för Fordonsmäklarna (kallad Fordonsmäklarna eller "vi") behandling av kunders personuppgifter.

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Transkript:

Datainspektionen informerar Nr 3/2016 Allmänna råd Datainspektionen har utarbetat en allmän vägledning gällande skriftligt avtal om registerbiträdets behandling av personuppgifter för den personuppgiftsansvarigas räkning (registerbiträdesavtal). Vägledningen innehåller en mall till skriftligt avtal. Datainspektionen den 6 oktober 2016 Datainspektionen Elverksgatan 10, AX-22100 Mariehamn, Åland Besöksadress: Kvarteret itiden +358 (0)18 25 550 +358 (0)457 34 320 81 inspektion@di.ax www.di.ax

3 1 Vägledning om databehandlingsavtal... 4 2 Förutsättningar och definitioner... 4 3 Minimikrav... 5 3.1 Ange ändamålen med behandlingen... 5 3.2 Beskrivning av vilka personuppgifter som ska behandlas... 5 3.2.1 Konkreta rutiner för användning av personuppgifterna... 5 3.2.2 Regler för att lämna ut personuppgifterna... 5 3.3 Eventuella underleverantörer ska framgå av avtalet... 6 3.4 Ta tillvara den registrerades rättigheter... 6 3.5 Enligt avtalet ska registerbiträdet hålla en god säkerhet vid behandling... 6 3.6 Avtalets giltighetstid... 7 4 Överföring till utlandet... 7

4 1 Vägledning om databehandlingsavtal Denna vägledning innehåller en mall på hur personuppgifter behandlas av registerbiträdet i ett databehandlingsavtal. Vägledningen ska läsas parallellt med avtalsmallen. Det har inte varit ändamålsenligt att göra en uttömmande mall eller lista över vad som erfordras av ett databehandlingsavtal. Det är Datainspektionens förhoppning att mallen kan ge en indikation om vilka huvudfrågorna enligt personuppgiftslagen 1 bör vara. 2 Förutsättningar och definitioner Verksamheter som väljer att utlokalisera hela eller delar av behandlingen av personuppgifter till andra verksamheter anlitar registerbiträden. Det ska finnas ett skriftligt avtal om registerbiträdets behandling av personuppgifter för den registeransvariges räkning enligt 19 2 mom. personuppgiftslagen. Den registeransvariga ska försäkra sig om att registerbiträdet håller tillräckligt hög säkerhetsnivå enligt 18 personuppgiftslagen. Registeransvarig Den myndighet som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Har ansvar för att uppgifter behandlas i enlighet med personuppgiftslagens bestämmelser Behandling av personuppgifter definieras som varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring et cetera. Registerbiträde Den som behandlar personuppgifter för den registeransvariges räkning Ska bara behandla personuppgifter i enlighet med vad som avtalats med de registeransvarige Registerbiträdet är ansvarigt för personuppgifter som behandlas inom den egna verksamheten såsom till exempel personuppgifter om egen personal. 1 Härmed avses landskapslag (2007:88) om behandling av personuppgifter inom landskaps- och kommunalförvaltningen

5 Behandling av känsliga personuppgifter kräver i regel ett mera detaljerat avtal än vad som till exempel krävs för ett enklare faktureringsuppdrag. Graden av specificering varierar från helt grundläggande krav till mera detaljerade såsom nivån på informationssäkerheten. 3 Minimikrav Nedanstående punkter är minimikrav för vad som bör finnas med i ett skriftligt avtal om registerbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning (registerbiträdesavtal). Den registeransvariga kan ställa högre krav än vad som följer av personuppgiftslagen, men får inte avtala om villkor som är i strid med de krav som personuppgiftslagen ställer. 3.1 Ange ändamålen med behandlingen Det ska framgå av avtalet vilket ändamålet är med behandlingen av personuppgifterna. Registerbiträdet ska kunna behandla personuppgifterna i förhållande till hur ändamålet är definierat. Exempel på behandling är makulering av pappersdokument, IT-drift, fakturering, kameraövervakning, behandling av personaluppgifter såsom utbetalning av löner eller liknande. 3.2 Beskrivning av vilka personuppgifter som ska behandlas Det ska tydligt framgå av avtalet vad registerbiträdet ska göra med personuppgifterna. Ska de lagras för framtida bruk (arkivering), eller ska de bearbetas? Avtalet ska också klart reglera om det ska ske annan behandling, till exempel koppling med andra personuppgifter/register eller motsvarande. 3.2.1 Konkreta rutiner för användning av personuppgifterna Registerbiträdet har inte rätt att förfoga över personuppgifterna och får därför inte behandla dem för egna ändamål. 3.2.2 Regler för att lämna ut personuppgifterna Registerbiträdet ska följa avtalet. Om personuppgifterna ska lämnas ut till externa parter ska det framgå klart och tydligt i avtalet. Avtalet kan innehålla bestämmelser om vem som ska kunna få tillgång till personuppgifterna och på vilka villkor det kan ske.

6 3.3 Eventuella underleverantörer ska framgå av avtalet Om registerbiträdet använder sig av tjänsteunderleverantörer ska det klart framgå av avtalet mellan den registeransvariga och registerbiträdet. 5 kapitlet personuppgiftslagen ställer krav på säkerheten vid behandling av personuppgifter. Samtliga som på registerbiträdets uppdrag utför arbete där de aktuella personuppgifterna ingår ska känna till de avtalsmässiga och lagbaserade villkoren. Därför bör även ett avtal upprättas mellan registerbiträdet och underleverantörerna som ett tillägg till registerbiträdesavtalet. 3.4 Ta tillvara den registrerades rättigheter Avtalet kan innehålla en arbetsfördelning mellan registeransvarig och registerbiträde, till exempel vem som ska hantera och behandla förfrågningar från registrerade. Den registeransvariga kan få en förfrågan som denna vidareförmedlar till registerbiträdet som behandlar förfrågan. Det kan gälla förfrågningar om Information till den registrerade Rättelse av personuppgifter 3.5 Enligt avtalet ska registerbiträdet hålla en god säkerhet vid behandling Enligt 18 1 och 2 mom. personuppgiftslagen ska lämpliga tekniska och organisatoriska åtgärder vidtas för att skydda de personuppgifter som behandlas. I avtalet ska klarläggas vilken säkerhetsnivån beträffande sekretess, integritet och tillgänglighet ska vara. Avtalet bör innehålla bestämmelser om Avvikelsehantering Behörighetskontroll, till exempel loggföring Andra krav enligt 5 kapitlet personuppgiftslagen: - Tystnadsplikt - Säkerhetsrevisioner - Fysiska säkerhetsåtgärder - Vilka rutiner med mera som ska dokumenteras - Personal hos parterna som ska ha tillgång till personuppgifterna Båda parter har ett självständigt ansvar enligt personuppgiftslagen och avtalet kan reglera arbetsfördelningen mellan parterna.

7 3.6 Avtalets giltighetstid Avtalet ska innehålla följande uppgifter Hur länge avtalet är ikraft Vad som ska ske med uppgifterna efter att avtalet har upphört om uppgifterna ska lämnas tillbaka eller utplånas, och om sparade säkerhetskopior ska lämnas tillbaka eller utplånas Hur ofta säkerhetsrevision ska göras 4 Överföring till utlandet Om det är aktuellt att överföra personuppgifter till utlandet ska det regleras i avtalet. Se 6 och 7 personuppgiftslagen.

8 BILAGA: Avtalsskiss avtal om behandling av personuppgifter (registerbiträdesavtal) mellan... Registeransvarig och... Registerbiträde 1. Avsikten med avtalet 2. Ändamål 3. Registerbiträdets skyldigheter 4. Anlitandet av underleverantörer 5. Säkerhet 6. Säkerhetsrevisioner 7. Avtalets giltighetstid 8. Avtalets upphörande 9. Information 10. Lagval

9 Avtalet är upprättat i två exemplar, vardera ett för registeransvarig och registerbiträde. Ort och tid Registeransvarig Registerbiträde...... (underskrift) (underskrift)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss