Ovanstående text samt text nedan över revisionshistorik tas bort av ansvarig upphandlare innan annonsering.

Relevanta dokument
PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

M E L L A N P E R S O N U P P G I F T S A N S V A R I G O C H P E R S O N U P P G I F T S B I T R Ä D E

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga 3 - Personsuppgiftbiträdesavtal

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

C. Mot bakgrund av ovanstående har Parterna ingått detta Avtal.

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL. ("Personuppgiftsbiträdesavtalet")

Särskilda bestämmelser vid behandling av personuppgifter i samband med Molntjänster

Bilaga 1a Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Södertörns brandförsvarsförbund

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Personuppgiftsbiträdesavtal

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

1. Bakgrund. 2. Parter. 3. Definitioner

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Särskilda bestämmelser vid behandling av personuppgifter i samband med andra tjänster än Molntjänster och IT-Infrastrukturtjänster (övriga tjänster)

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Bilaga 3 Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

Personuppgiftsbiträde

Bilaga b, (Användaravtal Nyps) Personuppgiftsbiträdesavtal

Policy för behandling av personuppgifter

Samarbetsavtal behandling av personuppgifter 1. Bakgrund och syfte 2. Samarbetsavtalets giltighetstid

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

PERSONUPPGIFTSBITRÄDESAVTAL Bilaga till Avtal om Swelön

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Underbiträdesavtal. Med Avtalet avses detta huvuddokument och vid var tid gällande bilagor.

ALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA. 1. Allmänt

Personuppgiftsbiträdesavtal 1 Parter Detta avtal har dagen för undertecknanden ingåtts mellan parterna;

Svensk författningssamling

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

PERSONUPPGIFTS- BITRÄDESAVTAL

JUHTA Delegationen för informationsförvaltningen inom den offentliga förvaltningen

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Bilaga till Skanovas Allmänna Villkor PERSONUPPGIFTSBITRÄDESAVTAL

Tillägg om Zervants behandling av personuppgifter

Personuppgiftsbiträdesavtal Fastighetsägarna Dokument

InTime International AB (nedan kallat Personuppgiftsbiträdet ) med organisationsnummer och adress Varvsgatan 47, Luleå

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄ DESÄVTÄL

Personuppgiftsbiträdesavtal

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Villkor för kommunens användning av GeoVy och behandling av personuppgifter för Lantmäteriets räkning

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

Biträdesavtal. mellan [Företaget] och Hippoly AB

Allmänna Villkor - Allmän Del

1. Vad är en personuppgift och vad är en behandling av personuppgifter?

AVTAL FÖR ADVITUMS DOKUMENTPORTAL

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Information om behandling av personuppgifter på Tellus bostadsrättsförening

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Databehandlingstillägg

VIPRE Security/j2 Global Sweden AB (VIPRE) Databehandlingsvillkor

BILAGA Personuppgiftsbiträdesavtal

1. DEFINITIONER. Detta Databehandlingstillägg (detta Tillägg ) har införlivats i Tjänsteavtalet ( Avtalet ) som ingåtts mellan

Personuppgiftsbiträde

3. Vi har även tagit del av följande bilagor, som hör till Huvudavtalet:

För det fall att handlingarnas innehåll inte överensstämmer har huvuddokumentet företräde framför bilagan.

EU:s nya dataskyddsförordning Lotta Wikman Öman

Mertzig Asset Management AB

PERSONUPPGIFTSBITRÄDESAVTAL

Duo Search AB - Integritetspolicy

Bilaga - Personuppgiftsbiträdesavtal

Informationsfullmakt koncern

INTEGRITETSPOLICY Målet med denna policy är att säkerställa att personuppgifter hanteras i enlighet med gällande lagstiftning.

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

Victoria Behandlingscenter AB Integritetspolicy

PERSONUPPGIFTSPOLICY

PERSONUPPGIFTSBITRÄDESAVTAL

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Transkript:

Tänk på detta vid användandet av mallen Observera att detta endast är en mall som ska användas som ett hjälpmedel. Det finns ibland flera alternativ att välja på och det kan vara aktuellt att använda sig av andra texter. I valbara delar bör samråd ske med berörda enheter inom VGR, t ex Regionservice, IT. Dokumenthuvudet uppdateras med aktuell information för respektive upphandling. Fältet Version i sidhuvudet avser den senaste utgåvan av den aktuella Biträdesmallen och fältet Mallversion i sidfoten avser mallens aktuella version. Färgförklaringar Svart text: Som huvudregel obligatorisk text, rådgör med enhetschef vid avsteg. Röd text: Valmöjligheter, kräver ställningstagande, ska ske innan annonsering Blå text: Kompletteras av inköparen vid anpassning av dokumentet Grön text: Förklarande text till inköparen angående punkten, ska tas bort innan Annonsering Ovanstående text samt text nedan över revisionshistorik tas bort av ansvarig upphandlare innan annonsering. Revisionsöversikt Versionnr Rubrik nr Uppdatering avser Releasedatum 1.0 Första release. 2017-07-07 1.1 Intern version: Förslag på justeringar i ansvarsbegränsningarna, samt smärre korrekturändringar (andbl). Notering: Definitionen av EU-lagstiftning bör ändras att bara omfatta GDPR för avtal som träder ikraft den 25 maj 2018 eller senare. 2018-01-18 Biträdesavtal Koncerninköp - Upphandling 1.0 (2017-07-07) Carin Sjösten Nilsson 1

Biträdesavtal mellan personuppgiftsansvarig och personuppgiftsbiträde 1 Parter Alternativ 1 Används när Biträdesavtalet går med ut som en bilaga i upphandlingen (vilket är huvudspåret i våra upphandlingar) och senare blir en bilaga till avtalet. Undertecknandet av avtalet omfattar då även biträdesavtalet. Personuppgiftsansvarig, är den som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. I detta fall fyll i personuppgiftsansvarig nämnd/styrelse, Västra Götalands läns landsting (org nr 232100-0131), 462 80 Vänersborg ( PuA ). Personuppgiftsbiträde, är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. I detta fall leverantörens namn, (org nr xxxxxx-xxxx), postadress ( PuB ). PuA och PuB benäms nedan var och en för sig Part och gemensamt Parterna. Denna Bilaga x kallas hädanefter Biträdesavtalet. Alternativ 2 För de fall biträdesavtal tecknas som ett separat avtal, och inte som en bilaga till huvudavtalet enligt ovan, används istället skrivningen nedan. Observera att ett undertecknande av biträdesavtalet är nödvändigt i de fall det inte är en bilaga till huvudavtalet. Om hela behandlingen regleras i biträdesavtalet och det inte finns något huvudavtal måste mallen anpassas utifrån detta, bl.a. måste hänvisningarna till Avtalet (blåmarkerade) tas bort (dvs. då hänvisas endast till detta Biträdesavtalet i texten) och man måste överväga frågor som ersättning, avtalstid, tvistlösning och andra aspekter som i normalfallet följer av ett huvudavtal. Detta biträdesavtal ( Biträdesavtalet ) har den dag-månad-år träffats mellan fyll i personuppgiftsansvarig nämnd/styrelse, Västra Götalands läns landsting (org nr 232100-0131), 462 80 Vänersborg ( PuA ); och leverantörens namn, (org nr xxxxxx-xxxx), postadress ( PuB ). PuA och PuB benämns nedan var och en för sig Part och gemensamt Parterna. Biträdesavtal Koncerninköp - Upphandling 1.0 (2017-07-07) Carin Sjösten Nilsson 2

2 Definitioner Utöver ovan angivna definitioner ska följande definitioner ha den betydelse som anges nedan i denna punkt 2. Ord som anges i singular ska ha motsvarande betydelse när de används i plural eller böjs på andra sätt. EU-lagstiftningen avser (i) vid ikraftträdandet av detta Biträdesavtal, Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, samt alla ändringar och tillägg till detta, och (ii) när det blir tillämpligt, Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Tillämplig Dataskyddslag avser sådan integritets- och personuppgiftslagstiftning samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på den personuppgiftsbehandling som sker under detta Biträdesavtal, inklusive nationell sådan lagstiftning (såsom personuppgiftslagen (1998:204)) och EU-lagstiftningen, såsom denna kan komma att förändras över tid. Begrepp i detta Biträdesavtal som inte används med versal, såsom personuppgiftsansvarig, personuppgiftsbiträde, personuppgifter, behandling, registrerad, m.fl. ska anses ha den betydelse som anges i EU-lagstiftningen. 3 Innehåll och syfte a) Mellan PuA och PuB har ett avtal tecknats, benämningen på avtalet (avtalsnummer xxxxx-xxx) (nedan kallat Avtalet ). Avtalet innefattar tjänster som PuB ska tillhandahålla PuA. Avtalet med eventuella bilagor tillsammans med detta Biträdesavtal reglerar alltså vad PuB ska ansvara för och utföra åt PuA. Detta Biträdesavtal utgör en del av Avtalet. b) Detta Biträdesavtal har till syfte att uppfylla Tillämplig Dataskyddslags krav på avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde. PuA är personuppgiftsansvarig i relation till behandlingen som regleras under detta Biträdesavtal och PuB är personuppgiftsbiträde i relation till behandlingen som regleras under detta Biträdesavtal. 4 Föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade a) I syfte att utföra de åtaganden som PuB har under Avtalet, kommer PuB att få tillgång till vissa personuppgifter. PuB kommer därmed att, på uppdrag av PuA behandla personuppgifter rörande Biträdesavtal Koncerninköp - Upphandling 1.0 (2017-07-07) Carin Sjösten Nilsson 3

beskriv kategorier av registrerade, t ex patienter, anställda hos PuA eller andra omfattande sådana registrerades beskriv kategorier av uppgifter som omfattas t ex namn, adress, personnummer. b) Ovan beskrivna personuppgifter får endast behandlas av PuB i syfte att utföra de åtaganden som PuB har under Avtalet/Biträdesavtalet, dvs. beskriv här översiktligt syftet med behandlingen (varför behöver leverantören behandla personuppgifter för vår räkning?) och omfattar följande behandling: beskriv själva behandlingen, dvs relevanta behandlingsaktiviteter såsom insamling, lagring, koordinering. Behandlingen under Avtalet/Biträdesavtalet ska utföras endast så länge som behandlingen behövs för det aktuella syftet såsom instruerats av PuA, och PuB ska följa instruktioner från PuA kring gallring, återlämning och radering av personuppgifter. c) PuB åtar sig att inte nyttja personuppgifterna för några andra syften än de som anges i detta Biträdesavtal. 5 Ansvar och instruktion a) PuA har ett ansvar för att behandlingen av personuppgifter som sker med anledning av Avtalet/Biträdesavtalet sker i enlighet med Tillämplig Dataskyddslag, och ansvarar för att lagstöd finns för den behandling av personuppgifter som PuA genom Avtalet och detta Biträdesavtal uppdrar åt PuB, samt att de instruktioner som PuA lämnar PuB vad gäller behandlingen är i enlighet med Tillämplig Dataskyddslag. b) PuB åtar sig att, vad gäller all behandling av personuppgifter som PuB utför för PuA:s räkning med anledning av Avtalet/Biträdesavtalet, utföra sådan behandling i enlighet med Tillämplig Dataskyddslag. c) PuB åtar sig att bara behandla personuppgifter i enlighet med Avtalet, detta Biträdesavtal, och dokumenterade instruktioner från PuA. d) PuB ska omedelbart informera PuA om PuB anser att en instruktion strider mot Tillämplig Dataskyddslag och invänta ytterligare instruktioner från PuA. e) För det fall det skulle finnas behandlingar som PuB enligt tvingande lag måste utföra utöver de dokumenterade instruktioner som lämnats av PuA, ska PuB underrätta PuA innan sådan behandling påbörjas, om det inte föreligger hinder mot att lämna sådan information enligt tvingande lag. f) Överföringar av personuppgifter till ett s.k. tredjeland eller en internationell organisation får endast ske efter dokumenterad instruktion från PuA, i enlighet med vad som anges i punkt 7 d) nedan. Biträdesavtal Koncerninköp - Upphandling 1.0 (2017-07-07) Carin Sjösten Nilsson 4

g) För det fall PuB anser sig sakna instruktioner som PuB bedömer är nödvändiga för att genomföra den aktuella behandlingen ska PuB, utan dröjsmål, informera PuA om detta och invänta de instruktioner som PuA bedömer behövs. h) PuB ska ge PuA all tillgång till information som krävs för att visa att de skyldigheter som fastställs i detta Biträdesavtal har fullgjorts, inklusive information om eventuell underleverantörs behandling av personuppgifter i enlighet med punkt 7 nedan. i) PuBs åtkomst till personuppgifter ska begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter föranledda av Avtalet och detta Biträdesavtal. j) PuB åtar sig att bistå PuA genom lämpliga tekniska och organisatoriska åtgärder, i den mån det är möjligt, så att PuA vad gäller begäran från registrerade om t.ex. information rörande eller utlämning, rättelse, radering eller blockering av personuppgifter, kan fullgöra sina skyldigheter mot dessa registrerade i enlighet med Tillämplig Dataskyddslag. 6 Säkerhet och sekretess a) PuB ska vidta alla lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen och särskilt för att skydda de personuppgifter som behandlas på uppdrag av PuA från obehörig eller olaglig behandling, oavsiktlig eller olaglig förlust, förstöring eller ändring eller obehörigt röjande av eller åtkomst till sådana personuppgifter. b) Vidtagna säkerhetsåtgärder ska dokumenteras av PuB och ska tillhandahållas PuA efter begäran. Om PuA under tiden för detta Biträdesavtal kräver ytterligare skäliga säkerhetsåtgärder ska PuB i möjligaste mån möta dessa krav utan någon tillkommande ersättning. c) PuB ska vara beredd att följa av Datainspektionen eller annan behörig tillsynsmyndighet fattade beslut om åtgärder för att uppfylla Tillämplig Dataskyddslags säkerhetskrav. PuB ska möjliggöra och bidra till granskningar, inbegripet inspektioner som genomförs av Datainspektionen eller annan behörig tillsynsmyndighet, PuA eller av PuA utsedd tredje part, som PuA eller Datainspektionen eller annan behörig tillsynsmyndighet bedömer krävs för upprätthållandet och säkerställandet av en korrekt behandling av personuppgifter utförd av PuB respektive av dess eventuella underleverantörer enligt punkt 7 nedan. d) PuB ska bistå PuA med att se till att de skyldigheter som enligt Tillämplig Dataskyddslag (såsom tillämpligt) åligger PuA vad gäller säkerhetsåtgärder, konsekvensbedömningar, incidentrapportering och samråds fullgörs, med beaktande av typen av behandling och den information som PuB har att tillgå. PuB ska omedelbart informera PuA om en misstanke om eller konstaterat dataintrång i relation till personuppgifterna som behandlas av PuB för PuA:s räkning och ska assistera PuA i framtagandet av information och rapporter till registrerade personer och myndigheter i den utsträckning detta krävs under Tillämplig Dataskyddslag. Biträdesavtal Koncerninköp - Upphandling 1.0 (2017-07-07) Carin Sjösten Nilsson 5

e) För det fall en registrerad eller annan tredje man begär ut information från PuB som rör dess behandling av personuppgifter under detta Biträdesavtal, eller om PuB tar emot en begäran om rättelse, radering, eller blockering, eller om överföring, ska PuB hänvisa till PuA. PuB ska inte lämna ut sådan information till registrerade eller annan tredje man om sådant utlämnande inte är tvingande under Tillämplig Dataskyddslag eller annan tillämplig lag. I det senare fallet ska PuB ändå omedelbart informera PuA om begäran. f) PuB och de personer som arbetar under dennes ledning (inklusive eventuella konsulter) ska vid behandlingen av personuppgifter under detta Biträdesavtal och Avtalet iaktta sekretess. Det innebär att personuppgifter inte obehörigen får röjas för tredje man. Dessa regler omfattar såväl handlingssekretess som tystnadsplikt. PuB åtar sig att se till att den eller de personer som arbetar under PuB:s ledning och som kommer att behandla personuppgifter iakttar och följer PuBs sekretessplikt. PuB får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter till tredje man utan uttrycklig instruktion från PuA, dock med undantag för sådana parter med vilka det finns underbiträdesavtal i enlighet med punkt 7 nedan. 7 Fullmakt a) PuB har mandat att anlita underleverantör för fullgörandet av PuB:s åtaganden enligt Avtalet och detta Biträdesavtal, förutsatt att sådan underleverantör innan någon behandling av personuppgifter påbörjas av denne ingår ett skriftligt så kallat underbiträdesavtal med PuB. Genom detta Biträdesavtal befullmäktigas PuB att för PuAs räkning träffa sådant underbiträdesavtal med en sådan underleverantör. b) PuB förbinder sig att underrätta PuA innan ett underbiträdesavtal med stöd av denna fullmakt tecknas med en underleverantör. PuA har rätt att invända mot att sådant avtal tecknas. En kopia på tecknat underbiträdesavtal ska skickas till PuA. c) Det underbiträdesavtal som PuB kan komma att ingå med underleverantörer med stöd av denna fullmakt ska vara likalydande med detta Biträdesavtal där motsvarande skyldigheter för PuB ska åläggas underleverantören. Avsnitt 4 i detta Biträdesavtal ska dock innehålla specifika uppgifter utifrån den behandling av personuppgifter som ska utföras av den underleverantör som PuB med stöd av denna fullmakt kan komma att teckna avtal med. d) Fullmakten medför inte en rätt att ingå avtal som innefattar Europeiska Kommissionens standardavtalsklausuler för överföring av personuppgifter till tredjeland med underleverantör som är etablerad i s.k. tredje land utan godkännande av PuA. Om PuA godkänner att avtal med stöd av denna fullmakt ingås med sådan underleverantör som är etablerat i tredje land ska ett avtal som innefattar Europeiska Kommissionens standardavtalsklausuler för överföring av personuppgifter till tredjeland ingås, i den mån detta krävs enligt Tillämplig Dataskyddslag. Biträdesavtal Koncerninköp - Upphandling 1.0 (2017-07-07) Carin Sjösten Nilsson 6

e) I de fall PuB anlitar underleverantör i enlighet med punkt 7 a) ovan är det PuB:s ansvar att den anlitade underleverantören utför uppdraget på ett sådant sätt att underleverantören uppfyller alla de åtaganden och iakttar de begränsningar som enligt detta Biträdesavtal finns för PuA. 8 Skadelöshet a) PuB ska ersätta och hålla PuA skadelös för alla anspråk, kostnader, skador och förluster, inklusive men inte begränsat till sådana skadestånd till enskilda och sådana sanktionsavgifter som kan följa enligt EU-lagstiftningen samt övriga skäliga kostnader för att försvara sig mot krav från tredje man och/eller åtgärder från tillsynsmyndighet, som PuA åsamkas på grund av av PuB:s eller PuB:s underleverantörs behandling av personuppgifter i strid med instruktion från PuA, Avtalet eller detta Biträdesavtal (gemensamt Personuppgiftskostnader ). b) Parts skadeståndsansvar enligt detta Biträdesavtal Kommentar: Ansvarsbegränsningarna kan behöva anpassas efter olika situationer och vad som är marknadsmässigt/prisvärt alternativ i den aktuella situationen. Nedan följer ett antal exempel som kan läggas ihop med den oavslutade meningen ovan. Notera att de förstås kan behöva viss anpassning beroende på vad behandlingen rör, vad VGR köper osv. Att leverantören tar ett obegränsat ansvar för Personuppgiftskostnader är önskvärt, och det VGR i regel haft som utgångspunkt, men vi bör utifrån de specifika omständigheterna i varje upphandling/samarbete fråga oss om det är rimligt att kräva det. I och med sanktionerna under GDPR är det ett mycket tufft krav att ställa på leverantörerna, som typiskt sett önskar en begränsning av ansvaret för att kunna räkna på risken. Ett exempel på en begränsad skrivning finns också nedan sådana kan man göra i många varianter, t.ex. som en årlig pott istället för en större totalpott för hela avtalstiden. Hakparenteserna innehåller varianter eller justerbara delar (OBS glöm inte att ta bort parenteserna och de varianter som inte används). I vissa fall kanske skadeståndsansvaret helt och hållet regleras i ett huvudavtal (dvs. även vad avser personuppgiftshanteringen), och då kan man välja att göra en enkel hänvisning dit. är obegränsat i fråga om PuB:s skadeslöshetsåtagande för Personuppgiftskostnader enligt punkt 8 a) ovan och i fråga om andra skador begränsat i den utsträckning som anges i Avtalet. både vad avser Personuppgiftsskador och andra skador vara begränsat i omfattning och belopp av den ansvarsbegränsning som följer av Avtalet. Biträdesavtal Koncerninköp - Upphandling 1.0 (2017-07-07) Carin Sjösten Nilsson 7

omfattar Personuppgiftskostnader samt, i fråga om andra skador, direkta men inte indirekta skador upp till ett maximalt belopp [per år] som motsvarar det högsta av (i) [X %] av den totala ersättning som PuA [under avtalstiden erlagt/under de tolv månader som föregick tidpunkten för skadan erlagt/ska erlägga] till PuB enligt [Avtalet/Biträdesavtalet], och (ii) [X SEK]. 9 Upphörande av behandling av personuppgifter Vid upphörande av Avtalet och/eller detta Biträdesavtal (oavsett orsak) ska PuB:s behandling av PuA:s personuppgifter omedelbart upphöra och PuB ska, enligt instruktion från PuA, återlämna eller förstöra all data som innehåller personuppgifter på samtliga media som den är fixerad på, om inte annat anges i Avtalet eller annan överenskommelse. Data som lagrats på media vilka av praktiska skäl inte kan återlämnas ska, efter eventuell av PuA begärd kopiering till annat media som tillställs PuA, raderas. Denna punkt 9 gäller såvida inte tvingande lag förhindrar PuB att återlämna eller radera personuppgifterna. I sådana fall ska PuB hantera alla personuppgifter med sekretess och inte aktivt behandla personuppgifterna. 10 Ersättning PuB har inte rätt till särskild ersättning för behandling av personuppgifter i enlighet med detta Biträdesavtal, utan den ersättning som erhålls under Avtalet omfattar även åtagandena i detta Biträdesavtal. 11 Tillägg och ändringar a) Tillägg och ändringar till detta Biträdesavtal ska, för att vara giltiga, vara skriftliga och undertecknas av båda Parter. b) Om Tillämplig Dataskyddslag förändras under avtalstiden, eller om de tillsynsmyndigheter, domstolar eller liknande som tillämpar Tillämpliga Dataskyddslagar publicerar riktlinjer, beslut eller föreskrifter kring tillämpningen som föranleder att detta Biträdesavtal inte uppfyller de krav som ställs på ett avtal rörande behandling av personuppgifter ska Parterna i samförstånd diskutera hur Biträdesavtalet kan ändras för att uppfylla sådana krav. 12 Tvist och lagval Eventuell tvist angående tolkning eller tillämpning av detta Biträdesavtal, som Parterna inte kan lösa på egen hand, ska avgöras i enligt Avtalets bestämmelser om tvistlösning. Detta Biträdesavtal ska regleras av materiell svensk rätt utan beaktande av dess lagvalsregler. Biträdesavtal Koncerninköp - Upphandling 1.0 (2017-07-07) Carin Sjösten Nilsson 8

13 Avtalstid Detta Biträdesavtal gäller från undertecknandet och ska gälla så länge som Avtalet är i kraft. Detta Biträdesavtal upphör att gälla samtidigt som Avtalet upphör att gälla om inte Parterna överenskommer något annat. Punkterna 8, 9 och 12 ska dock fortsätta gälla även efter upphörandet av detta Biträdesavtal, såsom tillämpligt. Biträdesavtal Koncerninköp - Upphandling 1.0 (2017-07-07) Carin Sjösten Nilsson 9

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss