Bilaga Personuppgiftsbiträdesavtal Diarienummer: 2016-066
1. Personuppgiftsavtalsparter Personuppgiftsansvarig Personuppgiftsbiträde Huddinge kommun Social- och äldreomsorgsförvaltningen 141 85 Huddinge Organisationsnummer 212000-0068 nedan kallad Personuppgiftsansvarig [Personuppgiftsbiträdets firma] [Adress] Organisationsnummer: [XXXXXX-XXXX] nedan kallad Personuppgiftsbiträdet Personuppgiftsbiträdesavtal nedan kallat Avtalet. 2(X)
1. Bakgrund och syfte Personuppgiftslagen (1998:204) (personuppgiftslagen) ställer krav på skriftligt avtal när personuppgiftsbiträden ska behandla personuppgifter för en personuppgiftsansvarigs räkning. Personuppgiftsbiträdet ska för Personuppgiftsansvarigs räkning utföra familjerådgivning i Huddinge kommun, och kommer som en del av detta att för Personuppgiftsansvarigs räkning behandla personuppgifter. Personuppgiftsbiträdet ska träffa personuppgiftsbiträdesavtal med Huddinge kommun i enlighet med Personuppgiftslagen PuL (1998:204) och Patientdatalagen (2008:355). Skyddet för behandlade individers personliga integritet är av stor etisk betydelse för Personuppgiftsansvarig och för Personuppgiftsansvarigs verksamhet. Syftet med detta Personuppgiftsbiträdesavtal är att tillse att Personuppgiftsbiträdet behandlar personuppgifterna i enlighet med Personuppgiftsansvarigs anvisningar och i enlighet med tillämplig lag, föreskrifter och branschnormer. Observera att Personuppgiftsbiträdesavtal även ska tecknas separat mellan de eventuella åberopade underleverantörer Personuppgiftsbiträdet tecknat samarbetsavtal med för avtalets utförande, och Huddinge kommun. Personuppgiftsbiträdesavtalet kommer att biläggas avtalet. 2. Särskilda definitioner Nedanstående begrepp som förekommer i detta Avtal har nedan angiven innebörd och ska tolkas i enlighet med Personuppgiftslagen. Begrepp Behandling Integritetskänsliga personuppgifter Känsliga personuppgifter Personuppgifter Definition Med behandling avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Med integritetskänsliga personuppgifter avses personuppgifter som exempelvis omfattas av sekretess, rör en registrerads personliga sfär eller som på annat sätt värderar den registrerades sociala, ekonomiska eller liknande förhållanden. Med känsliga personuppgifter avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Med "personuppgifter" avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och som behandlas för Personuppgiftsansvarigs räkning. 3(X)
Personuppgiftsansvarig Personuppgiftsbiträde Registrerad Personuppgiftsansvarig är den som behandlar personuppgifter i sin verksamhet. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. (3 Personuppgiftslagen) Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Med registrerad avses den som en personuppgift avser. 3. Personuppgiftsbiträdets åtaganden Personuppgiftsbiträdet ska uppfylla Personuppgiftslagen. Personuppgiftsbiträdet och den eller de personer som arbetar under dennes ledning får bara behandla personuppgifter i enlighet med Bilaga Säkerhetsavtal samt instruktioner som lämnas av Personuppgiftsansvarig. Om Personuppgiftsbiträdet saknar instruktioner som denne bedömer är nödvändiga för att genomföra uppdrag som erhållits från Personuppgiftsansvarig, ska Personuppgiftsbiträdet utan dröjsmål informera Personuppgiftsansvarig om detta och invänta de instruktioner som Personuppgiftsansvarig bedömer erfordras. För det fall att registrerad, tillsynsmyndighet eller annan tredje part begär information från Personuppgiftsbiträdet som rör behandling av personuppgifter ska Personuppgiftsbiträdet hänvisa till Personuppgiftsansvarig. Personuppgiftsbiträdet får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan uttrycklig instruktion från Personuppgiftsansvarig. Personuppgiftsbiträdet ska utan dröjsmål informera Personuppgiftsansvarig om eventuella kontakter från tillsynsmyndighet som rör eller kan vara av betydelse för behandling av personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller på annat sätt agera för Personuppgiftsansvarigs räkning gentemot tillsynsmyndigheten. Personuppgiftsbiträdet får endast samla in personuppgifter i enlighet med instruktioner utfärdade av Personuppgiftsansvarig. Om inte annat skriftligen angivits av Personuppgiftsansvarig ska Personuppgiftsbiträdet vid sådant insamlande särskilt se till att erforderliga samtycken inhämtas av de registrerade och att de erhåller information i enlighet med Personuppgiftslagen. På begäran från Personuppgiftsansvarig ska Personuppgiftsbiträdet utan dröjsmål överlämna såväl inhämtade samtycken som de uppgifter Personuppgiftsansvarig behöver för att kunna visa att de registrerade erhållit ovan angiven information. Personuppgiftsbiträdet ska vidta de tekniska och organisatoriska åtgärder som erfordras enligt Personuppgiftslagen för att skydda de personuppgifter som behandlas mot obehörig åtkomst, förstörelse och ändring. Personuppgiftsbiträdet ska därvid särskilt iaktta Datainspektionens allmänna råd Säkerhet för personuppgifter eller andra föreskrifter som ersätter de förutnämnda. Personuppgifter från Personuppgiftsansvarig ska lagras så att de hålls åtskilda från andra kunders eller registrerades personuppgifter. 4(X)
Personuppgiftsansvarig äger sina personuppgifter oinskränkt. Ägandet omfattar alla personuppgifter som exporteras och laddas upp hos Personuppgiftsbiträdet samt resultatet av personuppgiftsbiträdets behandling av personuppgifter. Personuppgiftsansvarigs personuppgifter består även av metadata och loggar. Tillgång till och utlämnande av ingående personuppgifter beslutas av Personuppgiftsansvarig. Personuppgifter får inte användas av personuppgiftsbiträdet för andra ändamål än vad som avtalats eller annars följer av Avtalet. När Avtalet helt eller delvis upphört eller berört avtalat uppdrag eller annat Personuppgiftsbiträdets åtagande avslutats, ska Personuppgiftsbiträdet tillse att all därav berörd personuppgifter återbördas till Personuppgiftsansvarig i ett för denne läsbart och användbart format vid den tidpunkt detta blir aktuellt. Återmigrering av information/data ska ske på av Personuppgiftsansvarig angivet medium enligt Riksarkivets fastställda format i RA-FS 2009:1 och 2009:2 eller senare angivna aktuella föreskrifter som ersätter dessa. Personuppgiftsbiträdet ska säkerställa att detta kan ske och bistå Personuppgiftsansvarig eller av denne anvisad annan part med detta. Personuppgifter som inte återgår till Personuppgiftsansvarig ska förstöras eller anonymiseras när de inte längre behövs. Personuppgiftsbiträdet ska se till att det inte finns några sådana personuppgifter kvar hos Personuppgiftsbiträdet efter det att dennes uppdrag eller åtagande avslutats eller efter det att Avtalet upphört. Personuppgiftsbiträdet ansvarar fullt ut för att denne har samtliga rättigheter som krävs för dennes ingående och fullgörande av Avtalet. Således ska Personuppgiftsbiträdet bland annat tillse att denne innehar de immateriella rättigheter som krävs och tillse att dennes fullgörande av åtagandena inte utgör intrång i tredje mans rätt. Personuppgiftsbiträdet ska medge att revision kan ske av Personuppgiftsansvarig eller av denne anlitad extern part avseende de personuppgifter som Personuppgiftsbiträdet behandlar för Personuppgiftsansvarigs räkning. Detta omfattar även revision av den behörighetsadministration, säkerhetsrutiner, loggar och spårbarhet för behandlingen av Personuppgiftsansvarigs personuppgifter som Personuppgiftsbiträdet ska ha enligt Avtalet. Personuppgiftsbiträdet ska lämna Personuppgiftsansvarig det tillträde och den assistans som är nödvändig för genomförandet av sådan revision. Personuppgiftsansvarig har rätt att i skälig omfattning utreda obehörig åtkomst hos Personuppgiftsbiträdet och ska ersätta Personuppgiftsbiträdet för dennes skäliga kostnader till följd av utredningen. Vid anlitande av underleverantörer ska eget Personuppgiftsbiträdesavtal avtal tecknas mellan underleverantörer och Personuppgiftsansvarig. De anlitade underleverantörerna ska vid var tid vara kända av Personuppgiftsansvarig. Personuppgiftsansvarig eller av denne anlitad extern part har rätt till skälig assistans från Personuppgiftsbiträdet vid kontroll eller revision av Personuppgiftsbiträdets eller dennes underleverantörers behandling och bearbetning av Personuppgiftsansvarigs information/data. 5(X)
4. Sekretess Vid behandling av personuppgift gäller följande: Personuppgiftsbiträdet förbinder sig att inte till tredje man lämna ut eller eljest röja information om behandling av personuppgifter som omfattas av avtalet, eller annan information som Personuppgiftsbiträdet erhållit till följd av avtalet. Personuppgiftsbiträdet åtar sig vidare att inte utnyttja personuppgifterna för annat ändamål än som följer av avtalet. Detta gäller inte: information som part kan visa var allmänt känd vid tidpunkt för mottagandet, eller information som part föreläggs utge till myndighet. Sekretessåtagandet gäller även efter att Avtalet i övrigt upphört att gälla. 5. Ersättning Personuppgiftsbiträde har inte rätt till särskild ersättning för behandling av personuppgifter enligt avtalet, om inte Parterna särskilt avtalat om annat. 6. Ansvar gentemot tredje man För den händelse registrerad, eller annan tredje man riktar krav mot Personuppgiftsansvarig på grund av Personuppgiftsbiträdets eller dess underleverantörs behandling av personuppgifter ska Personuppgiftsbiträdet hålla Personuppgiftsansvarig skadeslös för sådana krav som följer av att Personuppgiftsbiträdet inte efterföljt Avtalet eller de krav som följer av Avtalet. 7. Avtalets giltighetstid Detta Personuppgiftsbiträdesavtal är giltigt, även om avtalet i övriga delar har upphört, från dess undertecknande och så länge som Personuppgiftsbiträdet behandlar personuppgifter som omfattas eller omfattats av avtalet. 8. Ändringar i Personuppgiftsbiträdesavtalet Personuppgiftsansvarig får i den mån så erfordras för att krav som följer av personuppgiftslagen ska kunna tillgodoses, ändra innehållet i detta Personuppgiftsbiträdesavtal. Sådan ändring träder ikraft senast trettio (30) dagar efter att Personuppgiftsansvarig översänt ändringsmeddelande till Personuppgiftsbiträdet. För det fall Personuppgiftsbiträdet inte accepterar sådan ändring, äger Personuppgiftsansvarig rätt att omedelbart skriftligen säga upp samtliga avtal eller delar därav med Personuppgiftsbiträdet som innebär att Personuppgiftsbiträdet ska behandla personuppgifter. Övriga ändringar av och tillägg till Avtalet ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av parterna. 6(X)
Denna Bilaga har upprättats i två (2) likalydande exemplar, av vilka parterna tagit var sitt. Huddinge 2017- - (ort). 2017- - Underskrift Personuppgiftsansvarig (den Personuppgiftsansvarige) UnderskriftPersonuppgiftsbiträde (Personuppgiftsbiträdet) Namnförtydligande Namnförtydligande Titel Titel 7(X)