Bilaga 8 Personuppgiftsbiträdesavtal Polismyndigheten Datum: 2016-12-22 Dnr: A293.290/2016 PERSONUPPGIFTSBITRÄDESAVTAL 1 PARTER Personuppgiftsansvarig: Polismyndigheten, org. nr. 202100-0076, Box 12256, 102 26 Stockholm, och Personuppgiftsbiträde: MOTPART, org. nr. [nummer], Box 12 854, 112 98 Stockholm, ( Biträdet ), har denna dag ingått följande personuppgiftsbiträdesavtal ( Avtalet ). Polismyndigheten och Biträdet benämns även som Part respektive Parterna i Avtalet. 2 BAKGRUND OCH SYFTE Parterna har den [datum] ingått en överenskommelse rörande XXX ( Överenskommelsen ). Detta personuppgiftsbiträdesavtal har ingåtts för att reglera [XXX]. Överenskommelsen innebär bland annat att Biträdet kommer att behandla personuppgifter för vilka Polismyndigheten ansvarar enligt tillämplig dataskyddslagstiftning, för närvarande personuppgiftslagen (1998:204) (PUL). Detta Avtal har upprättats för att uppfylla de krav som framgår av 30-31 PUL som stadgar att det ska upprättas ett skriftligt avtal mellan Polismyndigheten och Biträdet som reglerar Biträdets behandling av de personuppgifter som Polismyndigheten ansvarar för. PUL uppställer i 31 även krav på att behandlingens integritetsnivå regleras mellan Parterna. Parterna har även efter bästa förmåga beaktat de krav som uppställs i den kommande dataskyddsförordningen. Parterna är dock medvetna om svårigheterna i att tolka en lagstiftning som ännu inte trätt ikraft. Parterna är därför överens om att Avtalet kan komma att behöva uppdateras i den mån det behövs för att uppfylla dataskyddsförordningens krav på biträdesavtal. I detta Avtal regleras Biträdets behandling av personuppgifter samt den integritetsnivå behandlingen ska upprätthålla.
2 3 DEFINITIONER I detta Avtal används de definitioner som framgår av tillämplig dataskyddslagstiftning, för närvarande 3 PUL, om inget annat uttryckligen anges i Avtalet. 4 BEHANDLING AV PERSONUPPGIFTER Polismyndigheten bestämmer ensam ändamålen med och medlen för den behandling av personuppgifter som Biträdet utför för Polismyndighetens räkning. Biträdet får endast behandla personuppgifter i enlighet med detta Avtal, PUL, personuppgiftsförordningen (1998:1191), polisdatalagen (2010:361), Datainspektionens föreskrifter, och vid var tid gällande skriftliga instruktioner från Polismyndigheten hänförliga till detta Avtal ( Regelverket ). Biträdet får inte behandla personuppgifter för egna ändamål eller andra ändamål än de Biträdet anlitats för av Polismyndigheten. Det åligger Biträdet att se till att all Biträdets personal som arbetar med, eller på annat sätt kommer i kontakt med behandlingen har fullgod kompetens för att utföra behandlingen korrekt. För det fall Biträdet bedömer att det saknas instruktioner som är nödvändiga för att genomföra behandlingen enligt vad som sägs i detta Avtal, eller i övrigt i enlighet med Regelverket, ska Biträdet utan dröjsmål informera Polismyndigheten om detta samt invänta ytterligare instruktioner från Polismyndigheten. 5 BEHANDLINGAR OMFATTADE AV AVTALET Bilaga 1 innehåller preciserade instruktioner till Biträdet avseende dess behandling av personuppgifter inom ramen för detta Avtal. Parterna är överens om att Polismyndigheten kan ändra eller utfärda ytterligare skriftliga instruktioner som det åligger Biträdet att följa. Parterna ska säkerställa att vid var tid gällande instruktioner framgår av Bilaga 1. 6 SÄKERHETSÅTGÄRDER Biträdet ska vidta sådana lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas på Polismyndighetens vägnar enligt vad som krävs enligt tillämplig dataskyddslagstiftning, för närvarande 31 PUL. Biträdet ska vid var tid minst vidta åtgärder som tillförsäkrar att: i) Behandlade uppgifter inte obehörigen röjs, ändras, förstörs, görs otillgängliga för behöriga eller motsvarande, samt att det finns rutiner för behörighetskontroll och loggning,
3 ii) iii) iv) Obehöriga inte får tillgång till, eller kännedom om, personuppgifter som behandlas, känsliga- samt på annat sätt integritetskänsliga personuppgifter, alternativt sådana uppgifter som har betydelse för Polismyndighetens arbete med att förebygga och bekämpa brott, Biträdet har rutiner och processer för att regelbundet utvärdera effektiviteten av implementerade skyddsåtgärder, särskilt avseende hantering av känsliga- samt på annat sätt integritetskänsliga personuppgifter, Endast personer som är pålitliga ur säkerhetssynpunkt deltar i behandlingen och att de endast behandlar personuppgifter enligt instruktion, och v) Biträdet har rutiner för att omgående underrätta Polismyndigheten vid upptäckt av obehörig åtkomst, förstörelse, ändring av personuppgifter eller liknande integritetsincidenter, samt försök därtill; samt vi) Biträdet har lämpliga och adekvata processer för att kunna säkerställa tillgängligheten och åtkomsten till personuppgifterna vid integritetsincidenter. Polismyndigheten ska på förhand informeras om vilka åtgärder som under avtalstiden behöver vidtas för att uppnå en vid var tid lämplig säkerhetsnivå. Polismyndigheten ska därefter informera Biträdet om eventuellt ytterligare tekniska och organisatoriska åtgärder behöver vidtas. Biträdet ska därutöver bistå Polismyndigheten i den mån det behövs för att denne ska kunna följgöra sina skyldigheter avseende säkerhet, integritetsincidenter, konsekvensbedömningar samt samråd enligt tillämplig dataskyddslagstiftning. 7 SEKRETESS Biträdet ansvarar för att de personer som arbetar under dennes ledning och som behandlar personuppgifterna, eller på annat sätt kommer i kontakt med personuppgifterna, iakttar sekretess. Sekretess innebär att personuppgifter inte obehörigen får röjas för tredje man samt att Biträdet är skyldigt att beakta de regler om sekretess och tystnadsplikt som gäller enligt offentlighets- och sekretesslagen (2009:400) samt vid var tid gällande säkerhets- och sekretessföreskrifter hos Polismyndigheten. Personuppgifter samt övrig information, instruktioner, systemlösningar, beskrivningar eller andra handlingar som Biträdet fått del av på grund av detta Avtal eller Överenskommelsen får inte röjas eller nyttjas för annat ändamål än vad som uttryckligen framgår av detta Avtal, vare sig direkt eller indirekt, utan att först ha inhämtat Polismyndighetens skriftliga godkännande därtill. Detta gäller dock inte information som Biträdet kan visa var allmänt känd eller som kommit till Biträdet kännedom från tredje man utan brott mot detta Avtal.
4 Det åligger Biträdet att informera berörd personal om innebörden av sekretessåtagandet och se till att all personal som på något sätt kommer i kontakt med behandlingen är bundna av motsvarande sekretessåtagande. Sekretessåtagandet gäller även efter detta Avtals upphörande. 8 UNDERBITRÄDE Biträdet får inte anlita underbiträde utan att först ha inhämtat Polismyndighetens skriftliga godkännande därtill. Om Biträdet anlitar ett underbiträde ska ett skriftligt personuppgiftsbiträdesavtal upprättas mellan Biträdet och underbiträdet. Av avtalet dem emellan ska det framgå att underbiträdet har samma skyldigheter som Biträdet gentemot Polismyndigheten. Biträdet ansvarar fullt ut mot Polismyndigheten för underbiträdes behandling. 9 PERSONUPPGIFTER TILL TREDJE LAND Biträdet får inte överföra personuppgifter till tredje land utan att först ha inhämtat Polismyndighetens skriftliga godkännande därtill. 10 GRANSKNING OCH TILLSYN Polismyndigheten har rätt att kontrollera att Biträdet kan följa och följer vad som stadgas i detta Avtal och de eventuella ytterligare instruktioner som utfärdats av Polismyndigheten. Biträdet ska lämna Polismyndigheten den assistans och tillhandahålla de lokaler, den dokumentation och de IT-system, loggar m.m. som krävs för att en sådan kontroll ska kunna genomföras på ändamålsenligt ett sätt. Biträdet ska omgående meddela Polismyndigheten om Biträdet anser att en instruktion enligt denna punkt strider mot tillämplig dataskyddslagstiftning eller svensk eller europeisk lag. Tillsynsmyndigheten har motsvarande rätt att granska Polismyndighetens behandling. Biträdet ska tillförsäkra att Polismyndigheten och Tillsynsmyndigheten har motsvarande rätt i förhållande till anlitade underbiträden. Tillsynen ska ske under Biträdets ordinarie kontorstid eller enligt särskild överenskommelse. Tillsynen får inte vara mer ingripande för Biträdet än vad som är nödvändigt. Granskning och tillsyn enligt denna punkt får även ske under ett år efter det att behandlingen i enlighet med detta Avtal upphört, om syftet är att se till att gallring och dylikt har skett på korrekt sätt enligt Avtalet.
5 11 UTLÄMNANDE AV INFORMATION Om den registrerade, tillsynsmyndigheten eller annan tredje man begär information från Biträdet som rör behandling av personuppgifter, ska Biträdet hänvisa till Polismyndigheten. Biträdet får inte lämna ut personuppgifter eller annan information om behandlingen utan att först ha inhämtat Polismyndighetens skriftliga godkännande därtill. För det fall Biträdet genom svensk eller europeisk lag eller myndighetsföreläggande är skyldig att lämna ut personuppgifter får så ske utan att det anses stå i strid med detta Avtal, förutsatt att Biträdet i samband med utlämnandet begär att uppgifterna behandlas med sekretess och omedelbart underrättar Polismyndigheten om utlämnandet om inte Biträdet enligt svensk eller europeisk lag eller aktuellt myndighetsföreläggande är förhindrad att göra. Biträdet ska utan dröjsmål bistå Polismyndigheten för att denne ska kunna fullgöra sina eventuella skyldigheter i förhållande till den registrerade. Biträdet ska utan dröjsmål skriftligen informera Polismyndigheten om eventuella kontakter från tillsynsmyndigheten som rör, eller kan vara av betydelse för, behandlingen av personuppgifter. Biträdet har inte rätt att företräda Polismyndigheten eller agera för dennes räkning gentemot tillsynsmyndigheten. 12 ERSÄTTNING Parterna är överens om att Biträdet, eller anlitat underbiträde, inte har rätt till ersättning från Polismyndigheten för att fullgöra sina åtaganden enligt detta Avtal. Partena är överens om att i de fall en merkostnad skulle uppstå som ett resultat av justerade skriftliga instruktioner eller säkerhetsföreskrifter som i sin tur är föranledda av beslut tagna internt hos Polismyndigheten, så ska Polismyndigheten stå för denna merkostnad. Parterna är överens om att i de fall en merkostnad skulle uppstå som ett resultat av justerade säkerhetsföreskrifter som i sin tur är föranledda av externa faktorer så som ändringar i lag och/eller förordning eller andra faktorer som står utanför Parternas kontroll, så ska Parterna samråda kring hur den uppkomna merkostnaden ska fördelas mellan Parterna. 13 SKADA Biträdet ska hålla Polismyndigheten skadelös för skada eller administrativa sanktionsavgifter som denne drabbas av om Biträdet, eller av denne anlitat underbiträde, vidtagit otillåten eller försumlig behandling av personuppgifter i strid med Regelverket. 14 ÄNDRINGAR Ändringar och tillägg till detta Avtal ska göras skriftligen och undertecknas av behöriga företrädare för båda Parter för att vara giltiga.
6 Denna punkt förhindrar inte att Polismyndigheten ensidigt kan ändra eller utfärda ytterligare skriftliga instruktioner i enlighet med vad som framgår av detta Avtal. 15 GILTIGHETSTID OCH UPPHÖRANDE AV BEHANDLING Detta Avtal gäller så länge Biträdet behandlar personuppgifter för Polismyndighetens räkning. Vid Avtalets upphörande ska Biträdet, enligt Polismyndighetens instruktion, antingen återlämna eller radera all data som innehåller personuppgifter på samtliga media som den är fixerad på. Radering får dock inte ske förrän Biträdet skriftligen informerat Polismyndigheten att så kommer att ske och dessförinnan överlämnat personuppgifterna till Polismyndigheten i ett format som är läsbart och möjligt att använda i andra sammanhang, såvida inte annat avtalats eller uppenbart följer av omständigheterna. Informationen ska inkludera all sådan logisk information som behövs för att kunna nyttja personuppgifterna, inklusive loggfiler och metadata. Om detta inte är lagligen möjligt garanterar Biträdet att denne kommer att bevara sekretessen hos de överförda personuppgifterna och inte behandla dessa ytterligare, alternativt anonymisera dem på sätt som gör dem omöjliga att återskapa. På begäran av Polismyndigheten ska Biträdet skriftligen bekräfta vilka åtgärder som vidtagits för att efterleva denna punkt. 16 ÖVERLÅTELSE AV AVTALET Biträdet äger inte rätt att helt eller delvis överlåta sina åtaganden enligt Avtalet till tredje part utan skriftligt medgivande från Polismyndigheten. 17 TILLÄMPLIG LAG OCH TVIST Tvist angående tolkning eller tillämpning av detta Avtal ska avgöras enligt ramavtalets bestämmelser om lagval och tvist.
7 Detta Avtal har upprättats i två likalydande exemplar varav Parterna tagit var sitt. På Polismyndighetens vägnar: Ort: Datum: Namn: Befattning: På Biträdets vägnar: Ort: Datum: Namn: Befattning:...... Namnteckning Namnteckning
8 Bilaga 1 Parterna har nedan konkretiserat vad som ingår i behandlingen: i) Ändamålet med behandlingen och typ av behandling: ii) Kategorier av registrerade: iii) Vilken typ av personuppgifter behandlas: iv) Känsliga/integritetskänsliga personuppgifter som behandlas (i förekommande fall): v) Särskilda instruktioner rörande behandlingen: vi) Gallringsrutiner: vii) Avslutsrutiner: viii) Godkända underbiträden Namn Typ av behandling Plats för behandling