Personuppgiftsbiträdesavtal (utkast)
Detta är ett mallavtal för när en skola/organisation (Personuppgiftsansvarig) använder Snabbschema och Björn Andersson (enskild firma) agerar Personuppgiftsbiträde. Utkastet behöver kompletteras med partsuppgifter och signeras innan det gäller.
1. Parter
Personuppgiftsansvarig (PUA): [Kundorganisation, org.nr, adress]
Personuppgiftsbiträde (PUB): Björn Andersson (enskild firma), kontakt: [email protected]
2. Ändamål, art och varaktighet
PUB behandlar personuppgifter för PUA:s räkning för att tillhandahålla schematjänsten Snabbschema. Behandlingen pågår under avtalstiden för tjänsten och i enlighet med detta avtal.
3. Kategorier av registrerade och uppgifter
Registrerade kan vara elever och personal som förekommer i scheman. Uppgifter omfattar minimala identifierare (t.ex. förnamn/initialer), schemainformation (ämnen, tider, salar). Känsliga personuppgifter får inte behandlas i tjänsten.
4. Instruktioner
PUB får endast behandla personuppgifter enligt PUA:s dokumenterade instruktioner och i syfte att tillhandahålla tjänsten. PUA ansvarar för laglig grund och information till registrerade.
5. Sekretess
PUB säkerställer att behöriga personer som behandlar personuppgifter har åtagit sig sekretess eller omfattas av lämplig lagstadgad tystnadsplikt.
6. Säkerhet
PUB ska vidta lämpliga tekniska och organisatoriska åtgärder, inklusive krypterad kommunikation (HTTPS), hashade lösenord, åtkomstkontroller, loggning samt regelbundna säkerhetskopior.
7. Underbiträden
PUB använder inga underbiträden utan PUA:s föregående skriftliga godkännande. Om underbiträde anlitas ska PUB säkerställa motsvarande skyldigheter och meddela PUA förändringar i god tid.
8. Överföringar
Behandling sker inom EU/EES. Inga tredjelandsöverföringar sker utan att lagstadgade krav (t.ex. standardavtalsklausuler och tilläggsåtgärder) uppfylls.
9. Incidenter
PUB ska utan onödigt dröjsmål underrätta PUA om personuppgiftsincidenter och bistå med information som krävs för utredning, åtgärd och anmälningar.
10. Bistånd
PUB ska bistå PUA med att besvara begäranden från registrerade och med säkerhetsrelaterade konsekvensbedömningar, i den utsträckning som är rimlig och proportionerlig.
11. Revision
PUA har rätt att, efter skälig föravisering och under ordinarie kontorstid, genomföra revision eller låta oberoende revisor granska PUB:s efterlevnad. Parterna ska beakta sekretess och säkerhet vid sådan granskning.
12. Radering och återlämnande
Vid avtalets upphörande ska PUB, efter PUA:s val, radera eller återlämna personuppgifter samt radera befintliga kopior, med undantag för säkerhetskopior som skrivs över inom cirka 30 dagar.
13. Ansvar och tillämplig lag
Parternas ansvar följer huvudavtalet och tvingande lag. Svensk lag gäller och tvister prövas av svensk allmän domstol.
14. Kontakt
Kontakt hos PUB: [email protected]
Detta är ett utkast och ersätter inte ett undertecknat personuppgiftsbiträdesavtal. Uppdateringar kan förekomma.