PERSONUPPGIFTSBITRÄDESAVTAL – GDPR
1. BAKGRUND OCH SYFTE
1.1 Kollektivtrafikens hus AB, org. nr: 556546-7353 med adressen Centralplan 3, 111 20 Stockholm, (”Personuppgiftsbiträde”) är ett aktiebolag som ägs av Samtrafiken i Sverige AB. Samtrafiken utvecklar tjänster för både trafikföretag och resenärer, genom samverkan som bidrar till en mer effektiv, lönsam och hållbar utveckling.
1.1 Behandlingen enligt detta Biträdesavtal består i att de personuppgifter vi lagrar är till grund för de tjänster som tillhandahålls inom Kollektivtrafikens hus. Kollektivtrafikens hus AB bedriver verksamhet som både samlingsplats och kontorshotell inom Kollektivtrafikbranschen. Syftet med behandlingen av de personuppgifter som beskrivs i detta avtal är, att som hyresgäst kunna utnyttja de tjänster som tillhandahålls i Kollektivtrafikens hus, t ex passersystem, besökssystem och skrivarlösning.
1.2 Behandlingen av personuppgifter är nödvändig för att fullgöra ett avtal vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
2. DEFINTIONER
2.1 Samtliga nedanstående begrepp ska ha följande innebörd:
Behandling: en åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Dataskyddsregler: vid var tid gällande lagar och förordningar som reglerar Parternas behandling av Personuppgifter.
Personuppgift/-er: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av Personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den Personuppgiftsansvarig eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
Personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar Personuppgifter för den Personuppgiftsansvariges räkning.
Personuppgiftsincident, avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt behandlas.
Standardavtalsvillkor: avser villkor för skydd av Personuppgifter överförda till tredje land i enlighet med standardiserade dataskyddsbestämmelser som antas av EU-kommissionen eller standardiserade dataskyddsbestämmelser som antagits av en tillsynsmyndighet och godkänts av EU-kommissionen.
Underbiträde: avser sådant Personuppgiftsbiträde som anlitas av det Personuppgiftsbiträde som är Part i detta Biträdesavtal och som behandlar Personuppgifter för Personuppgiftsansvarigs räkning.
3. PERSONUPPGIFTSANSVARIGS ANSVAR
3.1 Personuppgiftsansvarig ska säkerställa att behandlingen av Personuppgifter är laglig enligt Dataskyddsregler.
3.2 Personuppgiftsansvarig får endast tillhandahålla Personuppgiftsbiträdet sådana Personuppgifter som är nödvändiga för ändamålet med behandlingen.
3.3 Personuppgiftsansvarig ska tillhandhålla Personuppgiftsbiträdet dokumenterade instruktioner och övriga anvisningar avseende ändamålet, omfattningen, arten och varaktigheten av behandlingen samt kategorier av registrerade i den utsträckning som är nödvändig för att Personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt detta Biträdesavtal och Dataskyddsregler.
4. BEHANDLING AV PERSONUPPGIFTER
4.1 De Personuppgifter som Personuppgiftsbiträdet har åtkomst till får endast behandlas i enlighet med detta Biträdesavtal och Dataskyddsregler.
4.2 Personuppgiftsbiträdet får endast behandla Personuppgifter i enlighet med Personuppgiftsansvarigs instruktioner i bilaga 1, tillämpliga och av tillsynsmyndighet godkända uppförandekoder samt i enlighet med kompletterande instruktioner såvida inte Personuppgiftsbiträdet är skyldig enligt lag eller författning att behandla Personuppgifterna för annat ändamål eller på annat sätt. Har Personuppgiftsansvarig lämnat ofullständiga eller felaktiga instruktioner ska Personuppgiftsbiträdet omgående påtala detta för Personuppgiftsansvarig.
4.3 Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarig när denne anser att en behandling strider mot Dataskyddsregler eller annan tillämplig lag och därefter invänta Personuppgiftsansvarigs anvisningar. Vad som anges ovan gäller endast om Personuppgiftsbiträdet inte är förhindrad att på andra grunder lämna sådan underrättelse.
4.4 Personuppgiftsbiträdet ska utan oskäligt dröjsmål, dock senast femton 15 dagar från Personuppgiftsansvarigs begäran, ge denne tillgång till Personuppgifterna som Personuppgiftsbiträdet har i sin besittning samt genomföra en begärd ändring, radering, begränsning eller överföring av nämnda Personuppgifter. Har Personuppgiftsansvarig raderat, eller anvisat Personuppgiftsbiträdet om radering, ska den senare vidta sådana åtgärder som krävs för att Personuppgiften inte ska kunna återskapas.
4.5 Personuppgiftsbiträdet ska upprätthålla ett register över all person¬uppgifts-behandling som sker på uppdrag av Personuppgiftsansvarig, samt att på Personuppgiftsansvarigs eller behörig tillsynsmyndighets uttryckliga begäran överlämna ett läsbart registerutdrag omfattandes, till ett minimum, uppgifter om:
a) namn och kontaktuppgifter till Personuppgiftsbiträdet och dess företrädare, kontaktpersoner samt dataskyddsombud,
b) namn och kontaktuppgifter till Underbiträden och dess företrädare, kontaktpersoner samt dataskyddsombud,
c) den behandling som utförs av Personuppgiftsbiträdet för Personuppgiftsansvarigs räkning, typen av Personuppgifter som behandlas och i förekommande fall särskilda kategorier av Personuppgifter,
d) i förevarande fall vid överföring av Personuppgifter till tredje land, det tredje land där data behandlas samt vilka adekvata skyddsåtgärder som vidtagits, och
e) en allmän beskrivning av vilka tekniska och organisatoriska åtgärder som vidtagits för att upprätthålla en lämplig skyddsnivå.
5. KAPACITET OCH FÖRMÅGA
5.1 Personuppgiftsbiträdet har nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt detta Biträdesavtal och Dataskyddsregler.
5.2 Personuppgiftsbiträdet ska på Personuppgiftsansvarigs begäran kunna visa att de skyldigheter som framgår av detta Biträdesavtal och Dataskyddsregler uppfylls genom att tillhandahålla relevant dokumentation, hänvisa till relevant och godkänd uppförandekod, möjliggöra och bidra till granskningar och inspektioner och/eller tillhandahålla Personuppgiftsansvarig andra adekvata underlag.
5.3 Personuppgiftsbiträdet ska på Personuppgiftsansvarigs begäran, utan oskäligt dröjsmål ge denne, eller en oberoende tredjeman som denne anlitat, tillgång till sådana upplysningar och handlingar som är nödvändiga för att Personuppgiftsansvarig ska kunna utöva en effektiv kontroll av Personuppgiftsbiträdets åtgärder enligt detta Biträdesavtal och Dataskyddsregler.
5.4 Utan hinder av punkten 6.3 är Personuppgiftsbiträdet endast skyldig att bevilja Personuppgiftsansvarig, eller oberoende tredjeman som denne anlitat, tillgång till lokaler och utrustning för inspektion om det kan ske utan säkerhets- eller integritetsrisker eller om sådana inspektioner är nödvändiga för att fullgöra en rättslig förpliktelse.
6. SÄKERHET OCH SEKRETESS
6.1 Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder begränsa tillgången till Personuppgifterna och endast ge behörighet till sådan personal som behöver ha tillgång till Personuppgifterna för att fullgöra sina åtaganden enligt detta Biträdesavtal, samt att tillse att sådan personal har erforderlig utbildning och i tillräcklig mån har instruerats att hantera Personuppgifterna på ett ändamålsenligt och säkert sätt.
6.2 Personuppgiftsbiträdet ska behandla Personuppgifter med sekretess. De personer som har behörighet att behandla Personuppgifterna hos Personuppgiftsbiträdet ska vara omfattade av sekretess och har upplysts om de skyldigheter som föreligger enligt detta Biträdesavtal.
6.3 Personuppgiftsbiträdet ska utan oskäligt dröjsmål, dock senast inom 24 timmar från att det kommit Personuppgiftsbiträdet till kännedom, underrätta Personuppgiftsansvarig om förekomsten av eller risken för en Personuppgiftsincident. En sådan underrättelse ska innehålla all nödvändig och tillgänglig information som Personuppgiftsansvarig behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan av Personuppgiftsincident till behörig tillsynsmyndighet.
7. SAMVERKAN
7.1 Personuppgiftsbiträdet ska på Personuppgiftsansvarigs förfrågan bistå denne att fullgöra sina skyldigheter enligt Dataskyddsregler, såsom utförandet av konsekvensbedömningar avseende dataskydd, utformningen av lämpliga tekniska och organisatoriska åtgärder för inbyggt dataskydd, förhandssamråd med behörig tillsynsmyndighet samt medverka till utredning av inträffade Personuppgiftsincidenter. Såvida Parterna inte kommit överens om annat ska sådant bistånd som avses i detta stycke inte ge Personuppgiftsbiträdet rätt till särskild ersättning.
7.2 Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarig om denne kontaktas av behörig tillsynsmyndighet, någon registrerad eller annan tredje part i syfte att få tillgång till Personuppgifter som Personuppgiftsbiträdet, eller i förekommande fall ett Underbiträde, har i sin besittning.
7.3 Om den Personuppgiftsansvariges instruktioner om behandlingen av Personuppgifter är mer långtgående än de skyldigheter som följer av gällande Dataskyddsregler och dessa instruktioner och de åtgärder som blir konsekvensen av dessa innebär extra kostnader för Personuppgiftsbiträdet ska Personuppgiftsbiträdet meddela den Personuppgiftsansvarige detta skriftligt med information om de tillkommande kostnaderna och en begäran om ersättning för sådana kostnader. Personuppgiftsbiträdet kommer att följa dessa mer långtgående instruktioner och vidta mer långtgående åtgärder om den Personuppgiftsansvarige accepterar de tillkommande kostnaderna samt det är tekniskt och organisatoriskt möjligt samt är inom ramen för gällande Dataskyddsregler.
7.4 Personuppgiftsbiträdet ska skriftligen och senast trettio (30) dagar innan en väsentlig förändring av behandlingsförfarandet, däribland tekniska och organisatoriska ändringar som kan påverka skyddet av Personuppgifterna och Personuppgiftsbiträdets efterlevnad av Dataskyddsregler, informera Personuppgiftsansvarig. Innan sådana ändringar genomförs ska Personuppgiftsansvarig lämna sitt samtycke, vilket inte skäligen ska förvägras.
8. ANLITANDE AV UNDERBITRÄDE
8.1 Personuppgiftsbiträdet får inte utan att lämna information till den Personuppgiftsansvarige ge i uppdrag till ett Underbiträde att behandla Personuppgifter. Den Personuppgiftsansvarige har rätt att på saklig grund motsätta sig att Personuppgiftsbiträdet ger i uppdrag till ett Underbiträde att behandla den Personuppgiftsansvariges Personuppgifter. Ett Underbiträdes behandling av Personuppgifter sker på Personuppgiftsbiträdets risk och medför inga ändringar i den ansvarsfördelning som gäller mellan Parterna i detta Biträdesavtal.
8.2 Underbiträden som anlitas av Personuppgiftsbiträdet ska i huvudsak ha sitt säte i EU eller EES eller i jurisdiktioner som EU-kommissionen anser har en adekvat skyddsnivå för Personuppgifter i enlighet med de krav som beslutats av EU. Om Personuppgiftsbiträdet anlitar Underbiträde i enlighet med detta Biträdesavtal så ska det ske i enlighet med ett skriftligt i ett avtal som ålägger Underbiträdet samma skyldigheter som Personuppgiftsbiträdet i enlighet med detta Biträdesavtal. Om Underbiträdet inte uppfyller sina skyldigheter med avseende på Personuppgifter i enlighet med ett sådant skriftligt avtal så har Personuppgiftsbiträdet fullt ansvar för Underbiträdets skyldigheter i enlighet med ett sådant avtal.
8.3 Svensk lag ska om möjligt tillämpas på Underbiträdes behandling av Personuppgifter.
8.4 Personuppgiftsbiträdet ska ha en förteckning över Personuppgiftsbiträdets avtal med Underbiträden avseende Personuppgifter som har överförts av den Personuppgiftsansvarige till Personuppgiftsbiträdet. Denna förteckning ska göras tillgänglig för den Personuppgiftsansvarige efter förfrågan.
8.5 Om Personuppgiftsbiträdet anlitar ett Underbiträde ska Personuppgiftsbiträdet med lämpliga åtgärder säkerställa att Underbiträdet uppfyller alla tillämpliga bestämmelser om skydd för Personuppgifter.
8.6 Avser Personuppgiftsbiträdet att byta ut ett befintligt Underbiträde mot ett annat Underbiträde ska Personuppgiftsbiträdet senast trettio (30) dagar innan byte sker informera Personuppgiftsansvarig om sina avsikter så att Personuppgiftsansvarig har möjlighet att invända mot en sådan förändring. Motsätter sig den Personuppgiftsansvarige med angivande av sakliga skäl ett utbyte av ett Underbiträde eller återkallar denne sitt tidigare medgivande om användning av ett Underbiträde har Personuppgiftsansvarig rätt att säga upp detta Biträdesavtal och andra ingångna avtal som berör behandling av Personuppgifter till upphörande inom tre (3) månader eller då avtalet mellan Personuppgiftsbiträdet och det befintliga Underbiträdet upphör att gälla. Under uppsägningstiden får överföring av Personuppgifter till det nya Underbiträdet inte ske.
9. ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND
9.1 I fall där Personuppgiftsbiträdet i samband med behandlingen överför Personuppgifter till ett land utanför Europeiska Unionen (EU) eller Europeiska ekonomiska samarbetsområdet (”EES”) eller till ett land som av EU-kommissionen inte anses uppfylla en adekvat skyddsnivå i förhållande till Dataskyddsregler ska Parterna ingå ett tilläggsavtal baserad på Standardavtalsvillkor.
9.2 Har Personuppgiftsbiträdet anlitat ett Underbiträde som behandlar eller överför Personuppgifter till ett land utanför EU och EES som EU-kommissionen inte anser uppfylla en adekvat skyddsnivå i förhållande till Dataskyddsregler ska Personuppgiftsbiträdet och Underbiträdet ingå ett tilläggsavtal baserad på Standardavtalsvillkor. I förekommande fall ska Personuppgiftsbiträdet på begäran tillhandahålla Personuppgiftsansvarig en underskriven kopia av ett sådant tilläggsavtal.
9.3 I händelse av konflikt mellan detta Biträdesavtal och Standardavtalsvillkor har de senare företräde.
10. KONTAKTPERSONER
10.1 Parterna ska informera varandra om vem som är utsedd som ansvarig kontaktperson med avseende på behandling av Personuppgifter och korrekt kontaktinformation till denne.
10.2 Kontaktpersonen har inte någon generell rätt att acceptera förändringar av Biträdesavtalet, då det kräver särskild auktorisation eller fullmakt från respektive Parts firmatecknare.
11. UNDERRÄTTELSER
11.1 Alla underrättelser ska ske skriftligen, ställda till följande kontaktpersoner eller e-postmottagare.
11.2 För Personuppgiftsbiträdet:
Kollektivtrafikens hus AB, 556546-7353
kontakt@kollektivtrafikenshus.se
11.3 Vid inträffad eller befarad Personuppgiftsincident ska Personuppgiftsbiträdet rapportera till kontaktperson i respektive organisation.
12. Meddelanden
12.1 Meddelanden som avser detta Biträdesavtal ska ske genom bud, rekommenderat brev eller e-post.
12.2 Meddelandet ska anses ha kommit mottagaren tillhanda
a) om avlämnat med bud: vid överlämnandet,
b) om avsänt med rekommenderat brev: tre (3) dagar efter avlämnande för postbefordran, eller
c) om skickat via e-post vid leverans om samma meddelande också skickas samma dag med vanlig post.
12.3 Adressändring ska meddelas Part på sätt som föreskrivs i denna bestämmelse.
13. GILTIGHET
13.1 Detta Biträdesavtal är giltigt så länge som Personuppgiftsbiträdets behandling av Personuppgifter på uppdrag av den Personuppgiftsansvarige pågår. Parterna kan dock överenskomma att detta Biträdesavtal ska ersättas av ett annat personuppgiftsbiträdesavtal.
13.2 Personuppgiftsbiträdet ska vid avslutad behandling återlämna Personuppgifterna i ett allmänt och läsbart format till Personuppgiftsansvarig och därefter radera Personuppgifterna från sådana system som använts vid behandlingen, såvida inte detta är oförenligt med då gällande lag.