Företag & ekonomi

Skapa ditt personuppgiftsbiträdesavtal

Svara på några enkla frågor så bygger vi avtalet åt dig – juristgranskat och klart på minuter. Du betalar först när avtalet är klart.

1Parterna2Behandlingen3Underbiträden & tredjeland4Varaktighet & avslut5Granska6Klart

Parterna

Steg 1 av 4

Personuppgiftsansvarig – företagsnamnDen part som bestämmer ändamålen med och medlen för behandlingen.Personuppgiftsansvarig – organisations-/personnummerIdentifierar den ansvarige entydigt. För enskild firma anges personnummer.Personuppgiftsbiträde – företagsnamnDen part som behandlar personuppgifter för den ansvariges räkning.Personuppgiftsbiträde – organisations-/personnummerIdentifierar biträdet entydigt. För enskild firma anges personnummer.OrtOrt där avtalet undertecknas och som blir tvistens forum.

Förhandsvisning

Trygghet0%

§ 1 Parterna och avtalets syfte

Detta personuppgiftsbiträdesavtal har ingåtts mellan … (org./pers.nr …), nedan kallad den personuppgiftsansvarige, och … (org./pers.nr …), nedan kallat personuppgiftsbiträdet. Avtalet reglerar personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning och uppfyller kravet på skriftligt biträdesavtal enligt artikel 28.3 i Europaparlamentets och rådets förordning (EU) 2016/679 (dataskyddsförordningen, GDPR). Vid motstridighet mellan detta avtal och övriga avtal mellan parterna ska detta avtal ha företräde i frågor som rör behandlingen av personuppgifter.

§ 2 Behandlingens föremål, art och ändamål

Personuppgiftsbiträdet behandlar personuppgifter inom ramen för följande tjänst: …. Behandlingens ändamål är: …. Biträdet får endast behandla personuppgifterna för detta ändamål och inte för några egna syften. Den personuppgiftsansvarige ansvarar för att det finns en rättslig grund för behandlingen och att uppgifterna får lämnas ut till biträdet.

§ 4 Kategorier av registrerade och personuppgifter

Behandlingen omfattar följande kategorier av registrerade: …. De kategorier av personuppgifter som behandlas är: ….

§ 5 Behandling endast enligt dokumenterade instruktioner

Personuppgiftsbiträdet får behandla personuppgifterna endast på dokumenterade instruktioner från den personuppgiftsansvarige, vilket inbegriper detta avtal och de instruktioner som i övrigt lämnas under avtalstiden. Detsamma gäller överföring av personuppgifter till tredjeland eller en internationell organisation, om inte unionsrätten eller svensk rätt kräver det av biträdet; i så fall ska biträdet informera den personuppgiftsansvarige om det rättsliga kravet innan behandlingen sker, om inte sådan information är förbjuden enligt lag. Om biträdet anser att en instruktion strider mot GDPR eller annan dataskyddslagstiftning ska biträdet omedelbart informera den personuppgiftsansvarige.

§ 6 Sekretess

Personuppgiftsbiträdet ska säkerställa att de personer som är behöriga att behandla personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt. Biträdet ska begränsa åtkomsten till personuppgifterna till de personer som behöver tillgång till dem för att utföra uppdraget.

§ 7 Säkerhetsåtgärder

Personuppgiftsbiträdet ska vidta alla åtgärder som krävs enligt artikel 32 GDPR. Med beaktande av den senaste utvecklingen, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna för de registrerades rättigheter och friheter ska biträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, bland annat avseende konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen.

§ 9 Bistånd till den personuppgiftsansvarige

Personuppgiftsbiträdet ska, med hänsyn till behandlingens art, hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder att fullgöra sin skyldighet att svara på begäran om utövande av de registrerades rättigheter enligt kapitel III GDPR. Biträdet ska även bistå den ansvarige med att säkerställa att skyldigheterna enligt artiklarna 32–36 GDPR fullgörs, med beaktande av behandlingens art och den information som biträdet har tillgång till, bland annat avseende säkerhet, anmälan av personuppgiftsincidenter, konsekvensbedömningar avseende dataskydd och föregående samråd med tillsynsmyndigheten. Biträdet har rätt till skälig ersättning för det bistånd och de granskningar som den personuppgiftsansvarige begär utöver vad som följer av lag, enligt biträdets vid var tid gällande prislista eller efter överenskommelse mellan parterna.

§ 10 Personuppgiftsincidenter

Personuppgiftsbiträdet ska utan onödigt dröjsmål, och senast inom 24 timmar efter att ha fått vetskap om en personuppgiftsincident, underrätta den personuppgiftsansvarige om incidenten. Underrättelsen ska innehålla den information som den ansvarige rimligen behöver för att kunna fullgöra sina skyldigheter enligt artiklarna 33 och 34 GDPR, bland annat incidentens art, berörda kategorier och ungefärligt antal registrerade, sannolika konsekvenser och de åtgärder som har vidtagits eller föreslås. Biträdet ska bistå den ansvarige vid utredning, dokumentation och hantering av incidenten. Biträdet får inte självt anmäla en incident till tillsynsmyndigheten eller till de registrerade för den ansvariges räkning utan den ansvariges instruktion.

§ 11 Granskning och revision

Personuppgiftsbiträdet ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att skyldigheterna enligt artikel 28 GDPR fullgörs samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som den ansvarige har bemyndigat. Granskning ska ske med skälig framförhållning, under normal arbetstid och utan att otillbörligt störa biträdets verksamhet eller åsidosätta biträdets sekretessåtaganden gentemot andra kunder.

§ 14 Ansvar

Vardera parten ansvarar enligt artikel 82 GDPR för skada som orsakats genom behandling som strider mot förordningen eller mot detta avtal. Har båda parter medverkat till samma skada svarar de i förhållande till varandra i den utsträckning de är ansvariga för den händelse som orsakade skadan. Personuppgiftsbiträdet ansvarar för skada som uppkommit till följd av att biträdet inte fullgjort de skyldigheter i GDPR som specifikt riktar sig till personuppgiftsbiträden eller handlat i strid med den ansvariges lagenliga instruktioner.

§ 15 Ändringar och fullständig reglering

Detta avtal utgör parternas fullständiga reglering av behandlingen av personuppgifter och ersätter alla tidigare överenskommelser i samma fråga. Ändringar och tillägg ska för att gälla göras skriftligen och undertecknas av båda parter, eller hanteras på det sätt som detta avtal i övrigt föreskriver för instruktioner och underbiträden.

§ 16 Tillämplig lag och tvist

På detta avtal tillämpas svensk rätt och dataskyddsförordningen (EU) 2016/679. Tvist med anledning av avtalet ska i första hand lösas genom förhandling mellan parterna och i annat fall avgöras av svensk allmän domstol med tingsrätten i … som första instans.

Underskrifter

Detta avtal har upprättats i två likalydande exemplar, varav parterna tagit var sitt. Ort och datum: …, …. För personuppgiftsansvarig … (…) ____________________ För personuppgiftsbiträde … (…) ____________________ Ett personuppgiftsbiträdesavtal kräver inga vittnen, ingen registrering hos Skatteverket och inga andra särskilda formkrav – det räcker att det är skriftligt och undertecknat av behöriga firmatecknare. Vid digital signering med BankID styrks firmatecknarnas identitet och underskriftens tidpunkt elektroniskt, vilket uppfyller skriftlighetskravet och ersätter behovet av egenhändig namnteckning.

1 495 kr inkl. moms Säkert · ~8 min