Publicerad 2 maj 2024

Vägledande kommentarer, PUB-avtalsdokument

Här finns SKR-koncernens personuppgiftsbiträdesavtal samt vägledning till hur det används. Avtalsdokumentet innehåller två mallar. Avtalet kan utgöra en branschstandard och användas vid alla tillfällen då det behövs ett personuppgiftsbiträdesavtal.

Dokumentet inkluderar två mallar, Instruktion samt Lista över underbiträden. Kompletteringarna av dessa mallar utgör beskrivningen av behandlingens särskilda karaktär. Mallarna är det enda som ska fyllas i. Själva PUB-avtalet ska alltså inte ändras.

Personuppgiftsbiträdesavtal (Word) Word, 135 kB.

Underbiträdesavtal (Word) Word, 130 kB.

Personuppgiftsbiträdesavtal, engelskt underlag (Word) Word, 111 kB.

Observera att den engelska versionen inte är en officiell översättning. Den är avsedd att vara ett stöd för personuppgiftsansvariga och biträden som behöver upprätta avtal på engelska.

SKR har arbetat fram avtal, mallar och vägledningen tillsammans med Adda och Inera.

Vägledning – använda och förstå avtalet

PUB-avtalet består av 22 avsnitt och vägledningen utgörs av kommentarer alla avsnitt utom det sista (underskrifterna). Numreringen för respektive punkt i vägledningen har motsvarande numrering i PUB-avtalet.

I kommentarerna förklaras innebörden av vissa rättigheter och skyldigheter i avtalet och i vilka situationer dessa aktualiseras. Här finns även exempel på ytterligare avtalsreglering som kan behövas.

1. Parter, kontaktuppgifter och kontaktpersoner

PUB-avtalet ska kompletteras med de uppgifter som framgår av fälten, t.ex. vilken roll parterna har (personuppgiftsansvarig eller personuppgiftsbiträde) samt kontaktpersoner. Kontaktpersonen för administration av PUB-avtalet är i de flesta fall inte densamma som kontaktpersonen för parternas samarbete om dataskydd. I många fall är det lämpligt att kontaktpersonen för administration är samma person som administrerar huvudavtalet.

2. Definitioner

I PUB-avtalet används termen ”Dataskyddslagstiftning”. Av termens definition framgår att detta avser all integritets- och personuppgiftslagstiftning, samt annan lagstiftning (inklusive förordningar och föreskrifter), som är tillämplig på den personuppgiftsbehandling som sker enligt detta PUB-avtal, inklusive nationell sådan lagstiftning och EU-lagstiftning.

Personuppgiftsbiträdet ska ge tillräckliga garantier för skyddet av den personuppgiftsansvariges personuppgifter, i synnerhet genom ”sakkunskap” (skäl 81 i dataskyddsförordningen) och besitta nödvändiga kunskaper om tillämpliga författningar på dataskyddsområdet för den aktuella behandlingen av personuppgifter.

Den personuppgiftsansvarige rekommenderas dock att i mallen för instruktioner närmare ange vilka registerförfattningar som leverantören ska iaktta i syfte undvika missförstånd och underlätta biträdets allokering av resurser på tillämplig reglering.

3. Bakgrund och syfte

3.2

3.2 När PUB-avtalet utgör ett av flera avtalsdokument inom ramen för ett annat avtal benämns det andra avtalet ”Huvudavtalet” i PUB-avtalet.

Av huvudavtalet bör framgå hur PUB-avtalet och andra dataskyddsrelaterade handlingar, till exempel instruktioner, förhåller sig till övriga avtalsdokument. Under en särskild rubrik (exempelvis ”Handlingarnas inbördes ordning”) slår parterna fast hur avtalsdokumenten ska förhålla sig till varandra om de skulle behöva tolkas.

3.3

3.3 För det fall något av det som stadgas i avsnitt 1, punkt 3.2, avsnitt 15 eller 16, punkt 17.6, avsnitt 18 – 20 eller 22 i PUB-avtalet regleras på annat sätt i Huvudavtalet, ska Huvudavtalets reglering ha företräde.

Denna bestämmelse öppnar för parterna att komma överens om andra villkor i angivna avsnitt eller punkter. Lägg märke till att parterna inte äger rätt att ändra övriga avsnitt eller punkter i PUB-avtalet.

4. Behandling av personuppgifter och specifikation

4.1

4.1 Den Personuppgiftsansvarige utser härmed Personuppgiftsbiträdet att utföra Behandlingen för den Personuppgiftsansvariges räkning enligt vad som stadgas i detta PUB-avtal.

Regleringen under avsnitt 4 innehåller det övergripandet mandatet för personuppgiftsbiträdet att för den personuppgiftsansvariges räkning behandla dennes personuppgifter i enlighet med aktuellt personuppgiftsbiträdesavtal.

4.2

4.2 Den Personuppgiftsansvarige ska ge skriftliga Instruktioner till Personuppgiftsbiträdet om hur det ska utföra

I avtalet ska föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade samt den personuppgiftsansvariges skyldigheter och rättigheter anges. Detta följer av artikel 28.3 i dataskyddsförordningen. Dessa obligatoriska uppgifter framgår inte enbart av personuppgiftsbiträdesavtalet utan ska framgå av instruktionerna till biträdet. Angivande av dessa uppgifter kan ske i SKR-koncernens ”Mall för den Personuppgiftsansvariges Instruktion för Behandling av Personuppgifter” (bilaga 1 till PUB-avtalet) eller i den personuppgifts­ansvariges egna mall för instruktioner. Flera punkter i instruktionerna kan med fördel användas som underlag för Personuppgiftsansvariges registerförteckning så det är klokt att försöka använda samma typ av terminologi och formuleringar som återfinns där.

Skälet till att instruktionerna inte framgår direkt av PUB-avtalet är att avtalets standardutförande då inte skulle kunna behållas. Instruktionerna är en icke-generisk del av PUB-avtalet (eller huvudavtalet; se nästa stycke) som ska innehålla dokumenterade omständigheter och instruktioner som är unika för den specifika behandlingen som PUB-avtalet reglerar, t.ex. föremålet för behandlingen och behandlingens varaktighet (med mera).

Det finns inga hinder mot att låta instruktionerna, liksom PUB-avtalet, ingå som bilagor till ett huvudavtal. I sådana fall ska emellertid PUB-avtalet och instruktionerna vara ”urskiljbara” från övriga villkor som gäller mellan parterna enligt huvudavtalet (se t.ex. tidigare Datainspektionens beslut 2014-06-09, dnr 1822-13).

4.3

4.3 Personuppgiftsbiträdet får endast utföra Behandlingen i enlighet med PUB-avtalet och vid var tid gällande Instruktioner.

Bestämmelsen i punkt 4.3 bygger på kravet i artikel 28.1 a att personuppgiftsbiträdet endast får behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet överföringar av personuppgifter till ett tredje land eller en internationell organisation, såvida inte behandlingen krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av. I sådana fall ska personuppgiftsbiträdet informera den person­uppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt unionsrätten eller enligt en medlemsstats nationella rätt.

5. Den personuppgiftsansvarigas ansvar

5.1

5.1 Den Personuppgiftsansvarige ansvarar för att det vid var tid finns laglig grund för Behandlingen och för att utforma korrekta Instruktioner med hänsyn till Behandlingens art så att Personuppgiftsbiträdet och eventuellt Underbiträde kan fullgöra sitt eller sina uppdrag enligt detta PUB-avtal och Huvudavtal i förekommande fall.

All behandling av personuppgifter kräver en rättslig grund. Annars är det inte en tillåten behandling. De rättsliga grunderna för behandling av personuppgifter finns i artikel 6.1 i dataskyddsförordningen. Det är den personuppgiftsansvarige som ansvarar för lagenligheten i personuppgiftsbehandlingen, s.k. ansvarsskyldighet (se artikel 5.2).

Personuppgiftsbiträdet bär ett ansvar för att skydda personuppgifter enligt artikel 32 i dataskydds­förordningen. Om det ansvaret omfattar även laglighetsfrågor är oklart i nuläget. Bedömer person­uppgiftsbiträdet att behandlingen saknar rättsligt stöd har denne åtminstone en skyldighet enligt personuppgiftsbiträdesavtalet att uppmärksamma den personuppgiftsansvarige på förhållandet och be om kompletterande instruktioner. Det framgår av punkten 6.5 i personuppgiftsbiträdesavtalet.

5.2

5.2 Den Personuppgiftsansvarige ska utan onödigt dröjsmål informera Personuppgiftsbiträdet om förändringar i Behandlingen vilka påverkar Personuppgiftsbiträdets skyldigheter enligt Dataskyddslagstiftningen.

Ändrade organisatoriska eller administrativa förhållanden hos personuppgiftsansvarige vilka påverkar personuppgiftsbiträdets skyldigheter ska utan onödigt dröjsmål meddelas denne. Det kan t.ex. röra sig om ändrade ansvarsförhållanden utifrån omorganisation, förändrade roller och ansvar, byte av IT-system eller ändrade arbetssätt som påverkar personuppgiftsbiträdets åtagande. Den personupp­giftsansvarige bör även hålla personuppgiftsbiträdet informerad om särskilda lagar, förordningar eller föreskrifter som gäller för den personuppgiftsansvarige och som personuppgiftsbiträdet behöver ta hänsyn till i samband med behandlingen, om inte personuppgiftsbiträdet själv kan förväntas känna till dessa enligt punkten 6.1 i personuppgifts­biträdesavtalet.

5.3

5.3 Den Personuppgiftsansvarige ansvarar för att informera Registrerade om Behandlingen och för att tillvarata Registrerades rättigheter enligt Dataskyddslagstiftningen samt vidta varje annan åtgärd som åligger den Personuppgiftsansvarige enligt Dataskyddslag­stiftningen.

Enligt dataskyddsförordningen ansvarar den personuppgiftsansvarige för att informera den registrerade om behandlingen av personuppgifter eller om något undantag från informations­skyldigheten är tillämplig (se artikel 12–14). Den personuppgiftsansvarige ansvarar vidare för att tillvarata registrerades rättigheter. Personuppgiftsbiträdet har emellertid enligt PUB-avtalet en skyldighet att stödja den personuppgiftsansvarige i handläggningen av rättigheter, se punkten 6.4. Det följer direkt av artikel 28.3 f i dataskyddsförordningen.

Kommentar 6.4

6. Personuppgiftsbiträdets åtaganden

6.1

6.1 Personuppgiftsbiträdet förbinder sig att endast utföra Behandlingen i enlighet med PUB-avtalet och för de specifika ändamål som anges i Instruktioner samt att följa Dataskyddslagstiftningen. Personuppgiftsbiträdet förbinder sig även att fortlöpande hålla sig informerad om gällande rätt på området.

Bestämmelsen i punkten 6.1 erinrar personuppgiftsbiträdet om att endast utföra behandlingen av personuppgifter inom ramen för avtalets villkor samt dokumenterade instruktioner. Den tydliggör också att instruktionerna uttryckligen måste tillåta om personuppgiftsbiträdet ska ha rätt att använda uppgifterna till andra eller egna syften och ändamål.

Personuppgiftsbiträdet har vidare ett flertal skyldigheter enligt dataskyddsförordningen, bl.a. att skydda personuppgifter (artikel 32), hålla en registerförteckning (artikel 30.2), och hjälpa den personuppgiftsansvarige att fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III (artikel 28.3 e).

Personuppgiftsbiträdet ska också utge skadestånd till registrerade och ansvara för skada upp­kommen till följd av behandlingen om denne inte har fullgjort de skyldigheter i dataskyddsförord­ningen som specifikt riktar sig till personuppgiftsbiträden eller agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar (artikel 82.2).

6.2

6.2 Personuppgiftsbiträdet ska vidta åtgärder för att skydda Personuppgifterna mot alla slag av Behandlingar som inte är förenliga med PUB-avtalet, Instruktioner och Dataskyddslagstiftningen.

Se kommentaren under punkten 5.1.

Kommentar 5.1

6.3

6.3 Personuppgiftsbiträdet åtar sig att säkerställa att samtliga fysiska personer som arbetar under dess ledning följer PUB-avtalet och Instruktioner samt att de fysiska personerna informeras om relevant lagstiftning.

Personuppgiftsbiträdet ansvarar enligt punkten 6.3 själv för att anställda och osjälvständiga uppdragstagare (medarbetare) är informerade om biträdets skyldigheter enligt PUB-avtalet och tillhörande instruktioner. Det är personuppgiftsbiträdet som ansvarar för eventuella fel som dessa begår.

6.4

6.4 Personuppgiftsbiträdet ska på begäran från den Personuppgiftsansvarige bistå denne med att säkerställa att skyldigheterna enligt artikel 32-36 Dataskyddsförordningen fullgörs och svara på begäran om utövande av den Registrerades rättigheter i enlighet med Dataskyddsförordningen, kap III, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå.

Bestämmelsen i punkten 6.4 är en direkt följd av dataskyddsförordningen, artikel 28.3 e. Huruvida personuppgiftsbiträdet ska kunna erhålla ersättning för att bistå den personuppgiftsansvarige är en fråga att överväga vid planeringen av en upphandling av en specifik tjänst alternativt uppmärk­sammas av leverantören vid anbudsgivningen. Dataskyddsförordningen reglerar ingen sådan rättig­het för personuppgiftsbiträdet. Å andra sidan kan vissa rättigheter kräva omfattande arbete av biträdet för att tillmötesgå den registrerades rättigheter, till exempel registerutdrag.

6.5

6.5 För det fall att Personuppgiftsbiträdet finner att Instruktioner är otydliga, i strid med Dataskyddslagstiftningen eller saknas och Personuppgiftsbiträdet bedömer att nya eller kompletterande Instruktioner är nödvändiga för att genomföra sina åtaganden ska Personuppgiftsbiträdet utan dröjsmål informera den Personuppgiftsansvarige, tillfälligt upphöra med Behandlingen och invänta nya Instruktioner, om inte parterna kommer överens om annat.

Situationen kan vanligtvis uppkomma vid ändrade organisatoriska eller administrativa förhållanden hos den personuppgiftsansvarige. Skulle situationen uppstå ska personuppgiftsbiträdet utan dröjsmål informera den personuppgiftsansvarige och tillfälligt upphöra med behandlingen. Skälet är att minimera eventuell skada som skulle kunna förvärras om behandlingen fortsatte efter under­rättelsen. Begäran från biträdet om nya eller kompletterande instruktioner ska hanteras skyndsamt av den personuppgiftsansvarige. När det gäller lagringstjänster kan det vara svårt att tillfälligt upphöra med behandlingen. Parterna kan istället komma överens om något annat, t.ex. att uppgifterna ska spärras från åtkomst.

Instruktionerna ska meddelas skriftligen, t.ex. per e-post, och kan formaliseras i efterhand genom utfärdande av en ny instruktion eller en kompletterande bilaga till PUB-avtalet eller huvudavtalet.

6.6

6.6 För det fall att den Personuppgiftsansvarige förser Personuppgiftsbiträdet med nya eller ändrade Instruktioner ska Personuppgiftsbiträdet, utan onödigt dröjsmål från mottagandet, meddela den Personuppgiftsansvarige huruvida genomförandet av de nya Instruktionerna föranleder förändrade kostnader för Personuppgiftsbiträdet.

PUB-avtalet reglerar inte kostnader för personuppgiftsbiträdets behandling av den personuppgifts­ansvariges personuppgifter. Det förväntas att parterna reglerar priser och andra ersättningsanspråk i huvudavtalet. Motsvarande gäller om den personuppgiftsansvarige meddelar nya eller ändrade instruktioner som medför högre kostnader för personuppgiftsbiträdet än vad som avtalats i samband med upphandlingen av en tjänst. Personuppgiftsbiträdet ska påtala sina kostnadsanspråk snarast. Specifika tidsbegränsningar bör anges i huvudavtalet. Tidsbegränsningar på över ett år kan inte anses vara rimliga.

Syftet är att inleda en dialog om eventuella kostnadsökningar för biträdet i samband med ändrade förutsättningar. Resulterar dialogen i att parterna inte kan komma överens har biträdet med stöd av punkten 15.1 rätt att säga upp PUB-avtalet med trettio dagars varsel.

Enligt punkten 7.3 i PUB-avtalet utgör tillkommande eller ändrade krav på skyddsåtgärder från den personuppgiftsansvarige, efter parternas tecknande av avtalet, alltid nya Instruktioner enligt avtalet.

7. Säkerhetsåtgärder

7.1

7.1 Personuppgiftsbiträdet ska vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgärder som krävs enligt Dataskyddslagstiftningen för att förhindra Personuppgiftsincidenter, genom att säkerställa att Behandlingen uppfyller kraven i Dataskyddsförordningen och att den Registrerades rättigheter skyddas.

Punkten 7.1 är en erinran till personuppgiftsbiträdet om skyldigheten enligt artikel 28.3 c i data­skyddsförordningen att bistå den personuppgiftsansvarige med att se till att vidta alla åtgärder som krävs enligt artikel 32. I artikel 32 finns den övergripande skyldigheten för både personuppgifts­ansvariga och personuppgiftsbiträden att skydda personuppgifter och därmed undvika personuppgiftsincidenter.

7.2

7.2 Personuppgiftsbiträdet ska fortlöpande säkerställa att den tekniska och organisatoriska säkerheten i samband med Behandlingen medför en lämplig nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft.

Punkten 7.2 är en erinran till personuppgiftsbiträdet om skyldigheten enligt artikel 28.3c i dataskyddsförordningen att bistå den personuppgiftsansvarige med att se till att vidta alla åtgärder som krävs enligt artikel 32. Av artikel 32.1 framgår bland annat att personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt […] förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft i tjänsterna som omfattas av person­uppgiftsbehandlingen. Lämpliga säkerhetsåtgärder kan t.ex. vara åtgärder för pseudonymisering och kryptering av personuppgifter, åtgärder för att säkerställa fortlöpande konfidentialitet samt för­faranden för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärderna.

7.3

7.3 Eventuella tillkommande eller ändrade krav på skyddsåtgärder från den Personuppgifts­ansvarige, efter parternas tecknande av PUB-avtalet, ska betraktas som nya Instruktioner enligt PUB-avtalet.

Se kommentaren under punkt 6.6.

Kommentar 6.6

7.4

7.4 Personuppgiftbiträdet ska genom behörighetskontrollsystem endast ge åtkomst till Personuppgifterna för sådana fysiska personer som arbetar under Personuppgiftsbiträdets ledning och som behöver åtkomsten för att kunna utföra sina arbetsuppgifter.

Personuppgiftsbiträdets personal kan i vissa situationer behöva åtkomst till den personuppgifts­ansvariges personuppgifter för att till exempel utföra felsökning eller support. Rätten till sådan åtkomst ska framgå av den skriftliga instruktionen. Åtkomst som inte är uttryckligen tillåten ska betraktas som otillåten. Vem som får ha tillgång till vilken information kan till exempel framgå av registerförfattningar. Punkten avser personal som arbetar under personuppgiftsbiträdets ”direkta ansvar”. I artikel 4.10 i dataskyddsförordningen talas om personer som under den personuppgifts­ansvariges respektive persondatabiträdets direkta ansvar har befogenhet att behandla person­uppgifter.

7.5

7.5 Personuppgiftsbiträdet åtar sig att kontinuerligt Logga åtkomst till Personuppgifterna enligt PUB-avtalet i den utsträckning det krävs enligt Instruktionen. Loggar får gallras först fem (5) år efter Loggningstillfället om inte annat anges i Instruktionen. Loggar ska omfattas av erforderliga skyddsåtgärder, i enlighet med Dataskyddslagstiftningen.

Denna punkt i PUB-avtalet förutsätter komplettering i den skriftliga instruktionen. Som exempel kan instruktionen ställa krav på att personuppgiftsbiträdet ska logga hur personuppgifter hanteras, vilka uppgifter som ska loggas, när användare hos den personuppgiftsansvarige och personuppgifts­biträdet tar del av personuppgifter, datum och klockslag för olika händelser som ska loggas med mera.

Kravet på bevarande av personuppgifter i fem år är hämtat från Socialstyrelsens föreskrifter och allmänna råd (HSFL-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården där det ställs krav på vårdgivare att bevara åtkomstloggar minst fem år. Inget hindrar dock att den personuppgiftsansvarige i samråd med personuppgiftsbiträdet ändrar bevarandetiden i den skriftliga instruktionen och markerar att den tiden gäller i stället för bevarandetiden i punkt 7.5.

7.6

7.6 Personuppgiftsbiträdet ska systematiskt testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.

Punkten 7.6 säkerställer att personuppgiftsbiträdet enligt artikel 28.3 c i dataskyddsförordningen är skyldig att bistå den personuppgiftsansvarige med att se till att vidta alla åtgärder som krävs enligt artikel 32. Av artikel 32.2 framgår att bl.a. att personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt […] ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

8. Sekretess/tystnadsplikt

8.1

8.1 Personuppgiftsbiträdet och samtliga fysiska personer som arbetar under dess ledning ska vid Behandlingen iaktta såväl sekretess som tystnadsplikt. Personuppgifterna får inte nyttjas eller spridas för andra ändamål, varken direkt eller indirekt, såvida inte annat avtalats.

Av artikel 28 3 b) i dataskyddsförordningen framgår att personer med behörighet att behandla personuppgifterna ska ha åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

Bestämmelsen ska säkerställa att personuppgiftsbiträdet och samtliga fysiska personer som arbetar under dess ledning ska iaktta såväl sekretess som tystnadsplikt vid behandlingen.

Omfattas uppgifterna av offentlighets- och sekretesslagen (2009:400) (OSL) är de känsliga och omfattas av sekretess. Detta ställer särskilda krav på personuppgiftsbiträdets skydd av uppgifterna i form av kryptering, rutiner för åtkomst, kontroller vid verkställighet av beslut om utlämnande till tredje part och loggning som ska framgå av instruktionen.

PUB-avtalet i sig innefattar en tystnadsplikt, liksom krav på individuella sekretess förbindelser av det slag som framgår av punkten 8.2. Det är verktyg för att skydda sekretessbelagda uppgifter för obehörigt röjande eller otillåten behandling, givet att tystnadsplikten är förenad med kännbara skadestånd eller viten.

Tydliga instruktioner om dataskydd utgör vidare en viktig del av den personuppgiftsansvariges skydd av och kontroll över uppgifterna, till exempel förbud för personuppgiftsbiträdets personal att genom direktåtkomst ta del av den personuppgiftsansvariges uppgifter. Brott mot sådana instruktioner kan aktualisera brotten dataintrång eller trolöshet mot huvudman för biträdets personal.

För att ytterligare skydda uppgifterna och utöva kontroll över dem kan andra åtgärder vidtas som gör det mer eller mindre omöjligt för leverantören att faktiskt ta del av dessa. En sådan åtgärd är att uppgifterna lagras krypterade eller pseudonymiserade så att personuppgiftsbiträdet inte har åtkomst till dem, förutsatt att den personuppgiftsansvarige förfogar över kryptonyckeln.

8.2

8.2 Personuppgiftsbiträdet ska tillse att samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen, är bundna av sekretessförbindelse avseende Behandlingen. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag. Personuppgiftsbiträdet åtar sig även att tillse att det finns sekretessavtal med Underbiträdet samt sekretessförbindelser mellan Underbiträdet och samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen.

Enligt artikel 32.4 i dataskyddsförordningen ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger den fysiska personen att göra det.

Punkten 8.2 säkerställer kravet på sekretess/tystnadsplikt och konkretiseras genom avtal med biträdet om sekretessförbindelser.

I vissa fall omfattas personuppgiftsbiträdet av en lagstadgad tystnadsplikt. Ett exempel på sådan tystnadsplikt finns i lagen (1997:736) om färdtjänst. Enligt 15 § i denna lag får personer som är eller har varit verksamma inom enskild verksamhet som bedrivs yrkesmässigt och som omfattas av denna lag inte obehörigen röja vad de i verksamheten fått veta om någons personliga förhållanden. Tystnadsplikten kombineras med en sekretessbrytande bestämmelse så att socialtjänsten och vårdgivare kan röja uppgifter om hälsa för färdtjänstchauffören.

Vid utkontraktering eller så kallad ”outsourcing” av teknisk bearbetning eller lagring av personupp­gifter till leverantör gäller numera en lagstadgad tystnadsplikt som framgår av lagen (2020:914) om tystnadsplikt vid utkontraktering.

Även auktoriserade tolkar och översättare omfattas av en lagstadgad tystnadsplikt, se lagen (1975:689) om tystnadsplikt för vissa tolkar och översättare. Brott mot lagstadgad tystnadsplikt är straffbart och förenad med böter eller fängelse som påföljd.

8.3

8.3 Personuppgiftsbiträdet ska skyndsamt underrätta den Personuppgiftsansvarige om eventuella kontakter med tillsynsmyndighet avseende Behandlingen. Personuppgiftsbiträdet har inte rätt att företräda den Personuppgiftsansvarige eller agera för den Personuppgifts­ansvariges räkning gentemot tillsynsmyndigheter i frågor avseende Behandlingen.

Enligt artikel 29 i dataskyddsförordningen gäller att personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende och som får tillgång till personuppgifter, endast får behandla dessa på instruktion från den personuppgiftsansva­rige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.

Punkten 8.3 ska säkerställa att personuppgiftsbiträdet skyndsamt ska underrätta personuppgifts­ansvarig om kontakter med tillsynsmyndigheten och ska invänta instruktioner samt att biträdet inte företräder den personuppgiftsansvarig mot tillsynsmyndigheten.

Personuppgiftsbiträdet ska endast bistå med informationsförmedling angående behandlingen till tillsynsmyndigheten efter instruktion eller enligt lagkrav.

8.4

8.4 Om den Registrerade, tillsynsmyndighet eller tredje man begär information från Personuppgiftsbiträdet vilken rör Behandlingen, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige om saken. Information om Behandlingen får inte lämnas till den Registrerade, tillsynsmyndighet eller tredje man utan skriftligt medgivande från den Personuppgiftsansvarige, såvida det inte framgår av tvingande lag att information ska lämnas. Personuppgiftsbiträdet ska bistå med förmedling av den informationen som omfattas av ett medgivande eller lagkrav.

Punkten 8.4 säkerställer att personuppgiftsbiträdet ska underrätta personuppgiftsansvarig om kontakter med tillsynsmyndigheten eller tredje man. Personuppgiftsbiträdet ska endast bistå med informationsförmedling angående Behandlingen till tillsynsmyndigheten efter instruktion eller enligt lagkrav.

9. Granskning, tillsyn och revision

9.1

9.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål som en del av sina garantier enligt artikel 28.1 i Dataskyddsförordningen, på den Personuppgiftsansvariges begäran, kunna redovisa vilka tekniska och organisatoriska säkerhetsåtgärder som används för att Behandlingen ska uppfylla kraven enligt PUB-avtalet och artikel 28.3.h i Dataskyddsförordningen.

Punkten 9.1 säkerställer att personuppgiftsbiträdet på lämpligt sätt ska tillhandahålla information till personuppgiftsansvarig, som visar att denne lever upp till den personuppgiftsansvariges krav på behandlingen och vidtar alla lämpliga tekniska och organisatoriska säkerhetsåtgärder som krävs enligt dataskyddsförordningen och PUB-avtalet. På så sätt behöver den personuppgiftsansvarige inte ta i anspråk den ingripande rätten till inspektioner enligt artikel 28.3 h.

Punkterna 9.1 – 9.3 utgör en eskaleringstrappa som den personuppgiftsansvarige förfogar över för att utöva kontroll över personuppgiftsbiträdets behandling. Den erbjuder också biträdet en möjlighet att förse den personuppgiftsansvarige med information som ger tillräcklig insyn i skyddet av person­uppgifter så att rätten till mer ingripande åtgärder, såsom inspektion, aldrig behöver aktualiseras.

Notera att personuppgiftsbiträdet ska kunna ge ”tillräckliga garantier” för skyddet av personupp­gifter enligt artikel 28.1 i dataskyddsförordningen genom lämpliga tekniska och organisatoriska åtgärder.

9.2

9.2 Personuppgiftsbiträdet ska minst en (1) gång om året granska säkerheten avseende Behandlingen genom en egenkontroll för att säkerställa att Behandlingen följer PUB-avtalet. Resultatet av sådan egenkontroll ska på begäran delges den Personuppgiftsansvarige.

Punkt 9.2 anger att personuppgiftsbiträdet ska använda egenkontroll som metod för att visa för den personuppgiftsansvarige att behandling uppfyller kraven enligt PUB-avtalet och dataskyddsförord­ningen, artikel 28.3 h. Egenkontroll innebär i detta fall en årlig revision av informationssäkerheten som dokumenteras. Exempel på det är de uppföljningar av informationssäkerheten som gjorts och som är av större betydelse, de riskanalyser som har gjorts, de åtgärder som har vidtagits för förbättring av informationssäkerheten och som är av större betydelse samt den utvärdering personuppgiftsbiträdet har genomfört av skydd mot olovlig åtkomst, såväl intern som extern, till datornätverk och informationssystem.

9.3

9.3 Den Personuppgiftsansvarige äger rätt att, själv eller genom annan av denne utsedd tredje part (som inte får vara en konkurrent till Personuppgiftsbiträdet), följa upp att Personuppgiftsbiträdet uppfyller PUB-avtalets, Instruktionernas och Dataskyddslagstift­ningens krav. Personuppgiftsbiträdet ska vid sådan granskning bistå den Personuppgifts­ansvarige, eller den som utför granskningen i den Personuppgiftsansvariges ställe, med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna granska Personuppgiftsbiträdets efterlevnad av PUB-avtalet, Instruktioner och Dataskydds­lagstiftningen. Den Personuppgiftsansvarige ska säkerställa att personal som genomför granskningen är underkastade sekretess eller tystnadsplikt enligt lag eller avtal.

Punkt 9.3 säkerställer att den personuppgiftsansvarige ska ha möjlighet att följa upp att person­uppgiftsbiträden lever upp till den personuppgiftsansvariges krav på personuppgiftsbehandlingen enligt artikel 28.3 c och artikel 32 i dataskyddsförordningen. Den personuppgiftsansvarige ska ges tillgång till all information som krävs för att visa att skyldigheterna enligt artikel 28.3 h har fullgjorts samt bidra till granskningar, inbegripet inspektioner. Dessa kan genomföras av den personuppgifts­ansvarige själv eller av en revisor eller granskningsperson som bemyndigats av den personuppgifts­ansvarige.

9.4

9.4 Personuppgiftsbiträdet äger alternativt till vad som stadgas i punkterna 9.2-9.3, rätt att erbjuda andra tillvägagångssätt för granskning av Behandlingen, exempelvis granskning genomförd av oberoende tredje part. Den Personuppgiftsansvarige ska i sådant fall äga rätt, men inte skyldighet, att tillämpa detta alternativa tillvägagångssätt för granskning. Vid sådan granskning ska Personuppgiftsbiträdet ge den Personuppgiftsansvarige eller en tredje part den assistans som behövs för utförandet av granskningen.

Punkt 9.4 möjliggör att granskningen av personuppgiftsbiträdet genomförs på ett alternativt sätt, t.ex. av en oberoende tredje part.

9.5

9.5 Personuppgiftbiträdet ska bereda tillsynsmyndighet, eller annan myndighet som har laglig rätt till det, möjlighet att göra tillsyn enligt myndighetens begäran i enlighet med vid var tid gällande lagstiftning, även om sådan tillsyn annars skulle stå i strid med bestämmelserna i PUB-avtalet.

Punkt 9.5 säkerställer att personuppgiftsbiträdet även ska bereda tillsynsmyndigheten möjligheten att genomföra sådan granskning som denne har laglig rätt att utföra.

9.6

9.6 Personuppgiftsbiträdet ska tillförsäkra den Personuppgiftsansvarige rättigheter gentemot Underbiträdet vilka motsvarar den Personuppgiftsansvariges samtliga rättigheter gentemot Personuppgiftsbiträdet enligt avsnitt 9 i PUB-avtalet.

Punkt 9.6 säkerställer personuppgiftsbiträdets ansvar för kraven enligt artikel 28.3 för sina underbiträden. Personuppgiftsbiträdet ansvarar enligt artikel 28.4 fullt ut för underbiträdets behandling gentemot den personuppgiftsansvarige.

10. Hantering av rättelse och radering m.m.

10.1

10.1 För det fall den Personuppgiftsansvarige begärt rättelse eller radering på grund av Personuppgiftsbiträdets felaktiga Behandling ska Personuppgiftsbiträdet vidta lämplig åtgärd utan onödigt dröjsmål, senast inom trettio (30) dagar, från det att Personuppgiftsbiträdet mottagit erforderlig information från den Personuppgiftsansvarige. När den Personuppgifts­ansvarige begärt radering får Personuppgiftsbiträdet endast utföra Behandling av den aktuella personuppgiften som ett led i processen för rättelse eller radering.

Punkt 10.1 säkerställer att personuppgiftsbiträdet ska understödja den personuppgiftsansvarige med de åtgärder som behövs för att tekniskt möjliggöra att den personuppgiftsansvarige hanterar de registrerades rättigheter (som rättelse och radering av personuppgifter, m.m.), enligt artikel 28.3 e i dataskyddsförordningen.

Personuppgiftsbiträdet kan behöva ta del av sekretessbelagda personuppgifter för att kunna verkställa raderingen. Villkoret innehåller ett medgivande (en instruktion) från den personuppgifts­ansvarige till biträdet att få ta del av sådana uppgifter för att kunna utföra arbetsuppgiften. Av artikel 16 i dataskyddsförordningen följer att den registrerade har rätt att begära att felaktiga personupp­gifter rättas.

Av artikel 17.3 b i dataskyddsförordningen följer dock att rätten att bli bortglömd inte gäller om behandlingen är nödvändig för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse.

10.2

10.2 Om tekniska och organisatoriska åtgärder (t.ex. uppgraderingar eller felsökningar) vidtas av Personuppgiftsbiträdet i Behandlingen, vilka kan påverka Behandlingen, ska Personuppgiftsbiträdet informera den Personuppgiftsansvarige skriftligt om detta i enlighet med vad som stadgas om meddelanden i avsnitt 18 kap. i PUB-avtalet. Informationen ska lämnas i god tid innan åtgärderna vidtas.

Punkt 10.2 säkerställer att personuppgiftsbiträdet ska understödja den personuppgiftsansvarige med de åtgärder som behövs för att tekniskt möjliggöra att den personuppgiftsansvarige hanterar kraven enligt artikel 32.1 i dataskyddsförordningen.

11. Personuppgiftsincidenter

11.1

11.1 Personuppgiftsbiträdet ska ha förmåga att återställa tillgängligheten och tillgången till Personuppgifterna i rimlig tid vid en fysisk eller teknisk incident enligt artikel 32.1 c i Dataskyddsförordningen.

Punkten 11.1 säkerställer att personuppgiftsbiträdet har förmåga att återställa tillgängligheten och tillgången till personuppgifterna i rimlig tid vid en fysisk eller teknisk incident enligt artikel 32.1 c. i dataskyddsförordningen. Det förutsätter att personuppgiftsbiträdet har en organisation och rutiner för alla slag av säkerhetsincidenthantering i sitt ledningssystem för informationssäkerhet (motsvarande).

11.2

11.2 Personuppgiftbiträdet åtar sig att med beaktande av Behandlingens art, och den information som Personuppgiftsbiträdet har att tillgå, bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en Personuppgiftsincident beträffande Behandlingen. Personuppgiftbiträdet ska på den Personuppgiftsansvariges begäran även bistå med att utreda misstankar om eventuell obehörigs Behandling och/eller åtkomst till Personuppgifterna.

Punkten 11.2 säkerställer personuppgiftsbiträdets skyldighet enligt artikel 28.3 f. i dataskydds­förordningen; att bistå den personuppgiftsansvarige med att se till att skyldigheterna enligt artikel 32–36 fullgörs med hänsyn till typen av behandling och den information som personuppgiftsbiträdet har att tillgå.

11.3, 11.4

11.3 Vid Personuppgiftsincidenter, vilka Personuppgiftbiträdet fått vetskap om, ska Personuppgiftsbiträdet utan onödigt dröjsmål skriftligen underrätta den Personuppgifts­ansvarige om händelsen. Personuppgiftsbiträdet ska, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå, tillhandahålla den Person­uppgiftsansvarige en skriftlig beskrivning av Personuppgiftsincidenten.

11.4 Beskrivningen ska redogöra för:

  1. Personuppgiftsincidentens art och, om möjligt, de kategorier och antalet Registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
  2. de sannolika konsekvenserna av Personuppgiftsincidenten, och
  3. åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra Personuppgiftincidentens potentiella negativa effekter.

Personuppgiftsbiträdet ska enligt artikel 33.2 i dataskyddsförordningen underrätta den personupp­giftsansvarig utan onödigt dröjsmål vid händelse av personuppgiftsincident och ska i övrigt stödja den personuppgiftsansvarige med en anmälan av en personuppgiftsincident till tillsynsmyndig­heten samt i förekommande fall till registrerade. Punkterna 11.3 och 11.4 säkerställer att det ska finnas rutiner för hantering och beskrivning samt rapportering av personuppgiftsincidenter som följer av dataskyddsförordningen.

11.5

11.5 Om det inte är möjligt för Personuppgiftsbiträdet att tillhandahålla hela beskrivningen samtidigt, enligt punkt 11.3 i PUB-avtalet, får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

Punkt 11.5 säkerställer att personuppgiftsbiträdet underrättar den personuppgiftsansvarig om personuppgiftsincidenten även om alla uppgifter som ska ingå i beskrivningen inte finns tillgängliga initialt. Information får då lämnas i omgångar utan vidare dröjsmål.

12. Underbiträden

12.1

12.1 Personuppgiftsbiträdet äger rätt att anlita den eller de Underbiträden som framgår av bilagd förteckning över Underbiträden, bilaga 2.

Punkt 12.1 anger att Personuppgiftsbiträdet, när PUB-avtalet ingås, ska ange alla underbiträden som det avser att anlita under avtalstiden. Bestämmelsen hindrar dock inte att personuppgiftsbiträdet anlitar nya underbiträden eller byter ut de underbiträden som de har angett i bilaga 2, se punkt 12.5 nedan jämte kommentarer.

12.2

12.2 Personuppgiftsbiträdet åtar sig att teckna ett skriftligt avtal med Underbiträdet som reglerar den Behandling som Underbiträdet utför å den Personuppgiftsansvariges vägnar samt att endast anlita Underbiträden som ger tillräckliga garantier. Underbiträdet ska genomföra lämpliga tekniska och organisatoriska åtgärder så att behandlingen uppfyller kraven i Dataskyddslagstiftningen. I fråga om dataskydd ska avtalet ålägga Underbiträdet samma skyldigheter som åläggs Personuppgiftsbiträdet enligt detta PUB-avtal.

I de fall där ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde (underbiträde) för utförande av specifik behandling på den personuppgiftsansvariges vägnar, ska enligt artikel 28.4 i dataskyddsförordningen underbiträdet, genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt, åläggas samma skyldigheter i fråga om dataskydd som de som fastställs i avtalet eller den andra rättsakten mellan den personuppgiftsansvarige och personuppgiftsbiträdet.

12.3

12.3 Personuppgiftsbiträdet ska i avtalet med Underbiträdet säkerställa att den Person­uppgiftsansvarige har rätt att säga upp Underbiträdet och instruera Underbiträdet att exempelvis radera eller återlämna Personuppgifterna om Personuppgiftsbiträdet har upphört att existera i faktiskt eller rättslig mening eller hamnat på obestånd.

Personuppgiftsbiträdet och dess underbiträden ska avtala om en klausul i PUB-avtalet som ger den personuppgiftsansvariga rätt att säga upp underbiträdesavtalet och ha rätt att instruera underleve­rantören att radera eller återlämna personuppgifterna. Detta med anledning av att avtalet med underbiträdet ingåtts med personuppgiftsbiträdet, som inte längre existerar på grund av exempelvis obestånd. Personuppgiftsansvarig måste då ha rätt att säga upp underleverantörsavtalet och instruera hur avvecklingen ska gå till.

12.4

12.4 Personuppgiftsbiträdet ansvarar fullt ut för Underbiträdets Behandling gentemot den Personuppgiftsansvarige. Personuppgiftsbiträdet ska skyndsamt underrätta den Person­uppgiftsansvarige om Underbiträdet underlåter att uppfylla sina skyldigheter i PUB-avtalet.

Punkt 12.4 säkerställer att personuppgiftbiträdet har fullt ansvar för underbiträdens behandlingar. Personuppgiftsbiträdet kan, med beaktande av samtliga punkter i PUB-avtalet, uppdra åt flera olika underbiträden att bistå i den behandling personuppgiftsbiträdet har i uppdrag att utföra. I alla fall där personuppgiftsbiträdet uppdrar åt ett eller flera underbiträden att bistå i dennes behandling, ansvar personuppgiftsbiträdet alltid fullt ut för dessas behandling mot den personuppgiftsansvarige. Den personuppgiftsansvariges instruktioner till personuppgiftsbiträdet ska givetvis inkluderas i personuppgiftsbiträdets PUB-avtal med sina underbiträden.

12.5

12.5 Personuppgiftsbiträdet äger rätt att anlita ett nytt underbiträde, om inte annat anges i Instruktionen.

Enligt artikel 28.2 i dataskyddsförordningen får personuppgiftsbiträdet inte anlita ett annat person­uppgiftsbiträde utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgifts­biträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.

12.6

12.6 När Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt Under­biträde ska Personuppgiftsbiträdet säkerställa Underbiträdets kapacitet och förmåga att uppfylla sina skyldigheter enligt Dataskyddslagstiftningen. Personuppgiftsbiträdet ska skriftligen meddela den Personuppgiftsansvarige om

  1. Underbiträdets namn, organisationsnummer och säte (adress och land),
  2. vilken typ av uppgifter och kategorier av Registrerade som behandlas, och
  3. var Personuppgifterna ska behandlas.

En grundläggande förutsättning för att den personuppgiftsansvarige ska kunna uppfylla säkerhets­kraven och kravet på kontroll av personuppgiftsbiträden är att den personuppgiftsansvarige har kännedom om vilka underbiträden som behandlar personuppgifter för dennes räkning.

Personuppgiftsbiträdet äger enligt punkten 12.5 och 12.6 rätt att anlita nya underbiträden och åtar sig att skriftligen meddela den personuppgiftsansvarige uppgifter om dessa såsom namn, organi­sationsnummer, adress, kategorier av registrerade som behandlas och var uppgifterna ska behandlas. Den personuppgiftsansvarige har dock rätt att motsätta sig anlitandet av det nya underbiträdet om den personuppgiftsansvarige inte anser att underbiträdet ger tillräckliga garantier för en säker behandling, se kommentar till punkten 16.4.

Kommentar 16.4

12.7

12.7 Den Personuppgiftsansvarige äger rätt att inom trettio (30) dagar från dag för meddelande enligt punkten 12.6 invända mot Personuppgiftsbiträdets anlitande av ett nytt Underbiträde och att, med anledning av sådan invändning, säga upp detta PUB-avtal att upphöra i enlighet med vad som stadgas i PUB-avtalet, punkten 16.4.

Punkt 12.7 säkerställer att den personuppgiftsansvarige har rätt att inom 30 dagar invända mot anlitandet av ett nytt underbiträde och har rätt att säga upp PUB-avtalet om denne anser att det finns en risk att det nya underbiträdet inte hanterar personuppgifterna på ett säkert sätt. Innan uppsägning sker kan det vara lämpligt att parterna först utreder möjligheterna för personuppgifts­biträdet att antingen själv utföra behandlingen eller byta ut underbiträdet till ett underbiträde som kan hantera personuppgifterna på ett säkert sätt.

12.9

12.9 När Personuppgiftsbiträdet slutar använda ett Underbiträde ska Personuppgiftsbiträdet skriftligen meddela den Personuppgiftsansvarige om detta. Personuppgiftsbiträdet ska när ett avtal upphör säkerställa att Underbiträdet raderar eller återlämnar Personuppgifterna.

Den personuppgiftsansvarige behöver även veta vilka underbiträden som inte längre är aktuella för att kunna uppfylla kravet på kontroll.

12.10

12.10 Personuppgiftsbiträdet ska på den Personuppgiftsansvariges begäran översända en kopia av det avtal som reglerar Underbiträdets Behandling av personuppgifter och förteckningen över Underbiträden enligt punkten 12.1.

För att kunna uppfylla kravet på kontroll behöver den personuppgiftsansvarige även veta vilka underbiträden som personuppgiftsbiträdet tecknat avtal med och att dessa uppfyller kraven i artikel 28 i dataskyddsförordningen beträffande underbiträdets behandling. Detta krav avser inte de kommersiella villkoren mellan parterna.

13. Lokalisering och överföring av personuppgifter till tredje land

13.1

13.1 Personuppgiftsbiträdet ska säkerställa att Personuppgifterna hanteras och lagras inom EU/EES av en fysisk eller juridisk person som är etablerad inom EU/EES, om inte PUB-avtalets parter kommer överens om något annat.

Punkt 13.1 säkerställer att personuppgiftsbiträdets behandling av personuppgifterna sker inom EU/EES och av en fysisk eller juridisk person som är etablerad inom EU/EES, såvida parterna inte kommit överens om någonting annat. Dataskyddsförordningen medför att alla EU/EES-länder har ett likvärdigt skydd för personuppgifter. Det innebär att personuppgifter kan överföras fritt mellan dessa länder utan några begränsningar. För länder utanför EU/EES (s.k. tredje länder) finns generellt inte en lagstiftning som ger motsvarande garantier. Av den anledningen stadgar dataskyddsförordningen att överföring endast får ske under särskilda förhållanden. Möjligheterna för tillåten överföring av personuppgifter som är under behandling eller är avsedd att behandlas i ett tredje land kan delas in i följande tre grupper:

  1. EU-kommissionen har beslutat att tredje landet säkerställer en adekvat skyddsnivå (se EU-kommissionens hemsida för en uppdaterad förteckning),
  2. den som behandlar personuppgifterna har vidtagit lämpliga skyddsåtgärder inför överföringen och det finns lagstadgade rättigheter och effektiva rättsmedel för registrerade eller
  3. det föreligger ett undantag enligt artikel 49.1 första stycket i dataskyddsförordningen.

Om personuppgifter ska behandlas utanför EU/EES är det parternas skyldighet att säkerställa att något av undantagen ovan är tillämpligt. Det finns specialbestämmelser utöver GDPR som reglerar överföring av personuppgifter till tredje land, exempelvis i förordning (2001:637) om behandling av personuppgifter inom socialtjänsten.

Den personuppgiftsansvarige ska också på förhand ha givit sitt skriftliga godkännande till överföringen och utfärdat instruktioner för detta ändamål.

14. Ansvar för skada i samband med behandling

14.1

14.1 Vid ersättning för skada i samband med Behandling som, genom fastställd dom eller förlikning, ska utgå till den Registrerade på grund av överträdelse av bestämmelse i PUB-avtalet, Instruktioner och/eller tillämplig bestämmelse i Dataskyddslagstiftningen ska artikel 82 i Dataskyddsförordningen tillämpas.

I punkt 14.1 regleras ansvaret mellan parterna för det fall en registrerad lider skada till följd av att en eller båda parterna har behandlat personuppgifter i strid med dataskyddsförordningen. Punkten reglerar inte ansvar för annan typ av skada och påverkar inte parternas möjlighet att införa ansvarsbegränsningar för skador som beror på att huvudavtalet inte följs avseende exempelvis leveranser eller SLA (se vidare kommentaren under punkten 14.4 nedan).

Punkten hänvisar till artikel 82 i dataskyddsförordningen och syftet är att den ska tolkas i enlighet med rättsutvecklingen inom artikelns tillämpningsområde. I artikel 82 stadgas utförligt när en personuppgiftsansvarig respektive ett personuppgiftsbiträde kan bli ansvarig för ideella och materiella skador hos den registrerade och möjligheterna till regressrätt.

Den personuppgiftsansvarige är enligt artikel 82 ansvarig för skada som orsakats av behandling som strider mot dataskyddsförordningen. Personuppgiftsbiträdets ansvar är enligt artikel 82.2 begränsat till situationer där

  1. denne inte har fullgjort de skyldigheter i dataskyddsförordningen som specifikt riktar sig till personuppgiftsbiträden eller
  2. agerat utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar.

Av artikel 82.4 i dataskyddsförordningen följer dock att parterna är solidariskt ansvariga gentemot den registrerade om båda medverkat vid samma behandling och enligt artikel 82.3 inte kan visa att de inte på något sätt är ansvariga för den händelse som orsakat skadan.

Regressmöjligheten i artikel 82.5 ger den part som har betalat ut full ersättning rätt att från den andra parten återkräva den del av ersättningen som motsvarar den andra partens del av ansvaret enligt artikel 82.2.

14.2

14.2 Sanktionsavgifter enligt artikel 83 i Dataskyddsförordningen, eller 6 kap. 2 § lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska bäras av den av PUB-avtalets parter som påförts en sådan avgift.

Punkt 14.2 regerar att en eventuell administrativ sanktionsavgift ska bäras av den part som påförts avgiften av tillsynsmyndigheten. Av artikel 83 följer att avgiften har till syfte att i varje enskilt fall vara effektiv, proportionell och avskräckande. Vidare ska tillsynsmyndigheten bland annat vid påförandet av avgiften ta hänsyn till graden av ansvar hos den personuppgiftsansvarige eller personuppgifts­biträdet med beaktande av de tekniska och organisatoriska åtgärder som genomförts av dem i enlighet med artikel 25 och 32.

14.3

14.3 Om endera part får kännedom om omständighet som kan leda till skada för motparten ska parten utan onödigt dröjsmål informera motparten om förhållandet och aktivt arbeta tillsammans med motparten för att förhindra och minimera sådan skada.

Punkt 14.3 reglerar parternas informationsskyldighet gentemot varandra och grundas på allmänna skadeståndsrättsliga principer om att lämpliga åtgärder ska vidtas för att minska uppkommen skada och följderna av en sådan.

14.4

14.4 Oaktat vad som sägs i Huvudavtalet gäller detta PUB-avtal, punkter 14.1 och 14.2, före andra regler om fördelning mellan parterna av krav sinsemellan såvitt avser Behandlingen.

Punkt 14.4 reglerar att parterna inte kan avtala om någon annan ansvarsfördelning gällande skade­stånd till registrerad som uppstår i samband med personuppgiftsbehandling eller administrativ sanktionsavgift än vad som stadgas i punkterna 14.1 och 14.2. Skälet är att det följer av artikel 28.1 och skäl 81 i dataskyddsförordningen att en personuppgiftsansvarig endast får anlita personuppgifts­biträden som kan ge ”tillräckliga garantier” om att genomföra lämpliga tekniska och organisatoriska åtgärder så att behandlingen uppfyller kraven i förordningen och säkerställer att den registrerades rättigheter skyddas. Att personuppgiftsbiträdet friskriver sig från eventuell skada, och därmed helt eller delvis övervältrar sitt ansvar för skyddet av personuppgifter på den personuppgiftsansvarige, torde inte vara förenligt med kravet på ”tillräckliga garantier ”.

Det ska framhållas att ansvar för skador på grund av exempelvis felaktiga eller försenade leveranser kan regleras i huvudavtalet utan hinder av punkten 14.4 i PUB-avtalet. Villkoret hindrar alltså inte parterna från att i huvudavtalet reglera eventuella ansvars begränsningar för skada som beror på att huvudavtalet inte följs.

15. PUB-avtalets tecknande, avtalstid och uppsägning

15.1

15.1 PUB-avtalet gäller från och med den tidpunkt PUB-avtalet undertecknats av båda parter och tillsvidare. Parterna äger ömsesidig rätt att säga upp PUB-avtalet att upphöra med trettio (30) dagars varsel.

Punkt 15.1 reglerar vad som gäller mellan parterna för det fall avtalstiden inte följer av huvudavtalet. Det är fullt möjligt för parterna att avtala om annan avtals- eller uppsägningstid i huvudavtalet. Huvudavtalets reglering ska i sådant fall ha företräde (jmf. punkten 3.3).

16. Ändringar och uppsägning med omedelbar verkan m.m.

16.1

16.1 Endera part i PUB-avtalet äger rätt att påkalla omförhandling av PUB-avtalet om motpartens ägarförhållanden ändras väsentligt eller om tillämplig lagstiftning, eller tolkningen av den, ändras på ett för Behandlingen avgörande sätt. Påkallande av omförhandling enligt första meningen innebär inte att PUB-avtalet till någon del upphör att gälla utan endast att en omförhandling om PUB-avtalet ska påbörjas.

Punkt 16.1 föreskriver att båda parterna har rätt till omförhandling om ägarförhållandena ändras väsentligt eller om tillämplig lagstiftning eller tolkningen av lagstiftningen ändras på ett för behandlingen avgörande sätt. En ny majoritetsägare från tredje land skulle kunna vara en väsentlig ändring av ägarförhållandena. Omförhandlingen ska i första hand syfta till att försöka hitta en lösning så att avtalet kan fortsätta löpa.

16.3

16.3 När någon av parterna får kännedom om att motparten agerar i strid med PUB-avtalet och/eller Instruktioner ska parten utan dröjsmål meddela motparten om agerandet. Därefter äger parten rätt att med omedelbar verkan upphöra att utföra sina förpliktelser enligt PUB-avtalet till den tidpunkt motparten förklarat att agerandet upphört och förklaringen accepterats av den part som påtalat agerandet.

Punkt 16.3 ålägger båda parterna en skyldighet att utan dröjsmål meddela motparten om denne agerar i strid med PUB-avtalet. Därefter får parten rätt att omedelbart sluta utföra de uppgifter som åligger parten enligt PUB-avtalet. För det fall parten inte upphör med behandlingen finns en uppenbar risk att partens ansvar enligt dataskyddsförordningen ökar väsentligt. När motparten har rättat till de brister som parten har påtalat och den påtalande parten har accepterat förklaringen kan avtalet fortsätta löpa.

16.4

16.4 Om den Personuppgiftsansvarige invänder mot Personuppgiftsbiträdets anlitande av ett nytt underbiträde, enligt detta PUB-avtal, punkt 12.6, har den Personuppgiftsansvarige rätt att säga upp PUB-avtalet att upphöra med omedelbar verkan.

Punkt 16.4 säkerställer att artikel 28.2 jämte skäl 81 i dataskyddsförordningen infrias. I artikel 28.2 föreskrivs att ett personuppgiftsbiträde inte får anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits ska personuppgiftsbiträdet informera den personuppgifts­ansvarige om eventuella planer på att anlita nya personuppgiftsbiträde eller ersätta personuppgifts­biträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.

Villkoret ger den personuppgiftsansvarige rätt att säga upp avtalet för det fall den personuppgifts­ansvarige inte anser att underbiträdet har tillräcklig sakkunskap, tillförlitlighet och resurser för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i dataskyddsförordningen (jmf skäl 81 i dataskyddsförordningen).

17. Åtgärder vid PUB-avtalets upphörande

17.1

17.1 Efter uppsägning av PUB-avtalet ska den Personuppgiftsansvarige utan onödigt dröjsmål, beroende på vad den Personuppgiftsansvarige väljer, antingen radera och intyga för den Personuppgiftsansvarige att det är utfört, eller återlämna

  1. alla Personuppgifter som Behandlats för den Personuppgiftsansvariges räkning och
  2. all tillhörande information såsom Loggar, Instruktioner, systemlösningar, beskrivningar och andra handlingar som Personuppgiftsbiträdet erhållit genom informationsutbyte enligt PUB-avtalet

Den personuppgiftsansvarige ska så snart som möjligt meddela om personuppgiftsbiträdet ska radera eller återlämna samtliga personuppgifter till den personuppgiftsansvarige. Personuppgifts­biträdet ska, efter raderingen eller återlämnandet, inte längre ha några personuppgifter kvar.

17.3

17.3 Skyldigheten att radera eller återlämna Personuppgifter eller tillhörande information gäller inte om lagring av Personuppgifterna eller informationen krävs enligt unionsrätten eller relevant nationell rätt där Behandling får utföras enligt PUB-avtalet.

För det fall det finns författningskrav som kräver att personuppgiftsbiträdet behåller uppgifter får biträdet behålla de uppgifter som behövs för att uppfylla kravet (jmf. 28.3 g i dataskyddsförord­ningen). I ett sådant fall finns laglig rätt att behandla uppgifterna enligt artikel 6.1 c. Personuppgifts­biträdet är ansvarig för den behandlingen. Det är därmed viktigt att på förhand ta reda på vilka krav på bevarande av personuppgifter som gäller i det land där uppgifterna behandlas.

17.4

17.4 Om Personuppgifter eller tillhörande information återlämnas ska det ske i ett allmänt använt och standardiserat format, om parterna inte har kommit överens om något annat format.

Parterna har frihet att avtala om det elektroniska format som informationen ska återlämnas i.

17.6

17.6 Återlämning eller radering enligt PUB-avtalet ska vara utförd senast trettio (30) kalenderdagar räknat från tidpunkten för uppsägningen av PUB-avtalet, om inte annat anges i Instruktionen. Behandlingen av Personuppgifter som Personuppgiftsbiträdet utför därefter är att betrakta som otillåten Behandling.

Det är möjligt för parterna att komma överens om annan återlämnings- eller raderingstid. Detta ska i så fall anges eller justeras i instruktionen.

17.7

17.7 Bestämmelser om sekretess/tystnadsplikt i avsnitt 8 ska fortsätta gälla även om PUB-avtalet i övrigt upphör att gälla.

Detta gäller trots att personuppgiftsbiträdet är att se som personuppgiftsansvarig för behandling som sker efter att PUB-avtalet upphört att gälla.

18. Meddelanden inom ramen för detta PUB-avtal och instruktioner

18.1, 18.2

18.1 Meddelanden om PUB-avtalet och dess administration inklusive uppsägning ska skickas via e-post eller på något annat av parterna överenskommet sätt till respektive parts kontaktperson för PUB-avtalet.

18.2 Meddelanden om parternas samarbete om dataskydd gällande Behandlingen ska skickas via e-post eller på något annat av parterna överenskommet sätt till respektive parts kontaktperson för parternas samarbete om dataskydd.

Meddelande om PUB-avtalets administration får endast skickas till parts kontaktperson för administration och meddelande om dataskydd vid behandlingen får endast skickas till parts kontaktperson för dataskydd, om inte parterna kommit överens om något annat. E-post är det meddelandeformat som gäller om inte annat avtalats.

19. Kontaktpersoner

Parterna ansvarar för att utse kontaktpersoner dels för administration av personuppgiftsbiträdes­avtalet, dels för parternas samarbete om dataskydd med anledning av avtalet. Se kommentaren till avsnitt 1.

Kommentar avsnitt 1

20. Ansvar för uppgifter om parterna och kontaktpersoner samt kontaktuppgifter

20.1, 20.2

20.1 Varje part ansvarar för att de uppgifter som anges i avsnitt 1 i PUB-avtalet alltid är aktuella och korrekta.

20.2 Ändring av uppgifter i avsnitt 1 ska meddelas motparten enligt punkt 18.1 i PUB-avtalet.

Punkterna 20.1-20.2 säkerställer att det alltid finns kontaktpersoner som kan ta emot meddelanden enligt avtalet. Parterna ansvarar för att kontaktpersonernas uppgifter är aktuella (uppdaterade) och korrekta så att det alltid finns mottagare av meddelanden enligt avtalet.

21. Lagval och tvister

21.1

21.1 Vid tolkning och tillämpning av PUB-avtalet gäller svensk rätt med undantag för lagvalsreglerna. Tvister med anledning av PUB-avtalet ska avgöras av behörig svensk domstol.

Eventuell tolkning eller tvist i anledning av PUB-avtalet, som parterna inte kan lösa på egen hand genom förhandling, ska avgöras av svensk allmän domstol och enligt svensk rätt. Punkten kan inte avtalas bort eller ändras enligt punkten 3.3.

Vilket lands lag som ska tillämpas brukar benämnas lagval. Det finns rättsliga regler som styr lagvalet. Vanligt är dock att parterna i klausuler om lagval och tvister avtalar att reglerna om lagval inte ska gälla, vilket är ett förfarande som har accepterats i praxis. Syftet med en sådan reglering är att skapa förutsägbara om vilket lands lagar som är tillämpliga.

Informationsansvarig

  • Pål Resare
    Förbundsjurist

Kontakta oss

Kontakta SKR

Välkommen att skicka in din organisations frågor

  • Vid akuta frågor, vänligen ring SKR:s kontaktcenter på 08-452 70 00.
  • Se till att frågan är väl förberedd innan du skickar in den.
  • Det ingår inte i SKR:s uppgifter att ge service till privatpersoner och privata företag.


Undvik känsliga personuppgifter när du beskriver ditt ärende.






Verifiering * (obligatorisk)
Vi kontrollerar att du är en människa och inte en robot.