PUB-avtal

Så här använder du PDF-avtalsmallen:

1. Ladda ner PDF:en till din enhet, den öppnas i webbläsaren
2. Fyll ut PDF:en och spara den
3. Logga in på Visma Sign och skicka filen till mottagaren för säker signering

Så här tolkar du avtalet och bilagorna

Personuppgiftsbiträdesavtalet

Parter
Inledningsvis är det av särskild vikt att tydligt definiera vilka parter som ingår PUB-avtalet, vilken part som utgör Per sonuppgiftsbiträdet respektive Personuppgiftsansvarig samt kontaktuppgifter till Parterna.

Definitioner
För att undvika ett alltför omfattande avtal kan det vara på sin plats att definiera termer som ofta förekommer i huvudavtalet.

Bakgrund
För att på ett tydligare sätt förstå varför de båda avtalsparterna ingått avtal med varandra beskrivs initialt syftet med avtalet. Det är bra om man här är så tydlig som möjligt och förklarar vilken avsikt man har med avtalet. Ju tydligare man är desto bättre är det.

Behandling av personuppgifter
Här beskrivs objektivet med avtalet, det vill säga hur Parterna ska uppnå syftet med avtalet. Det är bra om man här är så tydlig som möjligt och förklarar hur syftet med avtalet ska uppnås. Ju tydligare man är desto bättre är det.

Den Personuppgiftsansvariger Ansvar
Här beskrivs de åtaganden den Personuppgiftsansvarige åtar sig med anledning av avtalet. Det kan t.ex. handla om informationsplikt till Personuppgiftsbiträdet samt övriga parter som berörs av avtalet.

Personuppgiftsbiträdets Åtaganden
Här beskrivs de åtaganden Personuppgiftsbiträdet åtar sig med anledning av avtalet. Det kan t.ex. handla om ansvar för anställda och Underbiträden och informationsplikt till den Personuppgiftsansvarige.

Säkerhetsåtgräder
Det är oerhört viktigt att den Behandling av Personuppgifter som sker inom ramen för PUB-avtalet sker med till räcklig säkerhet för att undvika Personuppgiftsincidenter, t.ex. att någon part läcker personuppgifter till tredje part. Det är därför viktigt att det på ett tydligt sätt framgår vilka åtgärder som vidtas för att på ett lagenligt sätt skydda Personuppgifterna.

Sekretess
När ett Personuppgiftsbiträde får i uppdrag att Behandla Personuppgifter är det oundvikligt att Personuppgiftsbiträ det i samband med Behandlingen får tillgång till sekretessbelagda uppgifter. Den Personuppgiftsansvarige vill med anledning av detta erinra sig om att Personuppgiftsbiträdet inte sprider denna information vidare. Det är därmed viktigt att förtydliga vilken information som faller under sekretessbestämmelsen, vilken information som inte omfat tas av sekretessbestämmelsen samt under vilken tidsperiod sekretessbestämmelsen är tillämplig. Parterna kan även avtala om vad som skulle ske för det fall någon part bryter sekretessen.

Granskning, Tillsyn Och Revision
Då skyddet för Personuppgifter är så starkt är det viktigt att det sker kontinuerliga granskningar av Parternas arbete för att säkerställa ett tillfredställande resultat. Med anledning av detta finns det skäl att tydligt ange hur denna över syn regleras.

Hantering Av Rättelser Och Radering M.M.
För det fall felaktig Behandling av Personuppgifter skulle ske bör det regleras hur Parterna ska agera, t.ex. genom hur rättelse ska vidtas och vilka aktörer som ska underrättas.

Personuppgiftsincidenter
För det fall Personuppgiftsincidenter skulle ske bör det regleras hur Parterna ska agera, t.ex. genom hur återstäl lande ska ske och vilka aktörer som ska underrättas.

Underbiträde
Personuppgiftsbiträdet kan ha rätt att anlita flera aktörer för att bistå denne i dennes arbete. Detta förutsätter dock den Personuppgiftsansvariges medgivande och insyn, vilket förtydligas här.

Lokalisering Och Överföring Av Personuppgifter Till Tredje Land
Dataskyddslagstiftningen gäller inom EU och EES, varpå det krävs att avtalet reglerar vad som sker vid aktioner utan för detta område.

Ansvar För Skada I Samband Med Behandling
Vid felaktig Behandling eller Personuppgiftsincidenter kan skadeståndsansvar aktualiseras gentemot individen. Parterna kan därför avtala om vem som bär skadeståndsansvaret.

Avtalstid Och uppsägning
En väsentlig del av Parternas avtal avser hur länge avtalet ska pågå. Avtalet kan ingås på bestämt tid eller tillsvidare. Det bör även belysas om Parterna behöver beakta någon uppsägningstid.
Ändringar, Uppsägning Med Omeldelbar Verkan M.M.
Varje ändring av detta avtal ska vara skriftlig och undertecknad av båda Parterna för att vara gällande. Man ska dock vara noga med att fundera på konsekvenserna för vad en ändring av ett redan ingånget avtal blir. Här kan det vara på sin plats att konsultera med en advokat för att tillse att ändringen inte medför några oönskade justeringar av avtalet.

Åtgärder Vid Pub-Avtalets Upphörande
Då skyddet för Personuppgifter är så starkt är det viktigt att reglera vad som sker vid avtalets upphörande, t.ex. genom hur Personuppgifter raderas eller återlämnas samt hur sekretessen påverkar Parterna efter PUB-avtalets upphörande.

Meddelanden
För att underlätta för Parterna kan det med fördel regleras i denna typ av avtal hur Parterna ska kommunicera med varandra. Underlättandet har dels syfte i enkelhet och tydlighet, dels i bevishänseende vid eventuella tvister.

Tillämplig Lag Och Tvist
Om det skulle uppstå oenigheter mellan Parterna avseende avtalsinnehållet kan Parterna avtala om hur sådana tvis ter ska lösas. Som huvudregel mellan två svenska avtalsparter gäller svensk lag, men Parterna kan komma överens om annan lagstiftning. Parterna kan även välja om tvisten slutligt ska avgöras i allmän domstol eller skiljenämnd. I denna mall förespråkas att eventuell tvist ska avgöras i allmän domstol.

Bilaga 1 – Personuppgiftsansvariges Instruktion För Behandling Av Personuppgifter

Utöver vad som framgår av PUB-avtalet kan den Personuppgiftsansvarige ange ytterligare Instruktioner för Behandlingen av Personuppgifter.

Ändamålet, Föremålet Och Arten
Ange övergripande det huvudsakliga syftet med Personuppgiftsbiträdets Behandling av Personuppgifter åt den Personuppgiftsansvarige, t.ex. tillhandahållande av ett HR-verktyg för löneadministration, en molntjänst för lagring av verksamhetsdata eller ett system för övervakning av inpassering till kontorslokaler. Ange även ändamålet med Behandlingen, dvs. varför Personuppgiftsbiträdet ska Behandla Personuppgifterna åt den Personuppgiftsansvarige – vad är syftet med Behandlingen? Exempel på ändamål är att administrera utbetalning av löner och andra förmåner till medarbetare, att lagra informationstillgångar på ett säkert och kostnadseffektivt sätt eller att motverka olovlig inpassering i kontorslokaler. Beskrivningen ska vara så pass fullständig att externa parter (t.ex. en tillsynsmyndighet) kan förstå innehållet och riskerna med den Behandling som anförtrotts Personuppgiftsbiträdet. Ange slutligen Behandlingens art, dvs. vilka behandlingsåtgärder som Personuppgiftsbiträdet ska utföra åt den Personuppgiftsans varige. Exempel på behandlingsåtgärder är insamling, lagring, läsning, strukturering, överföring osv.

Behandlingen Omfattar Följande Typer Av Personuppgifter
Ange vilka typer av Personuppgifter som Personuppgiftsbiträdet har rätt att behandla åt den Personuppgiftsans varige, t.ex. namn, e-postadress, postadress, telefonnummer, medlemsnummer, IP-adress, bilder, rörliga bilder, hälsouppgifter osv.

Behandlingen Omfattar Vissa Kategorier Av Registrerade
Ange vilka kategorier av Registrerade som Personuppgiftsbiträdet har rätt att behandla Personuppgifter om, t.ex. anställda, konsulter, patienter, brukare, närstående, elever, vårdnadshavare osv.

Ange Särskilda Hanteringskrav Vad Gäller Behandling Av Personuppgifter Som Utförs Av Personuppgiftsbiträdet
Exempel på hanteringskrav är att personuppgifter ska gallras efter en viss angiven tidsperiod eller att säkerhetskop ior inte får sparas längre än en viss angiven tidsperiod. Även krav på rutiner kring behörighetshantering kan anges här.

Ange De Särskilda Tekniska Och Organisatoriska Säkerhetsåtgärder Som Gäller För Personuppgiftsbiträdets Behandling Av Personuppgifter
För att den Personuppgiftsansvarige ska kunna bedöma vilka säkerhetsåtgärder som Personuppgiftsbiträdet behöver vidta, behöver Personuppgiftsbiträdet redovisa samtlig teknisk dokumentation och systemspecifikation avseende aktuell tjänst eller system som klargör hur Personuppgifter hanteras och skyddas inom ramen för tjänsten eller systemet. Relevant information kan även framgå av Personuppgiftsbiträdets integritetspolicy. Redovisningen kan exempelvis anges under följande underrubriker: Organisatoriska säkerhetsåtgärder, Säkerhetsåtgärder av seende personer, Fysiska säkerhetsåtgärder och Tekniska säkerhetsåtgärder (se ISO/IEC 27002). Utifrån dokumenta tionen kan den Personuppgiftsansvarige bedöma vilka åtgärder som ev. behöver anpassas eller kompletteras med för att uppnå en tillräcklig skyddsnivå för Personuppgifterna i syfte att bevara skyddet för Registrerades personliga integritet (jfr. artikel 35 i Dataskyddsförordningen). Den här informationen kan mycket väl framgå av en särskild bilaga.

Ange Särskilda Krav På Loggning Vad Gäller Behandling Av Personuppgifter Samt Vilka Som Ska Ha Tillgång Till Dem Till Dem
Kraven kan t.ex. avse vad som ska framgå av loggarna, vilka som får ha tillgång till dem och hur länge de ska sparas. Lokalisering Och Överföring Av Personuppgifter Till Tredje Land
Ange postadress och land för de platser där Behandlingen utförs. Ange även ev. Instruktioner för överföring av Per sonuppgifter till Tredje land enligt följande exempel. ”För ändamålet [x] har Personuppgiftsbiträdet rätt att föra över Personuppgifter i form av [x] till [x] för Behandling i form av [x] av Underbiträdet [x]. Rättslig grund för överföringen är [x] i kapitel V i Dataskyddsförordningen.

Behandlingens Varaktighet
Ange tidsperioden, eller de kriterier som används för att fastställa tidsperioden, under vilken Personuppgiftsbiträdet får Behandla Personuppgifter åt den Personuppgiftsansvarige. Till exempel kan man hänvisa till PUB-avtalets avtals tid.

Övriga Instruktioner Angående Behandling Av Personuppgifter Som Utförs Av Personuppgiftsbiträdet
Lägg vid behov till ytterligare Instruktioner för Personuppgiftsbiträdets Behandling av Personuppgifter utöver de som framgår ovan. Instruktionerna kan t.ex. avse förfarandet vid den Personuppgiftsansvariges granskningar och inspektioner av Personuppgiftsbiträdets Behandling av Personuppgifter enligt avsnitt 7 i PUB-avtalet.

Bilaga 2 – Förteckning Över Godkända Underbiträden

Ange Bolagsnamn, organisationsnummer, postadress, e-postadress, telefonnummer, var Underbiträdet Behandlar Personuppgifter, vilka typer av Personuppgifter som Underbiträdet Behandlar, ändamålet med Underbiträdets Be handling, under vilken tidsperiod som Underbiträdets Behandling sker samt ev. länk till ytterligare information om Underbiträdets Behandling av Personuppgifter, t.ex. integritetspolicy eller information om säkerhetsåtgärder.