Avtal om behandling av personuppgifter

1. Parter

Personuppgiftsansvarig

Naturvårdsverket

106 48 Stockholm

Organisationsnummer: 202100–1975

Kontaktperson: Marcus Carlsson Reich

E-post: Marcus.CarlssonReich@naturvardsverket.se

Telefonnummer: 010-698 13 93

Personuppgiftsbiträde

Organisation: Dialogues Facilitation Gothenburg AB

Adress: Sundshagsgatan 34

Postnummer och ort: 414 76, Göteborg

Organisationsnummer: 5590328117

Kontaktperson: Bernard le Roux

E-post: bernard.leroux@dialogues.se

Telefonnummer: +46(0) 763 16 55 55

2. Definitioner

Detta personuppgiftsbiträdesavtal har motsvarande definitioner som återfinns i artikel 4 i dataskyddsförordningen[1], vilket bl.a. innebär följande.

 Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Med behandling avses en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättning av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämnande genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Med pseudonymisering avses behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

Personuppgiftsincident avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats och i övrigt behandlas.

3. Innehåll och syfte

Detta avtal har upprättats för att uppfylla de krav som framgår av dataskyddsförordningen, andra gällande författningar på området och etablerad standard samt att uppgifterna inte blir tillgängliga för obehöriga.

Mellan Naturvårdsverket och personuppgiftsbiträdet har ett Avropsavtal för utveckling och genomförande utbildningar (Delområde 2-4) (”leveransavtalet”) upprättats. Leveransavtalet är det avtal som reglerar vad personuppgiftsbiträdet ska utföra för Naturvårdsverkets räkning. Personuppgiftsbiträdet behandlar personuppgifter i den omfattning som krävs för att uppfylla åtagandena enligt leveransavtalet.

4. Personuppgiftsbiträdesavtalets avtalshandlingar

Personuppgiftsbiträdesavtalet består av detta dokument och instruktioner (bilaga 1 och 2).

5. Behandlingar som omfattas av personuppgiftsbiträdesavtalet

5.1 Preciserade instruktioner till personuppgiftsbiträdet avseende dennes behandling av personuppgifter inom ramen för detta personuppgiftsbiträdesavtal framgår av bilaga 1.

5.2 Åtgärderna för inbyggt dataskydd och dataskydd som standard ska genomföras av parterna i enlighet med instruktionerna i bilaga 2.

5.3 Parterna är överens om att Naturvårdsverket kan ändra eller utfärda ytterligare instruktioner som det åligger personuppgiftsbiträdet att följa. Parterna ska säkerställa att vid var tid gällande instruktioner framgår av bilaga 1 och 2.

6. Behandling av personuppgifter

6.1 Personuppgiftsbiträdet åtar sig att behandla personuppgifter i enlighet med dataskyddsförordningen, detta personuppgiftsbiträdesavtal samt i enlighet med vid var tid gällande instruktioner från Naturvårdsverket hänförliga till detta personuppgiftsbiträdesavtal.

 6.2 Naturvårdsverket bestämmer ensam ändamålet med och medlen för den behandling av personuppgifter som personuppgiftsbiträdet utför för Naturvårdsverkets räkning.

6.3 Personuppgiftsbiträdet får inte behandla personuppgifter för något annat ändamål eller på något annat sätt än vad som vid varje behandlingstillfälle är nödvändigt för att uppfylla sina åtaganden enligt personuppgiftsbiträdesavtalet och leveransavtalet.

7. Personuppgiftsbiträdets skyldigheter

7.1 Personuppgiftsbiträdet garanterar att denne besitter nödvändig kapacitet och förmåga att fullgöra sina skyldigheter enligt detta personuppgiftsbiträdesavtal och gällande dataskyddslagstiftning, samt att denne löpande vidtar sådana lämpliga tekniska och organisatoriska åtgärder som krävs för att säkerställa att den registrerades rättigheter skyddas. Personuppgiftsbiträdet ska följa föreskrifter och rekommendationer från Datainspektionen och andra myndigheter som har en styrande inverkan på Naturvårdsverkets verksamhet och som ger vägledning vad gäller informationssäkerhet. 

7.2 Personuppgiftsbiträdet ska på Naturvårdsverkets begäran visa att de skyldigheter som framgår av detta personuppgiftsbiträdesavtal och gällande dataskyddsregler uppfyllts.

7.3 För det fall att personuppgiftsbiträdet saknar instruktioner som personuppgiftsbiträdet bedömer är nödvändiga för att genomföra uppdraget ska personuppgiftsbiträdet utan dröjsmål, informera Naturvårdsverket om sin inställning och invänta instruktioner från Naturvårdsverket.

7.4 Personuppgiftsbiträdet ska utan dröjsmål informera Naturvårdsverket om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandling av personuppgifterna. Personuppgiftsbiträdet har inte rätt att företräda Naturvårdsverket eller agera för myndighetens räkning gentemot Datainspektionen eller annan tredje man.

7.5 För det fall att registrerad, Datainspektionen eller annan tredje man begär information från personuppgiftsbiträdet som rör behandlade personuppgifter ska personuppgiftsbiträdet hänvisa till Naturvårdsverket. Naturvårdsverket och personuppgiftsbiträdet ska därefter komma överens om lämpligt tillvägagångsätt för utgivande av efterfrågad information.

7.6 Personuppgiftsbiträdet ska på Naturvårdsverkets begäran bistå Naturvårdsverket att fullgöra sina skyldigheter enligt gällande dataskyddsregler (artikel 32-36), såsom att utföra konsekvensbedömningar avseende dataskydd och genomföra förhandssamråd med Datainspektionen.

7.7 Personuppgiftsbiträdet ska vid behov bistå Naturvårdsverket att tillmötesgå en begäran om rättelse, blockering eller utplåning av personuppgifter som framställts av den registrerade.

7.8 Personuppgiftsbiträdet ska omgående underrätta Naturvårdsverket vid en personuppgiftsincident. Personuppgiftsbiträdet ska också underrätta myndigheten vid försök till obehörig åtkomst, förstörelse eller ändring av personuppgifter. Se punkt 10.

7.9 Naturvårdsverket har rätt att ta del av de uppgifter som registreras i tjänstens logg. Uppgifter i loggen får endast användas av Naturvårdsverket för vad som krävs för upprätthållande av tjänstens funktionalitet och kvalitet.

7.10 Naturvårdsverket har rätt att själv eller genom tredje man kontrollera att personuppgiftsbiträdet följer vad som anges i detta personuppgiftsbiträdesavtal. Personuppgiftsbiträdet ska då kostnadsfritt lämna Naturvårdsverket den hjälp och tillhandahålla den dokumentation som erfordras för detta.

7.11 Personuppgiftsbiträdet har inte rätt till särskild ersättning för åtaganden enligt personuppgiftsbiträdesavtalet.

8. Sekretess och tystnadsplikt

8.1 Behandling av personuppgifter ska, i förekommande fall, ske i enlighet med angiven sekretessklausul i leveransavtalet. Tillämpliga bestämmelser i offentlighet- och sekretesslagen (2009:400) ska följas.

8.2 Personuppgiftsbiträdet ansvarar för att berörda personer (inklusive personer hos eventuellt underbiträde) informeras om och iakttar gällande sekretess. Personuppgiftsbiträdet ska se till att berörda personer omfattas av tystnadsplikt avseende de personuppgifter som behandlas.

8.3 Personuppgiftsbiträdet, dennes personal eller eventuellt underbiträde får inte lämna ut några uppgifter till tredje man utan att först ha inhämtat skriftligt medgivande från Naturvårdsverket.

9. Underbiträden

9.1 Personuppgiftsbiträdet får inte anlita ett underbiträde utan att ett särskilt skriftligt förhandstillstånd har erhållits från Naturvårdsverket. Personuppgiftsbiträdet ska genom skriftligt avtal ålägga underbiträdet samma skyldigheter som följer av detta personuppgiftsbiträdesavtal. 

9.2 Om underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska personuppgiftsbiträdet vara fullt ansvarigt gentemot Naturvårdsverket för utförandet av underbiträdets skyldigheter.

9.3 För att Naturvårdsverket ska kunna uppfylla sina lagstadgade skyldigheter som personuppgiftsansvarig, ska samtliga underbiträden vara kända av och redovisade för Naturvårdsverket. Naturvårdsverket måste även ha kännedom om i vilket land behandlingen äger rum.

10. Underrättelse i händelse av personuppgiftsincident

10.1 Personuppgiftsbiträdet ska efter att ha fått vetskap om en personuppgiftsincident (se punkt 2 och punkt 7.8) snarast utan dröjsmål underrätta Naturvårdsverket, via e-post registrator@naturvardsverket.se.

En sådan underrättelse ska åtminstone innehålla följande information.

1. a) En beskrivning av personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs, samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
2. b) Namn och kontaktuppgifter till personuppgiftsbiträdets dataskyddsombud eller andra kontaktuppgifter där mer information kan erhållas,
3. c) En beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten och
4. d) En beskrivning av de åtgärder som personuppgiftsbiträdet har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

Om Naturvårdsverket eller Datainspektionen så begär ska personuppgiftsbiträdet informera den registrerade om en personuppgiftsincident på så sätt som följer av dataskyddsförordningen.

10.2 Personuppgiftsbiträdet ska efter att ha fått vetskap om att försök till obehörig åtkomst, förstörelse eller ändring av personuppgifter har inträffat, senast utan dröjsmål, underrätta Naturvårdsverket, via e-post registrator@naturvardsverket.se. En sådan underrättelse ska åtminstone innehålla följande information.

1. a) Namn och kontaktuppgifter till personuppgiftsbiträdets dataskyddsombud eller andra kontaktuppgifter där mer information kan erhållas
2. b) Beskrivning av händelseförlopp
3. c) Beskrivning av vidtagna åtgärder
4. Överföring av personuppgifter till tredjeland

11.1 Personuppgiftsbiträdet äger inte rätt att överföra personuppgifter till tredjeland eller en internationell organisation utan att Naturvårdsverket har lämnat sitt skriftliga samtycke i förväg till en sådan överföring.

 11.2 En överföring till tredjeland förutsätter under alla förhållanden, d.v.s. även för det fall Naturvårdsverket lämnat sitt skriftliga samtycke, att personuppgiftsbiträdet uppfyller de krav och åtgärder som följer av dataskyddsförordningen vad avser tredjelandsöverföring.

12. Skada och ansvar

12.1 Personuppgiftsbiträdet är medveten om att varje person som har lidit skada till följd av personuppgiftsbiträdets överträdelser av gällande dataskyddsregler, detta personuppgiftsbiträdesavtal eller instruktion från Naturvårdsverket ska ha rätt till ersättning från personuppgiftsbiträdet för den uppkomna skadan.

 12.2 Vid ersättning för skada i samband med behandling som, genom fastställd dom eller förlikning, ska utgå till den registrerade på grund av överträdelse av bestämmelse i personuppgiftsbiträdesavtalet, instruktioner och/eller tillämplig bestämmelse i dataskyddslagstiftningen ska artikel i 82 i dataskyddsförordningen tillämpas. Ersättning för skada är begränsad till direkt skada.

12.3 Sanktionsavgifter enligt artikel 83 i dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, ska bäras av den av personuppgiftsbiträdesavtalets parter som påförts en sådan avgift.

12.4 Om endera parter får kännedom om omständighet som kan leda till skada för motparten ska parten omedelbart informera motparten om förhållandet och aktivt arbeta tillsammans med motparten för att förhindra och minimera sådan skada.

12.5 Oaktat vad som sägs i ramavtalet gäller detta personuppgiftsbiträdesavtalet, punkterna 12.2 och 12.3, före andra regler om fördelning mellan parterna av krav sinsemellan såvitt avser behandlingen.

13. Ändringar och tillägg

13.1 Ändringar och tillägg till detta personuppgiftsbiträdesavtal ska göras skriftligen och undertecknas av behöriga företrädare för båda parter för att vara giltiga.

 13.2 Personuppgiftsbiträdet har ingen självständig rätt att påkalla ändringar av detta personuppgiftsbiträdesavtal.

 13.3 Om tjänstens innehåll ändras t.ex. genom nya funktioner som innebär att nya sätt att behandla personuppgifter tillkommer, ska Naturvårdsverket omgående underrättas om förändringarna.

14. Åtgärder vid avslut

14.1 Vid personuppgiftsbiträdesavtalets upphörande ska personuppgifterna antingen återföras till Naturvårdsverket, i ett läsbart och allmänt använt format, eller raderas. Om annat inte meddelas av Naturvårdsverket ska personuppgifterna återföras till Naturvårdsverket och därefter raderas hos personuppgiftsbiträdet så snart de inte längre behövs för att fullgöra uppdraget från Naturvårdsverket. På begäran ska personuppgiftsbiträdet lämna ett skriftligt besked om vilka åtgärder som vidtagits med personuppgifterna i samband med att behandlingen slutförts.

 14.2 För det fall att personuppgiftsbiträdet på grund av författning är skyldigt att behålla personuppgifter även efter det att detta personuppgiftsbiträdesavtal har upphört att gälla får dessa personuppgifter endast användas för det ändamål som framgår av den författning som föranleder att personuppgifterna behålls. Naturvårdsverket ska informeras om detta och grunderna härför.

15. Överlåtelse av avtal

15.1 Personuppgiftsbiträdet äger inte rätt att helt eller delvis överlåta sina åtaganden enligt detta personuppgiftsbiträdesavtal till annan utan skriftligt medgivande från Naturvårdsverket.

16. Avtalstid, uppsägning och avtalsuppföljning

16.1 Detta personuppgiftsbiträdesavtal träder i kraft när det har undertecknats av parterna. Avtalet gäller så länge som personuppgiftsbiträdet behandlar personuppgifter för Naturvårdsverkets räkning.

 16.2 Regler om uppsägning finns i leveransavtalet.

 16.3 Personuppgiftsbiträdesavtalet ska följas upp i samband med den ordinarie uppföljningen av leveransavtalet.

17. Tillämplig lag och tvist

17.1 Parternas rättigheter och skyldigheter enligt detta personuppgiftsbiträdes­avtal bestäms av svensk rätt.

 17.2 Tvist angående tolkning eller tillämpning av detta personuppgiftsbiträdes­avtal ska avgöras enligt svensk lag och föras vid allmän svensk domstol.

Inbyggt dataskydd

Parterna ansvarar var för sig och i samråd med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt risker, att vidta lämpliga tekniska och organisatoriska åtgärder utformade för ett inbyggt dataskydd och dataskydd som standard i enlighet med gällande dataskyddslagstiftning.

 Parterna har vidtagit följande tekniska och organisatoriska åtgärder för inbyggt dataskydd.

 Bilaga 1: Åtgärder som vi vittar:

Vi använder oss av brandväggar för att skydda mot intrång och uppdaterade antivirusprogram för att skydda mot virus.

 Alla som vill ta reda på information som sparas i våra databaser får tillgång till det och kan välja om de vill revidera eller ta bort information.