Personuppgiftsbiträdesavtal

Avtalsparter

Personuppgiftsansvarig:
Arbetsförmedlingen, 113 99 Stockholm (och eventuella övriga relevanta
uppgifter)

Personuppgiftsbiträde:
_____________________ (leverantören)

1. Syfte och innehåll

Avtal mellan Arbetsförmedlingen och leverantören om ______________

(Här anges huvudavtalet om behandling av uppgifter som AF och
leverantören har ingått), (”Huvudavtalet”) har träffats och som innebär
att leverantören kommer att behandla personuppgifter för
Arbetsförmedlingens räkning.

Detta avtal utgör ett skriftligt avtal om personuppgiftsbiträdets

behandling av personuppgifter enligt Huvudavtalet för den
personuppgiftsansvariges räkning. Avtalet innehåller även instruktioner
för personuppgiftsbehandlingen, se avsnitt 9.

2. Definitioner

I detta avtal har följande begrepp nedan angiven betydelse:

- med personuppgifter avses all slags information som direkt eller
indirekt kan hänföras till en fysisk person som är i livet
- med behandling avses varje åtgärd eller serie av åtgärder som vidtas i
frågan om personuppgifter, vare sig det sker på automatisk väg eller inte
- med personuppgiftsansvarig avses den som ensam eller tillsammans
med andra bestämmer ändamålen med och medlen för behandlingen av
personuppgifter
- med personuppgiftsbiträde avses den som behandlar personuppgifter
för den personuppgiftsansvariges räkning.

3. Ansvar och instruktioner

Arbetsförmedlingen liksom leverantören är personuppgiftsansvariga för

behandlingen av personuppgifter i enlighet med vad som framgår av detta
avtal. Leverantören är personuppgiftsbiträde åt Arbetsförmedlingen i
enlighet med vad som framgår av detta avtal.
Arbetsförmedlingen är personuppgiftsansvarig för de personuppgifter
som behandlas på uppdrag av Arbetsförmedlingen och som ingår i t.ex.
frågeformulär eller eventuella sammanställningar. Leverantören är
personuppgiftsansvarig för annan behandling, såsom eventuell
behandling av personuppgifter vid utveckling av sina metoder. Av detta
avtal framgår vilka skyldigheter som åligger respektive
personuppgiftsansvarig samt vilken personuppgiftsbehandling respektive
personuppgiftsansvarig bestämmer ändamålen för.

Tillämpliga bestämmelser för behandlingen av personuppgifterna finns i

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april
2016 om skydd för fysiska personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter och om
upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
tillsammans med vid var tid gällande svensk lagstiftning på området. Om
leverantören behandlar personuppgifter som hör till Arbetsförmedlingens
arbetsmarknadspolitiska verksamhet gäller dessutom vid var tid gällande
lagar, däribland lagen (2002:546) och förordningen (2002:623) om
behandling av personuppgifter i den arbetsmarknadspolitiska
verksamheten, Myndigheten för Samhällsskydd och Beredskaps
föreskrifter 2016:1 och 2016:2 samt Offentlighets- och sekretesslag
(2009:400).

Om personuppgiftsbiträdet med anledning av detta är osäker på vilka

regler som ska tillämpas ska personuppgiftsbiträdet fråga den
personuppgiftsansvarige.

Leverantören, och den som arbetar under leverantörens ledning, får

behandla personuppgifterna endast i enlighet med tillämpliga lagar och
bestämmelser gällande i Sverige, detta avtal och de instruktioner som
Arbetsförmedlingen lämnar. Uppgifterna får inte behandlas i vidare
utsträckning än vad som krävs för att leverantören ska kunna fullgöra
sina skyldigheter enligt Huvudavtalet. Det ankommer på leverantören att
se till att den som arbetar under leverantörens ledning informeras om
detta.

Arbetsförmedlingen har såsom personuppgiftsansvarig skyldighet att

säkerställa att det finns en laglig grund för aktuella behandlingar enligt
detta avtal och att utforma skriftliga instruktioner för att
personuppgiftsbiträdet och eventuella underbiträden, ska kunna fullgöra
sitt uppdrag enligt detta avtal. Arbetsförmedlingen åtar sig att utan
dröjsmål informera personuppgiftsbiträdet om förändringar i
behandlingen vilka påverkar personuppgiftsbiträdets skyldigheter enligt
gällande dataskyddslag eller annan relevant lagstiftning.
Arbetsförmedlingen ansvarar för att informera den registrerade om
behandlingarna enligt avtalet och för att, i det fall det krävs, inhämta
samtycke från den registrerade samt tillvarata de registrerades rätt till
insyn och radering m.m.

Arbetsförmedlingen har vid var tid och hur många gånger som
Arbetsförmedlingen önskar, rätt att utan extra kostnad få tillgång till och
förfoga över de behandlade uppgifterna samt sådana uppgifter som
genereras vid leverantörens behandling av Arbetsförmedlingens
uppgifter, om inte annat framgår.

4. Säkerhet

Leverantören är skyldig att vidta de säkerhetsåtgärder som

Arbetsförmedlingen bestämmer. Närmare beskrivning av de
säkerhetsåtgärder som leverantören ska vidta finns i Arbetsförmedlingens
instruktioner för personuppgiftsbehandlingen, se avsnitt 9.

Leverantören ska i de system som används för att behandla

personuppgifter iaktta principerna Inbyggd integritet (”Privacy by
design”) och Integritet som standard (”Data protection by default”).

I övrigt ankommer det på Leverantören att följa vid var tid gällande
lagstiftning på området som är tillämplig i Sverige.

5. Underleverantör

Arbetsförmedlingen ska kontinuerligt ha kontroll över var

personuppgifterna behandlas och av vem de behandlas. Leverantören får
inte anlita en underleverantör utan ett skriftligt godkännande från
Arbetsförmedlingen. Arbetsförmedlingen förbehåller sig rätten att
underkänna en underleverantör. Ett sådant underkännande från
Arbetsförmedlingens sida innebär inte skäl för personuppgiftsbiträdet att
säga upp detta avtal.

Om leverantören, efter Arbetsförmedlingens godkännande av

leverantörens underbiträde, anlitar en underleverantör ska leverantören
träffa ett personuppgiftsbiträdesavtal med underleverantören med samma
lydelse som detta avtal. Underleverantören får inte börja någon
behandling av personuppgifter förrän ett sådant avtal undertecknats av
båda parter. Leverantören ska i avtal med underleverantören tydligt
klargöra vem som utför vilken behandling. Arbetsförmedlingen
förbehåller sig rätten att rikta eventuella anspråk mot leverantören, även
om felet skulle ligga hos underleverantören.

6. Utlämnande av uppgifter

Om det till leverantören kommer in en begäran om att få ta del av

uppgifter som leverantören behandlar för Arbetsförmedlingens räkning
ska leverantören omedelbart vidarebefordra begäran till
Arbetsförmedlingen. Leverantören, eller den som arbetar under
leverantörens ledning, får inte lämna ut personuppgifter eller annan
information om behandlingen av personuppgifter utan skriftlig
instruktion om det från Arbetsförmedlingen.

Om leverantören ändå har lämnat ut uppgifter till någon enskild eller en

myndighet, oavsett vilket land det gäller, ska leverantören ovillkorligen
genast underrätta den personuppgiftsansvarige om detta förhållande.
Detta gäller oavsett om utlämnandet skett med eller utan leverantörens
medverkan, och gäller även om det endast finns en misstanke om att ett
utlämnande skett.

7. Upphörande av behandling av personuppgifter

Efter utfört uppdrag, eller vid förtida upphörande av avtalet, ska

leverantören återlämna de personuppgifter som de fått från
Arbetsförmedlingen liksom de uppgifter som genererats vid
leverantörens behandling av Arbetsförmedlingens uppgifter, om inget
annat överenskommits. Efter överlämnandet ska leverantören destruera
de personuppgifter som finns hos leverantören eller hos tredje part så att
uppgifterna inte är möjliga att återskapa hos leverantören eller hos tredje
part. Leverantören ska skriftligen bekräfta till Arbetsförmedlingen att
destruering skett. Samma gäller för annan data än personuppgifter.

8. Ansvar för skada

Om leverantören, eller den som arbetar under leverantörens ledning,

behandlar personuppgifter i strid med gällande lagar och bestämmelser,
detta avtal eller de instruktioner som Arbetsförmedlingen har lämnat, ska
leverantören ersätta Arbetsförmedlingen för den skada som
Arbetsförmedlingen har orsakats på grund av den felaktiga behandlingen.

Om tredje man riktar krav mot Arbetsförmedlingen på grund av

leverantörens, eller någon av dennes underleverantörers, behandling av
personuppgifter ska leverantören hålla Arbetsförmedlingen skadelöst för
sådana krav som är hänförliga till leverantörens, eller någon av dennes
underleverantörers, behandling av personuppgifter i strid med gällande
lagstiftning, detta avtal eller instruktioner från Arbetsförmedlingen.

För det fall det är aktuellt med fler personuppgiftsansvariga och om tredje
man riktar krav mot någon av dessa ska den personuppgiftsansvarige som
behandlat personuppgifter i strid med gällande lagstiftning, eller avtal,
hålla övriga personuppgiftsansvariga skadelösa.

Arbetsförmedlingen ansvarar för sådan skada som beror på felaktiga

instruktioner som leverantör, eller underleverantör, inte haft anledning att
anta att instruktionerna stred mot gällande rätt.

9. Instruktioner för personuppgiftsbehandlingen

Det ankommer på leverantören, och den som arbetar under leverantörens

ledning, att följa nedanstående instruktioner. Det ankommer på
leverantören att informera den som arbetar under leverantörens ledning
om instruktionerna. Om leverantören bedömer att ytterligare instruktioner
är nödvändiga för att utföra den avtalade personuppgiftsbehandlingen ska
leverantören informera Arbetsförmedlingen om detta och därefter
avvakta vidare instruktioner från Arbetsförmedlingen.

9.1 Behandlingsaktiviteter

(Här beskrivs de aktiviteter leverantören ska på uppdrag av

Arbetsförmedlingen genomföra)

9.2 Ändamålen med behandlingen av personuppgifterna

(Här anges ett eller flera konkreta ändamål med

personuppgiftsbehandlingen, t.ex. behandling av anställdas
personuppgifter i personaladministrativ verksamhet för
löneutbetalningsändamål).

9.3 Behandlade uppgifter

(Här anges vilka kategorier av registrerade personer som uppgifterna

rör. Ange även vilka personuppgifter, eller kategorier av
personuppgifter, som leverantören ska behandla, t.ex. namn,
personnummer, organisationsnummer, diarienummer, adress eller e-
mailadress.)

9.4 Kategorier av registrerade

(Här anges kategorier av registrerade, t.ex. arbetssökande.)

9.5 Plats för behandling av personuppgifter (inklusive plats för server)

9.6 Varaktighet av behandling av personuppgifter

(Här anges hur länge personuppgifterna ska behandlas innan de
raderas.)

9.7 Organisatoriska och tekniska säkerhetsåtgärder

(Om informationen enligt nedan ska tas med eller inte beror på de
säkerhetskrav som finns i huvudavtalet)

Leverantören garanterar härmed att leverantören kommer vidta de

tekniska och organisatoriska åtgärder som enligt gällande lagstiftning i
Sverige och givna instruktioner erfordras för att skydda
personuppgifterna under hela avtalstiden. Personuppgiftsbiträdet ska
därvid särskilt iaktta Datainspektionens allmänna råd ”Säkerhet för
personuppgifter” eller andra föreskrifter som ersätter de förutnämnda.
Följande säkerhetsregler beskriver lägsta godtagbara säkerhetsnivå vid
behandling av personuppgifter. Av gällande lagstiftning,
Datainspektionens råd, eller Arbetsförmedlingens instruktioner kan
hämtas information om det krävs en högre säkerhetsnivå.
Leverantören är skyldig att omedelbart underrätta den
personuppgiftsansvarige om det skett ett incident gällande de
personuppgifter som behandlas enligt detta avtal. Detta ska ske genast,
dock senast inom 24 timmar efter det att intrånget upptäckts.
Leverantören är också skyldig att underrätta den personuppgiftsansvarige
om andra förhållanden som kan ha påverkat säkerheten eller integriteten
gällande de personuppgifter som behandlas enligt detta avtal.

En sådan underrättelse som avses i föregående stycke ska innehålla

uppgift om vilket sorts incident som har förekommit, vilka och hur
många enskilda som har berörts samt kontaktuppgifter till dessa, vilken
typ av personuppgifter det handlar om, hur många dataposter som har
berörts, aktuella kontaktuppgifter till den som kan lämna mer
information, vilka risker som kan komma ifråga, vilka åtgärder
leverantören har vidtagit och avser att vidta för att åtgärda eventuella
skador och de skador som kan uppkomma med anledning av detta, typ av
störning i mjuk- eller hårdvara, typ av störning i driftsmiljö,
informationsförlust eller informationsläckage, informationsförvanskning,
hindrad tillgång till information, säkerhetsbrist i en produkt, angrepp,
handhavandefel, oönskad eller oplanerad störning i kritisk infrastruktur
eller annan plötslig oförutsedd händelse som lett till skada.

Leverantören är skyldig att dokumentera alla relevanta uppgifter och

hålla dessa tillgängliga för Arbetsförmedlingen och/eller
Datainspektionen för det fall att Arbetsförmedlingen och/eller
Datainspektionen vill kontrollera efterlevnaden av gällande regelverk.

Behörighetskontroll och behörighetsloggning

Leverantören ska se till att endast behörig personal har tillgång till
personuppgifterna genom att skydda personuppgifterna med
behörighetssystem. Antalet personer med behörighet att behandla
personuppgifter ska begränsas till att endast gälla de personer som
behöver personuppgifterna för sina arbetsuppgifter.

Det ska finnas en dokumenterad process för behörighetstilldelning och

revokering. Det ska vara möjligt att vid ett enskilt tillfälle gå att
kontrollera vilka som har behörighet och vilken behörighet. Personalen
ska instrueras att hantera och förvara användaridentitet och lösenord med
försiktighet och att inte använda lösenord som med lätthet kan forceras.
Lösenord ska bytas regelbundet och personalen ska logga ut från sina
datorer när de inte används.

Det ska för varje behandling av personuppgifter finnas ett spårbart syfte.
Alla inloggningar och inloggningsförsök ska loggas. Det ska gå att
fastställa vem som gjort åtkomsten, i vilket syfte, vad som åtkomsten
avser och när detta gjorts.

Leverantören ska kontinuerligt vidta alla tekniska och organisatoriska

åtgärder som är nödvändiga för att säkerställa en lämplig säkerhetsnivå i
förhållande till riskerna med behandlingen.
Datasäkerhet

Leverantören ska se till att deras datasystem är skyddade från extern

åtkomst genom effektiv brandvägg, antivirusprogram och
inloggningskontroll vid extern access.

Lösenord och användar-id får inte lagras i klartext. Vilande data ska
krypteras om de omfattar personuppgifter eller annan skyddsvärd
information. All kommunikation ska ske i krypterat format.

Fysisk säkerhet
Leverantören ska se till att deras datorresurser fysiskt är skyddade från
åtkomst utifrån genom lås, larm och andra fysiska säkerhetsåtgärder som
Personuppgiftsbiträdet finner lämpliga.

Loggning
Leverantören ska föra loggar över de behandlingar som sker i samband
med att Personuppgiftsbiträdet genomför åtgärder enligt avtalet.

9.8 Leverantörens beskrivning av sina organisatoriska och tekniska

säkerhetsåtgärder:

(här ska leverantörens säkerhetsåtgärder beskrivas.)

9.9 Rutiner för den registrerades rättigheter

Enligt Dataskyddsförordningen så är den personuppgiftsansvarige

skyldig att till den som begär detta, lämna ett så kallat registerutdrag, i
vissa fall rätta, blockera eller utplåna personuppgifter samt vara
behjälplig med dataportabilitet. En sådan ansökan ska göras hos den
personuppgiftsansvarige och vara undertecknad av den sökande.
Information ska lämnas inom en månad från det att ansökan gjordes.

För det fall begäran enligt ovan kommer in till den

personuppgiftsbiträdesansvarige, ska denna begäran omedelbart
vidarebefordras till den personuppgiftsansvarige för åtgärd samt ska
personuppgiftsbiträdet utan extra kostnad vara personuppgiftsansvarige
behjälplig med att bistå den registrerades önskemål och krav, om inget
annat överenskommits.

Likaså ska personuppgiftsbiträdet utan extra kostnad vara

personuppgiftsansvarig behjälplig för det fall en konsekvensbedömning
ska genomföras samt om personuppgiftsansvarig begärt förhandsråd eller
andra åtgärder i syfte att möta de krav som svensk lag ställer på
personuppgiftsansvarig.

10. Behandling av personuppgifter i tredje land

Personuppgiftsbiträdet och dennes eventuella underleverantörer får
endast behandla personuppgifter i tredje land efter ett skriftligt
godkännande av Arbetsförmedlingen och på de villkor som
Arbetsförmedlingen sätter.

11. Tystnadsplikt och sekretess

Personer hos leverantören och underleverantörer samt personer anlitade

av leverantören och underleverantörer får inte röja eller utnyttja någon
uppgift som behandlas på uppdrag av Arbetsförmedlingen.

Leverantören förbinder sig att, utöver att teckna avtal om tystnadsplikt,

göra de personer som sysselsätts med uppdraget uppmärksamma på
gällande bestämmelser om tystnadsplikt. Detta gäller samtliga av
leverantören och av underleverantörer anlitade personer som kan komma
i beröring med Arbetsförmedlingens uppgifter. De personer som kan
komma att omfattas av Offentlighets- och sekretesslagens bestämmelser
ska, efter begäran från Arbetsförmedlingen, lämna en skriftlig
sekretessförbindelse.

Leverantören svarar för att rutiner upprättas som säkerställer att

tystnadsplikten följs. Personuppgiftsbiträdet svarar för att alla
underleverantörer förbinder sig att teckna avtal om tystnadsplikt och att
dessa i sin tur belägger alla som kan komma i beröring med
Arbetsförmedlingens personuppgifter med tystnadsplikt.

Tystnadsplikten innebär att leverantören aldrig får pröva frågor om

utlämnande. Leverantören åtar sig att alltid motsätta sig och även att
överklaga de krav på utlämnande av Arbetsförmedlingens
personuppgifter oavsett vem som står bakom dessa krav.
Arbetsförmedlingen är i detta avseende behjälplig och kommer om så
efterfrågas att ställa resurser till förfogande.

12. Revision

Arbetsförmedlingen har rätt att när som helst och hur många gånger som
helst, på egen bekostnad, själv eller med hjälp av tredje part, kontrollera
att leverantören följer detta avtal. Leverantören ska, på egen bekostnad,
lämna Arbetsförmedlingen och om Arbetsförmedlingen så begär,
Datainspektionen, den assistans som behövs för sådan kontroll. Om
leverantören själv anlitat tredje part för kontroll av efterlevnaden, helt
eller delvis, ska leverantören hålla Arbetsförmedlingen underrättad om
vem som anlitats för att utföra kontrollerna och på vilket sätt och hur ofta
dessa görs. Efter varje utförd kontroll, eller när en
personuppgiftsbehandling inte skett i enlighet med avtal, eller om en
incident inträffat där för Arbetsförmedlingen behandlade personuppgifter
kan ha förekommit, ska Arbetsförmedlingen omedelbart meddelas.
Leverantören är skyldig att omedelbart lämna all sådan information som
Arbetsförmedlingen kan behöva för att kunna uppfylla sitt
personuppgiftsansvar.
13. Leverantörens obestånd eller företagsförvärv

För det fall leverantören begärs i konkurs, inleder ackordsförhandlingar,

inställer sina betalningar, ansöker om företagsrekonstruktion, träder i
likvidation (både frivilligt och tvingande), hamnar under
tvångsförvaltning eller om det på annat sätt står klart att leverantörens
ekonomiska svårigheter kan leda till att dennes skyldigheter enligt detta
avtal helt eller delvis inte kommer att uppfyllas eller om majoriteten av
leverantörens röstberättigade aktier förvärvas av tredje part, ska
leverantören omedelbart informera Arbetsförmedlingen om detta.
Leverantören ska då säkerställa att, om Arbetsförmedlingen så begär,
Arbetsförmedlingens personuppgifter och annan information hänförlig
till leverantörens uppdrag för Arbetsförmedlingen omedelbart returneras
till Arbetsförmedlingen och att inga kopior av dessa sparas eller kan
spåras hos leverantören.

14. Tillämplig lagstiftning

För detta avtal gäller svensk lag och de rättsakter som äger direkt
tillämpning i Sverige. För det fall det skulle uppstå oklarheter vid
tillämpningen av avtalet ska Datainspektionens synpunkter inhämtas. En
tvist till följd av detta avtal ska avgöras i svensk domstol.

Om leverantören är skyldig att, enligt något annat lands lagstiftning,

lämna över uppgifter, eller på annat sätt bryta mot Arbetsförmedlingens
instruktioner och svensk lag - oavsett hur osannolik en sådan händelse
skulle vara - ska leverantören uppmärksamma den
personuppgiftsansvarige på att sådan lagstiftning eller instruktion från
annat lands myndighet existerar. Detta gäller både i de länder där
behandling av uppgifter sker som de länder i vilka datatrafik passerar
räknat från Sveriges gräns.

---------

Detta avtal har upprättats i två likalydande exemplar, varav parterna

erhållit var sitt.

Ort och datum Ort och datum

_____________________ ___________________

_____________________ ___________________
Arbetsförmedlingen XXX