Dela en kalkyl

Personuppgiftsbiträdesavtal

Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) har ingåtts mellan AB Åkerikonsult, org. nr 556098-6696 (“Personuppgiftsbiträdet”) och Prenumerant (“Personuppgiftsansvarig”), var för sig benämnd som ”Part” och gemensamt ”Parterna”.

1. INNEHÅLL OCH SYFTE
   1. Mellan Personuppgiftsansvarig och Personuppgiftsbiträdet har avtal avseende tjänster (”Uppdragsavtalet”) tecknats som Personuppgiftsbiträdet ska tillhandahålla Personuppgiftsansvarig i egenskap av personuppgiftsbiträde. De avtalade tjänsterna innebär Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning, i omfattning som regleras i Uppdragsavtalet och Biträdesavtalet.
   2. Enligt Gällande dataskyddslagstiftning, se punkt 2.5 nedan, ska behandling av personuppgifter utförd av ett personuppgiftsbiträde för en personuppgiftsansvarigs räkning regleras i avtal. Med anledning därav har Parterna ingått Biträdesavtalet.
   3. Syftet med Biträdesavtalet är att tillse att Personuppgiftsbiträdets behandling av personuppgifter för Personuppgiftsansvarigs räkning sker i enlighet med Gällande dataskyddslagstiftning, myndighetsbeslut och Personuppgiftsansvarigs instruktioner.
   4. Biträdesavtalet utgör bilaga till Uppdragsavtalet. Vid händelse av motstridiga bestämmelser ska Biträdesavtalet ges företräde.
2. DEFINITIONER
   1. Med ”Personuppgift” eller ”Personuppgifter” avses nedan all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och som behandlas för Personuppgiftsansvarigs räkning.
   2. Med ”Registrerad” avses den fysiska person som Personuppgift avser.
   3. Med ”Behandling” eller ”Behandla” avses åtgärd eller kombination av åtgärder beträffande Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
   4. Med ”Underbiträde” avses fysisk eller juridisk person, myndighet eller annat organ som anlitas av Personuppgiftsbiträdet för Behandling av Personuppgifter.
   5. Med ”Gällande dataskyddslagstiftning” avses Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) med tillhörande genomförandeförfattningar samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på Behandling av Personuppgifter, såsom denna kan komma att förändras över tid.
   6. Begrepp och uttryck som rör personuppgifter och personuppgiftsbehandling och som inleds med gemen, t.ex. ”personuppgiftsansvarig”, ”personuppgiftsbiträde”, ”personuppgiftsincident” etc., ska ges den betydelse som anges i Gällande dataskyddslagstiftning.
3. PERSONUPPGIFTSANSVARIGS ANSVAR
   1. Personuppgiftsansvarig är personuppgiftsansvarig för all Behandling av Personuppgifter i enlighet med Gällande dataskyddslagstiftning.
   2. Personuppgiftsansvarig åtar sig att utforma skriftliga instruktioner för att Personuppgiftsbiträdet och eventuella Underbiträden ska kunna fullgöra sitt uppdrag enligt Biträdesavtalet. Personuppgiftsansvarigs instruktioner till Personuppgiftsbiträdet avseende Behandlingens art och ändamål, varaktighet, typen av Personuppgifter och kategorier av Registrerade framgår av Bilaga 1 - Instruktioner till Biträdesavtalet.
   3. Personuppgiftsansvarig åtar sig att utan dröjsmål informera Personuppgiftsbiträdet om förändringar i Behandling av Personuppgifter vilka påverkar Personuppgiftsbiträdets skyldigheter enligt Gällande dataskyddslagstiftning eller annan relevant lagstiftning.
   4. Biträdesavtalet, tillsammans med samtliga bilagor, utgör Personuppgiftsansvarigs samtliga instruktioner för Behandling av Personuppgifter under Biträdesavtalet, med undantag för de eventuella skriftliga instruktioner som Personuppgiftsansvarig under avtalstiden är skyldig att lämna för att uppfylla Gällande dataskyddslagstiftning. Andra eventuella ändringar ska överenskommas separat.
4. PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN
   1. Personuppgiftsbiträdet åtar sig att endast Behandla Personuppgifter på uppdrag av Personuppgiftsansvarig i enlighet med Biträdesavtalet, Uppdragsavtalet och enligt vid var tid gällande dokumenterade instruktioner från Personuppgiftsansvarig.
   2. Vid Behandling av Personuppgifter ska Personuppgiftsbiträdet följa Gällande dataskyddslagstiftning och behörig tillsynsmyndighets utlåtanden och rekommendationer. Parterna är överens om att Biträdesavtalet ska justeras om detta krävs med anledning av Gällande dataskyddslagsstiftning.
   3. Personuppgiftsbiträdet ska utan dröjsmål underrätta Personuppgiftsansvarig om Personuppgiftsbiträdet har otillräckliga eller felaktiga instruktioner avseende Personuppgiftsbiträdets Behandling av Personuppgifter eller om Personuppgiftsbiträdet misstänker eller upptäcker att Personuppgiftsansvarigs instruktioner strider mot Gällande dataskyddslagstiftning.
5. SÄKERHET M.M.
   1. Personuppgiftsbiträdet ska vid Behandling av Personuppgifter vidta alla lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken och för att skydda Personuppgifter från obehörig eller olaglig behandling, oavsiktlig eller olaglig förlust, förstöring eller ändring eller obehörigt röjande av eller åtkomst till sådana Personuppgifter. Under alla omständigheter ska Personuppgiftsbiträdet vidta sådana åtgärder som framgår av Bilaga 2 - Säkerhetsinstruktioner till Biträdesavtalet.
   2. Personuppgiftsbiträdet ska utan onödigt dröjsmål skriftligen underrätta Personuppgiftsansvarig om en misstanke om eller konstaterad personuppgiftsincident som kan leda till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till Personuppgifter.
   3. Personuppgiftsbiträdet ska vid Behandling av Personuppgifter bistå Personuppgiftsansvarig med genomförande av konsekvensbedömningar avseende dataskydd, förhandssamråd med behörig tillsynsmyndighet, samt utformning av lämpliga tekniska och organisatoriska åtgärder, i den mån detta krävs under Gällande dataskyddslagstiftning.
6. SEKRETESS
   1. Personuppgiftsbiträdet och de personer som arbetar under ledning av Personuppgiftsbiträdet ska vid Behandling av Personuppgifter iaktta sekretess, såväl handlingssekretess som tystnadsplikt.
   2. Personuppgiftsbiträdet åtar sig att tillse att samtliga personer med behörighet att Behandla Personuppgifter ska ingå särskild sekretessförbindelse eller upplysas om att tystnadsplikt föreligger enligt lag eller avtal.
   3. Personuppgiftsbiträdets sekretessåtagande gäller även efter att Biträdesavtalet upphört att gälla, utan begränsning i tid.
7. UTLÄMNANDE AV PERSONUPPGIFTER
   1. För det fall Registrerad, behörig tillsynsmyndighet eller annan tredje man begär information från Personuppgiftsbiträdet som rör Behandling av Personuppgifter, ska Personuppgiftsbiträdet hänvisa till Personuppgiftsansvarig. Personuppgiftsbiträdet får inte lämna ut Personuppgifter eller annan information om Behandling av Personuppgifter utan uttrycklig instruktion från Personuppgiftsansvarig, eller om utlämnandet krävs enligt lag.
   2. Personuppgiftsbiträdet ska utan dröjsmål informera Personuppgiftsansvarig om eventuella kontakter med behörig tillsynsmyndighet som rör, eller kan vara av betydelse för, Personuppgiftsbiträdets Behandling av Personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda Personuppgiftsansvarig eller agera för dennes räkning gentemot behörig tillsynsmyndighet.
   3. Personuppgiftsbiträdet ska utan onödigt dröjsmål bistå Personuppgiftsansvarig, i relation till en begäran från Registrerad, om utlämning, rättelse, radering, blockering eller överföring av Personuppgifter, inklusive att tillhandahålla all relevant information och dokumentation, i den mån och utsträckning detta krävs under Gällande dataskyddslagstiftning. Personuppgiftsbiträdet ska inte utföra någon åtgärd med följden att Personuppgiftsansvarig anses handla i strid med Gällande dataskyddslagstiftning.
8. UNDERBITRÄDEN
   1. Personuppgiftsbiträdet har rätt att anlita ett Underbiträde för fullgörandet av Personuppgiftsbiträdets åtaganden enligt Biträdesavtalet, förutsatt att:
      1. Personuppgiftsbiträdet informerar Personuppgiftsansvarig om sina avsikter att använda eller byta ut ett Underbiträde varpå Personuppgiftsansvarig har rätt att göra invändningar mot en sådan förändring, samt
      2. Underbiträdet genom ett så kallat underbiträdesavtal med Personuppgiftsbiträdet åläggs samma skyldigheter i fråga om dataskydd som de som fastställs i Biträdesavtalet och framför allt att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i Gällande dataskyddslagstiftning.
   2. Om Personuppgiftsansvarig har fog för att invända mot Underbiträde ska Personuppgiftsansvarig skriftligen meddela Personuppgiftsbiträdet om detta. Om Personuppgiftsansvarig vill utnyttja sin rätt enligt punkt 8.1 ovan att invända mot ett föreslaget nytt Underbiträde ska Personuppgiftsansvarig skriftligen meddela Personuppgiftsansvarig om detta inom tio (10) dagar efter mottagandet av Personuppgiftsbiträdets meddelande. Om ingen invändning görs enligt denna punkt 8.2 ska listan på Underbiträden i Bilaga 3 - Underbiträden till Biträdesavtalet uppdateras utifrån tillkommande eller borttaget Underbiträde.
   3. Om Personuppgiftsansvarig nyttjar sin rätt att invända mot Personuppgiftsbiträdets anlitande av Underbiträde har Personuppgiftsbiträdet rätt att säga upp Uppdragsavtalet med trettio (30) dagars uppsägningstid utan rätt för Personuppgiftsansvarig att begära ersättning för eventuell skada som har uppkommit i samband med en förtida uppsägning.
   4. Personuppgiftsbiträdet ska säkerställa att Personuppgiftsansvarig har kännedom om vilka Underbiträden som Behandlar Personuppgifter genom att, på begäran av Personuppgiftsansvarig tillhandahålla Personuppgiftsansvarig fullständig, korrekt och uppdaterad information om samtliga Underbiträden, där följande information specificeras för varje enskilt Underbiträde:
      1. definition av Underbiträdet, inklusive dess kontaktinformation, bolagsform och geografisk placering,
      2. vilken typ av tjänst som Underbiträdet utför,
      3. garantier som uppställs för att kraven i Gällande dataskyddslagstiftning kommer att följas, samt
      4. var Underbiträdet Behandlar Personuppgifter som omfattas av Biträdesavtalet.
   5. En lista på de Underbiträden som anlitats för Behandling av Personuppgifter framgår av Bilaga 3 - Underbiträden till Biträdesavtalet.
   6. Om Underbiträdet inte uppfyller sina skyldigheter i fråga om Behandling av Personuppgifter enligt underbiträdesavtalet ska Personuppgiftsbiträdet förbli fullt ansvarig gentemot Personuppgiftsansvarig för Underbiträdets uppfyllande av Underbiträdets skyldigheter enligt Biträdesavtalet samt Gällande dataskyddslagstiftning.
9. TREDJELANDSÖVERFÖRING
   1. Personuppgiftsbiträdet får själv eller genom Underbiträde Behandla Personuppgifter i ett tredje land.
   2. Om Personuppgiftsbiträdet kommer att Behandla Personuppgifter i tredje land ska Personuppgiftsbiträdet dessförinnan:
      1. undersöka om det tredje land ställer en adekvat skyddsnivå för personuppgifter enligt ett beslut meddelat av EU-kommissionen och om så är fallet får Personuppgifter överföras till detta tredje land, och om sådant beslut inte föreligger,
      2. säkerställa att det finns lämpliga skyddsåtgärder på plats enligt Gällande dataskyddslagstiftning, t.ex. standardiserade dataskyddsbestämmelser som antagits av EU-kommissionen eller bindande företagsbestämmelser, som omfattar Behandling av Personuppgifter.
   3. Om Behandling av Personuppgifter i ett tredje land kräver att särskilt avtal baserat på standardiserade dataskyddsbestämmelser ingås har Personuppgiftsbiträdet, oavsett om det är Personuppgiftsbiträdet eller ett Underbiträde som ska ingå avtalet, rätt att teckna sådant avtal för Personuppgiftsansvarigs räkning.
10. INSYN OCH UPPFÖLJNING
    1. Personuppgiftsbiträdet ska utan dröjsmål, på Personuppgiftsansvarigs begäran, tillhandahålla all information som Personuppgiftsansvarig behöver för att kunna granska och utöva sin insyn i Personuppgiftsbiträdets Behandling av Personuppgifter som följer av Biträdesavtalet.
    2. Personuppgiftsansvarig har rätt att själv eller genom tredje part få tillgång till anläggningar, information och register för att kunna kontrollera att Personuppgiftsbiträdet uppfyller de åtaganden som har beskrivits i Biträdesavtalet. Personuppgiftsbiträdet åtar sig att möjliggöra och bistå Personuppgiftsansvarig i den mån som krävs för att Personuppgiftsansvarig på ett enkelt sätt ska kunna förvissa sig om detta.
    3. Personuppgiftsbiträdet ska tillåta de inspektioner som behörig tillsynsmyndighet under Gällande dataskyddslagstiftning kan kräva för säkerställandet av en korrekt Behandling av Personuppgifter. Personuppgiftsbiträdet ska följa av behörig tillsynsmyndighets fattade beslut om åtgärder för att uppfylla Gällande dataskyddslagstiftning.
    4. Personuppgiftsbiträdet ska säkerställa att Personuppgiftsansvarig tillförsäkras motsvarande rätt till insyn och uppföljning i förhållande till anlitade Underbiträden.
11. UPPHÖRANDE AV BEHANDLING
    1. Personuppgiftsbiträdet ska efter upphörande av Biträdesavtalet eller Uppdragsavtalet (beroende på vilket som inträffar först) överlämna Personuppgifter till Personuppgiftsansvarig inom trettio (30) dagar. Sedan Personuppgiftsbiträdet har överlämnat Personuppgifter till Personuppgiftsansvarig, ska Personuppgiftsbiträdet radera Personuppgifter på ett sådant sätt att de inte kan återskapas, såvida inte lagring av Personuppgifter krävs enligt lag.
12. ERSÄTTNING
    1. Personuppgiftsbiträdet har inte, utöver vad som följer av Uppdragsavtalet, rätt till särskild ersättning för att uppfylla förpliktelser enligt Biträdesavtalet eller Gällande dataskyddslagstiftning.
13. ANSVAR FÖR SKADA
    1. Parts ansvar och rätt till ersättning för skadeståndskrav från Registrerade regleras enligt artikel 82 i den allmänna dataskyddsförordningen. Vardera Part har även rätt att få skälig och proportionerlig ersättning för sina rättegångskostnader för att försvara sig mot Registrerades krav. Personuppgiftsbiträdets totala ansvar under Biträdesavtalet enligt denna punkt 14.1 är begränsat till ett belopp motsvarande årsavgiften som Personuppgiftsansvarig har erlagt eller ska erlägga under Uppdragsavtalet.
    2. Part ska framställa krav på skadestånd till motparten för skadeståndskrav enligt denna punkt 14 senast inom sex (6) månader från det att Part blivit skadeståndsansvarig till Registrerade.
    3. Parts ansvar för andra typer av skador än de som uttryckligen regleras i denna punkt 14 regleras uteslutande i Uppdragsavtalet.
14. ÄNDRINGAR AV AVTALET
    1. Ändringar av och tillägg till Biträdesavtalet och Uppdragsavtalet ska för att vara bindande vara skriftligen avfattade och behörigen undertecknade av Parterna.
    2. Denna punkt 14 förhindrar inte att Personuppgiftsansvarig kan ändra eller utfärda ytterligare instruktioner i enlighet med vad som framgår av Biträdesavtalet.
15. AVTALSTID
    1. Biträdesavtalet träder ikraft vid undertecknande av båda Parter och ska därefter gälla tillsvidare. Personuppgiftsansvarig äger rätt att säga upp Biträdesavtalet med iakttagande av en uppsägningstid om trettio (30) dagar. Uppsägning ska vara skriftlig.
    2. Biträdesavtalet ska gälla även om Uppdragsavtalet upphör och tillsvidare till dess att Personuppgiftsbiträdet (och Underbiträden anlitande av Personuppgiftsbiträdet) upphör med att Behandla Personuppgifter.
16. TILLÄMPLIG LAG OCH TVIST
    1. För Biträdesavtalets tolkning och tillämpning gäller svensk lag.
    2. Tvist med anledning av Biträdesavtalet ska avgöras enligt vad som överenskommits i Uppdragsavtalet.

Bilaga 1 - Instruktioner

Denna Bilaga 1 till Biträdesavtalet beskriver den Behandling av Personuppgifter som Personuppgiftsbiträdet utför Personuppgiftsansvarigs räkning under Biträdesavtalet.

Behandlingens föremål är de personuppgifter som Personuppgiftsbiträdet behandlar för Personuppgiftsansvarigs räkning i samband med fullgörande av Uppdragsavtalet.

Personuppgifter behandlas delvis automatiserat och helt automatiserat. De behandlingssteg som Personuppgiftsbiträdet genomför för Personuppgiftsansvarigs räkning följer av nedanstående sammanställning och vad som i övrigt framgår av Uppdragsavtalet.

Insamling och överföring: Personuppgiftsansvarig laddar upp Personuppgifter till Personuppgiftsbiträdets it-system via ett webbgränssnitt som tillhandahålls av Personuppgiftsbiträdet (”SÅ Webbkalkyl”).

Lagring: Insamlade data lagras i Personuppgiftsbiträdes it-system.

Beräkning: Personuppgiftsbiträde genomför kostnadsberäkningar enligt Uppdragsavtalet.

Delning: Resultat från beräkningar och Personuppgifter överlämnas till myndigheter (endast på Personuppgiftsansvarigs begäran).

Utlämning: Insamlade data och resultat från beräkningar lämnas ut till Personuppgiftsansvarig via SÅ Webbkalkyl.

Avidentifiering: Insamlade data och beräkningsresultat avidentifieras. Det avidentifierade resultat innehåller inga Personuppgifter och används för statistiska ändamål

Administration: Personuppgiftsbiträdet hanterar och administrerar Personuppgifter som är nödvändiga för att ge Personuppgiftsansvarigs medarbetare tillgång till tjänsten.

Personuppgiftsbiträdet behandlar personuppgifter i syfte att tillhandahålla och leverera tjänsterna till Personuppgiftsansvarig och fullgöra sina åtaganden enligt Uppdragsavtalet.

Behandlingen omfattar kontaktuppgifter, personnummer, registreringsskyltar av fordon, webbloggar, nätidentifierare samt de kategorier av Personuppgifter som i övrigt följer av Uppdragsavtalet.

Behandlingen omfattar Personuppgiftsansvarigs förare och anställda samt de kategorier av Registrerade som i övrigt följer av Uppdragsavtalet.

Behandlingen kommer att utföras på utrustning som fysiskt befinner sig inom EU/EES.

Behandlingen pågår så länge det är nödvändigt för att tillhandahålla och leverera tjänsterna till Personuppgiftsansvarig och fullgöra sina åtaganden enligt Uppdragsavtalet.

Bilaga 2 - Säkerhetsinstruktioner

Denna Bilaga 2 till Biträdesavtalet innehåller instruktioner till Personuppgiftsbiträdet och redogör för de tekniska och organisatoriska säkerhetsåtgärder som Personuppgiftsbiträdet ska vidta i enlighet med Biträdesavtalets punkt 5.

Lämpliga och adekvata åtgärder ska vidtas för att säkerställa den fysiska säkerheten av it-utrymmen såsom, men inte begränsat till, skalskydd, tillträdesskydd, brandskydd, skydd mot elavbrott, stöldskydd och skydd mot skadegörelse. När det är lämpligt ska de vidtagna åtgärderna säkerställa en skyddsnivå som motsvarar de skyddsnivåer som anges i bilaga 1 till MSB:s vägledning för fysisk informationssäkerhet i it-utrymmen.

1. Med it-utrymmen avses samtliga lokaler som är avsedda för it-drift och förvarar it-utrustning.
2. MSB, 2013, Vägledning för fysisk informationssäkerhet i it-utrymmen, ISBN: 978-91-7383-401-8, tillgänglig på https://www.msb.se/RibData/Filer/pdf/27280.pdf.

Det ska föras en förteckning över datorutrustning och system som används för Behandling av Personuppgifter. Det ska finnas dokumenterade rutiner för löpande uppdatering av denna förteckning.

Medarbetares datorer ska låsas automatiskt vid inaktivitet och kräva starkt lösenord för upplåsning. Brandväggar, antivirusprogram och säkerhetsuppdateringar ska installeras och uppdateras regelbundet.

Inloggning i system ska ske via personlig användaridentitet med lösenord. Lösenord ska vara tillräckligt starka och bytas regelbundet. Det ska inte vara tillåtet att överlåta eller dela inloggningsuppgifter med andra personer. Det ska föras ett register över användares inloggning i system.

Medarbetares åtkomst till Personuppgifter ska styras av ett tekniskt system för behörighetskontroll. Medarbetarna ska ges minsta möjliga åtkomst vid behandling av Personuppgifter. Endast medarbetare som behöver tillgång till Personuppgifter för sitt arbete ska ges åtkomst. Det ska finnas dokumenterade rutiner för tilldelning och borttagande av behörigheter.

Åtkomst till Personuppgifter ska kunna kontrolleras i efterhand genom loggar. Loggarna ska kontrolleras regelbundet i syfte att upptäcka otillåten eller obehörig tillgång till Personuppgifter.

Åtkomst till administrativa verktyg och gränssnitt på servrar ska begränsas. Medarbetare som har administrativa rättigheter ska använda starka lösenord. Det ska inte vara tillåtet att överlåta eller dela inloggningsuppgifter med andra personer. Det ska finnas dokumenterade rutiner som säkerställer att viktiga uppdateringar för operativsystem och applikationer installeras omgående.

Nätverk ska skyddas mot externa angrepp och förlust av information. Trådlösa nätverk ska skyddas med kryptering. In- och utgående nätverkstrafik ska filtreras via exempelvis brandväggar.

Endast sådana program som formellt godkänts inom verksamheten ska få finnas i systemmiljön. Det ska finnas dokumenterade rutiner för att skydda system mot virus, trojaner och andra former av digitala intrång.

Personuppgifter ska regelbundet överföras till säkerhetskopior. Säkerhetskopiorna ska förvaras avskilt och väl skyddade så att Personuppgifter kan återskapas efter en störning. Det ska finnas dokumenterade rutiner för säkerhetskopiering, återläsning av säkerhetskopior och test av återläsning av säkerhetskopior.

Anslutning för extern datakommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. Personuppgifter som överförs via datorkommunikation utanför nätverk som kontrolleras av Personuppgiftsbiträdet (t.ex. internet) ska skyddas med kryptering.

Det ska finnas dokumenterade rutiner som säkerställer att Personuppgifter kan raderas när de inte länge är nödvändiga för ändamålet och att de inte är möjliga att återskapa. Rapportering av personuppgiftsincidenter Rutin för rapportering och uppföljning av personuppgiftsincidenter och andra säkerhetsincidenter ska finnas och följas.

Personuppgifterna ska separeras fysiskt och/eller logiskt från andra personuppgifter.

Medarbetare ska regelbundet utbildas inom dataskydd. Nyanställda medarbetare ska genomgå utbildning inom dataskydd innan de får åtkomst till Personuppgifter.

Genomförandet av samtliga säkerhetsåtgärder enligt denna Bilaga 2 ska dokumenteras och tillhandahållas Personuppgiftsansvarig på begäran.  

Bilaga 3 - Underbiträden

Denna Bilaga 3 till Biträdesavtalet anger de Underbiträden som anlitats för Behandling av Personuppgifter under Biträdesavtalet. Förteckningen ska justeras och uppdateras varje gång ett nytt Underbiträde anlitas eller ett Underbiträde ersätts.