1. Personuppgiftsansvarig
Personuppgiftsansvarig förbinder sig att
a) agera i enlighet med tillämplig dataskyddslagstiftning och
b) endast tillhandahålla personuppgiftsbiträdet sådana personuppgifter som är nödvändiga för ändamålet med behandlingen enligt uppdragsavtalet.
2. Personuppgiftsbiträde
Personuppgiftsbiträde förbinder sig att
a) agera i enlighet med tillämplig dataskyddslagstiftning
b) endast behandla personuppgifter i den omfattning och på det sätt som är nödvändigt för att uppfylla överenskommelser och instruktioner i uppdragsavtalet, detta personuppgiftsbiträdesavtal eller annan tillämplig lagstiftning
c) inte behandla eller lämna ut information som kan orsaka att personuppgiftsansvarig bryter mot tillämplig dataskyddslagstiftning om detta inte krävs enligt annan tillämplig lagstiftning
d) när uppdrag slutförts ska personuppgiftsbiträdet lagra personuppgifterna enligt krav i tillämplig lagstiftning och enligt Rex (Svensk standard för redovisningsuppdrag), samt efter denna tid snarast lämna tillbaka och/eller radera alla personuppgifter som har behandlats i uppdraget
e) informera om användningen av underbiträden som ingår vid fullgörande av uppdragsavtalet, vilket uppdragsgivaren godkänner genom detta avtal, och agera så att sådan användning inte innebär otillåten överföring till tredje land samt i övrigt sker enligt tillämplig dataskyddslagstiftning
f) medverka till att personuppgiftsansvarig kan få information om och vid behov granska att personuppgiftsbiträdets behandling av personuppgifter
följer vad som överenskommits och uppfyller tillämplig dataskyddslagstiftning samt annan tillämplig lagstiftning.
4. Sekretess
Personuppgiftsbiträdet ska vidta åtgärder för att skydda personuppgifter på en säkerhetsnivå som minst motsvarar säkerheten hos den personuppgiftsansvarige samt är lämplig i enlighet med kraven i tillämplig dataskyddslagstiftning med beaktande av tekniska möjligheter och uppgifternas art.
Personuppgiftsbiträdet ska säkerställa att tillgång till personuppgifter som behandlas enligt detta avtal är begränsad till behörig personal som behöver tillgång till personuppgifter för att uppfylla överenskommelser enligt uppdragsavtalet, samt att behörig personal
a) omfattas av tystnadsplikt och
b) har aktuell kunskap om hur personuppgifter ska hanteras enligt tillämplig dataskyddslagstiftning.
5. Rapportering av personuppgiftsincidenter
Personuppgiftsbiträdet ska snarast möjligt underrätta personuppgiftsansvarig om förekomst och sannolik innebörd av en personuppgiftsincident som innebär att personuppgifter oavsiktligt eller obehörigt har röjts. Underrättelsen ska innehålla nödvändig och tillgänglig information för att den personuppgiftsansvarige tillsammans med personuppgiftsbiträdet ska kunna vidta lämpliga åtgärder.
6. Samverkan och samtycke
Personuppgiftsbiträdet ska snarast möjligt informera och bistå personuppgiftsansvarig vid förfrågan från en registrerad eller myndighet om registerutdrag eller information om personuppgiftsansvarigs behandling. Detsamma gäller om en registrerad begär tillgång till eller rättelse av sina personuppgifter raderade om inte annat följer av tillämplig lagstiftning.
Genom detta avtal lämnar personuppgiftsansvarig sitt samtycke till att behandlingen av personuppgifter som följer av uppdraget ska ske enligt uppdragsavtalet och tillämpliga regler.