här - molnbloggen.com

PERSONUPPGIFTSBITRÄDESAVTALET
Tabell med PUL-kraven som DI ställer och var dessa återfinns i Microsoft Online Services Terms
Ett personuppgiftsbiträdesavtal skall upprättas mellan kund och de som behandlar uppgifter för kunds räkning
(personuppgiftsbiträden).
1
Sker genom att OST accepteras av kund när beställning/enrollment tecknas. I OST ingår
personuppgiftsbiträdesavtalet mellan kund som personuppgiftsansvarig och molnleverantören som
personuppgiftsbiträde (”Data Processing Terms”, sidan 8). Dessutom ingår EUs standardkontraktsklausuler mellan
kund och molnleverantörens moderbolag utanför EU (Attachment 3, sidan 28).
Villkoren i personuppgiftsbiträdesavtalet skall vara urskiljbara från övriga villkor som gäller mellan parterna och
de skall inte ensidigt kunna förändras av personuppgiftsbiträdet.
2
Adresseras genom avsnittet ”Data Processing Terms”, sidan 8, vilket är urskiljbart, är en del av det undertecknade
avtalet och är låst i den version som finns vid tiden för beställning av nya licenser eller förnyelser/förlängning som
gäller under prenumerationsperioden (avsnittet ”Online Service Terms Updates”, sidan 4).
Personuppgiftsbiträdesavtalet:
a) Skall föreskriva att personuppgiftsbiträdet är skyldigt att tillämpa svensk lagstiftning när det gäller
behandlingen av personuppgifter
Adresserat i avsnitt ”Compliance with Laws”, sidan 5 och “Attachment 3 – The Standard Contractual
Clauses (Processors)” punkt 9 “Governing Law”, sidan 30.
b) Skall föreskriva att personuppgiftsbiträdet är skyldigt att vidta lämpliga säkerhetsåtgärder enligt 31 § PuL
Adresserat i avsnittet ”Security” sidan 7 och avsnittet ”Security” sidan 10.
c)
Skall föreskriva att personuppgiftsbiträden endast får behandla personuppgifter i enlighet med den
personuppgiftsansvariges instruktioner och därmed säkerställa att personuppgiftsbiträdet inte behandlar
personuppgifter för andra ändamål än dem som personuppgiftsbiträdet anlitats för
3
Adresserat i avsnittet “Use of Customer Data”, sidan 7 och underavsnittet ”Additional European Terms”,
sidan 10.
d) Skall säkerställa att den personuppgiftsansvarige har kännedom om vilka andra personuppgiftsbiträden
som kan komma att behandla den personuppgiftsansvariges personuppgifter
Fullständiga listor över Microsofts underleverantörer finns i respektive onlinetjänsts säkerhetscenter.
Office 365, Azure, CRM Online, Intune
Enligt underavsnitt “Subcontractor Transfer”, sidan 10 kan kunden få meddelanden om tillägg av
underleverantörer och har då en möjlighet att säga upp den berörda tjänsten om kunden inte accepterar
underleverantören.
e) Skall säkerställa att den personuppgiftsansvarige på lämpligt sätt har möjlighet att följa upp att
personuppgiftsbiträden lever upp till den personuppgiftsansvariges krav på personuppgiftsbehandlingen
och verkligen vidtar lämpliga säkerhetsåtgärder
Adresserat i avsnitt “Certifications and Audits”, sidorna 12-13.
f)
Skall säkerställa att det finns tekniska och praktiska förutsättningar att utreda misstankar om att någon
hos den personuppgiftsansvarige eller hos något personuppgiftsbiträde haft obehörig åtkomst till
personuppgifterna
Adresserat i tabellen under avsnitt ” Security”, sidorna 10-12.
samt
g) Skall säkerställa att parterna vet vilka åtgärder som ska vidtas vid avtalets upphörande så att
personuppgiftsbiträdet inte har åtkomst till personuppgifterna därefter.
Adresserat i avsnittet ” Data Retention”, sidan 4, i underavsnittet ”Customer Data Deletion or Return”,
sidan 10 och ”Appendix 1 to the Standard Contractual Clauses” avsnittet ”e. Customer Data Deletion or
Return”, sidan 32.
4
Särskilda regler gäller för överföring av personuppgifter till ett land utanför EU-/EES -området. Om
personuppgifter kommer att behandlas av personuppgiftsbiträden i ett land utanför EU/EES skall ansvarig se till
att något av undantagen från förbudet mot överföring av data till tredje land kan tillämpas, till exempel de s.k.
standardavtalsklausulerna eller anslutande till Safe Harbor-principerna.
Dels är molnleverantören ansluten till Safe Harbor-principerna (http://safeharbor.export.gov/list.aspx) och dels
ingår EUs standardkontraktsklausuler (Attachment 3, sidan 28).