Bilaga 2: Dataskydd

Bilaga 2: Dataskydd

1. Bakgrund

Ett Finna-serviceavtal (Avtalet) har ingåtts mellan Nationalbiblioteket och medlemmen i Finna-konsortiet (Konsortiemedlemmen) avseende uppgifter och ansvar med anknytning till användning, underhåll och utveckling av samt samarbete kring Finna- tjänsten, och den här dataskyddsbilagan (Bilagan) om behandling av personuppgifter anknyter till Avtalet.

I Finna-systemet finns det personuppgifter i material, metadata och i de inloggade användarnas uppgifter. För tydlighetens skull konstateras det att personuppgifterna i Finna-indexet är offentliga. Avtalsparterna agerar som personuppgiftsansvariga och - biträden med avseende på dessa personuppgifter. Därför förutsätter behandlingen av personuppgifter samarbete och avtalande om praxis vid sidan av iakttagandet av bestämmelserna i dataskyddslagstiftningen. I genomförandet av Finna-tjänsten deltar även CSC Centralen för ICT-tjänster (CSC) samt övriga tredje parter och underleverantörer. Underleverantörerna agerar personuppgiftsbiträden i enlighet med de av Nationalbiblioteket eller en annan medlem i Finna-konsortiet angivna ändamålen, anvisningarna och avtalen som tecknats med underleverantörerna.

Tabellen nedan förtydligar organisationernas ansvar och roller i förhållande till de personuppgifter som behandlas i Finna.

Organisation ↓ / Roll →	Personuppgiftsansvarig	Personuppgiftsbiträde
Nationalbiblioteket	− Personuppgifter som ingår i Nationalbibliotekets egna material och metadata och som är tillgängliga via Finna. − Registret över personanvändare som har registrerat sig för Finna. − Loggdata som samlas in om användarna av Finna och administrationsgränssnittet. − Administrationsgränssnittets användarregister för Nationalbibliotekets egen personal.	− Personuppgifter som ingår i konsortiemedlemmens egna material och metadata och som är tillgängliga via Finna. − Personuppgifter som ingår i det kundregister som konsortiemedlemmen administrerar i sitt eget datasystem till den del dessa överförs till Finna för att identifiera kunden eller producera tjänsten för kunden. − Administrationsgränssnittets användarregister för konsortiemedlemmens egen personal.

Medlem i Finna- konsortiet	− Personuppgifter som ingår i konsortiemedlemmens egna material och metadata och som är tillgängliga via Finna. − Personuppgifter som ingår i det kundregister som konsortiemedlemmen administrerar i sitt eget datasystem till den del dessa överförs till Finna för att identifiera kunden eller producera tjänsten för kunden. − Administrationsgränssnittets användarregister för konsortiemedlemmens egen personal.	− Personuppgifter som ingår i det kundregister som en annan konsortiemedlem administrerar i sitt datasystem, när de i samband med fjärrlån överförs för att identifiera kunden. − Finnas användarregister i administrationsgränssnittet.
Underleverantörer	−	− Personuppgifter som ingår i material, metadata och användarregister som behandlas i Finna.

2. Definitioner

(a) Dataskyddslagstiftningen avser gällande och tillämplig dataskyddslagstiftning i Finland och Europeiska unionen (inklusive men inte uteslutande den allmänna dataskyddsförordningen) samt dataskyddsmyndigheternas bindande anvisningar och föreskrifter.

(b) Avtalet avser det Finna-serviceavtal som tecknats mellan Nationalbiblioteket och medlemmen i Finna-konsortiet.

(c) Registrerad avser en person (såsom kund, anställd, författare eller producent av datamaterial), vars Personuppgifter personuppgiftsbiträdet (Personuppgiftsbiträdet) behandlar i enlighet med den här bilagan och Avtalet.

(d) Dataskyddsförordningens ikraftträdandedatum avser det datum (25.5.2018) från vilket förordningen har börjat tillämpas.

(e) Lagen avser i den här Bilagan (i) vilken som helst lag eller underordnad tvingande författning som berör en avtalspart och/eller som är i kraft och tillämpas i det område där tjänster enligt Avtalet tillhandahålls, inklusive Dataskyddslagstiftningen och (ii) vilka som helst bindande domstolsbeslut eller domar eller tillämpliga anvisningar, förfaranden, normer eller bestämmelser som förbinder avtalsparten och där den utfärdande myndigheten är behörig i frågor som rör avtalsparten eller avtalspartens egendom eller verksamhet.

(f) Personuppgifter avser all information som rör en identifierad eller identifierbar person på det sätt som definieras i detalj i Dataskyddslagstiftningen.

(g) Personuppgiftsincident avser en datasäkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt behandlats.

(e) Integritetsmeddelande är ett dataområde som länkats till användargränssnittet för Finna och som beskriver typ av personuppgifter och grupper av registrerade som behandlas i Finna på det sätt som förutsätts i Dataskyddslagstiftningen.

Begrepp som inte har definierats ovan får samma betydelseinnehåll som den gällande Dataskyddslagstiftningen ger dem, och dessa begrepp tolkas enligt den allmänna tolkningen i den gällande Dataskyddslagstiftningen. På de begrepp som används i Bilagan tillämpas även i tillämplig utsträckning de begrepp som definierats i Avtalet.

3. Avtalsparternas allmänna rättigheter och ansvar

3.1 Personuppgiftsansvarig

• behandlar Personuppgifter med iakttagande av Lagen och villkoren i den här Bilagan

• uppger ändamålet och metoderna för behandlingen av Personuppgifter

• är skyldig att ge Personuppgiftsbiträdet anvisningar om behandlingen av personuppgifter och anvisningarna ska följa den tillämpliga Dataskyddslagstiftningen

• bestyrker Avtalet/ändringsavtalet genom att underteckna att (i) den behandling av personuppgifter som föreskrivs i den här Bilagan uppfyller den Personuppgiftsansvariges krav på bland annat planerade säkerhetsåtgärder och att (ii) denne har försett Personuppgiftsbiträdet med all den information och de anvisningar som Personuppgiftsbiträdet behöver för att kunna behandla personuppgifterna enligt den tillämpliga Dataskyddslagstiftningen.

3.2 Personuppgiftsbiträde

• behandlar Personuppgifter med iakttagande av Lagen och villkoren i den här Bilagan

• behandlar Personuppgifter endast i enlighet med gällande skriftliga anvisningar från den Personuppgiftsansvarige, utom om annat förutsätts i den Lag som tillämpas på Personuppgiftsbiträdet. I den sådan situation ska Personuppgiftsbiträdet omgående informera den Personuppgiftsansvarige före behandlingen av Personuppgifter, om den Personuppgiftsansvariges anvisningar är bristfälliga eller om Personuppgiftsbiträdet misstänker att de är olagliga eller om det i den Lag som tillämpas på Personuppgiftsbiträdet förutsätts att Personuppgiftsbiträdet agerar på ett sätt som avviker från den Personuppgiftsansvariges anvisningar. Personuppgiftsbiträdet behöver dock inte informera den Personuppgiftsansvarige om anvisningarna i ovan nämnda situationer om avgivande av anmälan är förbjudet i Lagen.

• förbinder sig att behandla och förfara med Personuppgifterna på de sätt som förutsätts i Lagen och Avtalet när avtalet upphört.

• förbinder sig att förse den Personuppgiftsansvarige med all den information som behövs för att bevisa att denne iakttar de skyldigheter som avtalets i Avtalet och som föreskrivs i dataskyddsförfattningarna, samt att tillåta inspektioner av den Personuppgiftsansvarige eller av en av den Personuppgiftsansvarige utsedd revisor samt delta i dessa.

3.3 Avtalsparterna avtalar om att den här Bilagan och de separata, skriftliga anvisningar som getts av den avtalspart som agerar personuppgiftsansvarig tillsammans utgör de Personuppgiftsansvariges anvisningar som avses i den här Bilagan. Dessutom konstaterar avtalsparterna att de även kan ge varandra andra dokumenterade anvisningar med anknytning till Finna-tjänsten.

Behandlingen av personuppgifter har dessutom beskrivits och specificerats i Avtalet och längre fram i den här Bilagan.

4. Bokföring och begäran om information

4.1 Personuppgiftsbiträdet ska i enlighet med den Dataskyddslagstiftning som binder Personuppgiftsbiträdet bokföra alla behandlingsåtgärder som utförts åt den Personuppgiftsansvarige.

4.2 Personuppgiftsbiträdet ska i enlighet med Dataskyddslagstiftningen tillställa den Personuppgiftsansvarige sådan information som skäligen kan anses vara nödvändig för att bevisa att Personuppgiftsbiträdet uppfyller de skyldigheter som föreskrivits för personuppgiftsbiträden i Dataskyddslagstiftningen. Detta förutsätter att den Personuppgiftsansvarige

• utan ogrundad fördröjning informerar Personuppgiftsbiträdet om en begäran om information;

• ser till att alla de uppgifter som skaffas eller produceras med anknytning till den Personuppgiftsansvarige begäran om information hålls strikt konfidentiella (frånsett överlåtelse av personuppgifter till tillsynsmyndighet eller annan överlåtelse som sker med stöd av Lagen)

• ser till att begäran om information medför så lite störning som möjligt för Personuppgiftsbiträdet eller dess underleverantör/underleverantörer.

5. Kostnader

5.1 Avtalsparterna svarar vardera själv/själva de skäliga kostnader som uppfyllandet av skyldigheterna i den här Bilagan medför inklusive kostnader enligt punkterna 3 och 4.

6. Tekniska och organisatoriska åtgärder

6.1 Personuppgiftsbiträdet ska införa tillbörliga tekniska och organisatoriska åtgärder och hålla dem aktuella under Avtalets/Ändringsavtalets giltighetstid.

6.2 Den Personuppgiftsansvarige har ansvaret för att se till att Personuppgiftsbiträdet informeras om allt sådant som rör de Personuppgifter som den Personuppgiftsansvarige överlåtit (bland annat riskbedömning) och som kan påverka de tekniska och organisatoriska åtgärder som ska tillämpas enligt den här Bilagan.

6.3 Personuppgiftsbiträdet ser till att alla de personer som arbetar för denne och som har åtkomst till Personuppgifterna endast behandlar Personuppgifterna enligt den Personuppgiftsansvariges anvisningar, om inte Lagen förpliktar till annat.

7. Underleverantörer

7.1 Avtalsparterna har rätt att använda underleverantörer som personuppgiftsbiträden. För varje underleverantörsarbete ska det finnas ett skriftligt avtal som anger att underleverantören ska iaktta samma skyldigheter och åtaganden som anges i Avtalet, den här Bilagan och Dataskyddslagstiftningen. Avtalsparterna har ansvaret för det arbete som deras underleverantörer utför. Avtalsparterna är skyldiga att regelbundet granska sina underleverantörers prestationer.

7.2 När en avtalspart agerar personuppgiftsbiträde ska denne informera den andra avtalsparten, som agerar som personuppgiftsansvarig, om sina underleverantörer. Avtalsparterna konstaterar att den avtalspart som agerar som personuppgiftsbiträde har rätt att informera om de underleverantörer denne använder på sin webbplats och att en anmälan på webbplatsen och uppdatering av webbplatsen anses vara en tillräcklig anmälan om vilka underleverantörer man använder. I fall där Personuppgifter skulle överföras utanför EU/EES via underleverantören, ska den avtalspart som agerar personuppgiftsbiträde emellertid skriftligen informera den part som agerar personuppgiftsansvarig om en sådan underleverantör. Den avtalspart som agerar personuppgiftsansvarig har inte rätt att motsätta sig användning, byte eller ökning av antalet underleverantörer om underleverantörerna uppfyller samma skyldigheter och åtaganden som anges i Xxxxxxx och den här Bilagan och om underleverantörerna iakttar kraven i Dataskyddslagstiftningen. Om underentreprenörerna låter bli att iaktta samma skyldigheter och åtaganden som ingår i Avtalet och den här Bilagan eller bryter mot kraven i Dataskyddslagstiftningen eller om personuppgifter skulle överföras utanför EU/EES genom underleverantören, har den part som agerar personuppgiftsansvarig rätt att kräva att underleverantören i fråga byts och härvid ska den part som agerar som personuppgiftsbiträde byta underleverantör omgående. Om den part som agerar

personuppgiftsbiträde inte byter underleverantör i en ovan i denna punkt beskriven situation inom en skälig tid från att yrkan om byte av underleverantör har företetts, har den andra parten, som agerar personuppgiftsansvarig, rätt att säga upp Avtalet.

8. Personuppgiftsincidenter

Om en personuppgiftsincident inträffar, ska Personuppgiftsbiträdet, när denne fått kännedom om detta, utan fördröjning anmäla detta skriftligen till den Personuppgiftsansvarige och förse den Personuppgiftsansvarige med information om personuppgiftsincidenten.

9. Informationens konfidentialitet

9.1 På Personuppgifternas konfidentialitet tillämpas det som föreskrivs om konfidentialitet i avsnitt 6 i Avtalet. Dessutom förbinder sig avtalsparterna att hålla alla Personuppgifter de mottagit av den andra avtalsparten samt tillhörande material hemligt. En avtalspart har ändå rätt att:

• använda Personuppgifterna och tillhörande material för de ändamål som fastställts i den här Bilagan och i Avtalet;

• kopiera Personuppgifter och tillhörande material i den omfattning som behövs för att kunna uppfylla de ändamål som fastställts i Bilagan och Avtalet; och

• avslöja eller överlåta Personuppgifter och tillhörande material till sådana anställda, underleverantörer eller rådgivare som behöver Personuppgifterna för de ändamål som fastställts i Bilagan och Avtalet. Den avtalspart som avslöjar eller överlåter konfidentiella Personuppgifter har ansvaret för att den avtalspart som mottar Personuppgifterna iakttar de villkor som rör Personuppgifter i den här Bilagan.

9.2 Avtalsparterna garanterar att deras anställda och rådgivare för vilka konfidentiella Personuppgifter kan yppas eller överlåtas enligt punkt 9, iakttar den här Bilagan och agerar omsorgsfullt enligt den.

9.3 De skyldigheter som rör konfidentialitet i punkt 9 kvarstår som gällande om ändringsavtalet eller Xxxxxxx upphör att gälla.

10. Överföring av personuppgifter

Personuppgiftsbiträdet saknar rätt att överföra Personuppgifter till andra länder (utanför EES) utan att den Personuppgiftsansvarige på förhand har informerats om överföringen. Eventuell överföring ska ske enligt Dataskyddslagstiftningen, till exempel med användande av EU:s standardavtalsklausuler.

11. Lösning av tvister och ersättningar

Vardera avtalsparten svarar själv för de skyldigheter, skadeståndsansvar och administrativa böter som åläggs avtalsparten med stöd av dataskyddslagstiftningen.

På skadeståndsansvaret mellan avtalsparterna tillämpas skadebegränsningsvillkoren i Avtalet.

Tvister, oenigheter eller anspråk som föranleds av eller som hänför sig till den här Bilagan löses i första hand genom förhandlingar mellan avtalsparterna. På tvistlösningsförfarandet tillämpas tvistlösningsförfarandet i Avtalet.

12. Beskrivning och specifikation av personuppgifter

De personuppgifter som finns i Finna har beskrivits och specificerats i det Integritetsmeddelande som publiceras och uppdateras i Finnas användargränssnitt (xxxxx://xxxxx.xx/Xxxxxxx/xxxxxxx). Avtalsparterna konstaterar att vardera avtalsparten svarar för att upprätthålla och uppdatera Integritetsmeddelandet för sitt eget personuppgiftsregister.