Avtal om anslutande tjänst
Avtal om anslutande tjänst
gällande
gemensamt dataskyddsombud
mellan
Höörs kommun
och
Kommunalförbundet Sydarkivera
Parter
Höörs kommun och Kommunalförbundet Sydarkivera, nedan kallad Sydarkivera, har enats om anslutande tjänst som dataskyddsombud enligt följande avtal.
Bakgrund
Detta avtal har upprättats mot bakgrund av Höörs kommun behov enligt dataskydds- förordningen och annan dataskyddslagstiftning.
Dataskyddsförordningen (GDPR) innehåller regler om hur man får behandla personuppgifter. Förordningen började gälla den 25 maj 2018 och ersätter den tidigare gällande personuppgiftslagen (PuL).
Enligt dataskyddsförordningen är det obligatoriskt för vissa personuppgiftsansvariga att utnämna ett dataskyddsombud. För myndigheter är det ett krav att ha dataskyddsombud. Inom en kommun eller region är varje myndighet personuppgiftsansvarig och det innebär att varje nämnd och styrelse inom en kommun eller region behöver utse dataskyddsombud.
Sydarkivera bedriver tjänsten gemensamt dataskyddsombud för de förbundsmedlemmar som tecknar avtal om anslutande tjänst. Samtliga personuppgiftsansvariga inom förbundsmedlem som ansluter sig till tjänsten täcks in i tjänsten.
Förbundsmedlemmarnas kommunala bolag och de kommunalförbund som förbundsmedlemmarna är medlemmar i är egna juridiska personer och behöver teckna egna avtal om tjänsten gemensamt dataskyddsombud.
Anslutande tjänst finansieras separat enligt principen om självkostnadspris och påverkar inte Sydarkiveras bastjänster.
Omfattning
Sydarkivera förbinder sig att hålla hög yrkesmässig kompetens och kvalité på tjänsten som dataskyddsombud. För att på ett effektivt och ändamålsenligt sätt kunna bedriva verksamheten som anslutande tjänst är ett team formerat med olika kompetenser som tillsammans utför dataskyddsombudets uppgifter. Teamet har kompetens inom juridik, IT, informationssäkerhet och arkiv. Vid behov finns även specialistkunskap inom systemvetenskap att tillgå.
Även om Sydarkivera tillhandahåller gemensamt dataskyddsombud behöver det finnas en lokal organisation hos varje förbundsmedlem som leds av en dataskyddssamordnare. Den lokala organisationen ska kunna bedriva ett aktivt dataskyddsarbete och behöver utgå från sina förutsättningar och behov.
Parternas åtaganden
Sydarkivera tillhandahåller följande tjänster/aktiviteter:
• Råd och stöd till de personuppgiftsansvariga och dess anställda om skyldigheter enligt dataskyddsförordningen och annan dataskyddslagstiftning ingår i tjänsten. Det kan till exempel vara rådgivning vid risk- och konsekvensbedömningar avseende dataskydd, vid upphandling av system eller applikationer som rör personuppgifter, vid ingående av personuppgiftbiträdesavtal samt vid personuppgiftsincident. Vid personuppgiftsincidenter är dataskyddsteamet tillgänglig för råd och stöd i så stor utsträckning som möjligt.
• Grundutbildning i dataskyddsförordningen och annan dataskyddslagstiftning hos nya anslutna parter ingår i tjänsten. Grundutbildningen genomförs av dataskyddsteamet.
• Nätverksträffar fyra gånger per år för dataskyddssamordnare ingår i tjänsten och är endast för anslutna parter. Nätverksträffarna innehåller utbildningsmoment och syftar också till att nätverka och ta del av erfarenheter inom gruppen dataskyddssamordnare.
• Fördjupad utbildning i dataskyddslagstiftningen kommer att genomföras i enlighet med Sydarkiveras modell för utbildning. Utbildningen genomförs vid ett par tillfällen under året på olika lämpliga platser inom Sydarkiveras område. Denna utbildning ingår inte i tjänsten utan erbjuds till anslutna parter mot en deltagaravgift som baseras på självkostnadsprincipen. Även externa deltagare kan närvara mot deltagaravgift som motsvarar kommersiell prisbild.
• Mallar för styrdokument, handledningar, informationstexter och liknande dokument för behandling av personuppgifter tas fram av dataskyddsteamet. Sydarkivera bjuder in till dataskyddsarbetsmöten minst två gånger per år för att arbeta med innehållet i mallarna och hålla dem uppdaterade. Dataskyddsarbetsmötena ingår i tjänsten.
• Övervakning av efterlevnaden av dataskyddsförordningen och annan dataskyddslagstiftning och tillsyn hos den personuppgiftsansvarige ingår i tjänsten. Den genomförs genom årlig tillsynsenkät för självvärdering, dataskyddstillsyn på plats utifrån fokusområden enligt tillsynsplan och vid behov eller önskemål händelsestyrd tillsyn för dataskydd.
Tillsynen genomförs på följande sätt:
1. Årlig tillsynsenkät för självvärdering tas fram av dataskyddsteamet och skickas ut till dataskyddssamordnarna för genomförande. Åtgärdsrapport tas fram av dataskyddsteamet och skickas till ansluten part.
2. Medlemssamordnarna inom Sydarkivera kommer att genomföra tillsyn i samband med att arkivtillsynen genomförs. Separat rapport kommer att göras av medlemssamordnarna vad gäller dataskydd som sedan skickas till ansluten part.
3. Vid behov eller önskemål från part kan också händelsestyrd tillsyn genomföras av medlemssamordnarna och dataskyddsteamet tillsammans.
• Samarbete med tillsynsmyndigheten (Integritetsskyddsmyndigheten) och där dataskyddsombudet är kontaktperson gentemot tillsynsmyndigheten
• Dataskyddsteamet följer rättsutvecklingen inom området för dataskydd och deltar i nätverk, konferenser och projekt för att upprätthålla hög kompetens.
Ansluten part förbinder sig att göra följande:
• Utse dataskyddssamordnare som leder det lokala dataskyddsarbetet och som är kontaktperson gentemot dataskyddsombudet. Vidare är det också dataskyddssamordnaren som rapporterar till sin förvaltningsledning i samråd med dataskyddsombudet.
• Fastställa en lokalt anpassad organisation för dataskyddsarbetet med råd och stöd från dataskyddsombudet. Det är den lokala organisationen som utför det operativa arbetet på plats hos personuppgiftsansvarig till exempel inventerar personuppgifts- behandlingar, vid behov processkartlägger sin organisation, lämnar ut registerutdrag, för register över behandlingar, tar fram lokalt anpassade dokument utifrån tillhandahållna mallar och som gör risk- och konsekvensbedömningar avseende dataskydd.
• När risk- och konsekvensbedömningar avseende dataskydd görs ska dataskyddsombudet rådfrågas enligt art 35 GDPR.
• Fastställa interna riktlinjer och policydokument för behandling av personuppgifter samt andra dokument som rör behandling av personuppgifter med råd och stöd från dataskyddsombudet, till exempel för att dataskyddsombudet ska kunna övervaka efterlevnaden av dataskyddsförordningen och annan dataskyddslagstiftning.
Samråd
Arbetet med dataskydd ska bedrivas i nära samarbete mellan anslutna parters personuppgiftsansvariga och Sydarkivera.
Dataskyddsombudet har inget ansvar för att personuppgiftsansvarig myndighet följer dataskyddsförordningen. Det ansvaret ligger alltid hos den personuppgiftsansvariga.
Fakturering
Sydarkivera fakturerar kostnader för den anslutande tjänsten kvartalsvis i förskott.
Alla priser faktureras exkl. moms med betalningsvillkor 30 dagar netto. Vid betalning efter förfallodatum debiteras dröjsmålsränta med 8 % över gällande referensränta.
Sydarkivera skickar fakturan till
Fakturaadress: Höörs kommun, Box 40, 243 21 Höör Fakturareferens:
E-postadress: xxxxxxxxxxxxx@xxxx.xx GLN-nummer: 7350044300004
VAN-operatör: Tieto Sverige AB Organisationsnummer: 212000-1116 Momsregistreringsnummer: SE212000111601
Avgift
Kostnaden för tjänsten består av en fast del. Behövs extra insatser finns möjlighet att teckna avtal om specialistutbildningar som anslutande tjänst.
Avgift beroende på avtalspart | Avgift |
Kommun/region | 125 000 kronor per år |
Kommunalt bolag/kommunalförbund | 50 000 kronor per år |
Avgift för Höörs kommun är 125 000 kronor per år.
Uppräkning sker årligen med tillämpning av KPI för oktober månad året innan. Första uppräkning görs 2021 med tillämpning av KPI för oktober 2020. Basmånad utgörs av oktober 2019.
Avtalstid
Detta avtal gäller från den 1 januari 2022 till den 31 december 2023. Vardera parten kan säga upp avtalet. Uppsägning ska äga rum senast 6 månader före avtalstidens utgång.
Sker inte uppsägning är avtalet förlängt med 1 år i taget med fortsatt 6 månaders uppsägningstid.
Villkor
Avtalets giltighet förutsätter erforderligt beslut hos organisationen och enligt gällande delegeringsordning.
Avtalsexemplar
Detta avtal har upprättats i två likalydande exemplar, av vilka parterna tagit var sitt.
Höörs kommun Kommunalförbundet Sydarkivera
Organisationsnummer: 212000-1116
Organisationsnummer: 222000–3103
Ort och datum Ort och datum
Xxxxxxx Xxxxxx Xxxx Xxxxxxxx
Namnförtydligande Xxxxxxx Xxxxxx Kommundirektör
E-post
Namnförtydligande Xxxx Xxxxxxxx Förbundschef