AVTAL
om gemensamt personuppgiftsansvar för gemensamt låntagarregister
Parter
Detta avtal ingås mellan följande personuppgiftsansvariga parter, gemensamt benämnda ”Parterna”.
• Essunga kommun, Utbildningsnämnden
• Grästorps kommun, Kommunstyrelsen
• Götene kommun, Kommunstyrelsen
• Götene kommun, Barn- och utbildningsnämnden
• Lidköpings kommun, Kultur- och fritidsnämnden
• Lidköpings kommun, Barn- och Skolnämnden
• Lidköpings kommun, Utbildningsnämnden
• Skara kommun, Kultur- och fritidsnämnden
• Skara kommun, Barn- och utbildningsnämnden
• Vara kommun, Bildningsnämnden
Bakgrund
Parterna har upphandlat ett gemensamt IT-system för låntagarregister (benämnt ”Registret”).
Ett gemensamt IT-system för låntagarregister innebär att både personuppgifter och sekretessbelagda uppgifter behöver delas mellan Parterna.
Syftet med detta avtal är att bestämma att Parterna är gemensamt personuppgiftsansvariga i enlighet med Artikel 26 i Dataskydds- förordningen samt att reglera hur det gemensamma personupp- giftsansvaret ska fördelas.
Registret
Registret ägs och förvaltas av Göliska IT, org. nr. 222000-1602, ett kommunalförbund som ägs av de sex kommunerna.
Parterna ska teckna ett gemensamt personuppgiftsbiträdesavtal med Göliska IT.
Samarbetsgrupp
Parterna ansvarar för att utse en representant (benämnt ”Representanten”) till en gemensam samarbetsgrupp.
Representanterna ska årligen turas om att vara ordförande för samarbetsgruppen. Den Part vars representant är ordförande under året benämns ”Ordförandekommun” under det kalenderåret.
Turordningen baseras på alfabetisk ordning. Vilken Part som är Ordförandekommun framgår av Bilaga 1 till detta avtal.
Samarbetsgruppen ska fatta beslut om den gemensamma personuppgiftsbehandlingen. Besluten ska vara enhälliga.
Kostnader
Kostnaderna för drift och underhåll av systemet samt övergripande systemförvaltning ska fördelas mellan kommunerna enligt Göliskas IT’s fördelningsnyckel (se Bilaga 2 för år 2018). Uppdateringar av fördelningsnyckeln ska biläggas detta avtal.
Samarbetsgruppen beslutar om kostnadsfördelning av övriga kostnader som ryms inom respektive verksamhets budget. Sådana beslut utgör tillägg till detta avtal.
Samarbetsgruppen ska årligen se över fördelning av kostnader och arbetskraft och denna ska kunna omförhandlas. Ändringar ska dokumenteras som tillägg till detta avtal.
Ansvar
Parterna ska gemensamt fastställa ändamålen och medlen med alla personuppgiftsbehandlingar som sker i Registret.
Med gemensam personuppgiftsbehandling och gemensamt ansvar avses den personuppgiftsbehandling som görs i Registret. När uppgifterna har tagits ur systemet ansvarar den Part som hämtat uppgifterna själv för den vidare behandlingen av uppgifterna.
Ändamål
Ändamålet med Registret är att administrera reservationer och lån av och tillgång till media, fjärrlån, datorbokningar, samt att administrera förseningsavgifter och ersättningskostnader.
Ändamålet med ett gemensamt register är att ge de låntagare som vill ingå i det möjlighet att låna och lämna tillbaka media i samtliga sex kommuner.
Delning av data
Den data som kommer att delas mellan Parterna är följande: Personuppgifter:
• Namn
• Kön
• Personnummer
• Adress
• Telefonnummer
• E-postadress
• Skola och klass, för skolelever
• Uppgift om meddelandesätt
• Talboksmottagare Annan data:
• Vilken media som har lånats
• När media har lånats
• Var media har lånats
• Vilken media som har reserverats
• Vilken media som har bokats/beställts
• Skulder (Förseningsavgifter och ersättningskrav)
• Spärrar
• Påminnelser
• Samtycken
• Uppdateringsuppgifter
• Meddelanden
Behandling
Det medel som används för den gemensamma behandlingen är Registret. Den behandling som kan göras i registret är:
Uppgifterna kan läsas, ändras, tas bort, sökas fram. Det kan även göras registerutdrag och upprättas statistik på uppgifterna.
Laglig grund
Den lagliga grunden för behandling är de registrerades samtycke, både till delning av personuppgifter i enlighet med Dataskyddsförordningen och till delning av sådana uppgifter om lån som skyddas av sekretess enligt 40 kap. 3 § Offentlighets- och sekretesslagen.
Registrerades rättigheter
Det ska vara frivilligt att ingå i Registret, och inte ett krav för att få låna media i en kommun.
Var och en av Parterna åtar sig att informera samtliga låntagare som idag är registrerade hos Parten om Registret och bereda dem möjlighet att välja om de vill ingå i Registret.
Parterna åtar sig att på egen hand hantera de låntagare som inte vill ingå i Registret.
Parterna åtar sig att inhämta giltiga samtycken från alla som ska ingå i Registret.
De registrerade kan utöva sina rättigheter genom att kontakta vilken som helst av Parterna.
Den Part som har kontaktats av en registrerad ansvarar för att den registrerades rättigheter tas tillvara.
Information
Det är Ordförandekommunens ansvar att den information som ska lämnas till registrerade enligt Artikel 13 och 14 i Dataskyddsförordningen hålls korrekt och uppdaterad.
När personuppgifter samlas in från den registrerade, ska den Part som samlar in personuppgifterna lämna den information som behövs enligt Artikel 13 i Dataskyddsförordningen till den registrerade.
När personuppgifter erhålls från annan än den registrerade, ska den Part som erhåller personuppgifterna lämna den information som behövs enligt Artikel 14 i Dataskyddsförordningen till den registrerade.
Rättelse, invändning, radering
När en registrerad begär registerutdrag, rättelse, invändning, radering eller någon annan rättighet ska ärendet handläggas av den Part som först har kontaktats av den registrerade. Parten ska även fatta erforderliga beslut för Parternas räkning med anledning av ärendet.
Säkerhet
Det är Ordförandekommunens ansvar att säkerställa en lämplig säkerhetsnivå för Parternas behandling av personuppgifter, i enlighet med Artikel 32 i Dataskyddsförordningen.
Incidenter
Det är Ordförandekommunens ansvar att Parternas hantering av personuppgiftsincidenter fullgörs i enlighet med Artikel 33 och 34 i Dataskyddsförordningen.
Ordförandekommunen ska därvid vara den part som har kontakt med tillsynsmyndigheten.
Detta innebär bland annat att det är Ordförandekommunen som för samtliga Parters räkning i första hand ska anmäla personuppgiftsincidenter till tillsynsmyndigheten inom 72 timmar.
När incidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska Ordförandekommunen utan onödigt dröjsmål informera de registrerade.
Ordförandekommunen ska även snarast informera övriga Parter om incidenten.
Övriga Parter ska bistå med den information och de resurser som Ordförandekommunen behöver.
För det fall att en annan Part än Ordförandekommunen upptäcker en incident, och Parten bedömer att det är mer lämpligt eller att det skulle innebära fara för dröjsmål att överlämna till Ordförandekommunen att göra en anmälan, kan den Part som upptäcker incidenten för samtliga Parters räkning göra anmälan
till tillsynsmyndigheten. I så fall ska Parten snarast informera övriga Parter om incidenten och anmälan.
Skadestånd
Om ett skadeståndsanspråk inkommer till någon av Parterna ska detta snarast kommuniceras med Ordförandekommunen.
Därefter ansvarar Ordförandekommunen för att genomföra en utredning av vad som har hänt och lämna ett gemensamt besked till kravställaren.
För det fall att Ordförandekommunen är en av de Parter vars agerande ska utredas övergår utredningsansvaret till den Part som enligt turordningslistan står näst i tur att vara Ordförandekommun. Om även den Parten ska utredas övergår det till den Part som står näst i tur enligt turordningslistan, osv.
Om samtliga Parter omfattas av utredningen kvarstår utredningsansvaret hos Ordförandekommunen. I sådant fall är det upp till Ordförandekommunen att bedöma om ärendet är av så allvarlig karaktär att en oberoende extern part behöver anlitas för att utföra utredningen.
Om utredningen visar att skadeståndet har uppkommit till följd av att en eller flera Parter har brutit mot lagstiftning eller detta avtal ska den eller de Parterna stå för kostnaden för skadeståndet, om inte Parterna kommer överens om något annat.
I annat fall ska kostnaden för skadeståndet fördelas mellan Parterna enligt fördelningsnyckeln, om inte Parterna kommer överens om något annat.
Sanktionsavgift
Om en eller flera av Parterna ådöms sanktionsavgift för behandling i samband med Registret eller som på annat sätt ryms inom detta avtal ska detta snarast kommuniceras med Ordförandekommunen.
Ordförandekommunen ska bistå med rådgivning om huruvida sanktionsavgiften ska överklagas.
Därefter ansvarar Ordförandekommunen för att genomföra en utredning av vad som har hänt.
För det fall att Ordförandekommunen är en av de Parter vars agerande ska utredas övergår utredningsansvaret till den Part som enligt turordningslistan står näst i tur att vara Ordförandekommun. Om även den Parten ska utredas övergår det till den Part som står näst i tur enligt turordningslistan, osv.
Om samtliga Parter omfattas av utredningen kvarstår utredningsansvaret hos Ordförandekommunen. I sådant fall är det upp till Ordförandekommunen att bedöma om ärendet är av så allvarlig karaktär att en oberoende extern part behöver anlitas för att utföra utredningen.
Om utredningen visar att sanktionsavgiften har uppkommit till följd av att en eller flera Parter har brutit mot lagstiftning eller detta avtal ska den eller de Parterna stå för kostnaden för sanktionsavgiften, om inte Parterna kommer överens om något annat.
I annat fall ska kostnaden för sanktionsavgiften fördelas mellan Parterna enligt fördelningsnyckel, om inte Parterna kommer överens om något annat.
Konsekvensbedömning
Det är Ordförandekommunens ansvar att Parternas ansvar för konsekvensbedömningar fullgörs i enlighet med Artikel 35 och 36 i Dataskyddsförordningen.
Gemensam kontaktpunkt
Enligt Artikel 26 punkt 1 i Dataskyddsförordningen får gemensamt personuppgiftsansvariga utse en gemensam kontaktpunkt.
Ordförandekommunens representant utses till gemensam kontaktpunkt för Parterna. Detta innebär att biblioteken kan hänvisa frågor om den gemensamma hanteringen till Ordförandekommunens representant.
Gallring
Samarbetsgruppen ansvarar för att gallring av personuppgifter från Registret utförs enligt följande:
Gallring av personuppgifter från Registret ska utföras när den registrerade begär det eller 4 år efter den registrerades senaste lån har avslutats, förutsatt att den registrerade inte har några skulder.
Om den registrerade har skulder ska gallring av personuppgifter från Registret ske tidigast när alla Parternas fordringar på den registrerade har betalats, avskrivits eller preskriberats.
Gallring av lånehistorik från Registret utförs automatiskt av systemet omedelbart efter att media har lämnats tillbaka, om inte den registrerade är talboksmottagare och har lämnat särskilt uttryckligt samtycke till att gallring ska genomföras senare.
Gallring av uppgifter om reservationer utförs antingen omedelbart av systemet efter att media har lånats eller vid hämtningstidens slut av personal på hämtstället.
Parterna är ansvariga för att deras dokumenthanteringsplaner stämmer överens med avtalade gallringstider. Detta innebär att om avtalet ändras behöver Parternas dokumenthanteringsplaner även ändras.
Personal
Respektive Part ansvarar för att enbart de personer som är Partens behöriga personal (”Personalen”), som behöver det för att utföra sina arbetsuppgifter, får tillgång till Registret.
Respektive Part ansvarar för att Personalen får erforderlig utbildning i dataskyddsförordningen för att kunna ta tillvara de registrerades rättigheter enligt Dataskyddsförordningen.
Respektive Part ansvarar för att Personalen får erforderlig utbildning i offentlighet och sekretesslagstiftningen för att kunna hantera Registrets sekretess med tillhörande tystnadsplikt.
Respektive Part ansvarar för att Personalen får erforderlig utbildning i informationssäkerhet så att inte obehöriga får tillgång till Registret.
Kontroll
Varje Representant har rätt kontrollera övriga Parters avtalsefterlevnad. Parterna förbinder sig att vid kontroll samarbeta med Representanten genom att tillhandahålla all begärd samt all övrig information för att den ska få en så korrekt bild av Partens avtalsefterlevnad som möjligt.
Öppenhet
Genom att avtalet godkänns av Xxxxxxxx kommer det att anslås på respektive Parts anslagstavla.
Parterna åtar sig även att publicera avtalet på internet och bifoga en länk till avtalet tillsammans med den information som ges de registrerade.
Giltighet
Detta avtal träder i kraft när det har godkänts av samtliga Parter och undertecknats av respektive Parts utsedda Representant.
Ändring av avtalet ska godkännas av samtliga Parter för att vara giltigt.
Tillägg till avtalet kan göras av samarbetsgruppen, förutsatt att respektive Part har gett sin Representant behörighet till det, och ska i så fall bifogas till avtalet som en bilaga. Bilagan ska vara undertecknad av alla Representanter för att vara giltig.
Överlåtelse
Vid omorganisation inom någon av de deltagande kommunerna som leder till att en annan nämnd blir personuppgiftsansvarig för Registret, har den nya personuppgiftsansvarige rätt att tillträda avtalet som part, förutsatt att den godkänner avtalet och utser en
representant som undertecknar det. Undertecknandet ska bifogas till avtalet som en bilaga.
Upphörande
Om en Part vill träda ut ur Registret, ska den säga upp avtalet skriftligen minst 6 månader innan det ska upphöra.
Vid utträdet ansvarar den Part som lämnar för de kostnader som uppstår så att dessa inte belastar kvarvarande Parter. Detta kan utgöras av kostnader för separation av databasinnehåll eller andra liknande kostnader som direkt följer av Partens utträde.
Detta avtal har upprättats i 10 originalexemplar, av vilka parterna tagit var sitt.
Datum:
…………………………………………….…………………… Essunga kommun Namnförtydligande
………………………………………………………………… Grästorps kommun Namnförtydligande
………………………………………………………………… Götene kommun Namnförtydligande
………………………………………………………………… Lidköpings kommun Namnförtydligande
………………………………………………………………… Skara kommun Namnförtydligande
………………………………………………………………… Vara kommun Namnförtydligande
BILAGA 1: Ordförandekommun
Ordförandekommun för de första sex åren är följande:
2018 | Vara kommun |
2019 | Essunga |
2020 | Grästorp |
2021 | Götene |
2022 | Lidköping |
2023 | Skara |
Därefter börjar listan om igen från början.
Datum:
…………………………………………….…………………… Essunga kommun Namnförtydligande
………………………………………………………………… Grästorps kommun Namnförtydligande
………………………………………………………………… Götene kommun Namnförtydligande
………………………………………………………………… Lidköpings kommun Namnförtydligande
………………………………………………………………… Skara kommun Namnförtydligande
BILAGA 2: Fördelningsnyckel 2018
Skara | 0,1920 |
Lidköping | 0,3980 |
Götene | 0,1350 |
Grästorp | 0,0580 |
Essunga | 0,0570 |
Vara | 0,1600 |
Summa | 1,0000 |
Datum:
…………………………………………….…………………… Essunga kommun Namnförtydligande
………………………………………………………………… Grästorps kommun Namnförtydligande
………………………………………………………………… Götene kommun Namnförtydligande
………………………………………………………………… Lidköpings kommun Namnförtydligande
………………………………………………………………… Skara kommun Namnförtydligande