Inbördes arrangemang mellan Uppsala stifts servicebyrå och XXX pastorat/församling
Inbördes arrangemang mellan Uppsala stifts servicebyrå och XXX pastorat/församling
Detta Inbördes arrangemang innebär en överenskommelse, mellan de personuppgiftsansvariga parterna, hur personuppgifter ska behandlas i de fall ett gemensamt ansvar föreligger.
Detta Inbördes arrangemang utgör Bilaga till Avtal mellan parterna avseende tjänster inom tjänsteområdena Ekonomi och/eller Personal som tillhandahålls av Leverantören, Uppsala Stifts servicebyrå.
1. Personuppgiftsansvariga som omfattas av arrangemanget (parter)
1.1 Svenska kyrkan Uppsala stift, organisationsnummer 252010-0013 (nedan kallad Leverantören/Uppsala stifts servicebyrå/stiftets servicebyrå etc)
Adress: Box 1314, 751 43 Uppsala
E-postadress: xxxxxxxxxxxx.xxxxxxxxxxx@xxxxxxxxxxxxx.xx
1.2 XXX pastorat/församling, organisationsnummer XXXXXX-XXXX (nedan kallad Kunden)
Adress: XXX
E-postadress: XXX@xxxxxxxxxxxxx.xx
2. Syftet med ett inbördes arrangemang
Ett inbördes arrangemang ska enligt artikel 26 i dataskyddsförordningen1 tas fram om två personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen. Arrangemanget behövs när två personuppgiftsansvariga samarbetar med varandra utan att någon av dem kan bestämma över ändamål och metoder. De gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar enligt dataskyddsförordningen. Det inbördes arrangemanget ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade.
I det här inbördes arrangemanget klargörs rollerna i samarbetet i följande avseenden (illustreras i nedanstående bild):
• Vad vardera personuppgiftsansvarig har för eget ansvar i samarbetet, den gula och blå cirkeln, det vill säga vilka egna roller man har. I de blå och gula fallet föreligger inte gemensamt personuppgiftsansvar.
• I vilka fall man gemensamt hanterar personuppgifter och vilka ändamål det sker för (den gröna ytan som är gemensam för den gula och blå cirkeln). Genom att beskriva detta förklarar man de olika rollerna de personuppgiftsansvariga har i samarbetet och vilka personuppgifter som kan komma att behandlas gemensamt. I det gröna fältet föreligger ett gemensamt ansvar.
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.
Syftet med ett inbördes arrangemang är att registrerade som berörs av gemensam behandling ska förstå rollerna och i vilka fall gemensamt ansvar föreligger.
3. Roller
Olika roller för juridiska personer inom Svenska kyrkan styrs normalt sett av kyrkoordningen. Det finns dock viss administrativ och IT-mässig hantering som inte regleras där. Ett sådant exempel är det stöd som stiftets Servicebyrå (Leverantören) tillhandahåller sina Kunder (församlingar och pastorat). Relationen mellan Leverantören och Kunden regleras i ett sedvanligt affärsavtal. IT-mässigt använder alla juridiska personer inom Svenska kyrkan system framtagna av kyrkans nationella nivå, men det finns också möjlighet för varje juridisk person att själva bestämma vilka IT-stöd som ska användas i verksamheten.
Det här inbördes arrangemanget beskriver hur samarbete mellan Leverantören och Xxxxxx ser ut i förhållande till personuppgiftsbehandling. De personuppgiftsansvarigas ansvarsområden kan förenklat visualiseras på följande sätt:
3.1 Det blå området
Leverantören levererar till Kunderna (stift, församlingar, pastorat och närslutna organisationer) tjänst med system huvudsakligen inom Ekonomi (redovisning, löpande bokföring, leverantörs- och kundreskontra) och Lön (löneberedning, utbetalning av lön, distribution av rapporter till Kund och anställda, rapportering till myndigheter).
3.2 Det gula området
Kunden har som arbetsgivare ansvar att betala ut löner till sina anställda. Vidare har Xxxxxx ansvar att följa lagstiftning som bokföringslagen, skattelagstiftningen, socialförsäkringsbalken, årsredovisningslagen m.m.
3.3 Det gemensamma gröna området
Den gemensamma gröna delen rör personuppgifter som behandlas gemensamt av de personuppgiftsansvariga. Omfattningen av det fältet beror på vilka tjänster som Xxxxxx har beställt av Leverantören i huvudavtalet (se huvudavtalets bilagor 1 och 4). Huvudavtalet reglerar administrativa tjänster, där Leverantören använder sitt kunnande till att skapa stabila lösningar rörande Kundens administration.
I den utsträckning känsliga personuppgifter2 delas mellan de personuppgiftsansvariga sker det på ett betryggande sätt. Ändamålet med den gemensamma behandlingen är att hantera Kundens administrativa krav på ett smidigt och korrekt sätt och därmed främja en god förvaltning. De medel som används för den gemensamma behandlingen utgörs huvudsakligen av de IT-system som tillhandahålls av Svenska kyrkans nationella nivå inom Gemensam Administrativ Samverkan (GAS), se huvudavtalet för detaljer. Leverantören ansvarar för att ständigt utveckla sina processer och IT-stöd så att de uppfyller kraven på inbyggt dataskydd. Både Leverantör och Kund kan ha kontakter med Svenska kyrkans nationella nivå rörande användning av gemensamma IT-system, men det är främst Leverantören som ansvarar för kontakter rörande gemensamma IT-systems funktion och driftsäkerhet.
Både Leverantör och Kund kommer att hantera eventuella personuppgiftsincidenter i det gröna området. Här kommer Leverantören att stödja Xxxxxx genom att göra en gemensam utredning (vilken vid behov kommer att innefatta kontakter med nationell nivå) och analysera hur incidenten ska hanteras, men båda behöver självständigt ta ställning till om anmälan ska ske och om berörda registrerade ska kontaktas.
4. Information till den registrerade om arrangemanget
Kunden ska informera registrerade3 som omfattas av tjänsterna (främst anställda) om arrangemanget och också lämna en kopia på arrangemanget till den registrerade som så önskar. Registrerade som vill ta del av affärsavtalet för att förstå den exakta omfattningen av det gröna området ska få göra det.
Båda parter ansvarar också för att lämna information om sin egen personuppgiftsbehandling till den registrerade. Detta kan göras exempelvis i en integritetspolicy. I informationen ska framgå vilka rättigheter den registrerade har enligt dataskyddsförordningen eller hur den registrerade annars kan få kunskap om rättigheterna.
2 Känsliga personuppgifter är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
3 Registrerad är en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras t.ex. genom identifierare som namn eller genom en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
5. Kontaktpunkter för registrerad som vill utöva sina rättigheter
Leverantören utgör kontaktpunkt dels för det gemensamma gröna området i punkt 2 ovan, dels för det egna området (det blåa området i punkt 2 ovan).
Kunden utgör kontaktpunkt för behandlingar som finns i det egna området (det blå området i bilden i punkt 2).
Kontaktuppgifter (telefonnummer och e-postadress) finns angivna i inledningen till det inbördes arrangemanget. Även dataskyddsombud för Leverantören eller Kunden får kontaktas av de registrerade. Kontaktuppgifter till Leverantörens dataskyddsombud finns i integritetspolicyn.
Att vara en kontaktpunkt innebär att den registrerade kan vända sig dit med frågor eller synpunkter på personuppgiftsbehandling. Registrerade kan oavsett kontaktpunkterna ovan alltid välja att vända sig till en eller båda personuppgiftsansvariga för att utöva sina rättigheter enligt dataskyddsförordningen.
Detta inbördes arrangemang har upprättats mellan Leverantör och Kund. Vardera personuppgiftsansvarig har fått ett exemplar av detta och arrangemanget blir efter att det undertecknats ett komplement till det avtal om administrativa tjänster som föreligger mellan Leverantör och Kund.
För Leverantören För Kunden
Uppsala den Ort den
Namnförtydligande firmatecknare, titel Namnförtydligande firmatecknare, titel
Namnförtydligande firmatecknare, titel Namnförtydligande firmatecknare, titel