Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Detta personuppgiftsbiträdesavtal utgör bilaga till Konsortialavtal för Ladokkonsortiet beslutat av stämman 2017-11-23 och har träffats mellan:

Personuppgiftsansvarig: Respektive partshögskola (’Högskolan’)

Personuppgiftsbiträde: Ladokkonsortiet (’Konsortiet’)

Parterna ovan benämns härefter gemensamt som ”Parterna” och var för sig som ”Part”.

1 Definitioner

I den mån Europaparlamentets och rådets förordning (EU) 2016/679 (”Dataskyddsförordningen”) innehåller begrepp som motsvarar dem som används i Avtalet ska sådana begrepp tolkas och tillämpas i enlighet med Dataskyddsförordningen.

I Avtalet ska nedan angivna termer ha följande betydelse:

Avtalet

Detta personuppgiftsbiträdesavtal samt ändringar och tillägg till detta personuppgiftsbiträdesavtal som vidtagits i enlighet med bestämmelserna i detta personuppgiftsbiträdesavtal.

Behandling/Behandla

En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Personuppgift

Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Personuppgiftsansvarig

Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Personuppgiftsbiträde

Den som Behandlar personuppgifter för den personuppgiftsansvariges räkning.

Personuppgiftsincident

En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Registrerad

Den som en personuppgift avser. Tillämpliga bestämmelser

Bestämmelser och praxis hänförlig till Dataskyddsförordningen och svensk kompletteringslagstiftning till Dataskyddsförordningen.

Underbiträde

Den som behandlar personuppgifter enligt instruktioner av Konsortiet.

2 Bakgrund och syfte

2.1 Ändamålet med Personuppgiftsbehandlingen är att högskolan ska kunna fullgöra sitt uppdrag att hålla ett studieregister i enlighet med förordningen SFS (1993:1153):

Ändamålet med studieregistret är att säkra att uppgifter om sökande till utbildning, genomgångna studier, betyg över utbildningar och examina bevaras. Härutöver ska uppgifterna kunna läggas till grund för uppföljning och utvärdering, för antagning av studenter, för beslut om anmälningsavgift och studieavgift, för avstängning av studieavgiftsskyldiga studenter, för administration inom respektive högskola, för ändamål som anges i 6 och 6 a §§, för sådan officiell statistik som avses i 3 kap. samt för resurstilldelning.

2.2 Inom åtagandena som följer av Konsortialavtalet kommer Konsortiet att behandla personuppgifter samt annan information som är anknuten till Behandling av Personuppgifterna för Högskolans räkning.

2.3 Högskolan ska tillhandahålla Konsortiet dokumenterade instruktioner, Bilaga 1. Dessa ska bland annat, men inte uteslutande, reglera vilka Personuppgifter som ska Behandlas, föremålet för Behandlingen, Behandlingens varaktighet och omfattning, art och ändamål, typen av Personuppgifter och kategorier av Registrerade.

2.4 I syfte att uppfylla kravet på skriftligt avtal i art. 28.3 Dataskyddsförordningen, ingår Parterna detta Avtal för att reglera behandlingen av personuppgifter vid drift av den nya systemgenerationen av Ladok.

2.5 Avtalet gäller därvid all behandling av Personuppgifter som Konsortiet i egenskap av ansvarig för driften av det nya Ladoksystemet utför för Högskolans räkning.

2.6 Avtalet är uttömmande vad gäller Konsortiets behandling av Högskolans personuppgifter.

3 Högskolans skyldigheter

3.1 Högskolan har som Personuppgiftansvarig ansvar för all Behandling av Personuppgifter, i enlighet med (både Personuppgiftslagen samt) Dataskyddsförordningen och kompletterande lagstiftning

3.2 Högskolan har att beakta tillämplig lagstiftning och att den efterlevs beträffande Behandlingarna av Personuppgifter med avseende på såväl utlämnande av uppgifter och i förekommande fall även för efterföljande Behandling av återlämnade Personuppgifter.

3.3 Högskolan skall ombesörja att Behandling endast sker för de Personuppgifter som härrör från Konsortialavtalet samt att detta sker under de förutsättningar som anges i Konsortialavtalet samt detta Avtal.

3.4 Högskolan ska utan dröjsmål informera Konsortiet om förändringar i Behandlingen som påverkar Konsortiets skyldigheter. Högskolan ska tillika informera Konsortiet om tredje parts, däribland Tillsynsmyndigheten och Registrerades åtgärder med anledning av Behandlingen.

3.1 Högskolan ska tillhandahålla Konsortiet med den korrekta information och de personuppgifter som behövs och är ändamålsenliga för att denne ska kunna fullgöra sina skyldigheter enligt avtalet och tillämpliga bestämmelser.

4 Konsortiets ansvarsområden

4.1 Konsortiet, och dess underbiträden, ska endast behandla personuppgifter för Högskolans räkning i enlighet med Högskolans instruktioner, enligt detta avtal och tillämpliga bestämmelser. Konsortiet får inte, utan Högskolans samtycke, föreläggande från Datainspektionen eller tvingande lagstiftning

• samla in eller lämna ut personuppgifter från eller till någon tredje part om inte annat skriftligen överenskommits,

• ändra metod för behandling,

• kopiera eller återskapa personuppgifter om inte annat skriftligen överenskommits

4.2 Konsortiet får inte överföra personuppgifter till tredje land utan Högskolans skrifliga godkännande. Förbudet omfattar även service, teknisk support, underhåll och liknande tjänster av systemet.

4.3 Konsortiet ska genomföra ändringar, raderingar, begränsningar, överföringar och liknande som Högskolan anser nödvändiga för att följa gällande bestämmelser. Begärans ska framställas skriftligt till Konsortiet.

4.4 Konsortiet ska föra en skriftlig förteckning, inbegripet i elektronisk form, över alla kategorier av behandling som utförs för Högskolans räkning, som omfattar följande:

• Namn och kontaktuppgifter för Konsortiet och Högskolan för vars räkning Konsortiet agerar, och, i tillämpliga fall, för Högskolans eller Konsortiets företrädare samt dataskyddsombudet.

• De kategorier av behandling som utförs för Högskolans räkning.

• I tillämpliga fall, överföringar av personuppgifter till ett tredje land eller en internationell organisation, inbegripet identifiering av tredje landet eller den internationella organisationen och dokumentationen av lämpliga skyddsåtgärder.

• Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna.

4.5 Konsortiet ska omedelbart underrätta Högskolan om det anses att behandlingen strider mot avtalet, Dataskyddsförordningen eller annan lagstiftning. Konsortiet ska därefter invänta instruktioner från Högskolan.

4.6 Konsortiet får inte lämna ut personuppgifter eller information om behandlingen av Personuppgifter utan medgivande i förväg från Högskolan utom för det fall föreläggande finns därom från Datainspektionen eller om Konsortiet är skyldig att göra det enligt tillämpliga bestämmelser.

4.7 Konsortiet ska utan onödigt dröjsmål meddela Högskolan om Konsortiet kontaktas av Datainspektionen, registrerad eller tredje part i syfte att få tillgång till personuppgifter som Konsortiet behandlar. Konsortiet har inte rätt att självständigt företräda Högskolan i dessa frågor.

4.8 Högskolan äger rätt att, själv eller genom tredje man, genomföra revision gentemot Konsortiet eller på annat sätt kontrollera att Konsortiets behandling av personuppgifter

följer avtalet och tillämpliga bestämmelser. Vid sådan revision eller kontroll ska Konsortiet ge Högskolan den assistans som behövs för genomförande av revision.

4.9 Konsortiet ska bereda Högskolan tillgång till lokaler och utrustning för inspektion i syfte att säkerställa att Konsortiet uppfyller sina skyldigheter enligt avtalet och tillämpliga bestämmelser.

4.10 Konsortiet ska på begäran och utan onödigt dröjsmål visa att förpliktelserna enligt avtalet och tillämpliga bestämmelser efterlevs. Detta innefattar bland annat, men inte uteslutande, en skyldighet att tillhandahålla dokumentation, visa att godkända uppförandekoder eller certifieringar är uppfyllda samt möjliggöra och bidra till att Högskolan kan utföra nödvändiga granskningar och inspektioner.

4.11 Konsortiet ska ge Högskolan tillgång till alla de personuppgifter som Konsortiet behandlar för Högskolans räkning. Detta innefattar även tillgång till upplysningar och handlingar som Högskolan behöver för att utöva kontroll över Konsortiets efterlevnad av avtalet och tillämpliga bestämmelser. En sådan tillgång ska ges utan oskäligt dröjsmål.

4.12 Konsortiet ska vid behov och på begäran bistå Högskolan med fullgörande av de skyldigheter som denne har och som härrör från bestämmelserna i Dataskyddsförordningen angående utförandet av konsekvensbedömningar avseende dataskydd och förhandssamråd med Datainspektionen.

4.13 Konsortiet ska vid behov och på begäran bistå Högskolan med fullgörande av de skyldigheter som denne har och som härrör från bestämmelserna i Dataskyddsförordningen angående de registrerades rättigheter.

4.14 Konsortiet garanterar att det besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt avtalet och gällande bestämmelser.

4.15 Konsortiet åtar sig att att inte nyttja Personuppgifterna för egna ändamål.

5 Säkerhet

5.1 Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska Konsortiet

vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

• pseudonymisering och kryptering av personuppgifter

• förmågan att fortlöpande säkerställa konfidentialitet, integritet och tillgänglighet,

• förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,

• ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

5.2 Konsortiet ska utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Utvärdering ska löpande tillställas Högskolan.

5.3 Konsortiet ska vidta åtgärder för att säkerställa att varje fysisk person och juridisk person som utför arbete under Konsortiets överinseende, och som får tillgång till personuppgifter, endast behandlar enligt de instruktioner Konsortiet fått från Högskolan.

5.4 Konsortiet ansvarar för att varje fysisk person som har tillgång till personuppgifterna som behandlas enligt avtalet har tillräckliga kunskaper och utbildning för att på ett säkert och ändamålsenligt sätt behandla Personuppgifterna.

5.5 Konsortiet förbinder sig att behandla personuppgifter och annan information som uppvisar samband med avtalet i enlighet med gällande sekretesslagstiftning. Personalen som behandlar personuppgifter har ingått särskilda sekretessförbindelser samt upplysts om att tystnadsplikt föreligger enligt avtal eller gällande rätt.

5.6 Konsortiet ska tillse att samtliga anställda, konsulter och övriga som Konsortiet svarar för och som behandlar personuppgifter är bundna av ett ändamålsenligt sekretessåtagande samt att de är informerade om hur behandling av personuppgifterna får ske.

5.7 Konsortiet ansvarar för att de personer som har åtkomst till personuppgifterna är informerade om hur de får behandla personuppgifterna i enlighet med instruktionerna från Högskolan. Konsortiet ska även säkerställa adekvat behörighetsstyrning.

5.8 Vid en misstänkt eller upptäckt Personuppgiftsincident ska Konsortiet omedelbart undersöka incidenten och vidta lämpliga åtgärder för att mildra dess potentiella negativa effekter.

5.9 Om Högskolan begär det ska en beskrivning av Personuppgiftsincidenten lämnas till Högskolan inom 48 timmar. En sådan beskrivning ska åtminstone innehålla

a) beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,

b) förmedla namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas,

c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och

d) beskriva de åtgärder som Konsortiet har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

5.10 Konsortiet ska bistå Högskolan med att se till att dennes skyldigheter enligt tillämpliga bestämmelser om personuppgiftsincidenter fullgörs, med beaktande av typen av behandling och den information som Konsortiet har att tillgå. Detta gäller även om Högskolan misstänkt eller upptäckt en personuppgiftsincident.

5.11 Konsortiet ska underrätta Högskolan utan onödigt dröjsmål, dock senast inom 24 timmar, efter att ha misstänkt eller upptäckt en Personuppgiftsincident.

5.12 En underrättelse enligt ovan ska innehålla all den information som Högskolan behöver för att uppfylla sina skyldigheter i förhållande till Datainspektionen.

5.13 Ovanstående underrättelseskyldighet till Högskolan gäller även om Konsortiet av någon annan anledning inte kan uppfylla åtaganden enligt avtalet alternativt får kännedom om att personuppgifter har behandlats i strid med avtalet.

6 Anlitande av underbiträde

6.1 Konsortiet får anlita Underbiträden för Behandling av Xxxxxxxxxxxxxxxxx.Xx Konsortiet skall anlita Underbiträde måste detta i förväg skriftligen godkännas av Högskolan.

6.2 Konsortiet ska ingå skriftligt avtal med Underbiträdet avseende Behandling av Personuppgifter i vilket Underbiträdet åläggs samma skyldigheter som åvila Konsortiet

enligt detta Avtal. Ingångna Underbiträdesavtal ska skickas till Högskolan för kännedom. Konsortiet ska på begäran av Högskolan förse Högskolan med information om Underbiträdet såsom kontaktinformation, vilken typ av tjänst Underbiträdet utför, var Underbiträdet Behandlar Personuppgifter som omfattas av avtalet etc.

Anlitande av Underbiträde påverkar inte Konsortiets skyldigheter gentemot Högskolan enligt detta Avtal och Konsortiet ansvarar fullt ut mot Högskolan för Underbiträdets Behandling av Personuppgifter.

7 Ansvar för skada

7.1 För den händelse Registrerad, eller annan tredje man riktar krav mot Högskolan på grund av Konsortiets Behandling av Personuppgifter ska Konsortiet hålla Högskolan skadelös för sådana krav som följer av att Konsortiet inte följt detta Avtal. Högskolan ska skyndsamt informera Konsortiet om att sådant krav inkommit.

7.2 För den händelse ett krav avser Personuppgifter som inte omfattas av Xxxxxxx, men som Högskolan är ansvarig för, ska Konsortiet inte hållas skadeståndsansvarig. Detta gäller även för det fall att Högskolan Behandlar Personuppgifter för andra ändamål än som omfattas av Xxxxxxx.

7.3 Högskolan ska hålla Konsortiet skadelös för skador eller kostnader i anledning av Behandlingen som är hänförliga till Högskolans agerande. Konsortiet ska snarats underrätta Högskolan om anspråk på skadestånd som riktas mot Konsortiet med anledning av Behandlingar av Personuppgifter inom ramen för detta Avtal.

8 Avtalets varaktighet samt ändringar i avtalet

8.1 Avtalet gäller från dess att det har undertecknats av Parterna och har samma avtalstid som konsortialavtalet. Avtalet upphör att gälla med omedelbar verkan om någon av Parterna säger upp det.

8.2 När Konsortiets uppdrag att behandla Högskolans personuppgifter upphör ska Konsortiet skyndsamt överlämna personuppgifterna på av Högskolan angivet medium och se till att det inte finns några uppgifter kvar i de egna eller i Underbiträdens system. Personuppgifterna får inte förstöras förrän Högskolan bekräftat läsbarheten av Personuppgifterna.

8.3 Högskolan får endast företa ändringar i avtalet i den mån det behövs för att efterleva gällande rätt.

8.4 Konsortiet äger inte rätt att påkalla ändringar i avtalet.

8.5 Detta Avtal ska äga företräde framför andra avtal som iongåtts eller kan komma att ingås mellan parterna och som rör personuppgiftsbehandling inom ramen för de tjänster som beskrivs i detta Avtal.

9 Underrättelser

9.1 Underrättelser och meddelanden enligt avtalet ska ske skriftligen. Underrättelser ska ställas till den av Högskolan beslutadkontaktperson.

9.2 . Personuppgiftsincidenter ska alltid anmälas per e-post till den av Högskolan beslutad e- postadress.

10 Tillämplig lag och tvister

10.1 Tvist angående tolkning och tillämpning av detta Avtal ska avgöras enligt Konsortialavtalets bestämmelse om tvist.

Svensk lag ska tillämpas på detta avtal.

Avtalet har upprättats i två (2) originalexemplar, av vilka Parterna tagit var sitt.

Xxx Xxxxxx

Ordförande i Ladokkonsortiet