Samordningsavtal för gemensamt personuppgiftsansvar Almedalsveckans officiella program
År 2023, 1(6)
Samordningsavtal för gemensamt personuppgiftsansvar Almedalsveckans officiella program
1. Avtalsparter
Region Gotland Arrangör i Almedalsveckans officiella
Xxx.xx. 212000–0803 program
Box 1341
621 24 Visby
Personuppgiftsansvarig:
Regionstyrelsen
Kontaktperson för administration av samordningsavtal:
Xxxx Xxxxxx, 0498-269367 xxxx.xxxxxx@xxxxxxx.xx Kontaktperson för samarbete om dataskydd:
Xxxxxxxxx Xxxxxxxxx, 0498-269839
xxxxxxxxx.xxxxxxxxx00@xxxxxxx.xx
2. Avtalets syfte
Samordningsavtalet syftar till att säkerställa de registrerades fri- och rättigheter när Parterna har ett gemensamt personuppgiftsansvar vid personuppgiftsbehandling och till att uppfylla artikel 26 Allmänna Dataskyddsförordningen EU 2016/679,
(”dataskyddsförordningen”).
Avtalet ska tydliggöra vad respektive part har för ansvar.
Det föreligger ett gemensamt personuppgiftsansvar mellan Region Gotland och respektive arrangörer som genomför evenemang som finns listade i Almedals- veckans officiella program. Det gäller hantering av personuppgifter i Almedals- veckans officiella program som publiceras på hemsida, i appen, på Playkanal, via utskriftvänlig pdf, utlämning via fil samt som arkiveras i Region Gotlands region- arkiv.
3. Avtalstid
Detta Samordningsavtal gäller tillsvidare.
Uppgifterna gallras efter aktuell Almedalsvecka enligt nedan;
⮚ Uppgifter kopplat till registrering av arrangörskonton, fakturering, utläm- ning av uppgifter gallras 2 år efter aktuell Almedalsvecka, förutsatt att part inte förnyat sitt konto inom de senaste två åren.
Besöksadress Visborgsallén 19, Visby
Postadress 621 81 Visby
Telefon x00 (0)000 00 00 00
E-post xxxxxxxxxxxxxx@xxxxxxx.xx Webbplats www.almedalsveckan,info Org nr: 212000-0803
⮚ App, Playkanal och utskriftsvänlig pdf gallras efter 1 år.
⮚ Möjligheten att skriva ut programmet i skrift är möjligt under 1 år.
⮚ Det officiella programmet arkiveras i Region Gotland regionarkiv, gallras ej.
⮚ Det officiella programmet via hemsidan, årets program plus 2 år tillbaka i tiden visas publikt. Äldre program visas ej publikt.
4. Rättslig grund för personuppgiftsbehandling
Personuppgifter i varje enskilt evenemang i Almedalsveckans officiella program behandlas utifrån den rättsliga grunden om allmänt intresse. Det föreligger gemen- samt personuppgiftsansvar mellan Region Gotland och respektive arrangör som tydliggörs inom ramen för detta samordningsavtal.
För de personuppgifter som behandlas i samband med arrangörskonto föreligger avtal som rättslig grund.
5. Övergripande ansvarsfördelning mellan parterna
Region Gotland
⮚ Region Gotland ansvarar för personuppgifter som hanteras kring ett ar- rangörskonto, uppgifter för att kunna hantera fakturering samt utlämning av uppgifter.
⮚ Region Gotland ansvarar för hantering av material i skrift för det officiella programmet via hemsidan (xxxxxxxxxxxxxx.xxxx/xxxxxxx och program.al- xxxxxxxxxxxx.xxxx), app (Almedalen Just Nu), Playkanal (almedalsveckan- xxxx.xxxx) samt utskriftsvänlig pdf, möjligheten att hämta evenemangsin- formation via fil samt regionarkivet.
Arrangör
⮚ Arrangören ansvarar för personuppgifter som är registrerade i samband med respektive evenemang samt för rörligt material i Play kopplat till sitt evenemang.
⮚ Arrangören ansvarar för att informera den som medger att få sina uppgif- ter publicerade i Almedalsveckans officiella program att uppgifterna regi- streras i samband med varje enskilt evenemang, att uppgifterna lagras hos en offentlig myndighet, var de kommer att publiceras, att de arkiveras en- ligt arkivlagen hos Region Gotland samt utlämning av uppgifter enligt lag (OSL 2009:400).
⮚ Arrangören ansvarar för att inte lägga in personer med skyddad identitet, känsliga personuppgifter eller andra uppgifter som ej ska bli eller är of- fentliga uppgifter kring de registrerade.
⮚ Arrangören ansvarar för att den registrerade, enligt artikel 49 p.1a uttryck- ligen samtycker till att uppgifter som presenteras i Almedalsveckans offici- ella program via Almedalsveckan Play får överföras till tredjeland. Obser- vera att den registrerade först – innan uttryckligt samtycke kan ges – behö- ver bli informerad om de eventuella risker som följer med tredjelandsöver- föringar när det inte föreligger beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder. Undantag samt skyddsåtgärder listas under avsnitt 9.1 i detta dokument.
6. Principer för behandling
Parterna bär gemensamt ansvar för att det föreligger en rättslig grund för behand- lingen och för dess dokumentation.
Parterna ansvarar gemensamt för att följa principerna för personuppgiftsbehand- ling i enlighet med artikel 5 dataskyddsförordningen.
7. De registrerades rättigheter
Arrangören åtar sig att tillgodose de registrerades rätt till information i enlighet med artikel 13 och 14 dataskyddsförordningen.
Region Gotland är gemensam kontaktpunkt för registrerade avseende:
⮚ Rätten till registerutdrag, artikel 15 dataskyddsförordningen.
⮚ Rätten till rättelse, artikel 16 dataskyddsförordningen.
⮚ Rätten till radering (”rätten att bli bortglömd”), artikel 17 dataskyddsför- ordningen.
⮚ Rätten till begränsning av behandling, artikel 18 dataskyddsförordningen.
⮚ Anmälningsskyldigheten i samband med rättelse eller radering av person- uppgifter eller begränsning av behandling, artikel 19 dataskyddsförord- ningen.
⮚ Rätten att göra invändningar mot en behandling, artikel 21 dataskyddsför- ordningen.
⮚ Klagomål
Parterna ansvarar för att hjälpa varandra i den mån det är relevant och nödvändigt för att uppfylla skyldigheterna gentemot de registrerade.
8. Ansvarsplikt och säkerhetsåtgärder
Parterna ansvarar för att beakta behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska per- soners rättigheter och friheter, och genomföra lämpliga tekniska och organisato- riska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med artikel 24 dataskyddsförordningen.
Dessa åtgärder ska ses över och uppdateras vid behov.
Om det står i proportion till behandlingen, ska de åtgärderna omfatta Parternas genomförande av lämpliga strategier för dataskydd.
Parterna åtar sig att vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgär- der i enlighet med dataskyddsförordningen eller annan relevant lagstiftning för att skydda personuppgifterna.
Parterna ansvarar för att efterfölja bestämmelsen om inbyggt dataskydd och data- skydd som standard, i enlighet med artikel 25 dataskyddsförordningen.
9. Personuppgiftsbiträden
Region Gotland är berättigad att anlita personuppgiftsbiträden för utförandet av behandlingen. Region Gotland är skyldig att informera arrangörerna då nya per- sonuppgiftsbiträden anlitas.
Vid anlitandet av personuppgiftsbiträden är Region Gotland ansvarig för att upp- fylla kraven i dataskyddsförordningen, artikel 28. Region Gotland är då skyldig att:
⮚ endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställer att den registrerades rättigheter skyddas,
⮚ säkerställa att det ingås ett giltigt personuppgiftsbiträdesavtal mellan Reg- ion Gotland och personuppgiftsbiträdet, samt
Om Region Gotland avser att anlita ett personuppgiftsbiträde ska Region Gotland tillhandahålla information till arrangören om vilken typ av uppgifter och katego- rier av registrerade ett visst personuppgiftsbiträde ska befatta sig med samt dess kapacitet och förmåga att leva upp till sina skyldigheter enligt dataskyddsförord- ningen och annan relevant lagstiftning.
Region Gotland ska på arrangörens begäran översända en kopia på personupp- giftsbiträdesavtalet.
Region Gotland åtar sig även att informera arrangören om eventuella planer på att upphöra att använda sig av ett godkänt personuppgiftsbiträde.
9.1 Undantag enligt artikel 49.1 a gällande underbiträde
Region Gotland har upprättat personuppgiftsbiträdesavtal med leverantörer som nyttjar underbiträde där undantaget enligt artikel 49.1 a i dataskyddsförordningen uppfyllas. Det innebär att den registrerade ska uttryckligen samtyckt till att uppgif- terna får överföras, efter att först ha blivit informerad om de eventuella riskerna med sådana överföringar för den registrerade när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.
Univid AB nyttjar underbiträdet Amazon för Almedalsveckan Play. Det är enbart data i programmet som är publikt och offentliga uppgifter som presenteras i Al- medalsveckans officiella program och som sedan visas upp via Almedalsveckan Play. Det sker ingen inloggning via Almedalsveckan Play samt begränsad och fri- villig cookiehantering. De publika uppgifterna i det officiella programmet är till- gängligt via hemsidor vilket innebär att de går att tillgå oavsett land.
imCode AB nyttjar underbiträde Xxxxxx Xxxxxxxx Private entrepreneur verksam i Ukraina för systemutveckling i testmiljö. Åtkomsten är begränsad till testmiljön vid specifika utvecklingsinsatser samt bugghantering för xxxxxxxxxxxxxx.xxxx samt xxxxxxx.xxxxxxxxxxxxxx.xxxx. imCode AB styr behörigheten för att minimera åt- komst till personuppgifter, avtal mellan personuppgiftsbiträde samt underbiträde har tecknats.
10. Register över behandling
Parterna ansvarar för att iakttaga kravet i artikel 30 i dataskyddsförordningen om register över behandlingsaktiviteter. Detta innebär att Parterna vardera samman- ställer en förteckning över den gemensamma behandlingen.
Parterna åtar sig att informera varandra om innehållet i registret.
11. Personuppgiftsincidenter
Parterna åtar sig att bistå varandra med att fullgöra deras skyldigheter vid en miss- tänkt personuppgiftsincident. Parterna ska tillhandahålla varandra stöd för att ut- reda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till personuppgifterna.
Vid personuppgiftsincidenter, samt risker för sådana, ska berörd Part utan onödigt dröjsmål skriftligen underrätta om händelsen. Berörd Part ska tillhandahålla en skriftlig beskrivning av personuppgiftsincidenten. En sådan ska redogöra för:
⮚ personuppgiftsincidentens art och, om möjligt, de kategorier och antalet registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,
⮚ sannolika konsekvenserna av personuppgiftsincidenten, och
⮚ åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra per- sonuppgiftensincidentens potentiella negativa effekter.
Parterna ansvarar för att enskilt anmäla en personuppgiftsincident till tillsynsmyn- digheten i enlighet med artikel 33 i dataskyddsförordningen.
12. Lokalisering och överföring av personuppgifter till tredje land Parterna ska tillse att personuppgifterna som regel hanteras och lagras inom EU/EES. Undantag enligt 9.1.
13. Ansvar för skada i samband med behandling av personuppgifter
Vid ersättning för skada som, genom fastställd dom eller annat beslut, utgått till registrerad på grund av överträdelse av någon bestämmelse i Samordningsavtalet eller tillämplig dataskyddsbestämmelse ska artikel 82 dataskyddsförordningen till- lämpas.
Sanktionsavgifter enligt artikel 83 i dataskyddsförordningen eller 6 kap. 2 § lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska bäras av den Part som påförts en sådan avgift.
Vid kännedom om omständighet som kan leda till skadestånd eller betalningsan- svar för den andra ska berörd Part omedelbart informera om förhållandet och ak- tivt samarbeta för att förhindra och minimera sådant skadestånd eller betalnings- ansvar.
Oaktat vad som anges i ett eventuellt Huvudavtal och dess Bilagor gäller de två första punkterna före andra regler om fördelning mellan Parterna av krav sinse- mellan såvitt avser behandling av personuppgifter.
14. Tillägg eller ändringar
Samordningsavtalet godkänns digitalt av den som innehar arrangörskontot. Tillägg och ändringar av aktuellt Samordningsavtal går inte att göra för aktuell Almedals- vecka.
15. Tvist
För Samordningsavtalet gäller svensk rätt.
Eventuell tvist som uppstår med anledning av detta avtal ska avgöras i allmän domstol.