KONSORTIALAVTAL 2023—2025
1(8)
KONSORTIALAVTAL 2023—2025
Kommenterad [FR1]: Xxxx xxxxxxx om tekniska och organisatoriska skyddsåtgärder…?
Har man tänkt på att reglera ansvar för konsekvensbedömningar? Förhandssamråd med IMY? Det är ett stort register, inklusive skyddade personuppgifter som många, om jag förstått detta rätt, kan få läsbehörighet till. Sådana behandlingar kan behöva ett förhandssamråd med tillsynsmyndigheten för att säkerställa de registrerades fri- och rättigheter.
BILAGA 2 – AVTAL OM GEMENSAMT PERSONUPPGIFTSANSVAR
Detta avtal (”Avtal”) om gemensamt personuppgiftsansvar utifrån artikel 26 i i Dataskyddsförordningen och är en bilaga till Konsortieavtalet avseende drift, förvaltning, support och utveckling av Ladoksystemet.
Kommenterad [FR2]: Laglig grund för behandlingen bör förtydligas i detta stycke. Det är lätt hänt i system som dessa att man ”råkar” samla in för mycket uppgifter som är ”bra att ha” men som inte kan anses nödvändiga och som man inte har en laglig grund för. Det ingår dock enormt mycket uppgifter i förordningen som får behandlas med stöd av den varför en noggrann avstämning krävs så att all den tilltänkta behandlingen är nödvändig och tar hänsyn till principen om uppgiftsminimering.
1. Bakgrund och syfte
Parterna har ingått ett konsortieavtal (”Konsortialavtalet”) om samverkan avseende drift, förvaltning, support och utveckling av det nationella systemet för studieadministration inom högre utbildning i Sverige ”Ladoksystemet”).
Ladoksystemet innehåller uppgifter om studiemeriter som ska registreras enligt förordning (1993:1153) om redovisning av studier mm enligt vilken en högskola också är personuppgiftsansvarig för behandlingen av sådana personuppgifter i sin verksamhet. Varje Part äger och har ett kvalitetsansvar för sin egen information, dvs den information som avser den egna verksamheten. Part kan besluta att också behandla andra personuppgifter i Ladok än sådana som följer av nämnda förordning och är då personuppgiftsansvarig för sådana uppgifter.
Samtidigt är Ladoksystemet gemensamt för Parterna. Den Part där studenten först antas lägger upp grundläggande personuppgifter varefter samtliga Parter kan rapportera in och får tillgång till de grundläggande personuppgifterna om den enskilda studenten.
Kommenterad [FR3]: Detta bör beskrivas utifrån Dataskyddsförordningens bestämmelser. Med hänvisning till art. 28 osv.
Parterna är, mot denna bakgrund, överens om att de är gemensamt personuppgiftsansvariga för behandlingen av personuppgifter i Ladoksystemet. Parterna har därför genom detta Avtal fastställt sina respektive ansvar för fullgörande av skyldigheterna enligt Dataskyddsförordningen .
2(8)
2. Definitioner
I detta Avtal används definitionerna i artikel 4 Dataskyddsförordningen avseende bland annat följande begrepp:
Personuppgifter, behandling, pseudonymisering, personuppgiftsansvarig, personuppgiftsbiträde, personuppgiftsincident, bindande företagsbestämmelser och tillsynsmyndighet.
Ytterligare begrepp definieras enligt följande.
Dataskyddsförordningen: Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
Gällande dataskyddslagstiftning: Dataskyddsförordningen och kompletterande nationell lagstiftning gällande dataskydd.
Känsliga personuppgifter: Särskilda kategorier av personuppgifter enligt artikel 9 i Dataskyddsförordningen, nämligen uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Registrerad: den som personuppgifterna avser.
Därutöver ska de förkortningar som tillämpas i Konsortialavtalet äga motsvarande tillämpning i detta Avtal.
3. Behandling
Kommenterad [FR4]: Vad åsyftas? Vilken laglig grund finns för detta? Tas hänsyn till nödvändighetskriteriet och principen om uppgiftsminimering, se kommentar nr. 2.
Parterna behandlar personuppgifter i Ladoksystemet för att uppfylla lagkrav samt även i övrigt registrera studieresultat, göra uppföljningar m.m. Varje Part äger och ansvarar för de uppgifter som Parten tillför Ladoksystemet. Parterna äger, förvaltar och utvecklar Ladoksystemet gemensamt och fysiskt har Ladoksystemet placerats hos UmU.
Kommenterad [FR5]: Täcker detta alla uppgifter, dock? Det har ju tidigare nämnts, i brist på bättre ord, ”extra” uppgifter som inte har grund i förordningen.
För behandling av personuppgifter i förordning (1993:1153) om redovisning av studier mm, bestäms målen med behandlingen av förordningen. Parterna har dock gemensamt bestämt medel för denna behandling.
3(8)
För behandlingen av personuppgifter utöver nämnda förordning har Parterna gemensamt bestämt mål och medel för sådan behandling.
3.1 Beskrivning av personuppgifter
Behandlingen inkluderar personuppgifter avseende studier för:
• studenter vid svenska lärosäten och
• deltagare vid uppdragsutbildningar vid svenska lärosäten
Kommenterad [FR6]: …vid svenska lärosäten…?
• deltagare i förutbildning
och inkluderar dessa kategorier av personuppgifter:
Kommenterad [FR7]: Framgår alla dessa av registerlagen? Eller är några ”bra att ha”? Generellt bör man vara tydlig med att göra en separation och förtydliga vilken grund som gäller för vilka uppgifter.
Namn, personnummer, postadress, telefonnummer, e-postadress, behörighet, urvalsgrund, skyldighet att betala anmälningsavgift och studieavgift, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknande av utbildning eller annan tillgodoräknad verksamhet, examen, samt avstängning och avskiljande från utbildning.
Behandlingen kan i vissa fall inkludera Känsliga personuppgifter eller uppgifter om lagöverträdelser enligt artikel 10 i Dataskksyddsförordningen. Även uppgifter om en enskilds identitet, adress eller liknande uppgifter om en enskilds personliga förhållanden som omfattas av sekretess enligt 23 kap. 5 § OSL behandlas i systemet.
3.2 Nationell översikt
Kommenterad [FR8]: Vad innebär detta? Har vi eget ansvar ”retroaktivt” eller har vi gemensamt ansvar även för de uppgifter som redan finns i ev. systemet?
Varje Part disponerar fortsatt och behåller ansvaret för de personuppgifter som Parten registrerat. Därutöver har Part läsbehörighet för den sk nationella översikten där samtliga Parters registrerade uppgifter framgår.
Part ska tillse att de interna behörigheter som tilldelas internt hos Parten sker enligt dokumenterade interna rutiner, med hänsyn till de säkerhetsnivåer som uppställts och endast till lämpliga personer med behov av sådan tillgång för att kunna utföra sina arbetsuppgifter, t.ex. studievägledare, antagnings- eller examenshandläggare m.fl.
Parts interna dokumenterade rutiner bör exempelvis innehålla kontinuerlig uppföljning av vilka som har rätt att ha behörigheten, möjlighet att utföra stickprovskontroller på användningen samt att den som tilldelas behörighet till den nationella översikten samtidigt ska få information avseende vad denne har rätt att göra och möjliga konsekvenser av att använda behörigheten på ett otillåtet sätt.
Finns det en rubrik som klargör hur uppgifterna behandlas?
4(8)
3.3 Support, utveckling, underhåll
Konsortiechefen tilldelar enskilda inom disponerade personalresurser behörighet att läsa respektive ändra i de grundläggande personuppgifter som registrerats vid första antagning i syfte att centralt utföra support samt att utveckla och underhålla Ladoksystemet. För dessa behörigheter ska särskilda instruktioner uppställas för utförandet av detta arbete. Konsortiechefen ansvarar för att följa upp denna behörighetstilldelning.
3.4 Rättslig grund
Kommenterad [FR9]: Förklaring önskas rörande huruvida och på vilket sätt samverkan och samarbeten anses utgöra myndighetsutövning.
Parterna är överens om att de rättsliga grunderna för den gemensamma personuppgiftsbehandlingen är att följa gällande lagstiftning avseende bl.a. studiedokumentation och arkivlagstiftning, vilket är rättsliga förpliktelser, samt att kunna möjliggöra samverkan och samarbete inom utbildningsområdet, vilket är uppgifter av allmänt intresse respektive myndighetsutövning.
3.5 Utträde
Om Part utträder ur Konsortialavtalet ska dennes tidigare registrerade personuppgifter inte längre vara tillgänglig för de andra Parterna.
4. Parternas skyldigheter
Varje Part ansvarar för att behandlingen av personuppgifter i dennes verksamhet och den registrering av personuppgifter i Ladoksystemet står i överensstämmelse med de krav som gäller för personuppgiftsansvar enligt Gällande dataskyddslagstiftning och övriga för Part tvingande bestämmelser samt vad Parterna överenskommit om för centraliserad förvaltning, support och utveckling. I enlighet därmed förpliktar sig Part att:
a) vid insamlande av personuppgift, till den Registrerade lämna sådan information som framgår av artikel 13 och 14 i Dataskyddsförordningen.
b) endast behandla personuppgifter som Part själv samlat in eller som Part erhållit från eller tar del av från annan Part i den omfattning det är nödvändigt för att genomföra sitt arbete i enlighet med gällande lagstiftning eller andra uppgifter inom ramen för den rättsliga grund för vilken behandlingen sker.
c) begränsa tillgången till personuppgifterna till endast den personal hos Part som har behov av personuppgifterna för genomförande av sitt arbete,
d) vara kontaktpunkt för Registrerade som studerar eller har studerat hos Parten. Frågor som rör resultat eller annan dokumentation avseende annan Parts verksamhet ska besvaras av denna Part såvida det inte rör ett pågående ärende om
5(8)
antagning, examensbevis och/eller tillgodoräknande hos förstnämnda Part. För det fall en Registrerad, tillsynsmyndigheten eller annan tredjeman begär information från Part faller ansvaret att uppfylla en sådan begäran på den Part som mottar begäran.
Parterna åtar sig att skyndsamt ge det stöd som är nödvändigt och som rimligen kan förväntas av respektive Part för att möjliggöra att ovan nämnda förfrågningar och/eller klagomål från Registrerad samt att eventuella granskningar från tillsynsmyndigheten kan besvaras,
e) utan dröjsmål informera övriga Parter om eventuella kontakter med tillsynsmyndigheten som rör eller kan vara av betydelse för behandlingen av personuppgifter,
f) Vid osäkerhet om behandling eller rutiner är förenliga med detta Avtal om gemensamt personuppgiftsansvar tillfråga de övriga Parterna,
g) vidta nödvändiga åtgärder vid begäran från Registrerad om att få tillgång till dennes personuppgifter (registerutdrag) samt vid begäran om radering, rättelse eller annan åtgärd som det enligt Dataskyddsförordningens åligger personuppgiftsansvarig i den mån gällande lagstiftning tillåter detta. Denna skyldighet kan innebära att begära att annan Part vidtar åtgärder enligt detta Avtal om gemensamt personuppgiftsansvar,
h) lämna sådan uppgift om behandling av personuppgift som erhållits från den begärande Parten gällande en viss Registrerad som är nödvändig för att begärande Part ska kunna uppfylla sina skyldigheter i relation till den Registrerade enligt artikel 13, 14 och 15 i Dataskyddsförordningen,
i) rätta fel i, komplettera eller radera personuppgift på så sätt som är nödvändig för att begärande Part ska kunna uppfylla sina skyldigheter enligt artikel 16 och 17 i Dataskyddsförordningen, med beaktande av lagkrav rörande arkivlagstiftning m.m,
5. Säkerhetsåtgärder
5.1 Kapacitet och förmåga
Part garanterar att denne besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder för att kunna fullgöra sina skyldigheter enligt detta Avtal och Gällande dataskyddslagstiftning.
5.2 Säkerhetsåtgärder
Part ska i enlighet med Gällande dataskyddslagstiftning, tillämpliga rekommendationer från tillsynsmyndigheten och de skyldigheter som framgår av
6(8)
detta Avtal genomföra lämpliga tekniska och organisatoriska åtgärder i förhållande till den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt de risker som behandlingen av personuppgifter kan medföra för de Registrerades rättigheter och friheter, och för de Gemensamt ansvarigas verksamhet.
Vid bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet för oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
5.3 Personuppgiftsincidenter
I det fall Part får kännedom om en personuppgiftsincident avseende sådana personuppgifter som avses i detta Avtal ska Part skyndsamt underrätta Konsortiechefen som ansvarar för att samtliga Parter får information om det inträffade, när detta är nödvändigt.
Part ska göra de rimliga efterforskningar som krävs för att kunna identifiera orsaken/orsakerna till personuppgiftsincidenten eller risken för sådan och vidta de åtgärder som är nödvändiga och rimliga inom sin kontroll för att återställa säkerheten.
Part ska dokumentera alla incidenter enligt ovan, inklusive dess effekter och vidtagna åtgärder och göra dessa tillgängliga för Konsortiechefen och övriga Parter.
5.4 Sekretess
5.4.1 Högskolor inom staten
För de Parter som omfattas av bilagan till offentlighets- och sekretesslagen ansvarar vardera Part för att i sin verksamhet följa gällande lagstiftning om offentlighet- och sekretess. Inget i detta Avtal medför skyldighet för Part att agera i strid därmed.
5.4.2 Övriga parter
Övriga parter i Konsortialavtalet får inte utan Parternas skriftliga medgivande lämna ut eller på annat sätt till tredjeman röja information om annan Parts verksamhet eller om behandlingen av personuppgifter som omfattas av detta Avtal, i annat fall än när skyldighet att lämna ut personuppgifterna följer av lag, motsvarande bestämmelse eller domstolsbeslut. Om en sådan lagstadgad skyldighet föreligger ska Part underrätta de övriga Parterna om detta innan behandlingen/utlämnandet påbörjas, under förutsättning att sådan information inte är förbjuden enligt lag.
7(8)
5.4.3 Sekretess Och tystnadsplikt
Part ska beakta att de personuppgifter som behandlas i Ladoksystemet kan vara föremål för sekretess enligt Offentlighets- och sekretesslagen (2009:400). Personer med behörighet att behandla personuppgifter hos Part ska vara införstådda med ovanstående regler om sekretess och medföljande tystnadsplikt.
Parterna ska säkerställa att personer med behörighet att behandla personuppgifterna antingen omfattas av en lagstadgad tystnadsplikt eller har åtagit sig tystnadsplikt i ett bindande Avtal.
Sekretess och tystnadsplikt enligt denna punkt ska gälla även efter det att detta Avtal upphört att gälla.
6. Ersättning
Part har endast rätt till ersättning från annan Part för behandlingen av personuppgifter eller andra åtgärder enligt detta Avtal om sådan rätt framgår av Konsortialavtalet.
7. Ansvar för skada
Parternas ansvar för skada regleras av Konsortialavtalet.
Om Part får kännedom om omständighet som kan leda till skada för en eller flera av de andra Parterna ska Part skyndsamt informera de som berörs om förhållandet.
Parterna ska aktivt arbeta tillsammans för att förhindra och minimera sådan skada.
Parterna ska vara solidariskt ansvariga för skadestånd och sanktionsavgifter som kan följa enligt Gällande dataskyddslagstiftning som Parterna kan ådra sig inom Konsortiets drift, förvaltning och utveckling av Ladoksystemet. Detta gäller dock inte för det fall Part agerat grovt vårdslöst eller uppsåtligen orsakat överträdelsen som lett till skadeståndet eller sanktionsavgiften.
8. Ändringar och tillägg
Ändringar och tillägg till detta Avtal ska vara skriftliga och undertecknade av behöriga företrädare för samtliga Parter för att vara giltiga.
9. Avtalstid och upphörande
Avtalet gäller under samma period som Konsortialavtalet. Fortsätter Parterna därefter att gemensamt behandla personuppgifter i Ladoksystemet ska detta Avtal äga fortsatt tillämpning. I annat fall ansvarar respektive Part, efter detta Avtals
8(8)
upphörande, för sin behandling av personuppgifter så som ensam personuppgiftsansvarig.
10. Tolkning och tillämpning
Tvister om tolkning och tillämpning av detta Avtal och därmed sammanhängande rättsförhållanden ska avgöras enligt svensk lag och enligt Konsortialavtalets tvistebestämmelser.