KONSORTIALAVTAL 2023—2025
1(8)
KONSORTIALAVTAL 2023—2025
BILAGA 1 – AVTAL OM GEMENSAMT PERSONUPPGIFTSANSVAR
Detta avtal (”Avtal”) om gemensamt personuppgiftsansvar utifrån artikel 26 i iDataskyddsförordningen och är en bilaga till Konsortialavtalet avseende drift, förvaltning, support och utveckling av Ladoksystemet.
Parterna har ingått ett konsortialavtal (”Konsortialavtalet”) om samverkan avseende drift, förvaltning, support och utveckling av det nationella systemet för studieadministration inom högre utbildning i Sverige (”Ladoksystemet”).
Ladoksystemet innehåller uppgifter om studiemeriter som ska registreras enligt förordning (1993:1153) om redovisning av studier mm enligt vilken en högskola också är personuppgiftsansvarig för behandlingen av sådana personuppgifter i sin verksamhet. Varje Part äger och har ett kvalitetsansvar för sin egen information, dvs den information som avser den egna verksamheten. Part kan besluta att också behandla andra personuppgifter i Ladoksystemet än sådana som följer av nämnda förordning och är då personuppgiftsansvarig för sådana uppgifter.
Samtidigt är Ladoksystemet gemensamt för Parterna. Den Part där studenten först antas lägger upp grundläggande personuppgifter varefter samtliga Parter kan rapportera in och får tillgång till de grundläggande personuppgifterna om den enskilda studenten.
Parterna är, mot denna bakgrund, överens om att de är gemensamt personuppgiftsansvariga för behandlingen av personuppgifter i Ladoksystemet som helhet, jfr EDPB’s Guidelines 07/2020 on the concepts of controller and processor in the GDPR som fastställts den 7 juli 2021. Parterna har därför genom detta Avtal fastställt sina respektive ansvar för fullgörande av skyldigheterna enligt Dataskyddsförordningen.
I detta Avtal används definitionerna i artikel 4 Dataskyddsförordningen avseende bland annat följande begrepp:
Personuppgifter, behandling, pseudonymisering, personuppgiftsansvarig, personuppgiftsbiträde, personuppgiftsincident, bindande företagsbestämmelser och tillsynsmyndighet.
Ytterligare begrepp definieras enligt följande.
Dataskyddsförordningen: Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
Gällande dataskyddslagstiftning: Dataskyddsförordningen och kompletterande nationell lagstiftning gällande dataskydd.
Känsliga personuppgifter: Särskilda kategorier av personuppgifter enligt artikel 9 i Dataskyddsförordningen, nämligen uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Registrerad: den som personuppgifterna avser.
Därutöver ska de förkortningar som tillämpas i Konsortialavtalet äga motsvarande tillämpning i detta Avtal.
Parterna behandlar personuppgifter i Ladoksystemet för att uppfylla lagkrav samt även i övrigt registrera studieresultat, göra uppföljningar m.m. Varje Part äger och ansvarar gentemot övriga Parter för de uppgifter som Parten tillför Ladoksystemet. Parterna äger, förvaltar och utvecklar Ladoksystemet gemensamt och fysiskt har Ladoksystemet placerats hos Umeå Universitet. Alla Parter kommer att ha tillgång till samtliga uppgifter, även de som inrapporteras av annan Part. Detta gäller även personer som i sin anställning utför arbetsuppgifter för Konsortiets räkning.
För behandling av personuppgifter i förordning (1993:1153) om redovisning av studier mm, bestäms målen med behandlingen av förordningen. Parterna har dock gemensamt bestämt medel för denna behandling i form av Ladoksystemet.
För behandlingen av personuppgifter utöver nämnda förordning har Parterna gemensamt bestämt mål och medel för sådan behandling. Detta omfattar vilka personuppgifter som ska behandlas, för vilka ändamål och att detta ska ske inom Ladoksystemet.
3.1 Beskrivning av personuppgifter
Behandlingen inkluderar personuppgifter avseende studier för:
• studenter vid svenska lärosäten och
• deltagare vid uppdragsutbildningar vid svenska lärosäten
• deltagare i förutbildning
och inkluderar dessa kategorier av personuppgifter:
Namn, personnummer, postadress, telefonnummer, e-postadress, behörighet, urvalsgrund, skyldighet att betala anmälningsavgift och studieavgift, antagning, deltagande i utbildning och prov, studieresultat, betyg, tillgodoräknande av utbildning eller annan tillgodoräknad verksamhet, examen, samt avstängning och avskiljande från utbildning.
Behandlingen kan i vissa fall inkludera Känsliga personuppgifter eller uppgifter om lagöverträdelser enligt artikel 10 i Dataksyddsförordningen. Även uppgifter om en enskilds identitet, adress eller liknande uppgifter om en enskilds personliga förhållanden som omfattas av sekretess enligt 23 kap. 5 § OSL behandlas i systemet.
Varje Part disponerar fortsatt och behåller ansvaret för de personuppgifter som Parten registrerat. Därutöver har Part läsbehörighet för den sk nationella översikten där samtliga Parters registrerade uppgifter framgår.
Part ska tillse att de interna behörigheter som tilldelas internt hos Parten sker enligt dokumenterade interna rutiner, med hänsyn till de säkerhetsnivåer som uppställts och endast till lämpliga personer med behov av sådan tillgång för att kunna utföra sina arbetsuppgifter, t.ex. studievägledare, antagnings- eller examenshandläggare m.fl.
Parts interna dokumenterade rutiner bör exempelvis innehålla kontinuerlig uppföljning av vilka som har rätt att ha behörigheten, möjlighet att utföra stickprovskontroller på användningen samt att den som tilldelas behörighet till den
nationella översikten samtidigt ska få information avseende vad denne har rätt att göra och möjliga konsekvenser av att använda behörigheten på ett otillåtet sätt.
3.3 Support, utveckling, underhåll
Konsortiechefen tilldelar enskilda inom disponerade personalresurser behörighet att läsa respektive ändra i de grundläggande personuppgifter som registrerats vid första antagning i syfte att centralt utföra support samt att utveckla och underhålla Ladoksystemet. För dessa behörigheter ska särskilda instruktioner uppställas för utförandet av detta arbete. Konsortiechefen ansvarar för att följa upp denna behörighetstilldelning.
Parterna är överens om att de rättsliga grunderna för den gemensamma personuppgiftsbehandlingen är att följa gällande lagstiftning avseende bl.a. studiedokumentation och arkivlagstiftning, vilket är rättsliga förpliktelser, samt att kunna möjliggöra samverkan och samarbete inom utbildningsområdet, vilket är uppgifter av allmänt intresse respektive myndighetsutövning.
Om Part utträder ur Konsortialavtalet ska dennes tidigare registrerade personuppgifter inte längre vara tillgänglig för de andra Parterna.
Varje Part ansvarar för att behandlingen av personuppgifter i dennes verksamhet och den registrering av personuppgifter i Ladoksystemet står i överensstämmelse med de krav som gäller för personuppgiftsansvar enligt Gällande dataskyddslagstiftning och övriga för Part tvingande bestämmelser samt vad Parterna överenskommit om för centraliserad förvaltning, support och utveckling. I enlighet därmed förpliktar sig Part att:
a) vid insamlande av personuppgift, till den Registrerade lämna sådan information som framgår av artikel 13 och 14 i Dataskyddsförordningen.
b) endast behandla personuppgifter som Part själv samlat in eller som Part erhållit från eller tar del av från annan Part i den omfattning det är nödvändigt för att genomföra sitt arbete i enlighet med gällande lagstiftning eller andra uppgifter inom ramen för den rättsliga grund för vilken behandlingen sker.
c) begränsa tillgången till personuppgifterna till endast den personal hos Part som har behov av personuppgifterna för genomförande av sitt arbete,
d) vara kontaktpunkt för Registrerade som studerar eller har studerat hos Parten. Frågor som rör resultat eller annan dokumentation avseende annan Parts verksamhet ska besvaras av denna Part såvida det inte rör ett pågående ärende om antagning, examensbevis och/eller tillgodoräknande hos förstnämnda Part. För det fall en Registrerad, tillsynsmyndigheten eller annan tredjeman begär information från Part faller ansvaret att uppfylla en sådan begäran på den Part som mottar begäran såvida begäran inte avser personuppgiftsbehandling som faller under annan Parts enskilda ansvar. I sistnämnda fall ska begäran vidarebefordras till ansvarig Part.
Parterna åtar sig att skyndsamt ge det stöd som är nödvändigt och som rimligen kan förväntas av respektive Part för att möjliggöra att ovan nämnda förfrågningar och/eller klagomål från Registrerad samt eventuella granskningar från tillsynsmyndigheten kan besvaras,
e) utan dröjsmål informera övriga Parter om eventuella kontakter med tillsynsmyndigheten som rör eller kan vara av betydelse för behandlingen av personuppgifter,
f) Vid osäkerhet om behandling eller rutiner är förenliga med detta Avtal om gemensamt personuppgiftsansvar tillfråga de övriga Parterna,
a.
g) vidta nödvändiga åtgärder vid begäran från Registrerad om att få tillgång till dennes personuppgifter (registerutdrag) samt vid begäran om radering, rättelse eller annan åtgärd som det enligt Dataskyddsförordningens åligger personuppgiftsansvarig i den mån gällande lagstiftning tillåter detta. Denna skyldighet kan innebära att begära att annan Part vidtar åtgärder enligt detta Avtal om gemensamt personuppgiftsansvar,
h) lämna sådan uppgift om behandling av personuppgift som erhållits från den begärande Parten gällande en viss Registrerad som är nödvändig för att begärande Part ska kunna uppfylla sina skyldigheter i relation till den Registrerade enligt artikel 13, 14 och 15 i Dataskyddsförordningen,
i) rätta fel i, komplettera eller radera personuppgift på så sätt som är nödvändig för att begärande Part ska kunna uppfylla sina skyldigheter enligt artikel 16 och 17 i Dataskyddsförordningen, med beaktande av lagkrav rörande arkivlagstiftning m.m,
Part garanterar att denne besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella
resurser, rutiner och metoder för att kunna fullgöra sina skyldigheter enligt detta Avtal och Gällande dataskyddslagstiftning.
Part ska i enlighet med Gällande dataskyddslagstiftning, tillämpliga rekommendationer från tillsynsmyndigheten och de skyldigheter som framgår av detta Avtal genomföra lämpliga tekniska och organisatoriska åtgärder i förhållande till den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt de risker som behandlingen av personuppgifter kan medföra för de Registrerades rättigheter och friheter, och för de Gemensamt ansvarigas verksamhet.
Vid bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet för oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
I det fall Part får kännedom om en personuppgiftsincident avseende sådana personuppgifter som avses i detta Avtal ska Part skyndsamt underrätta Konsortiechefen som ansvarar för att samtliga Parter får information om det inträffade, när detta är nödvändigt.
Part ska göra de rimliga efterforskningar som krävs för att kunna identifiera orsaken/orsakerna till personuppgiftsincidenten eller risken för sådan och vidta de åtgärder som är nödvändiga och rimliga inom sin kontroll för att återställa säkerheten.
Part ska dokumentera alla incidenter enligt ovan, inklusive dess effekter och vidtagna åtgärder och göra dessa tillgängliga för konsortiechefen och övriga Parter.
För de Parter som omfattas av bilagan till offentlighets- och sekretesslagen ansvarar vardera Part för att i sin verksamhet följa gällande lagstiftning om offentlighet- och sekretess. Inget i detta Avtal medför skyldighet för Part att agera i strid därmed.
Övriga Parter i Konsortialavtalet får inte utan Parternas skriftliga medgivande lämna ut eller på annat sätt till tredjeman röja information om annan Parts verksamhet eller
om behandlingen av personuppgifter som omfattas av detta Avtal, i annat fall än när skyldighet att lämna ut personuppgifterna följer av lag, motsvarande bestämmelse eller domstolsbeslut. Om en sådan lagstadgad skyldighet föreligger ska Part underrätta de övriga Parterna om detta innan behandlingen/utlämnandet påbörjas, under förutsättning att sådan information inte är förbjuden enligt lag.
5.4.3 Sekretess Och tystnadsplikt
Part ska beakta att de personuppgifter som behandlas i Ladoksystemet kan vara föremål för sekretess enligt Offentlighets- och sekretesslagen (2009:400). Personer med behörighet att behandla personuppgifter hos Part ska vara införstådda med ovanstående regler om sekretess och medföljande tystnadsplikt.
Parterna ska säkerställa att personer med behörighet att behandla personuppgifterna antingen omfattas av en lagstadgad tystnadsplikt eller har åtagit sig tystnadsplikt i ett bindande Avtal.
Sekretess och tystnadsplikt enligt denna punkt ska gälla även efter det att detta Avtal upphört att gälla.
Part har endast rätt till ersättning från annan Part för behandlingen av personuppgifter eller andra åtgärder enligt detta Avtal om sådan rätt framgår av Konsortialavtalet.
Parternas ansvar för skada regleras av Konsortialavtalet.
Om Part får kännedom om omständighet som kan leda till skada för en eller flera av de andra Parterna ska Part skyndsamt informera de som berörs om förhållandet.
Parterna ska aktivt arbeta tillsammans för att förhindra och minimera sådan skada.
Parterna ska vara solidariskt ansvariga för skadestånd och sanktionsavgifter som kan följa enligt Gällande dataskyddslagstiftning som Parterna kan ådra sig inom Konsortiets drift, förvaltning och utveckling av Ladoksystemet. Skadestånd och sanktionsavgifter fördelas mellan Parterna i proportion till antalet registrerade studerande på grundnivå, avancerad nivå och forskarnivå föregående budgetår enligt SCB:s statistik eller motsvarande för högskolor som inte omfattas av SCB:s statistik.
Solidariskt ansvar gäller inte för det fall Part agerat grovt vårdslöst eller uppsåtligen orsakat överträdelsen som lett till skadeståndet eller sanktionsavgiften.
Ändringar och tillägg till detta Avtal ska vara skriftliga och undertecknade av behöriga företrädare för samtliga Parter för att vara giltiga.
Avtalet gäller under samma period som Konsortialavtalet. Fortsätter Parterna därefter att gemensamt behandla personuppgifter i Ladoksystemet ska detta Avtal äga fortsatt tillämpning. I annat fall ansvarar respektive Part, efter detta Avtals upphörande, för sin behandling av personuppgifter så som ensam personuppgiftsansvarig.
Tvister om tolkning och tillämpning av detta Avtal och därmed sammanhängande rättsförhållanden ska avgöras enligt svensk lag och enligt Konsortialavtalets tvistebestämmelser.