Överenskommelse om gemensamt personuppgiftsansvar

Sidnr: 1 (5)

Överenskommelse om gemensamt personuppgiftsansvar

mellan

Lunds universitet

och

[namn gemensamt ansvarig]

utifrån art 26

i Europaparlamentets och rådets förordning 2016/679

(Allmän dataskyddsförordning)

1. Lunds universitet, org. nr 202100-3211

[fakultet/institution],

Box 117,

221 00 Lund

Sverige

2. [Motpart], org. nr XXX (Adress)

hädanefter tillsammans kallade ”Parterna” eller ”Gemensamt ansvariga” och var för sig ”Part” eller ”Gemensamt ansvarige”, har tillsammans kommit fram till följande överenskommelse om gemensamt ansvar för personuppgiftsbehandling (härefter kallad ”Överenskommelsen”).

Syfte och förutsättningar

Överenskommelsen avser att uppfylla de krav som följer av den allmänna dataskyddsförordningen EU 2016/679, (härefter kallad dataskyddsförordningen) med kompletterande svenska lagstiftningen vid utförandet av Parternas primära överenskommelse [namn, diarienummer och datum på den primära överenskommelsen] För att uppfylla sina åtaganden i den primära överenskommelsen kommer Parterna att dela data gällande personuppgifter med varandra i forskningssyfte.

Parterna försäkrar varandra om att den enda behandlingen av ovan avsett data som kommer att ske är den som krävs för att uppfylla åtagandena i den primära överenskommelsen, såvida inte lagstiftning kräver något annat. Överenskommelsen återger det upplägg som Parterna har kommit överens om för att underlätta delandet av personuppgifter mellan Parterna.

Parterna är överens om att det sällan är möjligt att innan eller vid starten av en personuppgiftsinsamling som sker i forskningssyfte helt identifiera syftet med behandlingen av personuppgifter. Parterna kommer dock att, så långt som det är möjligt, inte behandla personuppgifter i större omfattning eller på annat sätt än vad som framgår av den primära överenskommelsen.

Parterna är överens om att man är gemensamt personuppgiftsansvariga och att denna Överenskommelse täcker alla behandlingar av personuppgifter som sker inom ramen för den primära överenskommelsen.

1. ALLMÄNNA ÅTAGANDEN

   1. Parterna åtar sig att var för sig behandla de delade personuppgifterna utifrån dataskyddsförordningen och annan gällande, för behandlingen relevant, lagstiftning och andra regelverk.

   2. Parternas behandling av de delade personuppgifterna förutsätter att åtminstone en av de legala grunderna för behandlingen i artikel 6 i dataskyddsförordningen är uppfylld.

   3. Om de delade personuppgifterna innehåller särskilda kategorier av personuppgifter (känsliga personuppgifter) ska Parterna enbart behandla dessa under förutsättning att något av de undantag som finns i artikel 9 och art 22 i dataskyddsförordningen är tillämplig (samt eventuella grunder i kompletterande svensk lagstiftning).

   4. Den Part som samlar in personuppgifter från de registrerade ansvarar för att all den information de registrerade enligt lag har rätt till ges samt att detta sker i rätt tid. Detta för att säkerställa att individen är informerad och att behandlingen av personuppgifter är lagenlig och rättvis. Detta innebär även att en sammanfattning av denna Överenskommelse ska finnas med i informationen till de registrerade.

   5. Parterna garanterar att de personuppgifter som delas med den andra Parten är korrekta och uppdaterade vid tidpunkten då de delas med den andra Parten, så långt detta är möjligt.

2. DEN REGISTRERADES RÄTTIGHETER

   1. Parterna ska underlätta för de registrerade att tillvarata de rättigheter som följer av dataskyddsförordningen.

   2. Parterna är överens om att en registrerad kan vända sig till endera Part för kontakt gällande frågor eller begäran.

   3. Parterna är överens om att en begäran enligt dataskyddsförordningen ska hanteras av den Part som mottagit begäran.

   4. De gemensamt ansvariga är överens om att ge varandra rimligt stöd och hjälp för att Part ska kunna efterleva en begäran, svara på en fråga eller bemöta ett klagomål från en registrerad. Stöd och hjälp ska tillhandahållas utan onödigt dröjsmål (inom 5 arbetsdagar från att hjälp har begärts från den andra Parten).

3. ÖVERFÖRING AV DATA TILL TREDJE LAND

   1. Parterna har inte rätt att överföra de personuppgifter som omfattas av Överenskommelsen utanför det Europeiska ekonomiska samarbetsområdet (EES) eller till en internationell organisation som lyder under folkrätten, förutom i de fall detta är förenligt med dataskyddsförordningens kapitel V. Detta omfattar även tillgängliggörande av personuppgifter, att ge åtkomst till dem samt vidare spridning av personuppgifter till annat tredjeland.

   2. Adekvat skyddsnivå för ett tredjeland, ett territorium eller en specifika sektorer i ett tredjeland kan beslutas av Europakommissionen. Om sådant beslut saknas kan parterna enbart överföra personuppgifter till ett land utanför EES när det finns lämpliga skyddsåtgärder i enlighet med artikeln 46-47 samt artikel 49 i dataskyddsförordningen, exempelvis EU:s standardavtalsklausuler. Parterna ska upplysa varandra om sådana överföringsmekanismer implementeras och den legala grunden för överföringen.

4. SÄKERHET, PERSONUPPGIFTSINCIDENTER och RAPPORTERINGSRUTINER

   1. Parterna ska ha tekniska och organisatoriska åtgärder som säkerställer en rimlig säkerhetsnivå i förhållande till de risker behandlingen medför, särskilt med hänsyn till risken för oavsiktlig eller olaglig förstöring, förlust eller ändring och till risken för obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförs, lagras eller på annat sätt behandlas.

   2. Parterna ska ha interna rutiner för att både upptäcka och hantera säkerhets- och personuppgiftsincidenter, inklusive metoder för att kunna agera vid ett återställande av information (t. ex. att kunna läsa backup-filer).

   3. Om en Part får kännedom om en (misstänkt) personuppgiftsincident ska Parten upplysa den andra Parten om detta. Informationen ska innehålla åtminstone

1. vad som har inträffat och anledningen till att detta bedöms vara en incident

2. person eller organisation som kan kontaktas för mer information angående det inträffade

3. rekommenderade åtgärder till följd av det inträffade för att minska de negativa konsekvenserna

4. de möjliga riskerna/effekterna som personuppgiftsincidenten har för de registrerades integritet och

5. de åtgärder Xxxxxx har tagit eller föreslår att ta för att åtgärda incidenten.

1. Parterna är överens om att bistå varandra med behövligt stöd i rimlig omfattning för att underlätta hanteringen av incidenter så att denna kan ske snabbt och i enlighet med gällande regelverk.

2. Om Part begär det ska den andra Parten omedelbart samarbeta kring rapporteringen av en personuppgiftsincident till behöriga instanser och att informera berörda registrerade.

1. ANSVAR

   1. Om endera Part avviker från vad som stadgats i denna Överenskommelse har den andra Parten rätt att skriftligen påpeka detta och kräva att den andra Parten inom en rimlig tidsperiod vidtar rättelse. Om rättelse uteblir har Parten brutit mot denna Överenskommelse.

   2. Respektive Part ansvarar för alla skador eller negativa effekter som härstammar från att Part inte hörsammar, följer eller aktivt bryter mot gällande lagstiftning, såsom dataskyddsförordningen. Detsamma gäller för alla skador eller negativa effekter som härstammar från att Part inte hörsammar, följer eller aktivt bryter mot vad som stadgats i denna Överenskommelse.

6. GILTIGHETSTID OCH ÄNDRINGAR

   1. Denna Överenskommelse börjar gälla när personuppgifter börjar behandlas enligt den primära överenskommelsen.

   2. Överenskommelsen gäller så länge som den primära överenskommelsen fortsätter alternativt så länge som behandlingen sker av personuppgifter som omfattas av den primära överenskommelsen.

   3. Krav som är avsedda att gälla efter att denna Överenskommelse upphört ska fortsätta att gälla även efter denna tidpunkt.

   4. Ändringar och tillägg från denna Överenskommelse ska vara skriftliga och undertecknade av Parterna för att vara giltiga.

7. TOLKNING och TILLÄMPNING

   1. Tvister om tolkning och tillämpning av denna Överenskommelse och därmed sammanhängande rättsförhållanden ska avgöras enligt svensk lag och enligt den primära överenskommelsens tvistebestämmelser.

Lund [infoga datum] [Infoga ort och datum]

…………………………… ……………………………

Lunds universitet [Infoga motpart]