Den gemensamma slutsatsen blev att båda parter är självständigt personuppgiftsansvariga i alla situationer förutom en. Inget standardiserat avtal kommer att tas fram eftersom den sistnämnda situationen är så pass ovanlig.
I detta dokument inkluderar begreppet ”enhet” både församlingar/pastorat och stift.
Bedömningar av identifierade samarbeten
Under diskussionerna identifierades ett antal olika situationer då parterna samarbetar i någon utsträckning. Alla parter enades om respektive bedömning av fördelningen av personuppgiftsansvaret i de olika situationerna.
1. En enhet köper en kurs av Sensus. Enheten samlar in personuppgifter från sina anställda och skickar till Sensus. Sensus tar fram deltagarlistor, genomför utbildningen och återkopplar efter arrangemanget till enheten.
2. En enhet och Sensus sätter tillsammans upp en studiecirkel för enhetens anställda. Sensus får uppgifterna från enheten. Sensus står som arrangör, och det är vanligtvis någon från Sensus som är cirkelledare och håller i aktiviteten. Efter studiecirkeln återkopplar Sensus till enheten. Ingen betalning sker åt något håll.
Bedömning, punkterna 1 och 2: Aktiviteten tillhandahålls antingen som en färdigpaketerad tjänst eller sätts upp gemensamt av enheten och Sensus. Eftersom Sensus huvudsakliga verksamhet består av att i enlighet med Folkbildningsrådets kriterier tillhandahålla olika arrangemang, och eftersom den behandling av personuppgifter som behövs för att kunna tillhandahålla ett sådant arrangemang därmed utförs för Sensus egna ändamål, är Sensus självständigt personuppgiftsansvarig för den behandling av personuppgifter som utförs inom ramen för deras särskilda verksamhet. Detta helt oavsett om parterna sätter upp aktiviteten gemensamt eller ej. Enheten är i sin tur självständigt personuppgiftsansvarig för sin egen hantering av de anställdas uppgifter, eftersom den sker inom ramen för deras roll som arbetsgivare.
3. En medlem i Svenska kyrkan anmäler intresse hos enheten för en kurs som Sensus håller. Berörd enhet hämtar uppgifter från medlemsregistret och skickar till Sensus. Sensus genomför utbildningen och ger (anonym) återkoppling till enheten efteråt.
Bedömning, punkt 3: Precis som i punkterna 1 och 2 utför Sensus sin behandling av medlemmens personuppgifter inom ramen för sin egen särskilda verksamhet och är därmed självständigt personuppgiftsansvarig. Enheten är i sin tur självständigt personuppgiftsansvarig för den behandling enheten utför inom ramen för sin roll som medlemsorganisation, vilken medför en skyldighet att förmedla vissa arrangemang till sina medlemmar. Så snart personuppgifterna har hämtats från medlemsregistret och överförts för nämnda syfte övergår personuppgiftsansvaret för hanteringen av uppgifterna till Sensus.
4. En medlem i Svenska kyrkan anmäler sig till ett arrangemang direkt till Sensus utan att gå genom en enhet. Sensus står som huvudarrangör, genomför arrangemanget och ger (anonym) återkoppling till enheten efteråt.
Bedömning, punkt 4: Om återkopplingen är anonym är denna punkt inte längre relevant för enheten ur dataskyddssynpunkt, eftersom ingen överföring av personuppgifter sker mellan enheten och Sensus. Om återkopplingen inte är anonym blir båda parter självständigt personuppgiftsansvariga (Sensus för tillhandahållandet av aktiviteten, enheten för mottagandet av åter-kopplingen), men det finns ingen berättigad anledning att inte ha anonym återkoppling. Med anonym återkoppling är enbart Sensus personuppgiftsansvarig i detta fall.
5. Kulturarrangemang vars hantering liknar punkt 2 (studiecirkel) men tillhandahålls medlemmar i Svenska kyrkan i stället för anställda. Personuppgifter behandlas inte i lika stor omfattning.
Bedömning, punkt 5: Se bedömningen för punkterna 1 och 2, med den skillnaden att enheten utför sin behandling av medlemmens personuppgifter inom ramen för sin roll som medlemsorganisation i stället för arbetsgivare.
6. Sensus hjälper en enhet med deltagarlistor för konferenser eller kurser utan att själv stå som arrangör.
Bedömning, punkt 6: Detta är i dagsläget en mindre vanlig situation som enbart förekommer i vissa enskilda fall. Eftersom Sensus i denna situation inte behandlar personuppgifter genom att tillhandahålla någon aktivitet, utan i det närmaste agerar som en ren leverantör, blir Sensus personuppgiftsbiträde i dessa fall medan enheten blir självständigt personuppgiftsansvarig för all hantering av personuppgifter. Ett personuppgiftsbiträdesavtal behöver därför upprättas i de fall en enhet tar hjälp av Sensus på detta sätt.
Slutsats
I punkterna 1–5 är både Sensus och enheten självständigt personuppgiftsansvariga för sina respektive behandlingar av personuppgifter. Därför behövs varken personuppgiftsbiträdesavtal eller data-delningsavtal. Enheten kan tryggt överföra de personuppgifter som behövs till Sensus.
Vad gäller punkt 6 behövs dock ett personuppgiftsbiträdesavtal, eftersom Sensus behandlar personuppgifter för enhetens räkning. Punkt 6 är en ovanlig situation i sammanhanget, och frekvensen av den lösningen verkar vara på väg att avta mer och mer. Om en enhet tar hjälp av Sensus på detta sätt behöver dock ett avtal upprättas oavsett hur länge framöver man planerar att fortsätta den hanteringen. Med hänsyn till att situationen är så ovanlig kommer inget standardiserat personuppgiftsbiträdesavtal att tas fram, utan får upprättas i enskilda fall.
Informationsskyldigheten
Information behöver lämnas till enheternas anställda respektive deras medlemmar i samtliga fall. Vad gäller punkterna 1–5 har standardiserade sådana texter tagits fram av inTechrity, med input från Sensus och Svenska kyrkan på nationell nivå.
Sensus skyldighet att informera kommer att uppfyllas genom att följande text infogas i Sensus dataskyddspolicy eller på annat sätt förmedlas till de registrerade:
En av Sensus medlemsorganisationer är Svenska kyrkan. Samarbetet kan se ut på lite olika sätt: Det kan vara så att Sensus i samarbete med en enhet i Svenska kyrkan planerar och genomför studiecirklar eller kulturarrangemang, att en medlem i Svenska kyrkan anmäler sig till ett av Sensus arrangemang antingen via Svenska kyrkan eller direkt till Sensus eller att en enhet köper en kurs till sina anställda direkt av Sensus.
Det som alla dessa olika typer av arrangemang har gemensamt är att Sensus och den kyrkliga enheten alltid självständigt ansvarar för den behandling av personuppgifter som de utför inom ramen för sin egen respektive verksamhet. Enheten ansvarar för den behandling de utför för att kunna uppfylla sina skyldigheter som arbetsgivare eller medlemsorganisation, medan Sensus ansvarar för den behandling av personuppgifter som krävs för att kunna tillhandahålla studiecirklar, kurser och andra arrangemang som studieförbund i enlighet med Folkbildningsrådets kriterier.
Då både den kyrkliga enheten och Sensus själva är ansvariga för sin behandling av personuppgifter, samt att ingen part utför uppgifter på uppdrag av den andre, behövs inget personuppgiftsbiträdesavtal mellan parterna. Enheten kan fortsätta att lämna personuppgifter till Sensus.
Om du har frågor om hur dina personuppgifter behandlas inom ramen för en studiecirkel, kurs eller annat arrangemang som anordnats av Sensus är det därför just Sensus du ska vända dig till. Om du är osäker kan du dock alltid kontakta den kyrkliga enheten i fråga så lotsar de dig rätt.
Enheternas informationsskyldighet kan uppfyllas genom att ett textavsnitt om Sensus infogas i den interna integritetspolicyn för anställda respektive den externa integritetspolicyn på enhetens webbplats vad gäller medlemmar. Förslag på sådana textavsnitt kommer att förmedlas separat.