Bilaga för personuppgiftsbehandling inom SDK

Information om behandling av personuppgifter finns även publicerat på digg.se Länk till annan webbplats..

Allmänt om behandling av personuppgifter inom SDK

• Deltagarorganisationer i SDK-federationen kan skicka meddelanden som innehåller personuppgifter till varandra på ett säkert sätt. En beskrivning av meddelandetyper finns i bilaga Meddelandetyper i SDK.

• Respektive part ansvarar som personuppgiftsansvarig själv för att giltig författning om dataskydd följs.
• Digg som federationsägare behandlar personuppgifter om kontaktpersoner men har inte tillgång till eller är personuppgiftsansvarig för behandling av uppgifter i meddelanden som skickas inom SDK-federationen.
• Federationsägarens behandling av personuppgifter beskrivs nedan, se punkt 3.
• Deltagarorganisationers behandling av personuppgifter och personuppgiftsansvar beskrivs under punkt 4 nedan.
• För adressering av meddelanden mellan organisationerna finns en adressbok. I denna anges funktionsadresser. Personuppgifter ska inte förekomma i adresseringen. En beskrivning av informationsflödet i adressboken finns under punkt 13 i Regelverk för deltagarorganisationer inom SDK.
• Vid personuppgiftsincedent ansvarar federationsägaren och berörd deltagarorganisation för att bistå annan personuppgiftsansvarig part med nödvändig information eller åtgärd för att denne ska kunna hantera incidenten enligt kraven i dataskyddsförordningen.

Personuppgiftsansvar för federationsägaren

• Digg som federationsägare tar emot anmälan om anslutning till SDK och ansluter deltagarorganisationer.
• Digg är personuppgiftsansvarig för behandlingen av personuppgifter som är nödvändiga för att kunna tillgängliggöra infrastrukturen för deltagarorganisationerna samt för att administrera komponenterna i SDK.
• Federationsägaren kommer att behandla följande personuppgifter:

• • Kontaktperson hos deltagarorganisation: för- och efternamn, roll, e-postadress och telefonnummer.
  • Teknisk kontaktperson: för- och efternamn, roll, e-postadress och telefonnummer.
  • Deltagarorganisationens användaradministratör av SDK Adressbok: för- och efternamn, roll, e-post, telefonnummer, inloggningsmetod, personnummer, identifikationsnummer eller HSA-ID.
• Behandling av personuppgifter i samband med support eller liknande åtgärder för att möjliggöra tillhandahållandet av SDK till deltagarorganisation. Det är begränsat till administrativa kontaktuppgifter som beskrivs under punkt 3.3 ovan.
• Behandlingen av personuppgifterna är nödvändig för att Digg ska kunna genomföra sitt uppdrag att tillhandahålla tjänsten SDK. Behandlingen utgör en uppgift av allmänt intresse enligt artikel 6.1.e i dataskyddsförordningen.

Personuppgiftsansvar för Deltagarorganisation vid överföring av meddelanden

• Ett meddelande som innehåller personuppgifter och som överförs i meddelande via SDK betraktas som personuppgift även om det är krypterat. Personuppgifter kan förekomma både i meddelandetexten och i bilagor som bifogas till meddelandet.
• Sändande deltagarorganisation är personuppgiftsansvarig för de personuppgifter som överförs i meddelanden som skickas i SDK-federationen. Ett nytt ansvar avseende fortsatt personuppgiftsbehandling uppstår hos mottagande deltagarorganisation när mottagande deltagarorganisations accesspunkt har skickat transportkvittens till sändande deltagarorganisations accesspunkt.
• Sändande respektive mottagande deltagarorganisation är personuppgiftsansvarig för de personuppgifter som hanteras i den egna organisationens lokala komponenter och accesspunkt samt för de loggar som avser deltagarorganisationens administration i SDK:s gemensamma komponenter.
• Federationsägare och ansvarig för plattformen eDelivery är inte part i deltagarorganisationers behandling av personuppgifter vid överföring av meddelanden via SDK.