Bilaga 3: Behandling av personuppgifter

1. Bakgrund och syfte

1.1 Detta dokument är en bilaga till Avtal med förlitande part beträffande funktioner för elektronisk identifiering Word, 114.2 kB., i det följande ”Avtalet”. De begrepp och definitioner som används i Avtalet har samma betydelse i denna bilaga.

1.2 Bilagan redovisar den huvudsakliga behandling av personuppgifter som förekommer i anslutning till Sweden Connect samt Parternas uppfattning om hur personuppgiftsansvaret för behandlingarna är fördelat. Respektive Part ansvarar som personuppgiftsansvarig själv för att tillämpliga persondataskyddsregler följs.

1.3 Bilagan redovisar även Parternas strategi för att lämna sammanhållen information till användare av e-legitimationer om personuppgiftsbehandling som förekommer inom ramen för Sweden Connect samt Parternas skyldigheter i fråga om detta.

2. Personuppgiftsbehandling och personuppgiftsansvar

2.1 Anslutning till Sweden Connect

2.2 Myndigheten för digital förvaltning tar emot ansökningar om anslutning till Sweden Connect, uppgifter för Aktörsregistret, ansluter Parter till dessa funktioner och registrerar lämnande uppgifter i Aktörsregistret.

2.3 Registret ska inte innehålla några uppgifter om fysiska personer. Däremot behövs kontaktuppgifter för hanteringen samt för kontroll av att de som lämnar uppgifter är behöriga att utföra åtgärden.

2.4 Myndigheten för digital förvaltning är personuppgiftsansvarig för de behandlingar av personuppgifter som myndigheten utför med anledning av punkt 2.2 och 2.3 ovan.

3. Användning av e-tjänst

3.1 Förlitande part tar emot användare på sin webbplats som väljer att använda e-legitimationer från andra länder. Efter detta val styr Förlitande part användaren till eIDAS-noden.

3.2 Förlitande part tar i ett senare skede emot identitetsintyg från eIDAS-noden och använder intyget för att kontrollera användarens identitet.

3.3 Förlitande part är personuppgiftsansvarig för de behandlingar av personuppgifter som Förlitande part utför i anledning av punkt 3.1 och 3.2 ovan.

4. Användning av eIDAS-noden och Aktörsregistret

4.1 En användare som styrts till eIDAS-noden väljer där land för legitimering. Myndigheten för digital förvaltning vidarebefordrar användaren till det landets nod.

4.2 Myndigheten för digital förvaltning tar emot ett identitetsintyg från det landets nod, konverterar intyget till format som används i Sverige, stämplar det samt och sänder det till den som styrt användaren till eIDAS-noden.

4.3 All kommunikation med eIDAS-noden sker med stöd av uppgifter i Aktörsregistret genom vilket Myndigheten för digital förvaltning tillhandahåller kryptografiska nycklar så att kommunikationen kan ske effektivt och säkert.

4.4 Myndigheten för digital förvaltning är personuppgiftsansvarig för de behandlingar av personuppgifter som myndigheten utför med anledning av punkt 4.1 – 4.3 ovan.

5. Information till användare

5.1 Utformningen av Sweden Connect kräver tydlig information till användare så att de kan se och förstå vem som ansvarar för vad.

5.2 Förlitande part bör svara för att tillhandahålla information till användarna beträffande hela kedjan av behandlingar.

5.3 Myndigheten för digital förvaltning ska publicera den information som framgår av denna bilaga på sin webbplats, www.digg.se, tillsammans med relevanta kontaktuppgifter till Parterna för att användare ska kunna få en överblick över personuppgiftsbehandling i anslutning till Sweden Connect och veta vem som är ansvarig.

5.4 Myndigheten för digital förvaltning ska tillhandahålla förslag avseende utformning av sådan information till användare som avses i punkt 5.1 respektive 5.2.