Behöver kommunala nämnder teckna PUB-avtal med myndigheter?

dataskydd_Behöver-kommunala-nämnder-teckna-PUB-avtal-med-myndigheter.jpg

Behöver kommunens utbildningsnämnd teckna personuppgiftsbiträdesavtal (PUB-avtal) med myndigheter? Till exempel Navet för folkbokföringsuppgifter eller Statistiska centralbyrån (SCB) för oktoberstatistiken?

Rent generellt föreligger inte särskild reglering kring huruvida PUB-avtal ska slutas eller inte beroende på om avtalsparten är en myndighet eller inte. Huvudregeln är att ett PUB-avtal ska ingås när en annan verksamhet behandlar personuppgift för din räkning. Det avgörande är vem som bestämmer ändamålen med personuppgiftsbehandlingen. Exempelvis är det vanligt att personuppgiftsansvariga anlitar biträden för att utföra en viss personuppgiftsbehandling för att använda biträdets specifika expertis eller erfarenhet som den personuppgiftsansvariga saknar i sin organisation, eller exempelvis när man köper en molntjänst och lagrar personuppgifter på biträdets servrar.

Det allra bästa sättet att utreda huruvida ett PUB-avtal ska ingås är att höra av sig till leverantören av tjänsten. Alla utlämnanden av personuppgifter till en extern part, exempelvis SCB, kräver inte nödvändigtvis ett PUB-avtal. Vad gäller SCB så bör de nämligen ha egna ändamål med personuppgiftsbehandlingen (upprätta statistik), varpå det inte nödvändigtvis föreligger ett biträdesförhållande. Det bästa rådet är att helt enkelt höra av sig till leverantören och fråga hur de brukar göra.

Av Anders Eriksson, jurist.
Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan frågesvaret skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i aktuell informationstjänst.

Publicerad 12 maj 2022

JP Infonet vill upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

  • JP ITnet

    Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.
  • JP Registerförteckning

    Ett enkelt och användarvänligt verktyg för att uppfylla krav på dokumentation av personuppgiftsbehandling.
  • Rådgivning inom dataskydd

    Behöver du vägledning i frågor som rör GDPR och dataskydd? Våra specialiserade jurister hjälper gärna till.

Nyheter

Integritetsskyddsmyndigheten (IMY) publicerar nu en rapport som belyser de klagomål som myndigheten tog emot under förra året. Den vanligaste typen av klagomål rör enskildas rättigheter.

14 jun 2022

Blir arbetsgivare ansvarig om arbetstagare använder Touch ID eller ansiktsigenkänning på tjänstetelefonen? Vår jurist Simon Jernelöv svarar på frågan. 

13 jun 2022

Europeiska dataskyddsstyrelsen har antagit två nya riktlinjer. Läs mer om dem här!

9 jun 2022