Behöver kommunala nämnder teckna PUB-avtal med myndigheter?

Behöver kommunens utbildningsnämnd teckna personuppgiftsbiträdesavtal (PUB-avtal) med myndigheter? Till exempel Navet för folkbokföringsuppgifter eller Statistiska centralbyrån (SCB) för oktoberstatistiken?

Rent generellt föreligger inte särskild reglering kring huruvida PUB-avtal ska slutas eller inte beroende på om avtalsparten är en myndighet eller inte. Huvudregeln är att ett PUB-avtal ska ingås när en annan verksamhet behandlar personuppgift för din räkning. Det avgörande är vem som bestämmer ändamålen med personuppgiftsbehandlingen. Exempelvis är det vanligt att personuppgiftsansvariga anlitar biträden för att utföra en viss personuppgiftsbehandling för att använda biträdets specifika expertis eller erfarenhet som den personuppgiftsansvariga saknar i sin organisation, eller exempelvis när man köper en molntjänst och lagrar personuppgifter på biträdets servrar.

Det allra bästa sättet att utreda huruvida ett PUB-avtal ska ingås är att höra av sig till leverantören av tjänsten. Alla utlämnanden av personuppgifter till en extern part, exempelvis SCB, kräver inte nödvändigtvis ett PUB-avtal. Vad gäller SCB så bör de nämligen ha egna ändamål med personuppgiftsbehandlingen (upprätta statistik), varpå det inte nödvändigtvis föreligger ett biträdesförhållande. Det bästa rådet är att helt enkelt höra av sig till leverantören och fråga hur de brukar göra.

Av Anders Eriksson, jurist.
Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 12 maj 2022