Behöver kommunala nämnder teckna PUB-avtal med myndigheter?

dataskydd_Behöver-kommunala-nämnder-teckna-PUB-avtal-med-myndigheter.jpg

Behöver kommunens utbildningsnämnd teckna personuppgiftsbiträdesavtal (PUB-avtal) med myndigheter? Till exempel Navet för folkbokföringsuppgifter eller Statistiska centralbyrån (SCB) för oktoberstatistiken?

Rent generellt föreligger inte särskild reglering kring huruvida PUB-avtal ska slutas eller inte beroende på om avtalsparten är en myndighet eller inte. Huvudregeln är att ett PUB-avtal ska ingås när en annan verksamhet behandlar personuppgift för din räkning. Det avgörande är vem som bestämmer ändamålen med personuppgiftsbehandlingen. Exempelvis är det vanligt att personuppgiftsansvariga anlitar biträden för att utföra en viss personuppgiftsbehandling för att använda biträdets specifika expertis eller erfarenhet som den personuppgiftsansvariga saknar i sin organisation, eller exempelvis när man köper en molntjänst och lagrar personuppgifter på biträdets servrar.

Det allra bästa sättet att utreda huruvida ett PUB-avtal ska ingås är att höra av sig till leverantören av tjänsten. Alla utlämnanden av personuppgifter till en extern part, exempelvis SCB, kräver inte nödvändigtvis ett PUB-avtal. Vad gäller SCB så bör de nämligen ha egna ändamål med personuppgiftsbehandlingen (upprätta statistik), varpå det inte nödvändigtvis föreligger ett biträdesförhållande. Det bästa rådet är att helt enkelt höra av sig till leverantören och fråga hur de brukar göra.

Av Anders Eriksson, jurist.
Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan frågesvaret skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i aktuell informationstjänst.

Publicerad 12 maj 2022

JP Infonet vill upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

  • JP ITnet

    Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.
  • JP Registerförteckning

    Ett enkelt och användarvänligt verktyg för att uppfylla krav på dokumentation av personuppgiftsbehandling.
  • Rådgivning inom dataskydd

    Behöver du vägledning i frågor som rör GDPR och dataskydd? Våra specialiserade jurister hjälper gärna till.

Nyheter

Hur vet man när man ska genomföra en konsekvensbedömning och när det är aktuellt att göra en informationsklassning? Här redogör vi för vad som gäller.

14 nov 2023

I denna analys går vår expert Didrik Värmon igenom frågan i ljuset av ett rättsligt ställningstagande från Finansinspektionen (FI 2023:1).

13 nov 2023

Regeringen har gett en särskild utredare i uppdrag att se över grundlagsskyddet för vissa söktjänster som offentliggör personuppgifter. Uppdraget ska redovisas senast den 15 november 2024.

13 nov 2023