Behöver kommunala nämnder teckna PUB-avtal med myndigheter?

dataskydd_Behöver-kommunala-nämnder-teckna-PUB-avtal-med-myndigheter.jpg

Behöver kommunens utbildningsnämnd teckna personuppgiftsbiträdesavtal (PUB-avtal) med myndigheter? Till exempel Navet för folkbokföringsuppgifter eller Statistiska centralbyrån (SCB) för oktoberstatistiken?

Rent generellt föreligger inte särskild reglering kring huruvida PUB-avtal ska slutas eller inte beroende på om avtalsparten är en myndighet eller inte. Huvudregeln är att ett PUB-avtal ska ingås när en annan verksamhet behandlar personuppgift för din räkning. Det avgörande är vem som bestämmer ändamålen med personuppgiftsbehandlingen. Exempelvis är det vanligt att personuppgiftsansvariga anlitar biträden för att utföra en viss personuppgiftsbehandling för att använda biträdets specifika expertis eller erfarenhet som den personuppgiftsansvariga saknar i sin organisation, eller exempelvis när man köper en molntjänst och lagrar personuppgifter på biträdets servrar.

Det allra bästa sättet att utreda huruvida ett PUB-avtal ska ingås är att höra av sig till leverantören av tjänsten. Alla utlämnanden av personuppgifter till en extern part, exempelvis SCB, kräver inte nödvändigtvis ett PUB-avtal. Vad gäller SCB så bör de nämligen ha egna ändamål med personuppgiftsbehandlingen (upprätta statistik), varpå det inte nödvändigtvis föreligger ett biträdesförhållande. Det bästa rådet är att helt enkelt höra av sig till leverantören och fråga hur de brukar göra.

Av Anders Eriksson, jurist.
Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan frågesvaret skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i aktuell informationstjänst.

Publicerad 12 maj 2022

JP Infonet vill upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

  • JP ITnet

    Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.
  • JP Registerförteckning

    Ett enkelt och användarvänligt verktyg för att uppfylla krav på dokumentation av personuppgiftsbehandling.
  • Rådgivning inom dataskydd

    Behöver du vägledning i frågor som rör GDPR och dataskydd? Våra specialiserade jurister hjälper gärna till.

Nyheter

IMY bedömer att personuppgiftsbehandlingen har skett i strid med principen om uppgiftsminimering och nämnden får därför en reprimand.

28 nov 2022

IMY har genomfört en undersökning om statliga myndigheters användning av molntjänster. Nu har de övergripande slutsatserna från den sammanställts i en rapport.

24 nov 2022

Förvaltningsrätten bedömer att integritetsintresset väger tyngst, särskilt med beaktande av att kamerabevakningen skulle förenas med bildinspelning och omfatta personer som arbetar på återvinningscentralerna.

24 nov 2022