Behöver kommunala nämnder teckna PUB-avtal med myndigheter?

dataskydd_Behöver-kommunala-nämnder-teckna-PUB-avtal-med-myndigheter.jpg

Behöver kommunens utbildningsnämnd teckna personuppgiftsbiträdesavtal (PUB-avtal) med myndigheter? Till exempel Navet för folkbokföringsuppgifter eller Statistiska centralbyrån (SCB) för oktoberstatistiken?

Rent generellt föreligger inte särskild reglering kring huruvida PUB-avtal ska slutas eller inte beroende på om avtalsparten är en myndighet eller inte. Huvudregeln är att ett PUB-avtal ska ingås när en annan verksamhet behandlar personuppgift för din räkning. Det avgörande är vem som bestämmer ändamålen med personuppgiftsbehandlingen. Exempelvis är det vanligt att personuppgiftsansvariga anlitar biträden för att utföra en viss personuppgiftsbehandling för att använda biträdets specifika expertis eller erfarenhet som den personuppgiftsansvariga saknar i sin organisation, eller exempelvis när man köper en molntjänst och lagrar personuppgifter på biträdets servrar.

Det allra bästa sättet att utreda huruvida ett PUB-avtal ska ingås är att höra av sig till leverantören av tjänsten. Alla utlämnanden av personuppgifter till en extern part, exempelvis SCB, kräver inte nödvändigtvis ett PUB-avtal. Vad gäller SCB så bör de nämligen ha egna ändamål med personuppgiftsbehandlingen (upprätta statistik), varpå det inte nödvändigtvis föreligger ett biträdesförhållande. Det bästa rådet är att helt enkelt höra av sig till leverantören och fråga hur de brukar göra.

Av Anders Eriksson, jurist.
Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan frågesvaret skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i aktuell informationstjänst.

Publicerad 12 maj 2022

JP Infonet vill upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

  • JP ITnet

    Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.
  • JP Registerförteckning

    Ett enkelt och användarvänligt verktyg för att uppfylla krav på dokumentation av personuppgiftsbehandling.
  • Rådgivning inom dataskydd

    Behöver du vägledning i frågor som rör GDPR och dataskydd? Våra specialiserade jurister hjälper gärna till.

Nyheter

2022 beslutade IMY att påföra Klarna Bank AB en sanktionsavgift om 7,5 miljoner kronor för att bolaget hade brustit i sin informationsskyldighet. Nu sänks sanktionsavgiften.

25 apr 2023

En utredare ska föreslå lagändringar i syfte att göra det enklare att kamerabevaka för bland annat kommuner som utför en uppgift av allmänt intresse.

24 apr 2023

I denna analys kommer vår expert Charlotta Kronblad att utforska förutsättningarna för den artificiella intelligensens intåg i skolans värld och hur vi bäst kan förbereda oss inför detta.

24 apr 2023