Personuppgiftsbiträde eller personuppgiftsansvarig?
Vi vill inledningsvis upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.
Fråga:
Vi har fått in ett personuppgiftsbiträdesavtal från en leverantör av ett larmmottagningssystem inom hemtjänsten. Kommunen registrerar nya kunder (brukare) i systemet. Leverantören har sedan egna anställda som tar emot samtal från brukarna när de larmar. Leverantören kontaktar anställda inom hemtjänsten om det är aktuellt att hemtjänsten åker ut på larmet. Frågan är, är leverantören ett personuppgiftsbiträde åt den ansvariga nämnden eller ska leverantören anses vara personuppgiftsansvarig?
Svar:
Om leverantören av larmmottagningssystemet tillhandahåller/driftar ett IT-system som ni ska använda i er verksamhet, så är leverantören ert personuppgiftsbiträde. Men om det är information från er egen verksamhet som ni måste registrera i deras system för att både ni och larmstjänstleverantören ska kunna utföra era huvudsakliga arbetsuppgifter uppstår ingen biträdessituation.
Vad vi förstår av din beskrivning så är var och en av parterna personuppgiftsansvarig för sin egen registrering i systemet och då uppstår ingen biträdessituation. Om leverantören och kommunen tillsammans bestämmer ändamålen och medlen för hur personuppgifterna ska behandlas är ni istället gemensamt personuppgiftsansvariga för personuppgiftsbehandlingen som sker. De gemensamt personuppgiftsansvariga ska i de fallen under öppna former (exempelvis datadelningsavtal) fastställa sitt respektive ansvar för att fullgöra sina skyldigheter enligt dataskyddsförordningen, se artikel 26 i Dataskyddsförordningen.
Laura Gashi
Rådgivare, jurist
Vill du få tillgång till vår frågeservice?
Läs då mer om informationstjänsten JP ITnet.
Publicerad 17 apr 2019