Avtalsguide - Personuppgiftsbiträdesavtal

När behövs ett personuppgiftsbiträdesavtal?

I en kommun ligger personuppgiftsansvaret hos nämnderna; de är personuppgiftsansvariga.

När en leverantör (eller annan extern part) hanterar personuppgifter för Östhammars kommuns räkning uppstår en biträdessituation; leverantören blir personuppgiftsbiträde. Detta gäller när leverantören behandlar personuppgifter för nämndens räkning, exempelvis

• lagrar personuppgifter,

• sköter driften av ett system som omfattar personuppgifter och därmed har tillgång till personuppgifterna,

• har åtkomst till personuppgifter på distans, för support, service eller underhåll.

När en biträdessituation uppstår ska ett personuppgiftsbiträdesavtal (PUB-avtal) tecknas. Detta avtal reglerar ansvaret för personuppgiftsbehandlingen mellan den personuppgiftsansvarige och personuppgiftsbiträdet.

Läs mer om rollerna personuppgiftsansvarig och personuppgiftsbiträde på Integritetsskyddsmyndighetens hemsida här.

Vem ansvarar för att ett personuppgiftsbiträdesavtal skrivs? 

Den personuppgiftsansvarige är skyldig att se till att erforderliga PUB-avtal finns på plats. Det yttersta ansvaret i en kommun ligger således på nämndnivå, men i praktiken är det den chef eller medarbetare som ingår övriga avtal med leverantör, som har i uppgift att avgöra om och när en biträdessituation uppstår, och se till att ett PUB-avtal tecknas. Om du är osäker fråga dataskyddsombudet.

Alla Sektorchefer ska årligen lämna in en upphandlingsplan till chefen för Verksamhet upphandling. I den mall som tillhandahålls finns ett fält där Sektorcheferna ska ange huruvida PUB-avtal krävs för den aktuella upphandlingen eller ej. Verksamhet upphandling fångar på så sätt vilka upphandlingar som kräver PUB-avtal.

Vilket PUB-avtal ska tecknas i Östhammars kommun?

SKR (Sveriges Kommuner och Regioner) har tagit fram mall för PUB-avtal och denna ska som huvudregel användas i Östhammars kommun. Mall för PUB-avtal (länk till SKR:s hemsida). 

Andra avtalsmallar – som exempelvis leverantören föreslår – ska endast användas undantagsvis i Östhammars kommun. I de fall SKR:s avtalsmall inte används, rekommenderas att avtalstexten och bilagor granskas utifrån SKR:s PUB-avtal, samt skickas till kommunens dataskyddsombud för synpunkt, se kontaktuppgifter nedan.

Hur fylls instruktionsbilagan i?

I instruktionsbilagan ska den personuppgiftsansvarige nämnden ge instruktioner till personuppgiftsbiträdet, det vill säga leverantör eller annan extern part, kring hur personuppgiftsbiträdet får och ska behandla personuppgifter för Östhammars kommuns räkning. Begränsningar och skyldigheter, som inte framgår av själva avtalstexten, utan som hör specifikt samman med den personuppgiftsbehandlingen, ska klargöras här.

SKR:s mall för instruktionsbilagan rymmer en del exempel på vilka uppgifter som ska fyllas i och vilka instruktioner som kan ges. En grundläggande vägledning ges således redan i mallen. För att säkerställa att rätt uppgifter fylls i och korrekta instruktioner ges till personuppgiftsbiträdet, kan avtalstecknande chef eller medarbetare också rådfråga förvaltningsledare eller dataskyddsombud.

Kontaktuppgifter till dataskyddsombud

Östhammars kommuns dataskyddsombud nås på e-postadressen
dso.osthammar@jpinfonet.se eller telefonnummer 08 - 462 65 60.

Anlita endast personuppgiftsbiträden som ger tillräckliga garantier

Den personuppgiftsansvarige ska endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i GDPR. Det kan innebära att nämnden behöver kräva att få se relevanta dokument som ger nämnden tillräckliga garantier innan avtal tecknas. Om och i så fall vilka dokument som kan vara relevanta utgår från vilka risker som behandlingen omfattar. Behandling av känsliga personuppgifter innebär högre krav på skydd och därmed dokumentation som visar att biträdet har genomfört lämpliga åtgärder. Sådan dokumentation kan vara till exempel:

• personuppgiftspolicy,

• rapporter från externa granskningar om t.ex. IT-säkerhet, behörighetsstyrning m.m.

• IT-policy, informationssäkerhetspolicy,

• certifikat om uppfylld ISO-standard (27000-serien).

Vem ska underteckna? 

Vem som ska underteckna PUB-avtalet framgår av respektive nämnds delegationsordning.

Viktigt om diarieföring

Det färdigställda undertecknade PUB-avtalet ska diarieföras i respektive nämnds diarium. I ärenderubriken ska det tydligt anges ”Personuppgiftsbiträdesavtal” eller ”PUB-avtal” så att avtalet lätt kan återsökas samt särskiljas från andra slags avtal.

Tänk på att PUB-avtalet hör ihop med tjänsteavtalet som tecknas med eventuell anbudsvinnare och att det ska finns en tydlig koppling mellan dessa båda avtal i diariet. Om ett av dessa avtal ändras kan det påverka innehållet i det andra avtalet.