Publicerad 18 mars 2021

Personuppgiftsbiträdesavtal, frågor och svar

Vanliga frågor kring personuppgiftsbiträdesavtal.

 • Hur ser kommunens ansvar i relation till socialnämndens ansvar för personuppgiftshantering ut?

  Fråga: Hur ser kommunens ansvar ut i relation till socialnämndens ansvar för personuppgiftshantering ut? Hur ser exempelvis organisation, roll och ansvarsfördelning mellan kommunnivå och nämndnivå ut?

  Svar: Kommunen är en juridisk person, men personuppgiftsansvaret ligger på minimum på myndighetsnivå, det vill säga på nämndenivå.

  En nämnd är personuppgiftsansvarig såvida inte de är osjälvständiga i förhållande till en annan nämnd (om denna bestämmer medel med eller ändamål för personuppgiftsbehandlingen). Då är den senare personuppgiftsansvarig även för de andra nämndernas personuppgiftsbehandling.

 • Hur ska gemensamma system regleras?

  Fråga: Hur ska överföring av (känslig) information från stadens nämnder/förvaltningar till gemensamma system regleras? Ska vi ingå avtal med varandra eller ska SLF (kommunstyrelsens förvaltning) ingå avtal med leverantör för samtliga nämnders/förvaltningars räkning?

  Svar: Varje nämnd är personuppgiftsansvarig för sin behandling, om den är en självständig nämnd. Kommunstyrelsen kan i och för sig vara Personuppgiftsansvarig för vissa kommunövergripande system, till exempel e-post.

  Det är den personuppgiftsansvarige som ska teckna personuppgiftsbiträdesavtal med biträde. Det kan innebär att flera förvaltningar själva tecknar sådana avtal.

 • Behövs avtal när information lagras på egen server lokalt?

  Fråga: Behövs personuppgiftsbiträdesavtal med systemleverantörer även om man lagrar informationen på egen server lokalt?

  Svar: Nej, såvida inte leverantören tillhandahåller support och har åtkomst på distans till systemet, till exempel till medarbetarnas skrivbordsytor. Då ska personuppgiftsbiträdesavtal tecknas.

 • Vem är personuppgiftsansvarig vid Lex Maria?

  Fråga: Vad gäller angående personuppgiftsansvarig kontra personuppgiftsbiträde i samband med anmälan enligt Lex Maria?

  IVO har en portal där de vill att anmälan enligt Lex Maria ska göras. Det råder oklarheter kring vem som har personuppgiftsansvar i denna hantering. IVO anser sig vara personuppgiftsbiträde och att vårdgivaren kvarstår som personuppgiftsansvarig. Dessutom har de en extern leverantör av tjänsten. Behövs avtal för denna hantering? Kan IVO verkligen endast betraktas som biträde?

  Svar: Om det är en tjänst som IVO tillhandahåller i molnet för rapportering agerar myndigheten i rollen som personuppgiftsbiträde gentemot den nämnd som rapporterar uppgifter i tjänsten.

  Nämnden är personuppgiftsansvarig för sin behandling av personuppgifter, nämligen registreringen av uppgifter och utlämnandet av desamma. När nämnden trycker på skicka-knappen eller färdig-knappen övergår personuppgiftsansvaret för uppgifterna på IVO.

 • Regioner är personuppgiftsbiträden åt privata vårdbolag

  Fråga: När det gäller våra privata hemtjänstföretag och äldreboenden så måste de sköta sin dokumentation/journalhantering i vårt verksamhetssystem. Eftersom de har ett eget personuppgiftsansvar funderade vi på om det formellt gör nämnden till biträde eller om vi istället ska göra bedömningen att vi är personuppgiftsansvariga?

  Svar: Inom den offentliga hälso- och sjukvården är regionerna personuppgiftsbiträden åt de privata vårdbolag som nyttjar huvudmannens journalsystem. Region Stockholm ett sådant exempel där många av de privata vårdutförarna använder Take Care som är ett journalsystem som tillhandahålls av regionen. Den nämnd eller det kommunala bolag som tillhandahåller tjänsten är personuppgiftsbiträde såvitt jag kan bedöma.

 • Behövs det personuppgiftbiträdesavtal med HVB-hem och hotell?

  Fråga: Hanterar externa leverantörer, så som HVB-hem och stödboenden, personuppgifter för socialtjänstens räkning? Det vill säga, behövs det personuppgiftbiträdesavtal med HVB-hem och hotell som kommunen använder som boende för hemlösa?

  Svar: Nej, de behandlar personuppgifter i rollen som personuppgiftsansvariga. Det framgår av förordningen om behandling av personuppgifter inom socialtjänsten.

 • Behövs det avtal med privata hemtjänstbolag?

  Fråga: I SoLPUF står det att en kommunal myndighet är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som myndigheten utför och att juridiska personer som ansvarar för privat verksamhet är personuppgiftsansvarig för denbehandling som görs i dess verksamhet.

  Betyder det att till exempel privata hemtjänstbolag själva är personuppgiftsansvariga och att nämnden inte behöver teckna personuppgiftsbiträdesavtal med dem? Behöver den privata utföraren i så fall teckna ett avtal där nämnden är personuppgiftsbiträde?

  Svar: Ja, privata hemtjänstbolag är personuppgiftsansvariga. Använder bolaget någon form av tjänst, till exempel en dokumentationstjänst, som erbjuds av kommunen ska personuppgiftsbiträdesavtal tecknas eftersom kommunen i detta fall agerar som personuppgiftsbiträde.

 • Behöver vi teckna avtal med Socialstyrelsen?

  Fråga: Ska kommunen teckna ett personuppgiftsbiträdesavtal med Socialstyrelsen avseende den årliga äldreundersökningen?

  Svar: Nej, Socialstyrelsen behandlar inte uppgifterna för kommunens räkning utan gör det självständigt med stöd av GDPR och regeringens uppdrag till myndigheten att göra sådana uppföljningar (rättslig skyldighet).

  Socialstyrelsens statistikverksamhet omfattas av statistiksekretess (absolut sekretess). Det innebär att kommunerna utan risk för men eller skada för vård- och omsorgstagaren kan lämna ut efterfrågade uppgifter eftersom uppgifterna har lika starkt skydd hos Socialstyrelsen. Utlämnandet sker för uppföljning vilket är ett tillåtet ändamål enligt SoLPUL.

Informationsansvarig

 • Marta Nannskog
  Handläggare

Kontakt

Kontakta SKR

Har du en fråga med anledning av det pågående virusutbrottet?

Titta först på våra frågor och svar som finns här på webbplatsen.

Covid-19 och det nya coronaviruset