- Startsida
- SKR
- Ekonomi, juridik
- Juridik
- Dataskyddsförordningen, GDPR
- Personuppgiftsbiträdesavtal, PUB-avtal
Allmänt om personuppgiftsbiträdesavtal, PUB-avtal
Information om när ett personuppgiftsbiträdesavtal behövs och vilka delar det ska bestå av, samt om hur avtal utformas. Personuppgiftsbiträdesavtal kallas även PUB-avtal.
SKR, Adda AB och Inera AB har gemensamt tagit fram mallar som behövs för personuppgiftsbiträdesavtal och dess tillhörande dokument, samt en vägledning till hur du arbetar med och använder avtal och mallar. Avtalet ska vara ett neutralt och kvalitetssäkrat instrument som såväl enskilda kommuner och regioner som SKR, Adda och Inera kan använda.
Så använder du avtal och mallar
Det huvudsakliga arbetet med PUB-avtalet består av att fylla i två mallar: Instruktion och Lista över underbiträden. Dessa utgör bilagor till det färdiga PUB-avtalet, och ingår i avtalsdokumentet. Kompletteringarna av mallarna utgör beskrivningen av behandlingens särskilda karaktär. Avsikten är att själva PUB-avtalet inte ska ändras.
Mall för instruktionen innehåller fält för sådana uppgifter som är obligatoriska enligt dataskyddförordningen. Det är helt avgörande att den används och fylls i och kompletteras på ett korrekt och ändamålsenligt sätt.
Då behövs PUB-avtal
Ett personuppgiftsbiträdesavtal behövs när ett personuppgiftsbiträde behandlar personuppgifter för en personuppgiftsansvarigs räkning. Innan personuppgiftsbiträdesavtal tecknas behöver det alltså vara klarlagt att det förhållande som ska regleras verkligen innebär att någon part behandlar personuppgifter och gör för den andra partens räkning.
Den personuppgiftsansvarige bestämmer ändamålen med behandlingen (varför behandlingen sker) och medlen för behandlingen (hur behandlingen sker). Den personuppgiftsansvarige kan anlita ett personuppgiftsbiträde för att utföra hela eller delar av behandlingen. Den personuppgiftsansvarige behöver då ge personuppgiftsbiträdet instruktioner för behandlingen, som biträdet måste följa.
En uppdragstagare som ensam bestämmer över behandlingens ändamål och medel har dock ett eget personuppgiftsansvar och är personuppgiftsansvarig för den aktuella behandlingen.
Funktionell bedömning av roller
Det behöver göras en funktionell bedömning av vilken roll som respektive avtalspart har inför varje behandling av personuppgifter. Det är inte möjligt att med bindande verkan avtala att en part ska vara personuppgiftsansvarig och att en annan part ska vara personuppgiftsbiträde, om det inte överensstämmer med de faktiska förhållandena.
Mer information angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR finns i Europeiska dataskyddsstyrelsens (EDPB) Riktlinjer 07/2020 (Version 2.0, antaget den 7 juli 2021).
EDPB:s Riktlinjer 07/2020, Europakommissionens webbplats
Att undvika PUB-avtal eller använda ett felaktigt
Att inte använda ett personuppgiftsbiträdesavtal när ett sådant behövs, eller att använda ett som inte uppfyller dataskyddsförordningens krav på innehåll, strider mot förordningen och innebär onödiga risker för både den personuppgiftsansvarige och personuppgiftsbiträdet.
Informationsansvarig
-
Pål Resare
Förbundsjurist