Publicerad 3 april 2023

Reglemente istället för PUB-avtal

Reglemente kan i vissa fall användas i stället för personuppgiftsbiträdesavtal, PUB-avtal, för reglering av personuppgiftsansvar mellan nämnder i kommun eller region. Här finns ett förslag malltext att använda i reglementets paragraf.

I en kommunal verksamhet är personuppgiftsansvaret enligt dataskyddsförordningens bestämmelser knutet till respektive nämnd för de personuppgifter som förekommer i den egna verksamheten. Men en kommun eller regions nämnder är ofta sammanlänkade i betydande omfattning genom gemensamma IT-system. Det medför ofta situationer där en nämnd enligt dataskyddsförordningen får anses behandla personuppgifter för en annan nämnds räkning.

Av dataskyddsförordningen följer att sådana relationer ska regleras skriftligt, antingen i ett personuppgiftsbiträdesavtal (PUB-avtal), eller genom en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt (art 28.3 dataskyddsförordningen).

Eftersom det inte är möjligt för kommunala nämnder att teckna civilrättsligt bindande avtal med andra nämnder inom samma kommun, måste förhållandet i stället regleras i en så kallad rättsakt.

Ett kommunalt reglemente är en rättsakt som kan användas för att klargöra vilka nämnder som, nämnderna emellan, är personuppgiftsansvariga respektive personuppgiftsbiträden för olika behandlingar.

Av europeiska dataskyddsstyrelsen riktlinjer följer att reglering av interna biträdesrelationer inom en organisation inte behöver vara lika detaljerad som en relation med en extern part.

Förslag till malltext för paragraf i kommunalt reglemente avseende personuppgiftsansvar

Följande text kan användas som mall när du upprättar paragrafen. Kopiera, klistra in i kommunens dokumentmall och byt ut XX mot nämndens namn.

Förslag på text att kopiera och klistra in

Nämnden XX är personuppgiftsansvarig för de register och andra behandlingar av personuppgifter som sker i nämndens verksamhet.

Om nämnden XX behandlar personuppgifter i ett för flera nämnder gemensamt system är nämnden gemensamt personuppgiftsansvarig tillsammans med de andra nämnderna. Hanteringen ska då regleras av en överenskommelse.

Om en nämnd behandlar personuppgifter på en annan nämnds uppdrag utgör nämnden personuppgiftsbiträde. Den personuppgiftsansvariga nämnden ska utfärda instruktioner för personuppgiftsbehandlingen. Av instruktionen ska föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade framgå.

När nämnden XX utgör personuppgiftsbiträde ska hanteringen ske i enlighet med uppställda krav i artikel 28.3 a-h i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016.

Läs vidare

Informationsansvarig

  • Pål Resare
    Förbundsjurist

Kontakta oss

Kontakta SKR

Välkommen att skicka in din organisations frågor

  • Vid akuta frågor, vänligen ring SKR:s kontaktcenter på 08-452 70 00.
  • Se till att frågan är väl förberedd innan du skickar in den.
  • Det ingår inte i SKR:s uppgifter att ge service till privatpersoner och privata företag.


Undvik känsliga personuppgifter när du beskriver ditt ärende.






Verifiering * (obligatorisk)
Vi kontrollerar att du är en människa och inte en robot.