- Startsida
- SKR
- Ekonomi, juridik
- Juridik
- Dataskyddsförordningen, GDPR
- Personuppgiftsbiträdesavtal, PUB-avtal
- Reglemente istället för PUB-avtal
Reglemente istället för PUB-avtal
Reglemente kan i vissa fall användas i stället för personuppgiftsbiträdesavtal, PUB-avtal, för reglering av personuppgiftsansvar mellan nämnder i kommun eller region. Här finns ett förslag malltext att använda i reglementets paragraf.
I en kommunal verksamhet är personuppgiftsansvaret enligt dataskyddsförordningens bestämmelser knutet till respektive nämnd för de personuppgifter som förekommer i den egna verksamheten. Men en kommun eller regions nämnder är ofta sammanlänkade i betydande omfattning genom gemensamma IT-system. Det medför ofta situationer där en nämnd enligt dataskyddsförordningen får anses behandla personuppgifter för en annan nämnds räkning.
Av dataskyddsförordningen följer att sådana relationer ska regleras skriftligt, antingen i ett personuppgiftsbiträdesavtal (PUB-avtal), eller genom en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt (art 28.3 dataskyddsförordningen).
Eftersom det inte är möjligt för kommunala nämnder att teckna civilrättsligt bindande avtal med andra nämnder inom samma kommun, måste förhållandet i stället regleras i en så kallad rättsakt.
Ett kommunalt reglemente är en rättsakt som kan användas för att klargöra vilka nämnder som, nämnderna emellan, är personuppgiftsansvariga respektive personuppgiftsbiträden för olika behandlingar.
Av europeiska dataskyddsstyrelsen riktlinjer följer att reglering av interna biträdesrelationer inom en organisation inte behöver vara lika detaljerad som en relation med en extern part.
Förslag till malltext för paragraf i kommunalt reglemente avseende personuppgiftsansvar
Följande text kan användas som mall när du upprättar paragrafen. Kopiera, klistra in i kommunens dokumentmall och byt ut XX mot nämndens namn.
Förslag på text att kopiera och klistra in
Nämnden XX är personuppgiftsansvarig för de register och andra behandlingar av personuppgifter som sker i nämndens verksamhet.
Om nämnden XX behandlar personuppgifter i ett för flera nämnder gemensamt system är nämnden gemensamt personuppgiftsansvarig tillsammans med de andra nämnderna. Hanteringen ska då regleras av en överenskommelse.
Om en nämnd behandlar personuppgifter på en annan nämnds uppdrag utgör nämnden personuppgiftsbiträde. Den personuppgiftsansvariga nämnden ska utfärda instruktioner för personuppgiftsbehandlingen. Av instruktionen ska föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade framgå.
När nämnden XX utgör personuppgiftsbiträde ska hanteringen ske i enlighet med uppställda krav i artikel 28.3 a-h i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016.
Läs vidare
Informationsansvarig
-
Pål Resare
Förbundsjurist