Personuppgiftsbiträdesavtal

När vi anlitar en leverantör som behandlar personuppgifter på uppdrag av oss (ett peronuppgiftsbiträde), ska det tecknas ett personuppgiftsbiträdesavtal.

Ett personuppgiftsbiträde är en leverantör eller annan extern part som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Dataskyddsförordningen ställer krav på att det finns ett avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet som reglerar den personuppgiftsbehandling som ska genomföras, och att detta avtal innehåller vissa bestämmelser. Ett sådant avtal kallas för personuppgiftsbiträdesavtal, ofta förkortat till PUB-avtal.

Staden har tagit fram en mall för PUB-avtal. Du hittar stadens mall för personuppgiftsbiträdesavtal här.  Mallavtalet innehåller de bestämmelser som ett PUB-avtal måste innehålla enligt GDPR. Stadens egen mall för PUB-avtal bör användas i första hand. Det är viktigt att komma ihåg att stadens mallavtal är just detta – en mall. Bestämmelserna i avtalet behöver därför i de flesta fall anpassas till den specifika tjänsten. Det krävs också att du som beställare fyller i vissa delar.

Om biträdet/leverantören vill använda ett eget avtal är det viktigt att granska avtalet så att det uppfyller lagstiftningens krav på innehåll. För att hjälpa dig med granskningen av leverantörens avtal har en checklista tagits fram. Du hittar checklistan här.

För att det ska vara möjligt att utläsa vad biträdet faktiskt får göra med personuppgifterna så MÅSTE ett biträdesavtal kombineras med ett tjänsteavtal/huvudavtal där det framgår vad den egentliga tjänsten består av. Utan ett sådant avtal alternativt mycket tydliga instruktioner förbjuder ett biträdesavtal i princip all hantering av personuppgifter.

Om du vill få hjälp med att utforma ett PUB-avtal kontakta samordnaren av personuppgiftsfrågor på din förvaltning eller stadsjuridiska enheten.

Vem får underteckna ett PUB-avtal?

Det finns i Helsingborgs stad inga särskilda delegeringar avseende just personuppgiftsbiträdesavtal. Den som har delegation att skriva under själva tjänsteavtalet (huvudavtalet) är därför den som även ska skriva under personuppgiftsbiträdesavtalet.

PUB-avtalet bör diarieföras och hanteras tillsammans med huvudavtalet.