Publicerad: 25 juni 2018

Personuppgiftsbiträdesavtal, frågor och svar

Vanliga frågor kring personuppgiftsbiträdesavtal.

Hur ser kommunens ansvar i relation till socialnämndens ansvar för personuppgiftshantering ut?

Fråga: Hur ser kommunens ansvar ut i relation till socialnämndens ansvar för personuppgiftshantering ut? Hur ser exempelvis organisation, roll och ansvarsfördelning mellan kommunnivå och nämndnivå ut?

Svar: Kommunen är en juridisk person, men personuppgiftsansvaret ligger på minimum på myndighetsnivå, det vill säga på nämndenivå.

En nämnd är personuppgiftsansvarig såvida inte de är osjälvständiga i förhållande till en annan nämnd (om denna bestämmer medel med eller ändamål för personuppgiftsbehandlingen). Då är den senare personuppgiftsansvarig även för de andra nämndernas personuppgiftsbehandling.

Hur ska gemensamma system regleras?

Fråga: Hur ska överföring av (känslig) information från stadens nämnder/förvaltningar till gemensamma system regleras? Ska vi ingå avtal med varandra eller ska SLF (kommunstyrelsens förvaltning) ingå avtal med leverantör för samtliga nämnders/förvaltningars räkning?

Svar: Varje nämnd är personuppgiftsansvarig för sin behandling, om den är en självständig nämnd. Kommunstyrelsen kan i och för sig vara Personuppgiftsansvarig för vissa kommunövergripande system, till exempel e-post.

Det är den personuppgiftsansvarige som ska teckna personuppgiftsbiträdesavtal med biträde. Det kan innebär att flera förvaltningar själva tecknar sådana avtal.

Behövs avtal när information lagras på egen server lokalt?

Fråga: Behövs personuppgiftsbiträdesavtal med systemleverantörer även om man lagrar informationen på egen server lokalt?

Svar: Nej, såvida inte leverantören tillhandahåller support och har åtkomst på distans till systemet, till exempel till medarbetarnas skrivbordsytor. Då ska personuppgiftsbiträdesavtal tecknas.

Vem är personuppgiftsansvarig vid Lex Maria?

Fråga: Vad gäller angående personuppgiftsansvarig kontra personuppgiftsbiträde i samband med anmälan enligt Lex Maria?

IVO har en portal där de vill att anmälan enligt Lex Maria ska göras. Det råder oklarheter kring vem som har personuppgiftsansvar i denna hantering. IVO anser sig vara personuppgiftsbiträde och att vårdgivaren kvarstår som personuppgiftsansvarig. Dessutom har de en extern leverantör av tjänsten. Behövs avtal för denna hantering? Kan IVO verkligen endast betraktas som biträde?

Svar: Om det är en tjänst som IVO tillhandahåller i molnet för rapportering agerar myndigheten i rollen som personuppgiftsbiträde gentemot den nämnd som rapporterar uppgifter i tjänsten.

Nämnden är personuppgiftsansvarig för sin behandling av personuppgifter, nämligen registreringen av uppgifter och utlämnandet av desamma. När nämnden trycker på skicka-knappen eller färdig-knappen övergår personuppgiftsansvaret för uppgifterna på IVO.

Landsting och regioner är personuppgiftsbiträden åt privata vårdbolag

Fråga: När det gäller våra privata hemtjänstföretag och äldreboenden så måste de sköta sin dokumentation/journalhantering i vårt verksamhetssystem. Eftersom de har ett eget personuppgiftsansvar funderade vi på om det formellt gör nämnden till biträde eller om vi istället ska göra bedömningen att vi är personuppgiftsansvariga?

Svar: Inom den offentliga hälso- och sjukvården är landstingen och regionerna personuppgiftsbiträden åt de privata vårdbolag som nyttjar huvudmannens journalsystem. Stockholms läns landsting är ett sådant exempel där många av de privata vårdutförarna använder Take Care som är ett journalsystem som tillhandahålls av landstinget. Den nämnd eller det kommunala bolag som tillhandahåller tjänsten är personuppgiftsbiträde såvitt jag kan bedöma.

Behövs det personuppgiftbiträdesavtal med HVB-hem och hotell?

Fråga: Hanterar externa leverantörer, så som HVB-hem och stödboenden, personuppgifter för socialtjänstens räkning? Det vill säga, behövs det personuppgiftbiträdesavtal med HVB-hem och hotell som kommunen använder som boende för hemlösa?

Svar: Nej, de behandlar personuppgifter i rollen som personuppgiftsansvariga. Det framgår av förordningen om behandling av personuppgifter inom socialtjänsten.

Behövs det avtal med privata hemtjänstbolag?

Fråga: I SoLPUF står det att en kommunal myndighet är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som myndigheten utför och att juridiska personer som ansvarar för privat verksamhet är personuppgiftsansvarig för den
behandling som görs i dess verksamhet.

Betyder det att till exempel privata hemtjänstbolag själva är personuppgiftsansvariga och att nämnden inte behöver teckna personuppgiftsbiträdesavtal med dem? Behöver den privata utföraren i så fall teckna ett avtal där nämnden är personuppgiftsbiträde?

Svar: Ja, privata hemtjänstbolag är personuppgiftsansvariga. Använder bolaget någon form av tjänst, till exempel en dokumentationstjänst, som erbjuds av kommunen ska personuppgiftsbiträdesavtal tecknas eftersom kommunen i detta fall agerar som personuppgiftsbiträde.

Behöver vi teckna avtal med Socialstyrelsen?

Fråga: Ska kommunen teckna ett personuppgiftsbiträdesavtal med Socialstyrelsen avseende den årliga äldreundersökningen?

Svar: Nej, Socialstyrelsen behandlar inte uppgifterna för kommunens räkning utan gör det självständigt med stöd av GDPR och regeringens uppdrag till myndigheten att göra sådana uppföljningar (rättslig skyldighet).

Socialstyrelsens statistikverksamhet omfattas av statistiksekretess (absolut sekretess). Det innebär att kommunerna utan risk för men eller skada för vård- och omsorgstagaren kan lämna ut efterfrågade uppgifter eftersom uppgifterna har lika starkt skydd hos Socialstyrelsen. Utlämnandet sker för uppföljning vilket är ett tillåtet ändamål enligt SoLPUL.

Hjälpte informationen på sidan dig?


User information

Tack för att du hjälper oss!

Sidfot