1 (4) Personuppgiftsbiträdesavtal enligt 30-31 §§ personuppgiftslagen (1998:204) 1. Bakgrund och syfte Sveriges Kommuner och Landsting (SKL) har under ett antal år drivit ett arbete för att stödja kommunerna med att införa och utveckla brukarrelaterad kostnadsredovisning enligt den s.k. KPB-metoden (Kostnad per brukare). Metoden innebär att olika insatser inom vård och omsorg kostnadsberäknas och knyts till den enskilde brukaren. Intentionen är att förbättra möjligheterna till jämförelser och analys som stöd för verksamhetsuppföljning. I arbetet med KPB anlitar kommunerna SKL för vissa analyser av materialet. SKL:s uppdrag innebär bland annat att förbundet behandlar personuppgifter för kommunens räkning. Syftet med detta avtal är att kommunen säkerställer sitt självständiga personuppgiftsansvar enligt personuppgiftslagen (1998:204), PuL, och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, SoL-PuL, genom att reglera instruktioner till SKL (personuppgiftsbiträdet) vid fullgörandet av uppdrag enligt detta avtal. Vidare regleras vilka personuppgifter som personuppgiftsbiträdet i enlighet med instruktioner får behandla för personuppgiftsansvarigs räkning samt vilka säkerhetsåtgärder som biträdet ska vidta för att skydda de personuppgifter som behandlas. 2. Parter Personuppgiftsansvarig (PuA): ……………………………………………………… (ansvarig kommunal myndighet, t.ex. socialnämnden i X kommun) och Personuppgiftsbiträde (PuB): Sveriges Kommuner och Landsting, 222000-0315 3. Definitioner Behandling av personuppgifter Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter t.ex. insamling, registrering, organisering, lagring och bearbetning. Personuppgifter All slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Sveriges Kommuner och Landsting Post: 118 82 Stockholm, Besök: Hornsgatan 20 Tfn: växel 08-452 70 00, Fax: 08-452 70 50 Org nr: 222000-0315, [email protected], www.skl.se Klicka här för att ange datum. Personuppgiftsansvarig Den som ensam eller tillsammans med andra självständigt bestämmer ändamålen med och medlen för behandlingen av personuppgifter. En kommunal myndighet är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som myndigheten utför. Om behandlingen utförs gemensamt för flera myndigheter inom kommunen är varje myndighet personuppgiftsansvarig för den behandling som utförs hos den myndigheten. Personuppgiftsbiträde Den som osjälvständigt behandlar personuppgifter på uppdrag av PuA. Den registrerade Den som en personuppgift avser. 4. Instruktioner PuB får behandla de personuppgifter som är nödvändiga för att fullgöra sitt uppdrag för PuA, t.ex. innebärande analyser och jämförelser mellan olika enheter inom socialtjänsten avseende bl.a. kostnader, produktivitet och effektivitet. Åtkomsten till personuppgifter ska begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter. Varje PuA kompletterar avtalet med mer detaljerade instruktioner avseende säkerhetsåtgärder från informationssäkerhetschef eller motsvarande hos PuA. 5. PuA:s ansvar 5.1 PuA ska tillse att behandlingen sker i enlighet med PuL, SoL-PuL, samt Datainspektionens från tid till annan tillämpliga regler och rekommendationer. PuA:s kontrollansvar enligt 31§ PuL såvitt avser PuB:s uppfyllelse av detta avtal sker på PuA:s bekostnad. Kontroll kan ske genom anlitande av tredje man. 5.2 PuA ska utan dröjsmål informera PuB om förändringar i behandlingen vilka påverkar PuB:s skyldigheter enligt detta avtal. PuA ska även informera PuB om tredje parts, däribland Datainspektionens och den registrerades, åtgärder med anledning av behandlingen. 6. PuB:s åtagande 6.1 PuB ska följa gällande lagstiftning, egna riktlinjer för informationssäkerhet - som ska följa Datainspektionens direktiv - samt hålla sig informerad om dessa. PuB ska ge PuA fysiskt tillträde till lokaler samt tillgång till uppgifter som är nödvändiga för att PuA ska kunna fullgöra sitt ansvar. Vidare ska PuB vidta de åtgärder som av PuA bedöms lämpliga, i tekniskt och organisatoriskt hänseende för att skydda personuppgifter mot obehörig åtkomst, förstörelse och ändring. 6.2 PuB och den eller de personer som arbetar under dennes ledning får endast behandla personuppgifter, i enlighet med de instruktioner som från tid till annan 2 (4) Klicka här för att ange datum. lämnas av PuA. För det fall PuB saknar instruktioner som PuB bedömer är nödvändiga för att genomföra det uppdrag PuB erhållit från PuA ska PuB, utan dröjsmål, informera PuA om detta och invänta de instruktioner som PuA bedömer behövs. 6.3 För det fall att registrerad eller annan tredje man begär ut information från PuB som rör behandling av personuppgifter ska PuB hänvisa till PuA. Om myndighet begär information från PuB ska PuB omedelbart informera PuA. 6.4 PuB ska utan dröjsmål informera PuA om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandling av personuppgifter. PuB har inte rätt att företräda PuA eller agera för PuA:s räkning gentemot Datainspektionen eller annan tredje man. 6.5 PuB är skyldig att lämna PuA den assistans som behövs för att PuA ska kunna uppfylla sitt kontrollansvar enligt 31 § PuL såvitt avser PuB:s uppfyllelse av detta avtal. 6.6 PuB skall vid behov assistera PuA med att ta fram information som begärts av Datainspektionen eller registrerad. 6.7 PuB skall följa en av PuA från tid till annan tillämplig procedur för incidenthantering. PuB ska följa även sin egen incidenthanteringsprocedur. 6 Sekretess PuB ska iaktta bestämmelserna i offentlighets- och sekretesslagen (2009:400). Detta ska gälla för såväl den juridiska personen som för dess medarbetare och konsulter. 7 Ansvar gentemot tredje man PuB ska hålla PuA skadeslös för sådana krav som följer av att PuB inte efterföljt detta avtal. PuB ska biträda PuA i hantering av ärenden eller mål om skadestånd. 8 Avtalstid Avtalet gäller från dess undertecknande och så länge som PuB behandlar personuppgifter. 9 Upphörande av behandling av personuppgifter Vid upphörande av PuB:s behandling av personuppgifter för PuA:s räkning ska PuB återlämna alla data som innehåller personuppgifter på samtliga media som den är fixerad på. 10 Ändring eller uppsägning av detta avtal Avtalet kan sägas upp av vardera part. Avtalet upphör att gälla efter sex månader från det att detta skriftligen meddelats den andra parten. 3 (4) Klicka här för att ange datum. Detta avtal har upprättats i två exemplar, varav parterna har tagit var sitt. ........................... 2013-xx-xx ........................... 2013-xx-xx För (ansvarig myndighet) För Sveriges Kommuner och Landsting …………………………………… ………………………………… Underskrift Underskrift Namnförtydligande Peter Fitger Titel Sektionschef, Statistiksektionen Avdelningen för ekonomi och styrning 4 (4)