Personuppgiftsbiträdesavtal mellan kommun – SKL (Word, nytt fönster)

1 (4)
Personuppgiftsbiträdesavtal enligt 30-31 §§
personuppgiftslagen (1998:204)
1. Bakgrund och syfte
Sveriges Kommuner och Landsting (SKL) har under ett antal år drivit ett arbete för att
stödja kommunerna med att införa och utveckla brukarrelaterad kostnadsredovisning
enligt den s.k. KPB-metoden (Kostnad per brukare). Metoden innebär att olika
insatser inom vård och omsorg kostnadsberäknas och knyts till den enskilde brukaren.
Intentionen är att förbättra möjligheterna till jämförelser och analys som stöd för
verksamhetsuppföljning.
I arbetet med KPB anlitar kommunerna SKL för vissa analyser av materialet. SKL:s
uppdrag innebär bland annat att förbundet behandlar personuppgifter för kommunens
räkning.
Syftet med detta avtal är att kommunen säkerställer sitt självständiga
personuppgiftsansvar enligt personuppgiftslagen (1998:204), PuL, och lagen
(2001:454) om behandling av personuppgifter inom socialtjänsten, SoL-PuL, genom
att reglera instruktioner till SKL (personuppgiftsbiträdet) vid fullgörandet av uppdrag
enligt detta avtal.
Vidare regleras vilka personuppgifter som personuppgiftsbiträdet i enlighet med
instruktioner får behandla för personuppgiftsansvarigs räkning samt vilka
säkerhetsåtgärder som biträdet ska vidta för att skydda de personuppgifter som
behandlas.
2. Parter
Personuppgiftsansvarig (PuA): ………………………………………………………
(ansvarig kommunal myndighet, t.ex. socialnämnden i X kommun)
och
Personuppgiftsbiträde (PuB): Sveriges Kommuner och Landsting, 222000-0315
3. Definitioner
Behandling av personuppgifter
Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter t.ex.
insamling, registrering, organisering, lagring och bearbetning.
Personuppgifter
All slags information som direkt eller indirekt kan knytas till en fysisk person som är i
livet.
Sveriges Kommuner och Landsting
Post: 118 82 Stockholm, Besök: Hornsgatan 20
Tfn: växel 08-452 70 00, Fax: 08-452 70 50
Org nr: 222000-0315, [email protected], www.skl.se
Klicka här för att ange datum.
Personuppgiftsansvarig
Den som ensam eller tillsammans med andra självständigt bestämmer ändamålen med
och medlen för behandlingen av personuppgifter. En kommunal myndighet är
personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten
som myndigheten utför. Om behandlingen utförs gemensamt för flera myndigheter
inom kommunen är varje myndighet personuppgiftsansvarig för den behandling som
utförs hos den myndigheten.
Personuppgiftsbiträde
Den som osjälvständigt behandlar personuppgifter på uppdrag av PuA.
Den registrerade
Den som en personuppgift avser.
4. Instruktioner
PuB får behandla de personuppgifter som är nödvändiga för att fullgöra sitt uppdrag
för PuA, t.ex. innebärande analyser och jämförelser mellan olika enheter inom
socialtjänsten avseende bl.a. kostnader, produktivitet och effektivitet.
Åtkomsten till personuppgifter ska begränsas till sådana personer som behöver dem
för att kunna utföra sina arbetsuppgifter.
Varje PuA kompletterar avtalet med mer detaljerade instruktioner avseende
säkerhetsåtgärder från informationssäkerhetschef eller motsvarande hos PuA.
5. PuA:s ansvar
5.1 PuA ska tillse att behandlingen sker i enlighet med PuL, SoL-PuL, samt
Datainspektionens från tid till annan tillämpliga regler och rekommendationer.
PuA:s kontrollansvar enligt 31§ PuL såvitt avser PuB:s uppfyllelse av detta avtal
sker på PuA:s bekostnad. Kontroll kan ske genom anlitande av tredje man.
5.2 PuA ska utan dröjsmål informera PuB om förändringar i behandlingen vilka
påverkar PuB:s skyldigheter enligt detta avtal. PuA ska även informera PuB om
tredje parts, däribland Datainspektionens och den registrerades, åtgärder med
anledning av behandlingen.
6. PuB:s åtagande
6.1 PuB ska följa gällande lagstiftning, egna riktlinjer för informationssäkerhet - som
ska följa Datainspektionens direktiv - samt hålla sig informerad om dessa. PuB ska
ge PuA fysiskt tillträde till lokaler samt tillgång till uppgifter som är nödvändiga
för att PuA ska kunna fullgöra sitt ansvar. Vidare ska PuB vidta de åtgärder som
av PuA bedöms lämpliga, i tekniskt och organisatoriskt hänseende för att skydda
personuppgifter mot obehörig åtkomst, förstörelse och ändring.
6.2 PuB och den eller de personer som arbetar under dennes ledning får endast
behandla personuppgifter, i enlighet med de instruktioner som från tid till annan
2 (4)
Klicka här för att ange datum.
lämnas av PuA. För det fall PuB saknar instruktioner som PuB bedömer är
nödvändiga för att genomföra det uppdrag PuB erhållit från PuA ska PuB, utan
dröjsmål, informera PuA om detta och invänta de instruktioner som PuA bedömer
behövs.
6.3 För det fall att registrerad eller annan tredje man begär ut information från PuB
som rör behandling av personuppgifter ska PuB hänvisa till PuA. Om myndighet
begär information från PuB ska PuB omedelbart informera PuA.
6.4 PuB ska utan dröjsmål informera PuA om eventuella kontakter från
Datainspektionen som rör eller kan vara av betydelse för behandling av
personuppgifter. PuB har inte rätt att företräda PuA eller agera för PuA:s räkning
gentemot Datainspektionen eller annan tredje man.
6.5 PuB är skyldig att lämna PuA den assistans som behövs för att PuA ska kunna
uppfylla sitt kontrollansvar enligt 31 § PuL såvitt avser PuB:s uppfyllelse av detta
avtal.
6.6 PuB skall vid behov assistera PuA med att ta fram information som begärts av
Datainspektionen eller registrerad.
6.7 PuB skall följa en av PuA från tid till annan tillämplig procedur för
incidenthantering. PuB ska följa även sin egen incidenthanteringsprocedur.
6 Sekretess
PuB ska iaktta bestämmelserna i offentlighets- och sekretesslagen (2009:400). Detta
ska gälla för såväl den juridiska personen som för dess medarbetare och konsulter.
7 Ansvar gentemot tredje man
PuB ska hålla PuA skadeslös för sådana krav som följer av att PuB inte efterföljt detta
avtal. PuB ska biträda PuA i hantering av ärenden eller mål om skadestånd.
8 Avtalstid
Avtalet gäller från dess undertecknande och så länge som PuB behandlar
personuppgifter.
9 Upphörande av behandling av personuppgifter
Vid upphörande av PuB:s behandling av personuppgifter för PuA:s räkning ska PuB
återlämna alla data som innehåller personuppgifter på samtliga media som den är
fixerad på.
10 Ändring eller uppsägning av detta avtal
Avtalet kan sägas upp av vardera part. Avtalet upphör att gälla efter sex månader från
det att detta skriftligen meddelats den andra parten.
3 (4)
Klicka här för att ange datum.
Detta avtal har upprättats i två exemplar, varav parterna har tagit var sitt.
........................... 2013-xx-xx
........................... 2013-xx-xx
För (ansvarig myndighet)
För Sveriges Kommuner och Landsting
……………………………………
…………………………………
Underskrift
Underskrift
Namnförtydligande
Peter Fitger
Titel
Sektionschef, Statistiksektionen
Avdelningen för ekonomi och styrning
4 (4)