Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    Personuppgiftsbiträden

    Vad säger regelverket?

    En personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som bestämmer syftena och metoderna för behandlingen av personuppgifter. Församlingar och pastorat är personuppgiftsansvariga för sin verksamhet. Den som är personuppgiftsansvarig kan ibland anlita ett personuppgiftsbiträde för viss behandling. Typiska exempel är när man köper ett IT-program eller IT-support. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. De biträden som den personuppgiftsansvariga anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och de ska även kunna säkerställa att den registrerades rättigheter skyddas.

    För att det ska vara fråga om ett personuppgiftsbiträde måste flera formaliakrav vara uppfyllda: 

    • Den personuppgiftsansvariga ska vara den som bestämmer syften och metoder. Detta innebär att den personuppgiftsansvariga ska ge dokumenterade instruktioner till biträdet. 
    • Personuppgiftsbiträdet får bara anlita underbiträden som är godkända av den personuppgiftsansvariga. 
    • Relationerna mellan den personuppgiftsansvariga och personuppgiftsbiträdet ska formaliseras i ett personuppgiftsbiträdesavtal. 

    Om man inte hanterar regelverket korrekt föreligger inte en relation personuppgifts-ansvarig/personuppgiftsbiträde. Detta kan innebära att det uppstår ett gemensamt personuppgiftsansvar som också innebär att vissa formkrav ska uppfyllas.

    Ett personuppgiftsbiträde kan drabbas av sanktioner och skadestånd om biträdet inte följer regelverket. Tänk dock på att den personuppgiftsansvariga också ibland kan drabbas av sanktioner/skadestånd i en biträdesrelation till exempel om formaliakraven inte följs på ett korrekt sätt. Det är därför viktigt att fortlöpande utvärdera och följa upp biträdets verksamhet. 

    Personuppgiftsbiträdesavtalet

    Ett biträdesavtal ska följa flera krav som direkt uppställs i dataskyddsförordningen. Ett av de viktigaste är att det ska finnas dokumenterade instruktioner. Det är på det här sättet som den personuppgiftsansvariga kan bestämma över syften och metoder. I det exempel på bitradesavtal som stiftet använder läggs de dokumenterade instruktionerna i en bilaga  för att det ska vara enkelt att hela tiden uppdatera dem. Tänk noga igenom hur ni vill ha personuppgiftsbehandlingen. Lämpliga krav att ställa i instruktionerna kan röra behörighet (begränsa vilka hos biträdet som får tillgång till uppgifter), säkerhet (till exempel kryptering rörande känsliga personuppgifter), lagringstid (hur länge uppgifter ska hanteras och hur de ska raderas) och backuper (när och hur sådana ska tas; här bör man dock lyssna in biträdets tankar eftersom dessa kan röra IT-säkerhet men ”eviga” backuper är inte möjliga att ha).

    Det ska också finnas en förteckning av godkända underbiträden och föreskrifter kring incidenthantering. Den sistnämnda bör också innehålla kontaktvägar då tiden för hantering av incidenter är knapp. Båda dessa läggs också lämpligen som bilagor till biträdesavtalet för att de ska vara enkla att uppdatera.
    I biträdesavtalet ska den personuppgiftsansvariga också avgöra vad som ska hända med personuppgifterna när avtalet avslutas: ska de återlämnas eller raderas. Om ni begär att de ska återlämnas behöver ni också tänka igenom en rimlig tid för detta. Det kan vara stor skillnad på vilken tid som är rimlig. Om återlämnande ska ske efter man avslutat ett avtal rörande ett IT-system krävs sannolikt längre tid (kanske ett halvår eller mer) för att man inte ska äventyra säkerheten.
    Hur ska församlingen/pastoratet hantera frågor om biträdesavtal?
    Många personuppgiftsbiträden har tagit fram egna avtal som de vill få undertecknade. I många av dessa avtal förekommer klausuler som inte stämmer med förordningstexten eller vill ändra styrkeförhållandena (bland annat är det vanligt att man lägger det mesta av skadeståndsansvaret på den personuppgiftsansvariga, det vill säga församlingen eller pastoratet). Det finns också flera exempel på egenutnämnda ”biträden” som hävdat att ”biträdesavtalet” som de föreslår är en del av deras standardvillkor och gäller automatiskt (bara för att någon anger sig vara biträde är detta inte automatiskt rätt: församlingen/pastoratet bör noga bedöma om detta är en rimlig relation samt om det är ett rimligt avtal; det är också fel att häva att något gäller automatiskt). Det är mycket viktigt att inte skriva under avtal som man inte kan stå bakom eller förstår innebörden av. Det har också förekommit fall då organisationer föreslagit biträdesavtal i kontakter med enhet inom Svenska kyrkan trots att organisationerna var för sig ska bestämma över syften och metoder och man i själva verket är gemensamt personuppgiftsansvariga. Då frågor rörande relationen till personuppgiftsbiträden och biträdesavtal är komplexa att hantera kan det ofta krävas att man rådfrågar sitt dataskyddsombud (om hen inte har tillräcklig juridisk kunskap kan man istället behöva fråga en jurist) innan man skriver på externa avtal.

    Betydligt bättre är det att istället föreslå att stiftets avtalsmall används (detta bör vara den första åtgärden man gör; att låta dataskyddsombudet eller en jurist titta på föreslagna avtal är oftast ytterst tidskrävande). I denna har förordningskraven beaktats vilket innebär att församlingen inte behöver fundera på annat än det som anges ovan i avsnittet Personuppgiftsbiträdesavtalet.

    En ytterligare komplikation är att många biträdesavtal som behöver ingås kan kopplas till nationella IT-system eller centralt upphandlade tjänster. Det räcker inte att nationell nivå undertecknar biträdesavtal utan varje församling/pastorat har ett eget personuppgiftsansvar, vilket innebär att man också måste hantera sina egna biträdesrelationer. I sammanhanget kan nämnas att relationerna inom Svenska kyrkan (nationell nivå, stift samt församlingar/pastorat) normalt inte kan ses som biträdesrelationer eftersom varje nivå har en betydande frihet att själva bestämma syfte och metod för behandlingarna (vilket gör dem personuppgiftsansvariga). Här uppstår oftast frågan om gemensamt personuppgiftsansvar istället.

    Dataskyddsombudets arbete med biträdesavtal

    Det är rimligt att dataskyddsombudet fortlöpande följer upp församlingen/pastoratets arbete med biträdesavtal. Hanteringen är mycket komplex och många svåra bedömningar behöver göras. Har inte relationerna med leverantörer och samarbetspartners kunnat hanteras på rätt sätt föreligger sannolikt också ett allvarligt riskläge som dataskyddsombudet kan behöva ha med i sin rapportering till kyrkorådet. Församlingen/pastoratet kan också behöva erbjuda dataskyddsombudet fortlöpande kompetensutveckling i ämnet. Det är också viktigt att dataskyddsombudet deltar i Nätverket för dataskyddsombud inom Stockholms och Uppsala stift.

    Rutin vid nyanskaffning

    Det är viktigt att inga inköp eller avrop görs innan man noga tittat igenom texter i föreslagna biträdesavtal/inbördes arrangemang. Det är mycket tungrott att i efterhand komma till rätta med korrekta biträdesavtal (alternativt inbördes arrangemang om ett gemensamt personuppgiftsansvar). Även här bör det normala vara att erbjuda stiftets avtalsmall. Denna rutin bör tydliggöras för alla medarbetare som har rätt att göra ett inköp.
    Nationell nivå har tagit fram en bra mall för inventering av IT-system som kan användas när församlingen/pastoratet vill inköpa eller avropa IT-system. Denna mall bör skickas till leverantören. Svaren som ges kan användas för att bedöma bland annat dokumenterade instruktioner. 
    Tänk på att församlingen/pastoratet behöver ha ett register över sina behandlingar. Om inköpet avser ett IT-system kan personuppgiftsbiträdet vara skyldigt att föra ett behandlingsregister som kan vara en del av församlingens/pastoratets behandlingsregister. Detta bör vara tydligt i biträdesavtalet.

    Redaktör
    Innehållsansvarig
    Uppdaterad
    2019-04-03
    X
    Dokumentid: 1426644- Webid: 28950 - Unitid: 14