Webbläsaren som du använder stöds inte av denna webbplats. Alla versioner av Internet Explorer stöds inte längre, av oss eller Microsoft (läs mer här: * https://www.microsoft.com/en-us/microsoft-365/windows/end-of-ie-support).

Var god och använd en modern webbläsare för att ta del av denna webbplats, som t.ex. nyaste versioner av Edge, Chrome, Firefox eller Safari osv.

Personuppgiftsbiträdes-avtal (PUBA)

När behövs personuppgiftsbiträdesavtal?

När universitetet anlitar eller samarbetar med en annan organisation som på universitetets uppdrag behandlar personuppgifter som vi har ansvar för kallas dessa för personuppgiftsbiträde. För att reglera bland annat hur vi vill att detta biträdet ska hantera de personuppgifterna som vi har ansvar ska ett personuppgiftsbiträdesavtal (PUBA) upprättas. 

Personuppgiftsbiträdesavtalet är oftast ett separat avtal som är skilt från det avtal som reglerar innehållet i själva tjänsten. Oftast handlar det om IT-tjänster eller samarbetsprojekt. Typiska exempel på IT-tjänster är lärplattformen Canvas eller Bild- och mediabanken för hantering av foto och film.

När behövs inte personuppgiftsbiträdesavtal?

Universitetet ska inte skriva personuppgiftsbiträdesavtal med de organisationer som behöver uppgifterna för att utföra sina uppdrag. Om vi till exempel lämnar ut namn, personnummer och foto för att få passerkort till en fastighet som någon annan förvaltar, då är det den organisationen som är personuppgiftsansvarig. Liknande gäller när universitetet lämnar över en lista över studenter till det sjukhus eller den skola som anordnar verksamhetsförlagd utbildning eller praktik. Du behöver dock fortfarande informera medarbetare och studenter om att vi lämnar ut uppgifterna.

Är du osäker på vem som har ansvar?  

Det vanligaste för Lunds universitet är personuppgiftsbiträdesavtal med andra organisationer som behandlar personuppgifter på vårt uppdrag. Men det förekommer också att universitetet är personuppgiftsbiträde åt en annan organisation – eller att flera organisationer är gemensamt personuppgiftsansvariga. Båda varianterna förekommer vid forskningsprojekt som genomförs i samverkan med Region Skåne. Mer information om olika ansvarsroller återkommer på sidan om Personuppgiftsansvarig. Här återfinns också checklistor som stöd för att bestämma vem som är ansvarig för vad. 

Personuppgiftsansvarig och personuppgiftsbiträde

Vem kan teckna ett personuppgiftsbiträdesavtal?

Om avtalet avser en universitetsövergripande tjänst undertecknar rektor. Om avtalet däremot avser en tjänst som används av den centrala förvaltningen undertecknar förvaltningschefen. Är det frågan om en tjänst som bara används av en institution eller motsvarande så är det prefekten eller motsvarande roll som signerar.

Hur upprättas ett personuppgiftsbiträdesavtal?

Det finns avtalsmallar som kan laddas ned. Viktigt är att beskriva exakt vilka personuppgifter som personuppgiftsbiträdet ska behandla på uppdraget. Det är också viktigt att ange rutiner för hur de registrerades rättigheter hanteras. Om du inte vill använda mallen ska du  kontakta avdelningen Juridik och be dem granska avtalet.

Mallar

Kontakt

Lunds universitet har ett externt dataskyddsombud; Secure State Cyber AB. Kontaktperson är Sanja Hebib. Har du frågor om dataskydd - kontakta:

dataskyddsombud [at] lu [dot] se (dataskyddsombud[at]lu[dot]se)

Frågor om avtal?

Vid frågor om hantering av personuppgiftsbiträdesavtal, kontakta den jurist som ansvarar för respektive verksamhetsområde: 

Avtalsrätt | Medarbetarwebben (lu.se)

Checklista - vem är ansvarig?

Personuppgiftsansvarig, personuppgiftsbiträde eller gemensamt ansvar?  Använd checklistan för att reda ut var ansvaret ligger:

Checklista personuppgiftsansvar
(PDF - 0,6 MB)