Meny

Javascript verkar inte påslaget? - Vissa delar av Lunds universitets webbplats fungerar inte optimalt utan javascript, kontrollera din webbläsares inställningar.

Personuppgiftsbiträdes-avtal

Information och mallar
Här hittar du information om personuppgiftsbiträdesavtal och dess tillämpning.

Mallar

När behövs personuppgiftsbiträdesavtal?

När universitetet anlitar eller samarbetar med en annan organisation som i sin tur behandlar personuppgifter som universitetet har ansvar för ska ett personuppgiftsbiträdesavtal upprättas mellan parterna. Personuppgiftsbiträdesavtalet ska reglera vilka personuppgifter det rör sig om, vad den andra organisationen får göra och inte får göra med personuppgifterna samt hur säkerheten hanteras.

Personuppgiftsbiträdesavtalet är oftast ett separat avtal som är skilt från det avtal som reglerar innehållet i själva tjänsten. Oftast handlar det om IT-tjänster eller samarbetsprojekt. Typiska exempel på IT-tjänster är plattformen universitetet använder för att rekrytera medarbetare eller Bild- och mediabanken för hantering av foto och film.

När behövs inte personuppgiftsbiträdesavtal?

Universitetet ska inte skriva personuppgiftsbiträdsavtal med de organisationer som behöver uppgifterna för att utföra sina uppdrag. Om vi till exempel lämnar ut namn, personnummer och foto för att få passerkort till en fastighet som någon annan förvaltar, då är det den organisationen som är personuppgiftsansvarig. Liknande gäller när universitetet lämnar över en lista över studenter till det sjukhus eller den skola som anordnar verskamhetsförlagdutbildning eller praktik. I inget av de två sistnämnda fallen behövs det personuppgiftsbiträdesavtal. Men du behöver fortfarande informera medarbetare och studenter om att vi lämnar ut uppgifterna.

Vem kan teckna ett personuppgiftsbiträdesavtal?

Om avtalet avser en universitetsövergripande tjänst undertecknar rektor och om avtalet avser en tjänst som används av den centrala förvaltningen undertecknar förvaltningschefen. Är det frågan om en tjänst som bara används av en institution eller motsvarande så är det prefekten eller motsvarande roll som signerar.

Hur går du till väga för att få till stånd ett personuppgiftsbiträdesavtal?

Initiativ och avtalsförslag kan komma antingen från universitet eller från organisationen som tillhandahåller tjänsten. Det finns avtalsmallar som kan laddas ned. Börja med att försöka reda ut om du har alla uppgifter du behöver för att kunna använda mallen, och sätt dig in i hur skrivningarna om personuppgiftsbehandlingarna i huvudavtalet ser ut. En viktig sak är att beskriva exakt vilka personuppgifter som personuppgiftsbiträdet ska behandla på vårt uppdrag. Andra aspekter handlar om datasäkerhet och rutiner för hur vi hanterar de registrerades rättigheter om det skulle bli aktuellt.  När man har ett förslag på avtal kan man kontakta avdelningen Juridik.

I vilka lägen kan personuppgiftsbiträdesavtalet komma att åberopas?

Dels måste universitetet kunna visa upp avtalet för Datainspektionen, dels kan vårt dataskyddsombud komma att följa upp att tjänsteleverantören följer avtalet. Ett tredje tillfälle är till exempel om universitetet är missnöjd med hur personuppgiftsbiträdet sköter sitt uppdrag.

Personuppgiftsbiträdesavtal räcker inte alltid

Personuppgiftsbiträdesavtal med andra organisationer som behandlar personuppgifter på vårt uppdrag är det vanligaste för Lunds universitet. Men det förekommer också att universitetet är personuppgiftsbiträde åt en annan organisation – eller att flera organisationer är gemensamt personuppgiftsansvariga. Båda varianterna förekommer vid forskningsprojekt som genomförs i samverkan med Region Skåne.

    Sidansvarig:

    Kontakt

    Dataskyddsombud

    dataskyddsombud [at] lu [dot] se

    Ordlista

    • Personuppgiftsansvarig – den organisation som är ansvarig för hanteringen av personuppgifter. Med få undantag är Lunds universitet alltid personuppgiftsansvarig.
    • Registrerad – den person vars personuppgifter du samlar in och/eller hanterar
    • Dataskyddsombud – den roll och funktion som ansvarar för att Lunds universitet efterlever Dataskyddsförordningen
    • EU:s Dataskyddsförordning (ofta kallad Dataskyddsförordningen) – den svenska översättningen av General Data Protection Regulation (GDPR).
    • Dataskyddslagen – den svenska nationella kompletteringen till EU:s dataskyddsförordning.

    Telefon: 046-222 00 00 (växel)
    Postadress: Box 117, 221 00 LUND
    Organisationsnummer: 202100-3211
    Fakturaadress: Box 188, 221 00 LUND

    Webbplatsansvarig: medarbetarwebben [at] lu [dot] se
    Om den här webbplatsen