Personuppgiftsbiträdes-avtal (PUBA)
När behövs personuppgiftsbiträdesavtal?
När universitetet införskaffar en ny tjänst, anlitar eller samarbetar med en annan organisation som på universitetets uppdrag behandlar personuppgifter som vi har ansvar för kallas dessa för personuppgiftsbiträde. För att reglera bland annat hur vi vill att detta biträdet ska behandla de personuppgifterna som vi har ansvar för ska ett personuppgiftsbiträdesavtal (PUBA) upprättas.
Personuppgiftsbiträdesavtalet är oftast ett separat avtal som är skilt från det avtal som reglerar innehållet i själva tjänsten. Oftast handlar det om IT-tjänster eller samarbetsprojekt. Typiska exempel på IT-tjänster är lärplattformen Canvas eller Bild- och mediabanken för hantering av foto och film.
När behövs inte personuppgiftsbiträdesavtal?
Universitetet ska inte skriva personuppgiftsbiträdesavtal med de organisationer som behöver uppgifterna för att utföra sina uppdrag. Om vi till exempel lämnar ut namn, personnummer och foto för att få passerkort till en fastighet som någon annan förvaltar, då är det den organisationen som är personuppgiftsansvarig. Liknande gäller när universitetet lämnar över en lista över studenter till det sjukhus eller den skola som anordnar verksamhetsförlagd utbildning eller praktik. Du behöver dock fortfarande informera medarbetare och studenter om att vi lämnar ut uppgifterna.
Är du osäker på vem som har ansvar?
Det vanligaste för Lunds universitet är personuppgiftsbiträdesavtal med andra organisationer som behandlar personuppgifter på vårt uppdrag. Men det förekommer också att universitetet är personuppgiftsbiträde åt en annan organisation – eller att flera organisationer är gemensamt personuppgiftsansvariga. Båda varianterna förekommer vid forskningsprojekt som genomförs i samverkan med Region Skåne. Mer information om olika ansvarsroller återkommer på sidan om Personuppgiftsansvarig. Här återfinns också checklistor som stöd för att bestämma vem som är ansvarig för vad.
Personuppgiftsansvarig och personuppgiftsbiträde
Vem kan teckna ett personuppgiftsbiträdesavtal?
Om avtalet avser en universitetsövergripande tjänst undertecknar rektor. Om avtalet däremot avser en tjänst som används av den centrala förvaltningen undertecknar förvaltningschefen. Är det frågan om en tjänst som bara används av en institution eller motsvarande så är det prefekten eller motsvarande roll som signerar.
Hur upprättas ett personuppgiftsbiträdesavtal?
Här finns avtalsmallar att laddas ned. Viktigt är att beskriva vilka personuppgifter som personuppgiftsbiträdet ska behandla och att ange rutiner för hur de registrerades rättigheter ska hanteras. Om LUs mall inte kan användas kan juridiska avdelningen hjälpa till att granska ett motsvarande personuppgiftsbiträdesavtal.
- Mall för personuppgiftsbiträdesavtal på svenska (Word, 25 kB, öppnas i nytt fönster)
- Mall för personuppgiftsbiträdesavtal på engelska (Word, 81 kB, öppnas i nytt fönster)
Kontakt
Lunds universitet har ett externt dataskyddsombud; Secure State Cyber AB. Kontaktperson är Sanja Hebib. Har du frågor om dataskydd - kontakta:
dataskyddsombud [at] lu [dot] se (dataskyddsombud[at]lu[dot]se)
Frågor om avtal?
Vid frågor om hantering av personuppgiftsbiträdesavtal, kontakta den jurist som ansvarar för respektive verksamhetsområde:
Checklista - vem är ansvarig?
Personuppgiftsansvarig, personuppgiftsbiträde eller gemensamt ansvar? Använd checklistan för att reda ut var ansvaret ligger:
Checklista personuppgiftsansvar
(PDF - 0,6 MB)