Personuppgiftsbiträdes-avtal (PUBA)
När behövs personuppgiftsbiträdesavtal?
När universitetet anlitar eller samarbetar med en annan organisation som i sin tur på universitetets uppdrag behandlar personuppgifter som universitetet har ansvar för, ska ett personuppgiftsbiträdesavtal upprättas. Personuppgiftsbiträdesavtalet är oftast ett separat avtal som är skilt från det avtal som reglerar innehållet i själva tjänsten. Oftast handlar det om IT-tjänster eller samarbetsprojekt. Typiska exempel på IT-tjänster är plattformen universitetet använder för att rekrytera medarbetare eller Bild- och mediabanken för hantering av foto och film.
När behövs inte personuppgiftsbiträdesavtal?
Universitetet ska inte skriva personuppgiftsbiträdesavtal med de organisationer som behöver uppgifterna för att utföra sina uppdrag. Om vi till exempel lämnar ut namn, personnummer och foto för att få passerkort till en fastighet som någon annan förvaltar, då är det den organisationen som är personuppgiftsansvarig. Liknande gäller när universitetet lämnar över en lista över studenter till det sjukhus eller den skola som anordnar verksamhetsförlagd utbildning eller praktik. Du behöver dock fortfarande informera medarbetare och studenter om att vi lämnar ut uppgifterna.
Vem kan teckna ett personuppgiftsbiträdesavtal?
Om avtalet avser en universitetsövergripande tjänst undertecknar rektor. Om avtalet däremot avser en tjänst som används av den centrala förvaltningen undertecknar förvaltningschefen. Är det frågan om en tjänst som bara används av en institution eller motsvarande så är det prefekten eller motsvarande roll som signerar.
Hur upprättas ett personuppgiftsbiträdesavtal?
Det finns avtalsmallar som kan laddas ned. Viktigt är att beskriva exakt vilka personuppgifter som personuppgiftsbiträdet ska behandla på uppdraget. Det är också viktigt att ange rutiner för hur de registrerades rättigheter hanteras. Om du inte vill använda mallen ska du kontakta avdelningen Juridik och be dem granska avtalet.
Personuppgiftsbiträdesavtal räcker inte alltid
Det vanligaste för Lunds universitet är personuppgiftsbiträdesavtal med andra organisationer som behandlar personuppgifter på vårt uppdrag. Men det förekommer också att universitetet är personuppgiftsbiträde åt en annan organisation – eller att flera organisationer är gemensamt personuppgiftsansvariga. Båda varianterna förekommer vid forskningsprojekt som genomförs i samverkan med Region Skåne.
Du hittar mer information om detta med personuppgiftsbiträdesavtal på sidan Områdesspecifik information - Forskning som du når genom att klicka här (öppnas i samma fönster).
Mallar
- Mall för personuppgiftsbiträdesavtal på svenska (Word, 25 kB, öppnas i nytt fönster)
- Mall för personuppgiftsbiträdesavtal på engelska (Word, 81 kB, öppnas i nytt fönster)
Kontakt
Lunds universitet har ett externt dataskyddsombud; Secure State Cyber AB.
Kontaktperson hos företaget är Sanja Hebib och du når Sanja Hebib genom e-postadressen:
dataskyddsombud [at] lu [dot] se (dataskyddsombud[at]lu[dot]se)
Vid frågor om hantering av personuppgiftsbiträdesavtal, kontakta den jurist som ansvarar för respektive verksamhetsområde: