Personuppgiftsbiträdesavtal (PUBA)

När krävs ett PUB-avtal?

Ett personuppgiftsbiträdesavtal krävs när en extern part behandlar personuppgifter på uppdrag av Mittuniversitetet och enligt universitetets instruktioner. Det är typiskt aktuellt vid användning av IT-system, molntjänster eller när konsulttjänster innebär att personuppgifter hanteras.

Ett vanligt exempel är när en leverantör tillhandahåller ett system där personuppgifter lagras eller bearbetas för universitetets räkning. I dessa fall är Mittuniversitetet personuppgiftsansvarigt och leverantören personuppgiftsbiträde.

När krävs det inte?

Ett PUB-avtal ska inte tecknas om den mottagande parten själv bestämmer ändamål och medel för behandlingen, det vill säga är självständig personuppgiftsansvarig. Det gäller till exempel andra myndigheter eller samarbetspartner som behandlar personuppgifter inom sin egen verksamhet.

Avtal behövs inte heller när uppgifter är anonymiserade eller när behandlingen sker för mottagarens egna syften. I vissa samarbeten kan det istället vara aktuellt att reglera ansvarsfördelningen genom ett avtal om gemensamt personuppgiftsansvar.

Vem får teckna avtal?

Personuppgiftsbiträdesavtal får endast undertecknas av en behörig företrädare enligt Mittuniversitetets delegationsordningar. Det innebär att enskilda medarbetare eller projektledare inte själva får ingå sådana avtal utan särskild delegation.

Vad behöver göras innan avtal tecknas?

Innan ett PUB-avtal upprättas behöver verksamheten säkerställa att det är tydligt vilket ändamål behandlingen har och vilken omfattning den kommer att få. Det måste också finnas en rättslig grund för behandlingen.

Vidare ska en bedömning göras av riskerna med behandlingen. I vissa fall kan det vara nödvändigt att genomföra en konsekvensbedömning (DPIA). Leverantörens tekniska och organisatoriska säkerhetsåtgärder behöver granskas, och om personuppgifter överförs till land utanför EU/EES ska detta hanteras enligt gällande regelverk.

När dessa delar är utredda ska ett personuppgiftsbiträdesavtal upprättas. Vid upphandlingar där personuppgifter kommer att behandlas ska upphandlingsfunktionen involveras i ett tidigt skede. De säkerställer att krav på personuppgiftshantering och personuppgiftsbiträdesavtal hanteras korrekt inom upphandlingsprocessen.

Använd i första hand Mittuniversitetets mall för PUB-avtal

Krav på avtalet

Ett PUB-avtal ska tydligt reglera hur personuppgifter får behandlas. Det ska bland annat framgå vilka instruktioner som gäller för behandlingen, vilka säkerhetsåtgärder som ska tillämpas samt hur sekretess och konfidentialitet ska säkerställas.

Avtalet behöver också innehålla bestämmelser om eventuella underbiträden, hur personuppgiftsincidenter ska hanteras samt vad som ska ske med personuppgifterna när avtalet upphör, exempelvis radering eller återlämnande.

I vissa situationer kan det vara nödvändigt att använda en annan parts avtalsmall, exempelvis en leverantörs standardavtal. I sådana fall ska avtalet alltid granskas och vid behov kompletteras för att säkerställa att det uppfyller både dataskyddsförordningens krav och universitetets krav på informationssäkerhet.

Diarieföring

Personuppgiftsbiträdesavtal är allmänna handlingar och ska därför diarieföras. De ska sparas tillsammans med tillhörande huvudavtal och vara möjliga att följa upp vid en granskning eller revision.

Det är respektive verksamhets ansvar att säkerställa att avtalet registreras och hanteras i enlighet med gällande rutiner.

Mall och dokument

Mall för personuppgiftsbiträdesavtal
Använd Mittuniversitetets mall vid upprättande av PUB-avtal.

I de fall annan mall används ska den alltid granskas ur ett juridiskt och informationssäkerhetsmässigt perspektiv.

Stöd

För stöd i bedömningar, granskning av avtal eller frågor kopplade till personuppgiftsbehandling kan du vända dig till universitetets juridik- och dataskyddsfunktion eller informationssäkerhetsfunktion.
 

Snabb bedömning

Extern part behandlar personuppgifter åt oss → Ja
Vi bestämmer varför och hur → Ja
➡️ Då ska PUB-avtal tecknas