Personuppgiftslagen (PuL) och personuppgiftsbiträdesavtal

Många administrativa system och tjänster hanterar personuppgifter och enligt personuppgiftslagen finns det regler för hur de får behandlas.

Personuppgiftsansvarig är normalt den juridiska person eller den myndighet som behandlar personuppgifter i sin verksamhet, och som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. När personuppgifter hanteras av någon annan än myndigheten ställer lagstiftningen krav på att det finns ett personuppgiftsbiträdesavtal. Avtalet ska grundas på en risk- och sårbarhetsanalys hos myndigheten.

Mallar

ESV har tagit fram en mall för personuppgiftsbiträdesavtal som kan användas för samtliga ESV:s statliga ramavtal för administrativa system. Avtalstexten i mallen är avstämd med ramavtalsleverantörerna.

Inför att EU:s allmänna dataskyddsförordning (GDPR) kommer att börja tillämpas, i maj 2018, kommer det att göras en översyn av personuppgiftsbiträdesavtalen så att de uppfyller kraven i GDPR. Översynen kommer att hanteras av Kammarkollegiet under 2018. De nya mallarna kommer att kunna användas vid avrop från de ramavtal som flyttar från ESV till Kammarkollegiet.

Privacy Shield

Den 2 februari 2016 nådde EU och USA en överenskommelse om att personuppgifter ska hanteras genom den så kallade Privacy Shield. Denna överenskommer ersätter reglerna om Safe Harbor som EU-domstolen ogiltigförklarade i dom den 6 oktober 2015. Mallen är anpassad till Privacy Shield.

Kontakt

Senast uppdaterad: