Du är här:Hem → Personuppgiftsombud → Samrådsyttranden → Personuppgiftsansvar. Eget eller gemensamt?

Personuppgiftsansvar. Eget eller gemensamt?

Kommuner och landsting

Fråga:

Jag är personuppgiftsombud i Landstinget.

Landstinget administrerar Vårdkatalogen som är ett IT-system som är en gemensam databas för landstinget och i länets kommuner.

Vårdkatalogen är en gemensam hierarkisk databas, där varje organisation har sitt eget delträd i databasen. Den kommer att innehålla uppgifter om organisation, enheter, personer (anställda) och roller/funktioner.

Vårdkatalogen används i första hand för att ersätta den nu befintliga vårdplaneringspärmen.

Vårdgivare inom hela länets vård kan enkelt och säkert hitta korrekta och aktuella uppgifter om andra vårdgivare, till exempel namn professionell(a) roll(er), adresser, telefonnummer, e-postadresser och ansvarsområden oberoende av organisation. (Adressuppgifter avser till arbetsplatsen)

En gemensam vårdkatalog ger stöd för verksamhetsmässig samverkan och är en förutsättning för samverkande IT-system i framtiden. Den gemensamma katalogen är en bastjänst, som lägger grund för många ytterligare IT-tjänster för samverkan mellan olika vårdaktörer, till exempel tjänster för meddelandeöverföring och remiss- och svarshantering.

Vårdkatalogen är endast tillgänglig via intranät (ej Internet) och avser endast personal inom vården i länet.

Parter som ingår i projektet är kommunerna i länet samt landstinget.

Hur ser Datainspektionen på personuppgiftsansvaret för IT-systemet Vårdkatalogen? Ska man betrakta endast landstinget som personuppgiftsansvarig eftersom det administrerar databasen? Eller ska man se alla — landstinget och länets kommuner — som personuppgiftsansvariga.

Har lösningen på frågan om personuppgiftsansvar någon betydelse för behandling av personuppgifter? Kommer olika lösningar på frågan om personuppgiftsansvar att medföra skillnader i tillgänglighet för personuppgifter?

Svar:

Som en första åtgärd är det lämpligt att landstinget och kommunerna tillsammans diskuterar hur man ser på personuppgiftsansvaret så att alla berörda par-ter är införstådda med innebörden och följderna av att ha ett personuppgiftsansvar. Detta är viktigt med hänsyn till att den personuppgiftsansvarige enligt personuppgiftslagen, personuppgiftslagen, har ett straff- och skadeståndsansvar.

Enligt din beskrivning anser Datainspektionen att mycket talar för att varje arbetsgivare är personuppgiftsansvarig för sin del, det vill säga för behandlingen av personuppgifter avseende den egna personalen, i vart fall om utgångspunkten är att varje arbetsgivare har bestämt att personalen ska ingå i katalogen och om det, som framgår av din beskrivning, enbart är arbetsgivaren som har rätt att självständigt ändra, komplettera och radera uppgifter om den egna personalen. Om katalogen finns i landstingets databas är landstinget personuppgiftsbiträde för kommunerna. När landstinget har en biträdesroll måste kommunerna ingå skriftliga avtal med landstinget med det innehåll som framgår av 30 § andra stycket personuppgiftslagen.

Det skulle även kunna vara fråga om ett gemensamt personuppgiftsansvar för landstinget och alla kommunerna under förutsättning att alla kan påverka informationsinnehållet i katalogen. Vem som är personuppgiftsansvarig påverkar vem/vilka som har rätt att självständigt få åtkomst till databasen för att göra tillägg och ändringar av uppgifterna.

Den personuppgiftsansvarige ansvarar enligt 9 § personuppgiftslagen för att personuppgifter behandlas bara när det är lagligt, att personuppgiftslagens regler i 10 § följs angående när behandling av personuppgifter är tillåten och att reglerna om information i 25 § iakttas. Om varje arbetsgivare är personuppgiftsansvarig måste var och en av dem försäkra sig om att personuppgiftslagen följs.

Under förutsättning att samtliga anställda får korrekt information enligt 25 § personuppgiftslagen om bl.a. den personuppgiftsansvariges identitet, ändamålet/syftet med katalogen och vilka mottagarna av uppgifterna i katalogen är, det vill säga mottagare i landstinget och kommunerna, spelar det troligen inte någon roll vem/vilka som är personuppgiftsansvariga. Får de anställda uppgift om vilka mottagare som kan ta del av uppgifterna borde det således inte bli några problem med det planerade utlämnandet av uppgifter inom den aktuella gruppen under förutsättning att det inte sker någon förändring av ändamålet med behandlingen av uppgifterna i katalogen.

(januari 2005)

Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.