Vem kan vara personuppgiftsbiträde?
Övrigt
Fråga:
Jag är personuppgiftsombud inom landstinget som består av 14 olika nämnder och en central förvaltning kallad landstingets kansli. Två sjukhus, handikappförvaltningen och sjuktransport ingår i länssjukvårdsnämnden.
Det finns ett flertal dataprogram som alla inom landstinget använder, men som förvaltas av landstingets kansli. Det rör sig bl.a. om ett ekonomiprogram, ett personalprogram, befolkningsregistret och mailsystemet. Ännu fler tillkommer när vi tar en ny plattform i bruk. På denna ska vi bl.a. arbeta med en gemensam läkemedelsmodul.
Min fråga är nu om landstingets kansli är personuppgiftsbiträde åt länssjukvården vad gäller ovan nämnda programvaror?
Svar:
Som en första åtgärd är det lämpligt att landstinget bestämmer vilken nämnd/styrelse som är personuppgiftsansvarig (eller vilka nämnder/styrelser som eventuellt har ett gemensamt personuppgiftsansvar) för behandlingen av personuppgifterna som utförs med hjälp av de nämnda programvarorna. Själva inköpet av eller tillhandahållandet av programvaran är inte den avgörande omständigheten när personuppgiftsansvaret bestäms utan vem det är som faktiskt bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Observera att särlagstiftning som patientdatalagen inte ger utrymme för att låta någon annan vara personuppgiftsansvarig än den nämnd/styrelse som är vårdgivare.
När landstinget bedömer vilken nämnd/styrelse som är att anse som personuppgiftsansvarig är den interna ansvarsfördelningen av betydelse men det kan också finns annat som spelar in. Omständigheter som i dessa fall kan ge vägledning är författningsreglering av personuppgiftsansvaret eller av arbetsuppgifter inom ett landsting samt eventuella beslut i landstinget om att en viss personuppgiftsbehandling ska inledas. Vidare kan en IT-policy eller andra liknande dokument ge viss vägledning.
Det är först när personuppgiftsansvaret är klarlagt som frågan om vem som är personuppgiftsbiträde aktualiseras. Ett personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges egen organisation. I ett landsting ska det finnas en landstingsstyrelse och de nämnder som behövs utöver landstingsstyrelsen. Landstingsstyrelsen har, som framgår av kommunallagen, det övergripande ansvaret för att leda och samordna förvaltningen, däribland även frågor om IT. Om styrelsen i det här fallet även bestämmer hur IT-driften ska skötas inom landstinget är det landstingsstyrelsen som ställer krav på nämnderna angående IT-driften och IT-säkerheten. Den centrala förvaltningen kallad landstingets kansli, är då inte att betrakta som ett personuppgiftsbiträde i den bemärkelse som avses i personuppgiftslagen, PuL. Det föreligger således inte heller något krav på ett skriftligt avtal och avtalsin-nehåll på det sätt som avses i 30 § andra stycket personuppgiftslagen.
Mot bakgrund av att personuppgiftslagen och eventuell särlagstiftning anger hur personuppgifter får behandlas och att uppgifterna alltid ska skyddas enligt 31 § personuppgiftslagen, behövs givetvis interna riktlinjer och instruktioner för IT-driften som sker i landstingets egen organisation. På detta sätt uppnår landstinget ett integritetsskydd för personuppgifterna även om det formellt sett enligt Datainspektionens uppfattning inte behövs något skriftligt personuppgiftsbiträdesavtal.
(Januari 2005)
Observera att lagen om vårdregister har ersatts av patientdatalagen och Socialstyrelsens föreskrifter 2008:14.
Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.
Till listan med samrådsyttranden
Frågor & svar
För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.
