Hur ska en kommun tänka kring personuppgiftsansvar och personuppgiftsbiträde i registerförteckningen?
Vi vill inledningsvis upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.
Fråga
Hur ska en kommun tänka kring personuppgiftsansvar och personuppgiftsbiträde i registerförteckningen? Exempelvis när en nämnd tillhandahåller nämndadministration till övriga nämnder. Behöver nämnden som tillhandahåller administrationen dels registrera sin egen behandling som den är personuppgiftsansvarig för, dels den behandlingen som utförs som personuppgiftsbiträde? Och behöver nämnden ha separata registerförteckningar, en i egenskap av personuppgiftsansvarig och en som biträde?
Svar
Reglerna kring registerförteckningar återfinns i artikel 30 GDPR. I artikel 30.1 anges att varje personuppgiftsansvarig ska föra ett register över behandling som utförts under dess ansvar. Där anges också vilka uppgifter detta register ska innehålla. Därtill anger artikel 30.2 GDPR att varje personuppgiftsbiträde ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning, samt vilka uppgifter registret ska innehålla. Dessa register ska upprättas skriftligen, inbegripet i elektronisk form. En nämnd som är både personuppgiftsansvarig och personuppgiftsbiträde behöver alltså ha med båda dessa typer av behandlingar i Artikel 30-registret. En kommun är dock en organisation i civilrättslig mening, även om de olika nämnderna förvaltningsrättsligt betraktas som egna myndigheter och självständigt personuppgiftsansvariga. Nämnderna i samma kommun kan därför inte ingå formella avtal med varandra, men det bör ändå klarläggas och dokumenteras hur ansvaret för personuppgiftshanteringen fördelas mellan de olika organen i kommunen.
Det kan också nämnas att det i sådana här situationer kan uppstå definitions- och tolkningsproblem, varför man kan behöva ta hänsyn till de exakta formuleringar som kommunen använt i sina styrnings- och ledningsdokument i varje enskilt fall och hur frågan reglerats. Svaret på frågan blir framför allt beroende av hur uppgiftsfördelningen mellan nämnderna uppkommer.
(1) Antingen kan uppgiftsfördelningen följa av hur fullmäktige uttryckligen beslutat i nämndreglementen eller andra instruktioner,
(2) eller så kan uppgiftsfördelningen följa av ”frivilliga” uppgörelser nämnderna emellan.
Alternativ (1) innebär att en kommun (fullmäktige) beslutar att det ska finnas en nämnd som ska utföra vissa uppgifter.
Fullmäktige kan till exempel besluta att utbildningsnämnden ska utföra kommunens uppgifter som skolhuvudman enligt skollagen. Typiskt sett ingår då i utbildningsnämndens ansvar att anställa personal och administrera de databaser som behövs för att utföra det samlade uppdraget. I det läget blir utbildningsnämnden personuppgiftsansvarig för personuppgifter hänförliga till såväl personalen som eleverna. Dessa behandlingar ska synas i utbildningsnämndens registerförteckning.
Fullmäktige kan istället besluta att kommunstyrelsen ska hantera alla personalfrågor inom kommunen. I detta fall lyfts den personuppgiftshantering som berör personalhanteringen bort från övriga nämnders ansvar och deras registerförteckningar och syns bara i kommunstyrelsens registerförteckning. Inget hindrar dock övriga nämnder att ange en liten förklarande not i sina registerförteckningar med en hänvisning till kommunstyrelsens hantering av personalfrågorna, i syfte att underlätta förståelsen för den som läser den egna nämndens registerförteckning.
Alternativ (2) innebär att nämnderna kommer överens om en uppgiftsfördelning gällande personuppgiftsbehandling, utan att fullmäktige givit någon direkt instruktion om detta.
Utbildningsnämnden i vårt exempel anser exempelvis att det vore smidigt om kommunstyrelsen också förvaltade utbildningsnämndens elevdatabaser, eftersom kommunstyrelsen ju ändå har de system och den datakompetens som behövs. Utbildningsnämnden kan då komma överens med kommunstyrelsen om detta, utan någon direkt instruktion eller reglemente om detta från fullmäktige som klargör uppgiftsfördelningen.
Om uppgiftsfördelningen istället följer av denna typ av ”frivilliga” uppgörelser nämnderna emellan behövs enligt vår bedömning någon form av rättsakt som – i likhet med ett personuppgiftsavtal – reglerar ansvarsförhållandet mellan den nämnd som ansvar för hanteringen och den nämnd som på den ansvariges uppdrag hanterar uppgifterna. Rimligtvis borde då också vardera nämnd i sin registerförteckning beskriva den behandling de själva ansvarar för, respektive utför åt någon annan som en följd av sådana överenskommelser.
Frågan är besvarad av jurist Emelie Hermansson, dataskyddsrådgivare på JP Infonet.
Är du nyfiken på vårt verktyg för registerförteckning?
Med vårt registerförteckningsverktyg blir det enkelt att skapa en förteckning med god kvalitet och användbarhet. Läs mer om verktyget här >
Publicerad 9 mar 2021