Personuppgiftsansvarig och personuppgiftsbiträde – för vårdgivare
Vårdgivaren är personuppgiftsansvarig för personuppgiftsbehandling som den utför
Personuppgiftsansvarig är som huvudregel den som bestämmer för vilka ändamål personuppgifter ska behandlas och hur behandlingen ska gå till. Den personuppgiftsansvarige kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.
Vem som är personuppgiftsansvarig kan också anges i EU-rätten eller i den nationella rätten. Så är det till exempel när det gäller vårdgivares behandling av personuppgifter inom hälso- och sjukvården.
Ni som vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som ni utför.
Varje myndighet som bedriver hälso- och sjukvård i en region eller i en kommun är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Därmed är exempelvis en nämnd som bedriver hälso- och sjukvård i kommunal eller regional regi personuppgiftsansvarig för sin behandling av personuppgifter. När det gäller privata vårdgivare är det den juridiska personen eller enskilda näringsidkaren som bedriver hälso- och sjukvården som är personuppgiftsansvarig för sin behandling.
Personuppgiftsansvaret kan inte överlåtas
I det dagliga arbetet är det oftast personal hos er som vårdgivare eller hos ett så kallat personuppgiftsbiträde som behandlar personuppgifter.
Även om det är personal hos er eller hos ett personuppgiftsbiträde som behandlar personuppgifter så är det fortfarande ni som vårdgivare som är ytterst ansvarig för personuppgiftsbehandlingen. Anställd personal och personuppgiftsbiträden får endast behandla personuppgifter i enlighet med era instruktioner.
Vad innebär personuppgiftsansvaret?
Ni som vårdgivare ska se till att behandlingen av personuppgifter sker i enlighet med GDPR och kompletterande rätt. Kompletterande rätt är till exempel patientdatalagen (2008:355), lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (SVOD) och Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40). Det innebär bland annat att ni ska
- efterleva de grundläggande principerna i GDPR och kunna visa detta
- se till att de registrerades rättigheter kan tillgodoses
- vidta lämpliga tekniska och organisatoriska åtgärder för att se till att personuppgifterna omfattas av en lämplig säkerhetsnivå
- endast anlita personuppgiftsbiträden som ger tillräckliga garantier för att behandlingen uppfyller kraven i GDPR
- göra en konsekvensbedömning inför en sådan behandling som sannolikt leder till hög risk för fysiska personers rättigheter och friheter.
Grundläggande principer enligt GDPR
LÄNK: Åtgärder för att säkerställa en lämplig säkerhetsnivå
Personuppgiftsansvariga och personuppgiftsbiträden
Konsekvensbedömning enligt GDPR
Vem är personuppgiftsbiträde?
Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. Ett exempel på ett personuppgiftsbiträde är ett företag som ni anlitar för att hantera eller lagra personuppgifter åt er som vårdgivare. Det kan till exempel vara ett företag som levererar molntjänster åt er.
Ibland kan en verksamhet vara personuppgiftsansvarig för en viss behandling samtidigt som den agerar personuppgiftsbiträde för en annan behandling.
Personuppgiftsbrädet har också ett ansvar
Personuppgiftsbiträdet ansvarar själv för att se till att personuppgiftsbehandlingen sker enligt den personuppgiftsansvariges instruktioner, och inte går utöver dessa. I ett flertal situationer omfattas dessutom personuppgiftsbiträden av samma skyldigheter som gäller för er personuppgiftsansvariga, till exempel kraven på att föra register över behandlingar, att säkerställa en lämplig säkerhetsnivå och att i vissa fall utse ett dataskyddsombud.
Att tänka på som personuppgiftsbiträde
Kunskapsfilmer om GDPR
Det måste tecknas ett avtal mellan personuppgiftsansvarig vårdgivare och personuppgiftsbiträde
Om det finns ett personuppgiftsbiträde måste det finnas ett personuppgiftsbiträdesavtal mellan er som personuppgiftsansvarig och ert personuppgiftsbiträde. Personuppgiftsbiträdet får endast behandla personuppgifter enligt de instruktioner som biträdet har fått från er.
Vad ett personuppgiftsbiträdesavtal ska innehålla
Rättsinformation
Fördjupa dig- Artikel 4.7 i GDPR Definition av personuppgiftsansvarig
- Artikel 4.8 i GDPR Definition av personuppgiftsbiträde
- Artikel 5 i GDPR De grundläggande principerna
- Kapitel III i GDPR Den registrerades rättigheter enligt det allmänna dataskyddsregelverket
- Artikel 24.1 i GDPR Säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen)
- Artikel 28.1 i GDPR Tillräckliga garantier från personuppgiftsbiträde
- Artikel 28.3 i GDPR Personuppgiftsbiträdesavtal
- Artikel 32.1 i GDPR Lämplig säkerhetsnivå
- Artikel 35.1 i GDPR Skyldighet att genomföra konsekvensbedömning
- 1 kap. 3 § patientdatalagen (2008: 355) Definition av vårdgivare
- 2 kap. 6 § patientdatalagen (2008: 355) Vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför
- 4 kap. 1 § lagen om (2022:913) om sammanhållen vård- och omsorgsdokumentation (SVOD) Vårdgivare eller en omsorgsgivare personuppgiftsansvarig för behandling av personuppgifter enligt den lagen
- Patientdatalagen (2008: 355)
- 1 kap. 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation Definition av vårdgivare
- Lagen om (2022:913) om sammanhållen vård- och omsorgsdokumentation (Den registrerades rättigheter)
- 3 kap. 8 §, 4 kap. 4 §, 7 kap. 2 och 3 §§ samt 8 kap. patientdatalagen (2008:355) Rättigheter för den enskilde i hälso- och sjukvården
- 2 kap. 2 och 3 §§ samt 7 kap. 3 § lagen om (2022:913) om sammanhållen vård- och omsorgsdokumentation (SVOD) Rättigheter för den enskilde vid sammanhållen vård- och omsorgsdokumentation
Hur ska jag länka de här:
Kapitel III i GDPR, patientdatalagen (2008: 355) och lagen om (2022:913) om sammanhållen vård- och omsorgsdokumentation (Den registrerades rättigheter)
1 kap. 3 § patientdatalagen (2008: 355) och 1 kap. 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (Definition av vårdgivare)