Personuppgiftsbiträdesavtal är en viktig del för alla organisationer som på något sätt för över personuppgifter till eller får personuppgifter från en annan organisation och där syftet bestäms enbart av den ena parten. Denna artikel kommer därför behandla frågan när ett biträdesavtal behövs och vad ett sådant ska innehålla.
När och varför behövs ett personuppgiftsbiträdesavtal?
Om din organisation delar personuppgifter med en annan, det kan exempelvis vara en underleverantör, så måste det upprättas ett avtal som gör att underleverantören blir bunden till att efterleva kraven i GDPR. Eftersom att det är den personuppgiftsansvarige som är ytterst ansvarig för att personuppgifterna hanteras korrekt i alla led är det därför av vikt att ett personuppgiftsbiträdesavtal upprättas som kontrollerar relationen.
Utred era ansvarsroller
Innan ett avtal upprättas är det viktigt att ni gör en bedömning av vem som är personuppgiftsansvarig och vem som är personuppgiftsbiträde i er relation. Först presenteras därför en liten repetition av begreppen personuppgiftsansvarig och personuppgiftsbiträde.
Personuppgiftsansvarig är den part som bestämmer ändamålen och medlen med behandlingen. Den personuppgiftsansvarige är i princip alltid en juridisk person, exempelvis ett företag, en förening eller en kommun.
Personuppgiftsbiträde är den part som behandlar personuppgifter för den personuppgiftsansvariges räkning. Det innebär att den personuppgiftsansvarige sätter ändamålen och ger instruktioner kring behandlingen till personuppgiftsbiträdet. Personuppgiftsbiträdet finns alltid utanför den personuppgiftsansvariges organisation. Läs mer om personuppgiftsbiträden i vårt tidigare blogginlägg här.
Ett exempel på en typisk biträdessituation är när ett företag anlitar en IT-leverantör för att tillhandahålla ett system som behandlas personuppgifter, genom exempelvis analys och lagring. Då blir IT-leverantören ett personuppgiftsbiträde.
Se upp!
Det är dock viktigt att inte ta för givet att det är en personuppgiftsbiträdessituation. Det kan nämligen vara så att det rör sig om en överföring av personuppgifter mellan två personuppgiftsansvariga, där gemensamt personuppgiftsansvar uppstår. Gemensamt personuppgiftsansvar kommer ifråga när det är flera aktörer som bestämmer ändamålen och medlen för en behandling (”varför och hur”).
Exempel på sådana situationer kan vara om ditt företag samarbetar med ett annat företag för att lansera en gemensam tjänst/produkt. Båda företagen vill marknadsföra produkten genom ett event. Utifrån det ändamålet delar de information om sina respektive kunder och prospekts för att bestämma vilka de ska bjuda in. Både parter är involverade i utskicken av inbjudningarna liksom insamling av feedback efter eventet och kommande marknadsföringsåtgärder. Företagen kan anses vara gemensamma personuppgiftsansvariga för behandling av personuppgifter relaterade till kampanjen när de tillsammans beslutar om det gemensamt definierade syftet och de väsentliga medlen för uppgifterna behandling i detta sammanhang. I dessa situationer är det inget personuppgiftsbiträdesavtal som ska upprättas utan ett s.k. datadelningsavtal (även kallat inbördes arrangemang). Mer om vad ett datadelningsavtal är kan ni läsa om här!
Komponenter i ett bra personuppgiftsbiträdesavtal
Efter att relationen bestämts mellan en personuppgiftsansvarig och ett personuppgiftsbiträde bör ett avtal upprättas för att reglera förhållandet. Det finns vissa beståndsdelar som alltid ska finnas med i ett personuppgiftsbiträdesavtal. Nedan följer en lista, som dock inte är uttömmande, med vad ett personuppgiftsbiträdesavtal ska innehålla.
- Det ska finnas en skyldighet för biträdet att säkerställa att de anställda eller övriga som behandlar personuppgifterna lyder under konfidentialitet. Inom personuppgiftsbiträdets organisations säkerställs detta troligtvis genom ett sekretessavtal.
- Biträdesavtalet ska även innehålla information om typen av personuppgifter samt vilka kategorier av registrerade som berörs. En kategori av registrerad kan vara exempelvis ”anställda” eller ”medlemmar”.
- Det ska särskilt föreskrivas att personuppgiftsbiträdet ska vidta lämpliga säkerhetsåtgärder i samband med behandlingen av personuppgifter. Biträdet har ett eget ansvar att se till att lämpliga tekniska och organisatoriska åtgärder vidtas.
- Instruktioner från den personuppgiftsansvarige gällande hur behandlingen ska ske och vad biträdets uppgift är.
- Eventuella underbiträden som anlitats eller kan komma att anlitas. Det ska också föreskrivas att ett underbiträde ska åläggas samma skyldigheter ifråga om dataskydd som personuppgiftsbiträdet har i förhållande till den personuppgiftsansvarige.
- Till sist ska biträdesavtalet innehålla information om vad som händer med personuppgifterna efter att samarbetet avslutats. Biträdet ska inte ha åtkomst till personuppgifterna längre än nödvändigt. Det är därför lämpligt att biträdet, på personuppgiftsansvariges instruktion, ska radera eller återlämna alla personuppgifter till den personuppgiftsansvarige när avtalet löpt ut.
GDPR medför större ansvars för både personuppgiftsbiträden och personuppgiftsansvariga. Ett välformulerat personuppgiftsbiträdesavtal är användbart och kan förhoppningsvis även undvika tvister mellan parterna.
Det finns ett officiellt personuppgiftsbiträdesavtal (standard contractual clauses for controllers and processors) som är antaget av EU-kommissionen. Ni hittar det här.
Frågor?
Behöver ni hjälp med att upprätta avtal? Behöver ni hjälp med att avgöra om en situation är en biträdessituation eller om ni är gemensamt personuppgiftsansvariga?
Kontakta oss på info@gdprhero.se. Vill ni på ett smidigt och enkelt sätt säkerställa att ert företag är GDPR-compliant tillhandahåller GDPR Hero verktyget för din organisation – läs mer här!