Personuppgiftsbiträdesavtal är en viktig del för alla organisationer som på något sätt för över personuppgifter till eller får personuppgifter från en annan organisation och där syftet bestäms enbart av den ena parten. Denna artikel kommer därför behandla frågan när ett biträdesavtal behövs och vad ett sådant ska innehålla.

När och varför behövs ett personuppgiftsbiträdesavtal?

Om din organisation delar personuppgifter med en annan, det kan exempelvis vara en underleverantör, så måste det upprättas ett avtal som gör att underleverantören blir bunden till att efterleva kraven i GDPR. Eftersom att det är den personuppgiftsansvarige som är ytterst ansvarig för att personuppgifterna hanteras korrekt i alla led är det därför av vikt att ett personuppgiftsbiträdesavtal upprättas som kontrollerar relationen.

Bestäm relationen

Innan ett avtal upprättas är det viktigt att ni gör en bedömning av vem som är personuppgiftsansvarig och vem som är personuppgiftsbiträde i er relation. Först presenteras därför en liten repetition av begreppen personuppgiftsansvarig och personuppgiftsbiträde.

Personuppgiftsansvarig är den part som bestämmer ändamålen och medlen med behandlingen. Den personuppgiftsansvarige är i princip alltid en juridisk person, exempelvis ett företag, en förening eller en kommun.

Personuppgiftsbiträde är den part som behandlar personuppgifter för den personuppgiftsansvariges räkning. Det innebär att den personuppgiftsansvarige sätter ändamålen och ger instruktioner kring behandlingen till personuppgiftsbiträdet. Personuppgiftsbiträdet finns alltid utanför den personuppgiftsansvariges organisation. Läs mer om personuppgiftsbiträden i vårt tidigare blogginlägg här.

Ett exempel på en typisk biträdessituation är när ett företag anlitar en IT-leverantör för att tillhandahålla ett system som lagrar personuppgifter. Då blir IT-leverantören ett personuppgiftsbiträde.

Se upp!

Det är dock viktigt att inte ta för givet att det är en personuppgiftsbiträdessituation. Det kan nämligen vara så att det rör sig om en överföring av personuppgifter mellan två personuppgiftsansvariga, ett s.k. gemensamt personuppgiftsansvar uppkommer då. Gemensamt personuppgiftsansvar kommer ifråga när det är flera aktörer som bestämmer ändamålen och medlen för en behandling.

Exempel på sådana situationer kan vara om ditt företag samarbetar med en jurist och ni för över personuppgifter till juristen. Både ert företag och juristfirman bestämmer här i de flesta fall vad syftet med behandlingen är. I dessa situationer är det inget personuppgiftsbiträdesavtal som ska upprättas utan ett datadelningsavtal. Mer om vad ett datadelningsavtal är kan ni läsa om här!

Komponenter i ett bra personuppgiftsbiträdesavtal

Efter att relationen bestämts mellan en personuppgiftsansvarig och ett personuppgiftsbiträde bör ett avtal upprättas för att reglera förhållandet. Det finns vissa beståndsdelar som alltid ska finnas med i ett personuppgiftsbiträdesavtal. Nedan följer en lista, som dock inte är uttömmande, med vad ett personuppgiftsbiträdesavtal ska innehålla.

  • Det ska finnas en skyldighet för biträdet att säkerställa att de anställda eller övriga som behandlar personuppgifterna iakttar konfidentialitet. Inom personuppgiftsbiträdets organisations säkerställs detta troligtvis genom ett sekretessavtal.
  • Biträdesavtalet ska även innehålla information om typen av personuppgifter samt vilka kategorier av registrerade som berörs. En kategori av registrerad kan vara exempelvis ”anställda” eller ”medlemmar”.
  • Det ska särskilt föreskrivas att personuppgiftsbiträdet ska vidta lämpliga säkerhetsåtgärder i samband med behandlingen av personuppgifter. Biträdet har ett eget ansvar att se till att lämpliga tekniska och organisatoriska åtgärder vidtas.
  • Instruktioner från den personuppgiftsansvarige gällande hur behandlingen ska ske och vad biträdets uppgift är.
  • Eventuella underbiträden som anlitats eller kan komma att anlitas. Det ska också föreskrivas att ett underbiträde ska åläggas samma skyldigheter ifråga om dataskydd som personuppgiftsbiträdet har i förhållande till den personuppgiftsansvarige.
  • Till sist ska biträdesavtalet innehålla information om vad som händer med personuppgifterna efter att samarbetet avslutats. Biträdet ska inte ha åtkomst till personuppgifterna längre än nödvändigt. Det är därför lämpligt att biträdet, på personuppgiftsansvariges instruktion, ska radera eller återlämna alla personuppgifter till den personuppgiftsansvarige när avtalet löpt ut.

GDPR innebär en del nyheter gällande ansvarsfördelningen mellan personuppgiftsbiträde och personuppgiftsansvarig. Biträden får med GDPR ett större ansvar för behandlingen och uppfyllande av lagstiftningen än vad som gällde tidigare. Denna förändring borde återspeglas i biträdesavtalet.

Om det föreligger ett väl utformat personuppgiftsbiträdesavtal kan avtalet vara till stor nytta med att fördela ansvaret vid en eventuell tvist!

 

Frågor?

Behöver ni hjälp med att upprätta avtal? Behöver ni hjälp med att avgöra om en situation är en biträdessituation eller om ni är gemensamt personuppgiftsansvariga? Vi kan stolt presentera vår samarbetspartner juristbyrån Sällberg & Co som kan hjälpa er med era juridiska frågor. Kontakta dem via: info@sallbergco.se.

Vill ni på ett smidigt och enkelt sätt säkerställa att ert företag är GDPR-compliant tillhandahåller GDPR Hero verktyget för din organisation – läs mer här!

Josefin Karlström

josefin.karlstrom@sallbergco.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.

 

 

Share This