I en värld där data är en ovärderlig resurs är det viktigt för organisationer att förstå sitt ansvar i samband med behandling av personuppgifter. Personuppgiftsbiträdesavtal är en viktig del i detta avseende, eftersom de fastställer den rättsliga ramen för hur uppgifter får behandlas av ett personuppgiftsbiträde på uppdrag av en personuppgiftsansvarig.
Nedan får du en översikt över vad ett personuppgiftsbiträdesavtal är, varför du bör ha ett och vad det med fördel kan innehålla.
Personuppgiftsbiträde kontra personuppgiftsansvarig
Ett personuppgiftsbiträdesavtal är ett juridiskt avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde. För att förstå kärnan i ett personuppgiftsbiträdesavtal är det viktigt att förstå att det finns en skillnad mellan att vara personuppgiftsbiträde och personuppgiftsansvarig – det är två olika roller, var och en med sitt eget ansvar i samband med behandlingen av personuppgifter.
Personuppgiftsansvariga är företag eller privatpersoner som bestämmer ändamålen och medlen för behandlingen av personuppgifter. De har huvudansvaret för att behandlingen av personuppgifter följer dataskyddslagstiftningen (GDPR).
Personuppgiftsbiträden är företag som behandlar personuppgifter på uppdrag av en personuppgiftsansvarig. Personuppgiftsbiträden utför behandlingsaktiviteter på instruktioner från personuppgiftsansvarig och har inte autonomi att bestämma syftet eller sättet att behandla personuppgifterna.
Kort sagt – en personuppgiftsansvarig är den som bestämmer varför och hur personuppgifter ska behandlas, medan ett personuppgiftsbiträde är den part som själv utför behandlingen på instruktioner från den personuppgiftsansvarige. Båda parter ansvarar för att behandlingen av personuppgifter sker i enlighet med gällande dataskyddslagstiftning och med beaktande av den registrerades rättigheter.
Vad är ett personuppgiftsbiträdesavtal?
Ett personuppgiftsbiträdesavtal är ett juridiskt avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde som anger villkoren för behandling av personuppgifter. Avtalet är utformat för att säkerställa att båda parter förstår sina respektive roller och ansvar i förhållande till behandlingen av personuppgifter och följer tillämplig dataskyddslagstiftning.
Vad ska ett personuppgiftsbiträdesavtal innehålla?
Ett personuppgiftsbiträdesavtal ska innehålla en beskrivning av den personuppgiftsansvariges samt personuppgiftsbiträdets rättigheter och skyldigheter i förhållande till behandlingen av personuppgifter – typiskt innehåller avtalet följande delar:
- Syfte och tillämpningsområde
Avtalet ska tydligt beskriva ändamålen med behandlingen, de typer av personuppgifter som behandlas och den kategori av registrerade vars uppgifter behandlas. - Instruktioner
I avtalet ska det framgå att personuppgiftsbiträdet endast får behandla personuppgifter i enlighet med den personuppgiftsansvariges anvisningar. Detta inkluderar instruktioner om lagring, överföring och radering av data. - Säkerhetsåtgärder
Avtalet bör ålägga personuppgiftsbiträdet att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna mot obehörig åtkomst, förlust, förstörelse, ändring eller röjande. - Underleverantörer
I avtalet bör det anges om personuppgiftsbiträdet har tillstånd att använda underleverantörer och hur personuppgiftsansvariga ska informeras om sådana underleverantörer. Dessutom måste det säkerställas att underleverantörer omfattas av samma skyldigheter som personuppgiftsansvarige enligt personuppgiftsbiträdesavtalet. - Revision och kontroll
Avtalet bör innehålla bestämmelser om revision och kontroll av personuppgiftsbiträdets efterlevnad av dataskyddslagstiftningen och villkoren i avtalet, inbegripet rätten för personuppgiftsansvariga eller en tredje part att inspektera personuppgiftsbiträdets anläggningar och praxis. - Bistånd och samarbete
Avtalet bör innehålla krav på att personuppgiftsbiträdet ska hjälpa personuppgiftsansvariga att fullgöra sina skyldigheter när det gäller registrerades rättigheter och efterlevnad av dataskyddslagstiftningen, såsom att besvara begäranden om tillgång till uppgifter, rättelse, radering och dataportabilitet. - Meddelande om säkerhetsintrång
Avtalet bör ålägga personuppgiftsbiträdet att underrätta den personuppgiftsansvarige så snart som möjligt och senast inom en angiven tidsperiod efter det att personuppgiftsbiträdet upptäcker en säkerhetsöverträdelse som rör personuppgifter. - Tredjelandsöverföringar
Om personuppgiftsbiträdet eller underleverantören överför personuppgifter till land utanför EU/EES ska personuppgiftsbiträdesavtalet innehålla bestämmelser om hur överföringarna ska ske i enlighet med GDPR och andra relevanta dataskyddsregler. - Varaktighet och uppsägelse
Avtalet bör ange varaktigheten för behandlingen och villkoren för uppsägning av avtalet, inklusive kravet på att personuppgiftsbiträdet ska radera eller återlämna personuppgifterna till personuppgiftsansvariga efter avtalets upphörande.
Riktlinjer för personuppgiftsbiträdesavtal
Om det verkar förvirrande att ha ett personuppgiftsbiträdesavtal upprättat från grunden kan du hitta mer information om vad som bör finnas med på den svenska integritetsskyddsmyndighetens webbplats här.
Kom dock ihåg att detta bara är en utgångspunkt och bör anpassas för att möta organisationens specifika behov och situation. Det kan vara en bra idé att konsultera en juridisk rådgivare med erfarenhet av dataskyddslagstiftning för att säkerställa att personuppgiftsbiträdesavtalet är korrekt.
När behöver du ett personuppgiftsbiträdesavtal?
Du måste ha ett personuppgiftsbiträdesavtal om du som personuppgiftsansvarig anlitar ett personuppgiftsbiträde – det vill säga en extern part – för att utföra behandling av personuppgifter för din räkning.
Nedan följer ett antal exempel på när ett personuppgiftsbiträdesavtal är nödvändigt:
- Om ett företag outsourcar HR- eller lönefunktioner till en extern leverantör som behandlar personuppgifter om företagets anställda.
- Om ett företag använder en extern tjänst för att hantera kundsupport och behandlar kundinformation som en del av den tjänsten.
- Om ett företag använder en molntjänstleverantör för att lagra och behandla personuppgifter som företaget samlar in från sina kunder eller användare.
- Om en organisation använder en extern marknadsföringstjänst som behandlar personuppgifter om potentiella kunder och leads.
I alla dessa situationer – och många andra – måste ett personuppgiftsbiträdesavtal ingås mellan dig som personuppgiftsansvarig och personuppgiftsbiträdet för att säkerställa att dataskyddslagstiftningen följs och skydda personuppgifter.
Genomförande av personuppgiftsbiträdesavtal
En väl genomförd implementering av personuppgiftsbiträdesavtal i organisationen kan inte bara minska risken för brott mot dataskyddslagstiftningen utan också stärka organisationens rykte och förtroende bland kunder och partners.
Först och främst är det viktigt att identifiera och bedöma alla personuppgiftsbiträden du arbetar med och kartlägga de olika tjänster och processer där personuppgifter behandlas.
Därefter ska ett personuppgiftsbiträdesavtal upprättas som i detalj beskriver de roller, ansvar och skyldigheter som respektive part har i samband med behandlingen av personuppgifter. Avtalet måste anpassas till varje personuppgiftsbiträde individuellt och ta hänsyn till den specifika behandling som utförs för organisationens räkning.
Som en del av genomförandeprocessen bör förfaranden också fastställas för kontinuerlig övervakning och utvärdering av personuppgiftsbiträdena – t.ex. regelbundna revisioner, inspektioner och rapportering från personuppgiftsbiträdets sida om deras verksamhet och eventuella åtgärder som vidtagits för att förbättra dataskyddet.
Slutligen måste alla relevanta anställda i organisationen utbildas och informeras om personuppgiftsbiträdesavtal och deras betydelse för företagets dataskyddsstrategi. Det kan handla om att ta fram interna riktlinjer och rutiner för samarbete med personuppgiftsbiträden och hantera eventuella säkerhetsöverträdelser eller andra problem som kan uppstå i samband med behandling av personuppgifter.
LÄS OCKSÅ: TILLSYN AV PERSONUPPGIFTSBITRÄDET