• No results found

Ett faktablad från Draftit

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Ett faktablad från Draftit"

Copied!
8
0
0

Loading.... (view fulltext now)

Download now ( 8 Page )

Full text

(1)

1

När behövs ett När behövs ett

personuppgiftsbiträdesavtal?

personuppgiftsbiträdesavtal?

(2)

När behövs ett personuppgiftsbiträdesavtal? 1

Detta faktablads innehåll bör inte betraktas som juridisk rådgivning eller användas som sådan.

Om Draftit

Draftit har hjälpt organisationer att arbeta regelsmart sedan 2004. Idag är vi nästan 100 medarbetare fördelade på fem kontor i två länder. Som kunskapsförmedlare inom juridik ser vi till att du får tillgång till informationen på ett enkelt och pedagogiskt sätt.

Vi tillhandahåller digitala verktyg för regelefterlevnad inom våra affärsområden GDPR, HR, Lön, Skola och Social.

Vill du veta mer? Kontakta oss!

www.draftitprivacy.se

010 - 199 23 50 info@draftitprivacy.com

Vem är egentligen personuppgiftsbiträde?

Definition av personuppgiftsbiträde från artikel 4.8 i dataskyddsförordningen:

En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Ett personuppgiftsbiträde behandlar personuppgifter för den personuppgiftsansvariga organisationens räkning. Biträdet kan till exempel vara en IT-leverantör som lagrar personuppgifter eller en extern kundtjänst som har tillgång till kunders personuppgifter.

Alla underleverantörer och externa parter som hanterar personuppgifter för en

organisation, myndighet, kommun eller företag, men inte har en position som anställd, blir personuppgiftsbiträden.

Detta faktablad behandlar både personuppgiftsbiträdets roll, samt när och hur den

personuppgiftsansvariga organisationen kan tänka inför avtal och samarbeten med tredje part.

Vilket rättsligt ansvar har personuppgiftsbiträdet?

Vilka skyldigheter har personuppgiftsbiträdet?

När krävs ett personuppgiftsbiträdesavtal?

Vad ska personuppgiftsbiträdesavtalet innehålla?

(3)

Personuppgiftsbiträdet har ett rättsligt ansvar

Personuppgiftsbiträdet har ett rättsligt ansvar för behandlingen av personuppgifter som utförs för den personuppgiftsansvariga organisationens räkning. Huvudansvaret ligger hos den personuppgiftsansvariga, men Datainspektionen kan utföra en tillsyn av personuppgiftsbiträdet som då måste kunna uppvisa att denna följer rådande lagstiftning.

Sanktioner och skadestånd gäller även för biträden

Vid personuppgiftsincidenter som kräver skadestånd till den registrerade kan personuppgiftsbiträdet bli skadeståndsskyldigt om behandlingen som utförts strider mot dataskyddsförordningen. Det är således inte enbart den

personuppgiftsansvarige som kan bli skadeståndsskyldig.

Personuppgiftsbiträdets ansvarsområden

I GDPR artikel 28 står det att personuppgiftsbiträdet till exempel ansvarar för:

Att behandlingen sker enligt lagstiftning och de instruktioner som lämnas av den personuppgiftsansvarige. Om biträdet anser att

instruktionerna bryter mot lagstiftningen ska den personuppgiftsansvarige omedelbart informeras.

Att lämna tillräckliga garantier avseende tekniska och organisatoriska åtgärder så att behandlingen uppfyller kraven i GDPR och de registrerades integritet skyddas.

Att personuppgifterna återlämnas eller raderas efter utförd behandling, förutsatt att lagring inte krävs enligt lag eller unionsrätt.

(4)

När behövs ett personuppgiftsbiträdesavtal? 3

Personuppgiftsbiträdets skyldigheter

Upprätta en registerförteckning

Enligt artikel 30.2 i GDPR är personuppgiftsbiträdet skyldig att ha kontroll över vilka behandlingar som utförs för respektive kund. I Privacy Expert kan du se vilka punkter som måste dokumenteras.

Biträdesavtal och ansvar för underleverantörer

Biträdesavtal krävs i praktiken för att personuppgiftsbiträdet ska kunna utföra behandling av personuppgifter för en organisation, även om det ligger på den personuppgiftsansvariges ansvarsområde. Som biträde har ni däremot fullt ansvar för de underleverantörer som eventuellt används vid behandlingen.

I praktiken innebär det att personuppgiftsbiträdes måste skriva biträdesavtal med de underleverantörer som används i processen. Underleverantörerna måste godkännas av den personuppgiftsansvarige organisationen.

Säkerhetsnivån måste vara tillräcklig

Artikel 32 behandlar säkerheten i samband med behandling av personuppgifter och riktar sig till både personuppgiftsansvarig och biträden.

Ytterst är den personuppgiftsansvariga organisationenen ansvarig för att

personuppgiftsbiträden och underleverantörer lever upp till kraven, men även den som har en biträdesroll behöver utvärdera hur man exempelvis hanterar pseudonymisering, kryptering och regelbundna tester av säkerhet och rutiner för behörighetstilldelning. Det kan till exempel gälla inloggningsuppgifter till databaser.

Verktyget som ger dig en tydlig överblick av lagstiftningen.

Du är alltid uppdaterad och kan fatta korrekta beslut enligt GDPR och andra gällande lagar.

(5)

Lämna tillräckliga garantier för den registrerades säkerhet

Som personuppgiftsbiträde måste man kunna påvisa de tekniska och organisatoriska åtgärder som genomförs för efterlevnad av GDPR. Därför måste biträdet ta fram dokumentation och rutiner som bevisar att man lever upp till kraven som finns.

Incidenthantering – 72 timmars nedräkning

Många personuppgiftsincidenter inträffar hos personuppgiftsbiträdet eller dess underleverantörer. Det kan handla om allt från dataintrång till brand.

Den personuppgiftsansvariga organisationen är ansvarig för anmälan av en incident till Datainspektion inom 72 timmar från att de fått vetskap om incidenten. Det ställer höga krav på att personuppgiftsbiträdet har goda rutiner och tillräcklig kompetens för att rapportera en eventuell incident så snabbt som möjligt.

Hanterar biträdet känsliga uppgifter i stor omfattning?

För vissa personuppgiftsbiträden krävs det att man utser ett dataskyddsombud. Huruvida det krävs beror till stor del på vilken typ av personuppgifter som hanteras, vilket du kan läsa mer om i artikel 37 av dataskyddsförordningen.

Vad ansvarar personuppgiftsbiträdet inte för?

Det finns vissa delar i GDPR som enbart den personuppgiftsansvariga organisationen ansvarar för. Det gäller exempelvis bestämmelserna om rättslig grund (artikel 6) och om känsliga personuppgifter (artikel 9). Likaså kan den registrerade enbart kräva sina rättigheter gentemot den personuppgiftsansvariga organisationen, till exempel begära ut registerutdrag.

Likaså kan den registrerade enbart kräva sina rättigheter gentemot den

personuppgiftsansvariga organisationen, till exempel begäran av registerutdrag och andra typer av dataportabilitet (artikel 3).

(6)

När behövs ett personuppgiftsbiträdesavtal? 5

När krävs ett personuppgiftsbiträdesavtal?

En biträdessituation kan uppstå när en extern part hanterar personuppgifter för ett företags eller organisations räkning. Det gäller både vid lagring, drift och åtkomst till personuppgifterna.

Användning av molntjänster

En vanlig situation som de flesta organisationer har är hanteringen av molntjänster.

Om ni använder Microsoft 365 eller Google G Suite uppstår en biträdessituation. Då detta är stora internationella företag finns personuppgiftsbiträdesavtalet som en del av tjänstevillkoren för dessa tjänster.

Det kan vara svårt att påverka avtalets utformning och innehåll i sådana fall, eftersom dessa stora organisationer har standardavtal med standardlösningar. Kom ihåg att du som personuppgiftsansvarig trots detta har ett ansvar att bara använda biträden som kan säkerställa att behandlingen av personuppgifterna fortfarande blir laglig.

Om det inte är möjligt bör du se dig om efter ett annat biträde eller helt enkelt undvika att använda till exempel molntjänster för vissa typer av personuppgiftshantering.

Externa tjänster

Om ni använder ett tryckeri, en reklambyrå eller bevakningsföretag som på något sätt får åtkomst till personuppgifter, ska alltid ett personuppgiftsbiträdesavtal tecknas.

Outsourcad del av verksamhet

Använder ni ett externt företag för löneadministration eller kundsupport? Även om en hel verksamhet är outsourcad kan en biträdessituation ändå uppstå eftersom personuppgiftsansvaret normalt sett ligger hos uppdragsgivaren.

En biträdessituation uppstår inte alltid bara för att en organisation delar

personuppgifter med en annan organisation. Det beror istället på hur förhållandet mellan parterna ser ut och vem som styr över ändamål och medel. Det är inte ovanligt att personuppgifter lämnas ut från den egna organisationen till någon som sedan behandlar dem för nya, egna ändamål. Då är den organisationen inte ett biträde, utan självständigt personuppgiftsansvarig.

(7)

Vad ska personuppgiftsbiträdesavtalet innehålla?

Artikel 28.3 i dataskyddsförordningen beskriver samtliga punkter som ska ingå i biträdesavtalet.

Behandlingens typ, varaktighet och ändamål, Aktuella kategorier och typer av personuppgifter,

Att personuppgiftsbiträdet endast får behandla uppgifterna utifrån den personuppgiftsansvariges dokumenterade instruktioner,

Att personuppgiftsbiträdets personal har åtagit sig att behandla personuppgifterna konfidentiellt eller med tystnadsplikt,

Att man som personuppgiftsbiträde kommer att upprätthålla kraven på uppdaterade säkerhetssystem,

Kraven på att personuppgiftsbiträdet ska bistå den personuppgiftsansvarige i dennes förhållande till den registrerades rättigheter,

Huruvida personuppgiftsbiträdet ska radera eller återlämna alla personuppgifterna till den personuppgiftsansvarige efter avslutat uppdrag,

Att personuppgiftsbiträdet ska vara behjälpligt vid en eventuell genomlysning av en revisor eller dataskyddsinspektion,

Om det krävs ett skriftligt godkännande för eventuella underleverantörer eller om det räcker att personuppgiftsbiträdet informerar den personuppgiftsansvarige om detta.

Observera att avtalet kräver en detaljerad genomgång av samtliga punkter.

Hur ska organisationer hantera gratistjänster som på eget initiativ används av ett fåtal personer i arbetet? Behöver vi skriva personuppgiftsbiträdesavtal med leverantören?

Ska denna typ av användning in i registerförteckningen?

Juristen svarar:

Alla IT-verktyg, tjänster, appar, register osv. gratis eller inte, som används inom ramen för er verksamhet, är företagets ansvar och det ska skrivas ett biträdesavtal och det ska registreras i registerförteckningen. Det har ingen betydelse vem som har tagit initiativet till att använda det.

(8)

När behövs ett personuppgiftsbiträdesavtal? 7

Få rätt stöd i ert arbete framåt

Privacy Expert ger dig en tydlig överblick av lagstiftningen. Det är ett digitalt kompetensstöd som hjälper er att tolka och förstå dataskydds- lagstiftningen i praktiken.

Privacy Records är din digitala register- förteckning. Alla behandlingarna är sökbara och kan hanteras på flera nivåer.

www.draftitprivacy.se

010 - 199 23 50 info@draftitprivacy.com

Vem ansvarar för vad?

Personuppgiftsbiträdet måste i personuppgiftsbiträdesavtalet kunna redovisa att man har tillräcklig sakkunskap och tillräckliga resurser för att säkert hantera personuppgifterna. Den personuppgiftsansvariga organisationen är å sin sida skyldig att ge personuppgiftsbiträdet särskilda instruktioner om hur data ska hanteras och lagras.

Biträdesavtal som del av tjänsteavtal

Separat beskrivning av uppdraget behövs inte.

Om tjänsteavtalet redan är tecknat krävs omförhandling om biträdesavtalet ska ingå.

Fristående biträdesavtal

En enkel lösning om tjänste- avtalet redan är tecknat.

Om beskrivningen uppdateras i tjänsteavtalet riskerar man att glömma bort uppdatering av biträdesavtalet.

References

Download now ( PDF - 8 Page - 393.33 KB )

Related documents

Information om behandling av personuppgifter

• Till Försäkringskassan lämnas uppgift om du är berättigad till ersättning och i vilken utsträckning, dina möjligheter att arbeta, eventuella hinder för ersättning och om det

BEHANDLING AV PERSONUPPGIFTER

Personnummer och samordningsnummer får be- handlas inom ramen för idrottsrörelsen när sådan behandling är nödvändig på grund av vikten av en säker identifiering eller

Behandling av personuppgifter för anställda

Endast de personer i Skurups kommun som faktiskt behöver behandla dina personuppgifter för att kunna utföra sitt arbete, har tillgång till dem. För personer med anonymitetsskydd

NACKAS MILJÖPROGRAM Det krävs samverkan och samspel för att vi ska kunna tänka nytt, långsiktigt och innovativt.

MÅLNIVÅ 2030 0,8 påstigande/invånare. 2) Mätpunkter vid Skurubron och Sicklavägen... BAKGRUND Människor, djur och växter utsätts för farliga ämnen som sprids när varor,

Det som krävs för att Lunds Klimatallians ska kunna utveckla sina medlemmars hållbarhetsarbete

Lunds Klimatallians kan utveckla sitt arbete genom att kommunicera och arbeta för att bemöta det deras medlemmar anger sig sakna för att genomgå en hållbar omställning. Resultatet

Ett faktablad från Draftit

För att skapa en enhetlig känsla bör du använda bilder och grafik i liknande färgskalor och med samma ljusförhållande. Ställ dig alltid frågan: Förmedlar grafiken samma

Ett faktablad från Draftit

Klart är i alla fall att data protection är det uttryck som används i EU:s dataskyddsförordning, och därmed används också DPIA för att tala om en konsekvensbedömning

BEHANDLING AV PERSONUPPGIFTER

Dina personuppgifter kan dock behöva sparas en längre tid utanför Tjänsten, om det krävs för att uppfylla rättsliga skyldigheter (till exempel enligt patientdatalagen).. Till exempel