1
När behövs ett När behövs ett
personuppgiftsbiträdesavtal?
personuppgiftsbiträdesavtal?
När behövs ett personuppgiftsbiträdesavtal? 1
Detta faktablads innehåll bör inte betraktas som juridisk rådgivning eller användas som sådan.
Om Draftit
Draftit har hjälpt organisationer att arbeta regelsmart sedan 2004. Idag är vi nästan 100 medarbetare fördelade på fem kontor i två länder. Som kunskapsförmedlare inom juridik ser vi till att du får tillgång till informationen på ett enkelt och pedagogiskt sätt.
Vi tillhandahåller digitala verktyg för regelefterlevnad inom våra affärsområden GDPR, HR, Lön, Skola och Social.
Vill du veta mer? Kontakta oss!
www.draftitprivacy.se
010 - 199 23 50 info@draftitprivacy.com
Vem är egentligen personuppgiftsbiträde?
Definition av personuppgiftsbiträde från artikel 4.8 i dataskyddsförordningen:
En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Ett personuppgiftsbiträde behandlar personuppgifter för den personuppgiftsansvariga organisationens räkning. Biträdet kan till exempel vara en IT-leverantör som lagrar personuppgifter eller en extern kundtjänst som har tillgång till kunders personuppgifter.
Alla underleverantörer och externa parter som hanterar personuppgifter för en
organisation, myndighet, kommun eller företag, men inte har en position som anställd, blir personuppgiftsbiträden.
Detta faktablad behandlar både personuppgiftsbiträdets roll, samt när och hur den
personuppgiftsansvariga organisationen kan tänka inför avtal och samarbeten med tredje part.
Vilket rättsligt ansvar har personuppgiftsbiträdet?
Vilka skyldigheter har personuppgiftsbiträdet?
När krävs ett personuppgiftsbiträdesavtal?
Vad ska personuppgiftsbiträdesavtalet innehålla?
Personuppgiftsbiträdet har ett rättsligt ansvar
Personuppgiftsbiträdet har ett rättsligt ansvar för behandlingen av personuppgifter som utförs för den personuppgiftsansvariga organisationens räkning. Huvudansvaret ligger hos den personuppgiftsansvariga, men Datainspektionen kan utföra en tillsyn av personuppgiftsbiträdet som då måste kunna uppvisa att denna följer rådande lagstiftning.
Sanktioner och skadestånd gäller även för biträden
Vid personuppgiftsincidenter som kräver skadestånd till den registrerade kan personuppgiftsbiträdet bli skadeståndsskyldigt om behandlingen som utförts strider mot dataskyddsförordningen. Det är således inte enbart den
personuppgiftsansvarige som kan bli skadeståndsskyldig.
Personuppgiftsbiträdets ansvarsområden
I GDPR artikel 28 står det att personuppgiftsbiträdet till exempel ansvarar för:
Att behandlingen sker enligt lagstiftning och de instruktioner som lämnas av den personuppgiftsansvarige. Om biträdet anser att
instruktionerna bryter mot lagstiftningen ska den personuppgiftsansvarige omedelbart informeras.
Att lämna tillräckliga garantier avseende tekniska och organisatoriska åtgärder så att behandlingen uppfyller kraven i GDPR och de registrerades integritet skyddas.
Att personuppgifterna återlämnas eller raderas efter utförd behandling, förutsatt att lagring inte krävs enligt lag eller unionsrätt.
När behövs ett personuppgiftsbiträdesavtal? 3
Personuppgiftsbiträdets skyldigheter
Upprätta en registerförteckning
Enligt artikel 30.2 i GDPR är personuppgiftsbiträdet skyldig att ha kontroll över vilka behandlingar som utförs för respektive kund. I Privacy Expert kan du se vilka punkter som måste dokumenteras.
Biträdesavtal och ansvar för underleverantörer
Biträdesavtal krävs i praktiken för att personuppgiftsbiträdet ska kunna utföra behandling av personuppgifter för en organisation, även om det ligger på den personuppgiftsansvariges ansvarsområde. Som biträde har ni däremot fullt ansvar för de underleverantörer som eventuellt används vid behandlingen.
I praktiken innebär det att personuppgiftsbiträdes måste skriva biträdesavtal med de underleverantörer som används i processen. Underleverantörerna måste godkännas av den personuppgiftsansvarige organisationen.
Säkerhetsnivån måste vara tillräcklig
Artikel 32 behandlar säkerheten i samband med behandling av personuppgifter och riktar sig till både personuppgiftsansvarig och biträden.
Ytterst är den personuppgiftsansvariga organisationenen ansvarig för att
personuppgiftsbiträden och underleverantörer lever upp till kraven, men även den som har en biträdesroll behöver utvärdera hur man exempelvis hanterar pseudonymisering, kryptering och regelbundna tester av säkerhet och rutiner för behörighetstilldelning. Det kan till exempel gälla inloggningsuppgifter till databaser.
Verktyget som ger dig en tydlig överblick av lagstiftningen.
Du är alltid uppdaterad och kan fatta korrekta beslut enligt GDPR och andra gällande lagar.
Lämna tillräckliga garantier för den registrerades säkerhet
Som personuppgiftsbiträde måste man kunna påvisa de tekniska och organisatoriska åtgärder som genomförs för efterlevnad av GDPR. Därför måste biträdet ta fram dokumentation och rutiner som bevisar att man lever upp till kraven som finns.
Incidenthantering – 72 timmars nedräkning
Många personuppgiftsincidenter inträffar hos personuppgiftsbiträdet eller dess underleverantörer. Det kan handla om allt från dataintrång till brand.
Den personuppgiftsansvariga organisationen är ansvarig för anmälan av en incident till Datainspektion inom 72 timmar från att de fått vetskap om incidenten. Det ställer höga krav på att personuppgiftsbiträdet har goda rutiner och tillräcklig kompetens för att rapportera en eventuell incident så snabbt som möjligt.
Hanterar biträdet känsliga uppgifter i stor omfattning?
För vissa personuppgiftsbiträden krävs det att man utser ett dataskyddsombud. Huruvida det krävs beror till stor del på vilken typ av personuppgifter som hanteras, vilket du kan läsa mer om i artikel 37 av dataskyddsförordningen.
Vad ansvarar personuppgiftsbiträdet inte för?
Det finns vissa delar i GDPR som enbart den personuppgiftsansvariga organisationen ansvarar för. Det gäller exempelvis bestämmelserna om rättslig grund (artikel 6) och om känsliga personuppgifter (artikel 9). Likaså kan den registrerade enbart kräva sina rättigheter gentemot den personuppgiftsansvariga organisationen, till exempel begära ut registerutdrag.
Likaså kan den registrerade enbart kräva sina rättigheter gentemot den
personuppgiftsansvariga organisationen, till exempel begäran av registerutdrag och andra typer av dataportabilitet (artikel 3).
När behövs ett personuppgiftsbiträdesavtal? 5
När krävs ett personuppgiftsbiträdesavtal?
En biträdessituation kan uppstå när en extern part hanterar personuppgifter för ett företags eller organisations räkning. Det gäller både vid lagring, drift och åtkomst till personuppgifterna.
Användning av molntjänster
En vanlig situation som de flesta organisationer har är hanteringen av molntjänster.
Om ni använder Microsoft 365 eller Google G Suite uppstår en biträdessituation. Då detta är stora internationella företag finns personuppgiftsbiträdesavtalet som en del av tjänstevillkoren för dessa tjänster.
Det kan vara svårt att påverka avtalets utformning och innehåll i sådana fall, eftersom dessa stora organisationer har standardavtal med standardlösningar. Kom ihåg att du som personuppgiftsansvarig trots detta har ett ansvar att bara använda biträden som kan säkerställa att behandlingen av personuppgifterna fortfarande blir laglig.
Om det inte är möjligt bör du se dig om efter ett annat biträde eller helt enkelt undvika att använda till exempel molntjänster för vissa typer av personuppgiftshantering.
Externa tjänster
Om ni använder ett tryckeri, en reklambyrå eller bevakningsföretag som på något sätt får åtkomst till personuppgifter, ska alltid ett personuppgiftsbiträdesavtal tecknas.
Outsourcad del av verksamhet
Använder ni ett externt företag för löneadministration eller kundsupport? Även om en hel verksamhet är outsourcad kan en biträdessituation ändå uppstå eftersom personuppgiftsansvaret normalt sett ligger hos uppdragsgivaren.
En biträdessituation uppstår inte alltid bara för att en organisation delar
personuppgifter med en annan organisation. Det beror istället på hur förhållandet mellan parterna ser ut och vem som styr över ändamål och medel. Det är inte ovanligt att personuppgifter lämnas ut från den egna organisationen till någon som sedan behandlar dem för nya, egna ändamål. Då är den organisationen inte ett biträde, utan självständigt personuppgiftsansvarig.
Vad ska personuppgiftsbiträdesavtalet innehålla?
Artikel 28.3 i dataskyddsförordningen beskriver samtliga punkter som ska ingå i biträdesavtalet.
Behandlingens typ, varaktighet och ändamål, Aktuella kategorier och typer av personuppgifter,
Att personuppgiftsbiträdet endast får behandla uppgifterna utifrån den personuppgiftsansvariges dokumenterade instruktioner,
Att personuppgiftsbiträdets personal har åtagit sig att behandla personuppgifterna konfidentiellt eller med tystnadsplikt,
Att man som personuppgiftsbiträde kommer att upprätthålla kraven på uppdaterade säkerhetssystem,
Kraven på att personuppgiftsbiträdet ska bistå den personuppgiftsansvarige i dennes förhållande till den registrerades rättigheter,
Huruvida personuppgiftsbiträdet ska radera eller återlämna alla personuppgifterna till den personuppgiftsansvarige efter avslutat uppdrag,
Att personuppgiftsbiträdet ska vara behjälpligt vid en eventuell genomlysning av en revisor eller dataskyddsinspektion,
Om det krävs ett skriftligt godkännande för eventuella underleverantörer eller om det räcker att personuppgiftsbiträdet informerar den personuppgiftsansvarige om detta.
Observera att avtalet kräver en detaljerad genomgång av samtliga punkter.
Hur ska organisationer hantera gratistjänster som på eget initiativ används av ett fåtal personer i arbetet? Behöver vi skriva personuppgiftsbiträdesavtal med leverantören?
Ska denna typ av användning in i registerförteckningen?
Juristen svarar:
Alla IT-verktyg, tjänster, appar, register osv. gratis eller inte, som används inom ramen för er verksamhet, är företagets ansvar och det ska skrivas ett biträdesavtal och det ska registreras i registerförteckningen. Det har ingen betydelse vem som har tagit initiativet till att använda det.
När behövs ett personuppgiftsbiträdesavtal? 7
Få rätt stöd i ert arbete framåt
Privacy Expert ger dig en tydlig överblick av lagstiftningen. Det är ett digitalt kompetensstöd som hjälper er att tolka och förstå dataskydds- lagstiftningen i praktiken.
Privacy Records är din digitala register- förteckning. Alla behandlingarna är sökbara och kan hanteras på flera nivåer.
www.draftitprivacy.se
010 - 199 23 50 info@draftitprivacy.com
Vem ansvarar för vad?
Personuppgiftsbiträdet måste i personuppgiftsbiträdesavtalet kunna redovisa att man har tillräcklig sakkunskap och tillräckliga resurser för att säkert hantera personuppgifterna. Den personuppgiftsansvariga organisationen är å sin sida skyldig att ge personuppgiftsbiträdet särskilda instruktioner om hur data ska hanteras och lagras.
Biträdesavtal som del av tjänsteavtal
Separat beskrivning av uppdraget behövs inte.
Om tjänsteavtalet redan är tecknat krävs omförhandling om biträdesavtalet ska ingå.
Fristående biträdesavtal
En enkel lösning om tjänste- avtalet redan är tecknat.
Om beskrivningen uppdateras i tjänsteavtalet riskerar man att glömma bort uppdatering av biträdesavtalet.