Dataskyddsförordningen (GDPR) ställer tydliga krav på ett skriftligt personuppgiftsbiträdesavtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Det finns också detaljerade bestämmelser om vad ett sådant personuppgiftsbiträdesavtal ska innehålla.

När behövs ett personuppgiftsbiträdesavtal?

Så snart någon ska behandla personuppgifter för annans räkning uppstår ett behov av ett personuppgiftsbiträdesavtal. Personuppgiftsbiträdesavtalet ska reglera hur hantering av personuppgifter ska ske mellan parterna. Ett vanligt exempel på när ett personuppgiftsbiträdesavtal krävs är när en it-leverantör ska leverera olika typer av it-tjänster åt en kund, såsom lagringstjänster i molnet eller administrativa tjänster som involverar personuppgifter. Kunden är då personuppgiftsansvarig och leverantören blir personuppgiftsbiträde. 

Vad ska ett personuppgiftsbiträdesavtal innehålla?

I grunden ska avtalet specificera varför och hur länge personuppgifterna behandlas, ändamål för behandlingen, typen av personuppgifter och kategorier av registrerade som personuppgifterna avser. Personuppgiftsbiträdet ska alltid behandla personuppgifterna enligt dokumenterade instruktioner från den personuppgiftsansvarige och bistå den ansvarige i att säkerställa efterlevnaden av kraven i dataskyddsförordningen.

Utöver dessa allmänna principer innehåller dataskyddsförordningen särskilda krav på vad ett personuppgiftsbiträdesavtal ska innehålla. Av dessa minimikrav kan följande punkter lyftas som särskilt viktiga:

  • Beskrivning av behandlingen
  • Säkerhetsnivå och sekretess
  • Hantering av underbiträden
  • Hantering av tredjelandsöverföringar
  • Ansvar, samarbete och avtalets upphörande
  • Ersättning och skadeståndsansvar

Bristande personuppgiftsbiträdesavtal kan leda till administrativa sanktionsavgifter. Personuppgiftsbiträdesavtalet är därför ett viktigt instrument för att hantera denna risk och säkerställa att personuppgifterna behandlas korrekt i enlighet med kraven i dataskyddsförordningen.

Hur kan vi hjälpa dig?

Vi arbetar med komplexa dataskyddsfrågor och hjälper både beställare och leverantörer bland annat med att upprätta och granska personuppgiftsbiträdesavtal som lever upp till kraven i dataskyddsförordningen.

Du är välkommen att höra av dig till oss för råd om vad du behöver göra för att säkerställa efterlevnaden av dataskyddsförordningen. 

Vanliga frågor

Kontakta oss

Relaterad expertis

Back to top