Search
Close this search box.

Kunskap: När behövs ett personuppgiftsbiträdesavtal?

Dataskyddsförordningen (“GDPR”) ställer tydliga krav på ett skriftligt personuppgiftsbiträdesavtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Det finns också detaljerade bestämmelser om vad ett sådant personuppgiftsbiträdesavtal ska innehålla.

När behövs ett personuppgiftsbiträdesavtal?

Så snart någon ska behandla personuppgifter för annans räkning uppstår ett behov av ett personuppgiftsbiträdesavtal. Personuppgiftsbiträdesavtalet ska reglera hur hantering av personuppgifter ska ske mellan parterna. Ett vanligt exempel på när ett personuppgiftsbiträdesavtal krävs är när en it-leverantör ska leverera olika typer av it-tjänster åt en kund, såsom lagringstjänster i molnet eller administrativa tjänster som involverar personuppgifter. Kunden är då personuppgiftsansvarig och leverantören blir personuppgiftsbiträde.

Vad ska ett personuppgiftsbiträdesavtal innehålla?

I grunden ska avtalet specificera varför och hur länge personuppgifterna behandlas, ändamål för behandlingen, typen av personuppgifter och kategorier av registrerade som personuppgifterna avser. Personuppgiftsbiträdet ska alltid behandla personuppgifterna enligt dokumenterade instruktioner från den personuppgiftsansvarige och bistå den ansvarige i att säkerställa efterlevnaden av kraven i dataskyddsförordningen.

Utöver dessa allmänna principer innehåller dataskyddsförordningen särskilda krav på vad ett personuppgiftsbiträdesavtal ska innehålla. Av dessa minimikrav kan följande punkter lyftas som särskilt viktiga:

  • Beskrivning av behandlingen
  • Säkerhetsnivå och sekretess
  • Hantering av underbiträden
  • Hantering av tredjelandsöverföringar
  • Ansvar, samarbete och avtalets upphörande
  • Ersättning och skadeståndsansvar

Bristande personuppgiftsbiträdesavtal kan leda till administrativa sanktionsavgifter. Personuppgiftsbiträdesavtalet är därför ett viktigt instrument för att hantera denna risk och säkerställa att personuppgifterna behandlas korrekt i enlighet med kraven i dataskyddsförordningen.

Vill du lära dig mer om GDPR och informationssäkerhet kan du läsa om våra aktuella kurser här.

Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.