Dataskyddsförordningen (“GDPR”) ställer tydliga krav på ett skriftligt personuppgiftsbiträdesavtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Det finns också detaljerade bestämmelser om vad ett sådant personuppgiftsbiträdesavtal ska innehålla.
När behövs ett personuppgiftsbiträdesavtal?
Så snart någon ska behandla personuppgifter för annans räkning uppstår ett behov av ett personuppgiftsbiträdesavtal. Personuppgiftsbiträdesavtalet ska reglera hur hantering av personuppgifter ska ske mellan parterna. Ett vanligt exempel på när ett personuppgiftsbiträdesavtal krävs är när en it-leverantör ska leverera olika typer av it-tjänster åt en kund, såsom lagringstjänster i molnet eller administrativa tjänster som involverar personuppgifter. Kunden är då personuppgiftsansvarig och leverantören blir personuppgiftsbiträde.
Vad ska ett personuppgiftsbiträdesavtal innehålla?
I grunden ska avtalet specificera varför och hur länge personuppgifterna behandlas, ändamål för behandlingen, typen av personuppgifter och kategorier av registrerade som personuppgifterna avser. Personuppgiftsbiträdet ska alltid behandla personuppgifterna enligt dokumenterade instruktioner från den personuppgiftsansvarige och bistå den ansvarige i att säkerställa efterlevnaden av kraven i dataskyddsförordningen.
Utöver dessa allmänna principer innehåller dataskyddsförordningen särskilda krav på vad ett personuppgiftsbiträdesavtal ska innehålla. Av dessa minimikrav kan följande punkter lyftas som särskilt viktiga:
- Beskrivning av behandlingen
- Säkerhetsnivå och sekretess
- Hantering av underbiträden
- Hantering av tredjelandsöverföringar
- Ansvar, samarbete och avtalets upphörande
- Ersättning och skadeståndsansvar
Bristande personuppgiftsbiträdesavtal kan leda till administrativa sanktionsavgifter. Personuppgiftsbiträdesavtalet är därför ett viktigt instrument för att hantera denna risk och säkerställa att personuppgifterna behandlas korrekt i enlighet med kraven i dataskyddsförordningen.
Vill du lära dig mer om GDPR och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.