Kunskap: När behövs ett personuppgiftsbiträdesavtal?

Dataskyddsförordningen (“GDPR”) ställer tydliga krav på ett skriftligt personuppgiftsbiträdesavtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Det finns också detaljerade bestämmelser om vad ett sådant personuppgiftsbiträdesavtal ska innehålla.

När behövs ett personuppgiftsbiträdesavtal?

Så snart någon ska behandla personuppgifter för annans räkning uppstår ett behov av ett personuppgiftsbiträdesavtal. Personuppgiftsbiträdesavtalet ska reglera hur hantering av personuppgifter ska ske mellan parterna. Ett vanligt exempel på när ett personuppgiftsbiträdesavtal krävs är när en it-leverantör ska leverera olika typer av it-tjänster åt en kund, såsom lagringstjänster i molnet eller administrativa tjänster som involverar personuppgifter. Kunden är då personuppgiftsansvarig och leverantören blir personuppgiftsbiträde.

Vad ska ett personuppgiftsbiträdesavtal innehålla?

I grunden ska avtalet specificera varför och hur länge personuppgifterna behandlas, ändamål för behandlingen, typen av personuppgifter och kategorier av registrerade som personuppgifterna avser. Personuppgiftsbiträdet ska alltid behandla personuppgifterna enligt dokumenterade instruktioner från den personuppgiftsansvarige och bistå den ansvarige i att säkerställa efterlevnaden av kraven i dataskyddsförordningen.

Utöver dessa allmänna principer innehåller dataskyddsförordningen särskilda krav på vad ett personuppgiftsbiträdesavtal ska innehålla. Av dessa minimikrav kan följande punkter lyftas som särskilt viktiga:

  • Beskrivning av behandlingen
  • Säkerhetsnivå och sekretess
  • Hantering av underbiträden
  • Hantering av tredjelandsöverföringar
  • Ansvar, samarbete och avtalets upphörande
  • Ersättning och skadeståndsansvar

Bristande personuppgiftsbiträdesavtal kan leda till administrativa sanktionsavgifter. Personuppgiftsbiträdesavtalet är därför ett viktigt instrument för att hantera denna risk och säkerställa att personuppgifterna behandlas korrekt i enlighet med kraven i dataskyddsförordningen.

Vill du lära dig mer om GDPR och informationssäkerhet kan du läsa om våra aktuella kurser här.

Vill du ha hjälp med rådgivning i frågor om dataskydd och personlig integritet kan du läsa mer här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.