• Avtal till företag och företagare
  • Fasta priser inkl. genomgång med jurist
  • GDPR-avtal och dokument
  • Gratis inledande samtal med jurist

GDPR – Avtal och Dokument

Personuppgiftsbiträdesavtal

Ett personuppgiftsbiträdesavtal innehåller bestämmelser om biträdets behandling av personuppgifterna.

Vad ett personuppgiftsbiträdesavtal är

Personuppgiftsbiträdesavtal kan bli förkortat till ”PB-avtal”. Enligt GDPR måste alla som är personuppgiftansvariga ingå ett sådant avtal med samtliga biträden som de delar personuppgifterna med. Avtalet reglerar personuppgiftsbiträdets behandling av personuppgifter på uppdrag av den ansvarige.

Exempelvis kan ett företag dela personuppgifter med en redovisningskonsult, affärssystem, molntjänster, CRM-system och många fler leverantörer som agerar i egenskap av personuppgiftsbiträde. Enligt GDPR måste det finnas ett skriftligt PB-avtal mellan företaget och samtliga sådana biträden.

Tre olika bedömningar företag kan behöva göra enligt GDPR

  • Bedömning av berättigat intresse.
  • Konsekvensbedömning av dataöverföring till tredjeland.
  • Konsekvensbedömning avseende dataskydd.

Syftet med ett personuppgiftsbiträdesavtal

Syftet är att säkerställa att biträdet behandlar personuppgifterna för den ansvariges räkning, i enlighet med GDPR. Behandlingen av uppgifterna får enbart ske i enlighet med de instruktioner som biträdet får från den ansvarige och instruktionerna ska framgå av avtalet. Avtalet innebär att både den ansvarige och biträdet åtar sig skyldighet att följa GDPR vid behandlingen.

Innehåll i ett personuppgiftsbiträdesavtal

Ändamålet med behandlingen

Personuppgiftsbiträdesavtal ska innehålla information om hur biträdet får behandla personuppgifterna. Instruktionerna varierar beroende på vad biträdet ska göra med uppgifterna och varför. Exempelvis kan ett biträde vara en redovisningskonsult, som får personuppgifter från företaget, i syfte att sköta företagets bokföring. Det ska då framgå att personuppgifterna enbart får bli behandlade för det ändamålet. 

Instruktioner för behandlingen

I avtalet ska det framgå att biträdet enbart får behandla personuppgifterna i enlighet med instruktionerna i avtalet och GDPR.

Assistans

Biträdet ska även på begäran av den ansvarige, rätta, radera eller flytta personuppgifter samt assistera den ansvarige att uppfylla sina skyldigheter enligt GDPR. Exempelvis ska biträdet göra den möjligt för den ansvarige att uppfylla alla sina rättsliga förpliktelser enligt GDPR avseende bland annat information om incidenter till IMY och registrerade personer.

Sekretessbestämmelse

Ett personuppgiftsbiträdesavtal ska även inkludera ett sekretessåtagande, som innebär att biträdet samt dennes personal ska iaktta sekretess rörande de behandlade personuppgifterna. 

Tekniska och organisatoriska säkerhetsåtgärder

I avtalet ska det framgå att biträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för
 att säkerställa en lämplig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och kostnader i förhållande till den risk som behandlingen innebär och typen av personuppgifter som ska skyddas. 

Tystnadsplikt

Biträdet får inte heller svara direkt på förfrågningar från registrerade avseende personuppgifter eller lämna ut personuppgifter till någon annan, utan att först informera den ansvarige om detta.

Personuppgiftsansvariges skyldigheter

Avtalet ska även innehålla information om den personuppgiftsansvariges skyldigheter. Exempelvis ska det framgå att den ansvarige ansvarar för personuppgifternas riktighet, att denne har rättslig grund till att överlämna uppgifterna till biträdet och att den ansvarige behandlar personuppgifter i enlighet med GDPR.

Underbiträden

Det ska framgå information om biträdet får anlita andra underbiträden eller inte och till vilket syfte underbiträden ska bli anlitade. Exempelvis kan det vara för att biträdet ska kunna fullgöra sina avtalsenliga förpliktelser gentemot den ansvarige. Den ansvarige har rätt att neka till ett visst underbiträde och ska lämna sitt godkännande innan ett underbiträde anlitas av biträdet. Om ett underbiträde ska bli anlitat, måste det framgå en skyldighet för biträdet att ingå skriftligt PB-avtal även med underbiträdet. Avtalet ska säkerställa att underbiträdet åtar sig ansvar och skyldigheter som minst motsvarar biträdets skyldigheter enligt avtalet mellan biträdet och den ansvarige. 

Revision och granskning

Den ansvarige har rätt att genomföra en revision och granskning av biträdets uppfyllande av villkoren i personuppgiftsbiträdesavtalet, för att verifiera att biträdet fullgör sina skyldigheter enligt avtalet. Biträdet ska tillhandahålla all information som krävs för att styrka att förpliktelserna enligt avtalet efterlevs och medverka i en eventuell granskning samt ge den ansvarige den assistans som behövs för genomförandet sådan inspektion. 

Personuppgiftsincidenter

Avtalet ska innehålla bestämmelser om incidenter och det ska framgå att biträdet är skyldigt att anmäla incidenterna till den ansvarige, utan onödigt dröjsmål. En anmälan ska innehålla specifik information om incidenten. Exempelvis vart och hur den inträffat, konsekvenser, vilka kategorier av personuppgifter och hur många registrerade personer som är berörda av incidenten, åtgärder som vidtagits m.m. Detta är viktigt, eftersom den ansvarige måste anmäla incidenten till Integritetsskyddsmyndigheten, som är tillsynsmyndigheten i Sverige.

Behandling av personuppgifter efter avtalets upphörande

Avtalstiden ska framgå samt information om vad som ska ske med personuppgifterna efter avtalets upphörande. Exempelvis att den ansvarige har rätt att begära att personuppgifterna blir återlämnande och att samtliga kopior ska bli raderade. Om biträdet behöver behålla personuppgifter efter avtalstiden enligt gällande lagstiftning, får det ske enbart med samma typ av tekniska och organisatoriska säkerhetsåtgärder som beskrivs i avtalet.

Behöver ni hjälp med att upprätta ett personuppgiftsbiträdsavtal?

Vi skriver och granskar avtal på distans till företag, bland annat GDPR-relaterade avtal och dokument. Priserna är alltid fasta och förbestämda. Dessutom har vi skapat olika GDPR-paket som innehåller dokument och avtal som företag kan behöva enligt GDPR. Exempelvis Personuppgiftsbiträdesavtal, Interna Rutiner, Registerförteckning och Integritetsmeddelande. 

Snabbt och smidigt

Såhär fungerar det

Kontakta oss

Beskriv ert ärende via vårt kontaktformulär, mejl eller telefon. Vi gör en preliminär bedömning och återkopplar med ett priserbjudande och en tidplan.

Första utkast

Vi påbörjar arbetet efter er accept av beställningen. Sedan levererar vi ett första utkast till er och bokar in en tid för genomgång via videomöte eller telefon.

Genomgång & leverans

Vi går igenom utkastet tillsammans och gör nödvändiga justeringar tills ni är nöjda. Därefter levererar vi det slutliga avtalet efter godkända justeringar.

Kontakta jurist

Beställ uppdrag

    Intyganden & Godkännande av villkor *
    5 + 6 =

    Mer information

    Interna Rutiner

    Företag är skyldiga att bevisa att de följer GDPR i praktiken vid behandling av personuppgifter, enligt artikel 5.2 i GDPR. Detta kan smidigt ske genom att företaget upprättar och implementerar skriftliga interna rutiner, riktlinjer och instruktioner som medarbetarna ska följa. Exempelvis bör företaget införa rutiner för: gallring av personuppgifter, hantering av incidenter som involverar personuppgifter, hantering av registrerades rättigheter m.m. Dessutom kan företaget ta fram olika checklistor.



    Vill du veta mer?

    Till nästa sida

    Lär dig mer

    Gratis juridikskola

    Vi driver gratis juridikskolor för företagare på LinkedIn och InstagramPå vår hemsida publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom GDPR. 

    Digitala

    Juristerna

    Linkedin Instagram
    Vi arbetar på distans och håller möten på det sätt som passar dig bäst, via telefon eller videomöte

    Kontakta oss

    • 08-81 66 33
    Mån-Sön: kl 09:00-20:00.

    DigiJuris Sverige AB
    Sveavägen 124, 113 50 Stockholm
    kontakt@digitalajuristerna.se
    Org. nr: 559434-7378

    ekonomi@digitalajuristerna.se
    Bankgiro: 161-4262
    VAT.nr: SE559434737801
    Godkänd för F-skatt

    Grunderna

    Åtgärder

    Lär dig mer

    Nyheter

    Sök på sidan

    Rulla till toppen
    Call Now Button