Ett personuppgiftsbiträdesavtal måste vara skriftligt och det är därför inte giltigt om det är muntligt. Avtalet ska bli signerat av den som är firmatecknaren i företaget som är den personuppgiftsansvarige, respektive firmatecknaren för företaget som är personuppgiftsbiträdet.
Personuppgiftsbiträdet blir betalningsskyldig om denne inte följer de angivna instruktionerna som denne har fått. Dessutom ska personuppgiftsbiträdet radera personuppgifterna efter uppdraget, om de inte måste bli sparade på grund av någon annan gällande lagstiftning. Alternativt ska personuppgifterna bli återlämnade till den personuppgiftsansvarige som anlitat biträdet.
Ett personuppgiftsbiträdesavtal måste vara skriftligt
Även om en personuppgiftsansvarig anlitar ett personuppgiftsbiträde, är det den personuppgiftsansvarige som ska se till att det finns en rättslig grund för behandlingen. Enligt GDPR måste det finnas en rättslig grund för att det ska vara lagligt att behandla personuppgifterna. Det finns totalt sex (6) stycken rättsliga grunder. Dessa är följande: samtycke, avtal, myndighetsutövning, rättslig förpliktelse, intresseavvägning och grundläggande intresse. GDPR är en EU-förordning från EU, som gäller för alla medlemsstater samt EES-länderna.
Flera personuppgiftsansvariga
Det är möjligt att två parter är personuppgiftsansvariga tillsammans, när de gemensamt bestämmer ändamålen med behandlingen av personuppgifterna. Inom GDPR är dessa kallade för gemensamt personuppgiftsansvariga (engelska: Joint Controllers) I sådana fall ska båda ingå ett avtal med varandra, där deras respektive ansvar blir klargjort. Dessutom är det viktigt att den registrerade som blir påverkad av behandlingen, blir informerad om detta.
Det förekommer även situationer där två separata personuppgiftsansvariga delar personuppgifter till varandra. I sådana fall är det inte ett krav på att det måste finnas ett skriftligt avtal, som det är med ett personuppgiftsbiträdesavtal, men det är alltid bra att ha ett skriftligt avtal ändå även i sådana situationer.