Relationen mellan personuppgiftsansvarig och personuppgiftsbiträde är viktig att känna till om ett företag anlitar ett biträde. Den part som ska se till att det finns en rättslig grund för behandlingen av personuppgifterna är den personuppgiftsansvarige.
Det finns många företag som agerar i egenskap av persosnuppgiftbiträden på grund av typen av verksamhet företaget bedriver. Exempelvis agerar redovisningsbyråer, olika typer av konsulter och webbutvecklare ofta i egenskap av personuppgiftbiträden. Det är vanligt att sådana externa aktörer tar del av personuppgifter som någon annan är personuppgiftsansvarig för, eftersom de behöver det för att kunna utföra sina tjänster.
Dessutom kan ett personuppgiftsbiträde vara en myndighet, en fysisk person eller organisation. När ett företag inom EU/EES-området anlitar en extern part som blir ett personuppgiftsbiträde, ska denne också följa GDPR.
Personuppgiftsansvarig och personuppgiftsbiträde ska ingå ett skriftligt personuppgiftsbiträdesavtal
När ett företag anlitar ett personuppgiftsbiträde, ska de upprätta och ingå ett personuppgiftsbiträdesavtal med varandra. Avtalet måste vara skriftligt enligt reglerna i GDPR och därför är det inte tillåtet med ett muntligt personuppgiftsbiträdesavtal.
Det innehåll som ett personuppgiftsbiträdesavtal minst ska ha för att uppfylla kraven är reglerat i artikel 28 GDPR.
Personuppgiftsbiträde och underbiträde
Om personuppgiftsbiträdet i sin tur vill anlita en tredje part som behandlar personuppgifterna, måste det ske i samråd med den personuppgiftsansvarige. Aktör som ett personuppgiftsbiträde anlitar, är kallat för ett ”underbiträde” (eng. Sub-processor).
Det är den personuppgiftsansvarige som ska ge instruktioner till personuppgiftsbiträdet avseende behandlingen, vilket både denne och eventuella underbiträden måste följa. Det underbiträde som personuppgftsbiträdet anlitar, ska genom skriftligt avtal åta sig samma skyldigheter och ansvar, som personuppgiftsbiträdet har åtagit sig gentemot den personuppgiftsanssvarige. Detta sker genom att personuppgiftsbiträdet och underbiträdet ingår ett personuppgiftsbiträdesavtal.
Det är möjligt för ett personuppgiftsbiträde att bli betalningsskyldig om det är så att denne inte följer de skriftliga instruktionerna enligt avtalet. Regler om skadestånd framgår i skadeståndslagen samt andra lagar. Dessutom innehåller GDPR bestämmelser om vad som sker vid brott mot regelverket.
