PERSONUPPGIFTSBITRÄDE

Den som behandlar personuppgifter för den ansvariges räkning.

Personuppgiftsbiträde (PUB) enligt GDPR

Den som behandlar personuppgifter för en personuppgiftsansvarigs räkning är ett personuppgiftsbiträde enligt GDPR. Ett personuppgiftsbiträde finns alltid utanför den ansvariges egna organisation och kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. 

Den personuppgiftsansvariga, exempelvis ett företag, kan anlita ett personuppgiftsbiträde, för att biträdet ska behandla personuppgifter för företagets räkning. Exempelvis är det vanligt att en redovisningskonsult, ekonomisystem, e-postleverantör, hostingleverantör, molnlagringsplats, CRM-system eller liknande är personuppgiftsbiträden till ett företag. Detta eftersom företaget delar personuppgifter som de är ansvariga för, till ett sådant annat företag/system som behandlar personuppgifterna för företagets räkning.

I sådana fall måste den personuppgiftsansvariga lämna skriftliga instruktioner till biträdet, om hur behandlingen får gå till. Ett personuppgiftsbiträde är enligt GDPR skyldigt att följa instruktionerna och har också olika rättigheter samt skyldigheter enligt förordningen. 

De personuppgiftsbiträden som den personuppgiftsansvariga anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i GDPR och att de säkerställer att den registrerades rättigheter blir skyddade i enlighet med GDPR. 

Ett personuppgiftsbiträde och dess personal får enbart behandla personuppgifter enligt de skriftliga instruktionerna från den personuppgiftsansvariga. Sådana instruktioner ska bli lämnade i samband med att parterna ingår ett personuppgiftsbiträdesavtal. Enligt GDPR måste parterna ingå ett sådant avtal med varandra, innan biträdet får börja behandla personuppgifter på uppdrag av den personuppgiftsansvariga. I GDPR finns tydliga instruktioner och krav som handlar om vad ett sådant biträdesavtal ska innehålla. 

Exempelvis får biträdet inte anlita ett eget underbiträde utan att i förhand få ett skriftligt tillstånd av den personuppgiftsansvariga. 

Här finns mer information om personuppgiftsbiträdesavtal. 

En nyhet i GDPR är att några av de skyldigheter som tidigare har gällt för den personuppgiftsansvarige nu även gäller för biträdet. 

Exempelvis kraven på att föra register över behandlingar, att säkerställa lämplig säkerhetsnivå och att i vissa fall utse ett dataskyddsombud. 

Den personuppgiftsansvarige är den som är ansvarig ifall ett personuppgiftbiträde behandlar personuppgifterna i strid med GDPR. Men även ett biträde kan bli föremål för tillsyn av IMY eller för administrativa sanktionsavgifter och bli skadeståndsskyldigt.

Vi skriver och granskar GDPR avtal

Vi kan skriva och granska de GDPR-avtal som företag behöver till fasta priser. I våra priser igår alltid samtal och genomgång med en jurist via dator och telefon. 

sammanfattning av GDPR för företag

Det finns mycket information om GDPR som är viktigt att känna till för företag. Vi har därför sammanfattat olika centrala delar för att kunna ge en överblick om GDPR, vad det innebär och vad företag måste göra för att följa regelverket.