Personuppgiftsbiträdesavtal

Ett personuppgiftsbiträdesavtal innehåller bestämmelser om biträdets behandling av personuppgifterna

Ett personuppgiftsbiträdesavtal kan bli förkortat till ”PB-avtal”. Enligt GDPR måste alla som är personuppgiftansvariga ingå ett sådant avtal med samtliga biträden som de delar personuppgifterna med. Avtalet reglerar personuppgiftsbiträdets behandling av personuppgifter på uppdrag av den ansvarige. Exempelvis kan ett företag dela personuppgifter med en redovisningskonsult, affärssystem, molntjänster, CRM-system och många fler leverantörer som agerar i egenskap av personuppgiftsbiträde. Enligt GDPR måste det finnas ett skriftligt PB-avtal mellan företaget och samtliga sådana biträden.

syftet med ett Personuppgiftsbiträdesavtal

Syftet är att säkerställa att biträdet behandlar personuppgifterna för den ansvariges räkning, i enlighet med GDPR. Behandlingen av uppgifterna får enbart ske i enlighet med de instruktioner som biträdet får från den ansvarige och instruktionerna ska framgå av avtalet. Avtalet innebär att både den ansvarige och biträdet åtar sig skyldighet att följa GDPR vid behandlingen.

Innehåll i ETT PERSONUPPGIFTSBITRÄDESAVTAL

Ändamålet med behandlingen

Ett personuppgiftsbiträdesavtal ska innehålla information om hur biträdet får behandla personuppgifterna. Instruktionerna varierar beroende på vad biträdet ska göra med uppgifterna och varför. Exempelvis kan ett biträde vara en redovisningskonsult, som får personuppgifter från företaget, i syfte att sköta företagets bokföring. Det ska då framgå att personuppgifterna enbart får bli behandlade för det ändamålet. 

Instruktioner för behandlingen

I avtalet ska det framgå att biträdet enbart får behandla personuppgifterna i enlighet med instruktionerna i avtalet och GDPR.

Assistans

Biträdet ska även på begäran av den ansvarige, rätta, radera eller flytta personuppgifter samt assistera den ansvarige att uppfylla sina skyldigheter enligt GDPR. Exempelvis ska biträdet göra den möjligt för den ansvarige att uppfylla alla sina rättsliga förpliktelser enligt GDPR avseende bland annat information om incidenter till Datainspektionen och registrerade personer.

Sekretessbestämmelse

Ett personuppgiftsbiträdesavtal ska även inkludera ett sekretessåtagande, som innebär att biträdet samt dennes personal ska iaktta sekretess rörande de behandlade personuppgifterna. 

Tekniska och organisatoriska säkerhetsåtgärder

I avtalet ska det framgå att biträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för
 att säkerställa en lämplig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och kostnader i förhållande till den risk som behandlingen innebär och typen av personuppgifter som ska skyddas. 

Tystnadsplikt

Biträdet får inte heller svara direkt på förfrågningar från registrerade avseende personuppgifter eller lämna ut personuppgifter till någon annan, utan att först informera den ansvarige om detta.

Personuppgiftsansvariges skyldigheter

Avtalet ska även innehålla information om den personuppgiftsansvariges skyldigheter. Exempelvis ska det framgå att den ansvarige ansvarar för personuppgifternas riktighet, att denne har rättslig grund till att överlämna uppgifterna till biträdet och att den ansvarige behandlar personuppgifter i enlighet med GDPR.

Underbiträden

Det ska framgå information om biträdet får anlita andra underbiträden eller inte och till vilket syfte underbiträden ska bli anlitade. Exempelvis kan det vara för att biträdet ska kunna fullgöra sina avtalsenliga förpliktelser gentemot den ansvarige. Den ansvarige har rätt att neka till ett visst underbiträde och ska lämna sitt godkännande innan ett underbiträde anlitas av biträdet. Om ett underbiträde ska bli anlitat, måste det framgå en skyldighet för biträdet att ingå skriftligt PB-avtal även med underbiträdet. Avtalet ska säkerställa att underbiträdet åtar sig ansvar och skyldigheter som minst motsvarar biträdets skyldigheter enligt avtalet mellan biträdet och den ansvarige. 

Revision och granskning

Den ansvarige har rätt att genomföra en revision och granskning av biträdets uppfyllande av villkoren i personuppgiftsbiträdesavtalet, för att verifiera att biträdet fullgör sina skyldigheter enligt avtalet. Biträdet ska tillhandahålla all information som krävs för att styrka att förpliktelserna enligt avtalet efterlevs och medverka i en eventuell granskning samt ge den ansvarige den assistans som behövs för genomförandet sådan inspektion. 

Personuppgiftsincidenter

Avtalet ska innehålla bestämmelser om incidenter och det ska framgå att biträdet är skyldigt att anmäla incidenterna till den ansvarige, utan onödigt dröjsmål. En anmälan ska innehålla specifik information om incidenten. Exempelvis vart och hur den inträffat, konsekvenser, vilka kategorier av personuppgifter och hur många registrerade personer som är berörda av incidenten, åtgärder som vidtagits m.m. Detta är viktigt, eftersom den ansvarige måste anmäla incidenten till Datainspektionen, som är tillsynsmyndigheten i Sverige.

Behandling av personuppgifter efter avtalets upphörande

Avtalstiden ska framgå samt information om vad som ska ske med personuppgifterna efter avtalets upphörande. Exempelvis att den ansvarige har rätt att begära att personuppgifterna blir återlämnande och att samtliga kopior ska bli raderade. Om biträdet behöver behålla personuppgifter efter avtalstiden enligt gällande lagstiftning, får det ske enbart med samma typ av tekniska och organisatoriska säkerhetsåtgärder som beskrivs i avtalet.

Vi skriver och granskar PERSONUPPGIFTSBITRÄDESAVTAL

Vi kan skriva och granska ett personuppgiftsbiträdesavtal till fastpris. I våra priser ingår alltid samtal och genomgång med en jurist via dator och telefon.