PERSONUPPGIFTSBITRÄDESAVTAL
Ett personuppgiftsbiträdesavtal innehåller bestämmelser om biträdets behandling av personuppgifterna.
SYFTET MED ETT PERSONUPPGIFTSBITRÄDESAVTAL
Personuppgiftsbiträdesavtal kan bli förkortat till “PB-avtal”. Enligt GDPR måste alla som är personuppgiftansvariga ingå ett sådant avtal med samtliga biträden som de delar personuppgifterna med. Avtalet reglerar personuppgiftsbiträdets behandling av personuppgifter på uppdrag av den ansvarige. Exempelvis kan ett företag dela personuppgifter med en redovisningskonsult, affärssystem, molntjänster, CRM-system och många fler leverantörer som agerar i egenskap av personuppgiftsbiträde. Enligt GDPR måste det finnas ett skriftligt PB-avtal mellan företaget och samtliga sådana biträden.
Syftet är att säkerställa att biträdet behandlar personuppgifterna för den ansvariges räkning, i enlighet med GDPR. Behandlingen av uppgifterna får enbart ske i enlighet med de instruktioner som biträdet får från den ansvarige och instruktionerna ska framgå av avtalet. Avtalet innebär att både den ansvarige och biträdet åtar sig skyldighet att följa GDPR vid behandlingen.
INNEHÅLL I ETT PERSONUPPGIFTSBITRÄDESAVTAL
Ändamålet med behandlingen
Personuppgiftsbiträdesavtal ska innehålla information om hur biträdet får behandla personuppgifterna. Instruktionerna varierar beroende på vad biträdet ska göra med uppgifterna och varför. Exempelvis kan ett biträde vara en redovisningskonsult, som får personuppgifter från företaget, i syfte att sköta företagets bokföring. Det ska då framgå att personuppgifterna enbart får bli behandlade för det ändamålet.
Instruktioner för behandlingen
I avtalet ska det framgå att biträdet enbart får behandla personuppgifterna i enlighet med instruktionerna i avtalet och GDPR.
Assistans
Biträdet ska även på begäran av den ansvarige, rätta, radera eller flytta personuppgifter samt assistera den ansvarige att uppfylla sina skyldigheter enligt GDPR. Exempelvis ska biträdet göra den möjligt för den ansvarige att uppfylla alla sina rättsliga förpliktelser enligt GDPR avseende bland annat information om incidenter till IMY och registrerade personer.
Sekretessbestämmelse
Ett personuppgiftsbiträdesavtal ska även inkludera ett sekretessåtagande, som innebär att biträdet samt dennes personal ska iaktta sekretess rörande de behandlade personuppgifterna.
Tekniska och organisatoriska säkerhetsåtgärder
I avtalet ska det framgå att biträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för att säkerställa en lämplig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och kostnader i förhållande till den risk som behandlingen innebär och typen av personuppgifter som ska skyddas.
Tystnadsplikt
Biträdet får inte heller svara direkt på förfrågningar från registrerade avseende personuppgifter eller lämna ut personuppgifter till någon annan, utan att först informera den ansvarige om detta.
Personuppgiftsansvariges skyldigheter
Avtalet ska även innehålla information om den personuppgiftsansvariges skyldigheter. Exempelvis ska det framgå att den ansvarige ansvarar för personuppgifternas riktighet, att denne har rättslig grund till att överlämna uppgifterna till biträdet och att den ansvarige behandlar personuppgifter i enlighet med GDPR.
Underbiträden
Det ska framgå information om biträdet får anlita andra underbiträden eller inte och till vilket syfte underbiträden ska bli anlitade. Exempelvis kan det vara för att biträdet ska kunna fullgöra sina avtalsenliga förpliktelser gentemot den ansvarige. Den ansvarige har rätt att neka till ett visst underbiträde och ska lämna sitt godkännande innan ett underbiträde anlitas av biträdet. Om ett underbiträde ska bli anlitat, måste det framgå en skyldighet för biträdet att ingå skriftligt PB-avtal även med underbiträdet. Avtalet ska säkerställa att underbiträdet åtar sig ansvar och skyldigheter som minst motsvarar biträdets skyldigheter enligt avtalet mellan biträdet och den ansvarige.
Revision och granskning
Den ansvarige har rätt att genomföra en revision och granskning av biträdets uppfyllande av villkoren i personuppgiftsbiträdesavtalet, för att verifiera att biträdet fullgör sina skyldigheter enligt avtalet. Biträdet ska tillhandahålla all information som krävs för att styrka att förpliktelserna enligt avtalet efterlevs och medverka i en eventuell granskning samt ge den ansvarige den assistans som behövs för genomförandet sådan inspektion.
Personuppgiftsincidenter
Avtalet ska innehålla bestämmelser om incidenter och det ska framgå att biträdet är skyldigt att anmäla incidenterna till den ansvarige, utan onödigt dröjsmål. En anmälan ska innehålla specifik information om incidenten. Exempelvis vart och hur den inträffat, konsekvenser, vilka kategorier av personuppgifter och hur många registrerade personer som är berörda av incidenten, åtgärder som vidtagits m.m. Detta är viktigt, eftersom den ansvarige måste anmäla incidenten till Integritetsskyddsmyndigheten, som är tillsynsmyndigheten i Sverige.
Behandling av personuppgifter efter avtalets upphörande
Avtalstiden ska framgå samt information om vad som ska ske med personuppgifterna efter avtalets upphörande. Exempelvis att den ansvarige har rätt att begära att personuppgifterna blir återlämnande och att samtliga kopior ska bli raderade. Om biträdet behöver behålla personuppgifter efter avtalstiden enligt gällande lagstiftning, får det ske enbart med samma typ av tekniska och organisatoriska säkerhetsåtgärder som beskrivs i avtalet.
VI SKRIVER OCH GRANSKAR PERSONUPPGIFTSBITRÄDESAVTAL
Vi kan skriva och granska ett personuppgiftsbiträdesavtal till fastpris. I våra priser ingår alltid samtal och genomgång med en jurist via dator och telefon.
Sammanfattning av GDPR för företag
Det finns mycket information om GDPR som är viktigt att känna till för företag. Vi har därför sammanfattat olika centrala delar för att kunna ge en överblick om GDPR, vad det innebär och vad företag måste göra för att följa regelverket.
BESTÄLL AVTAL / KONTAKTA OSS
Vi besvarar meddelandet och kontaktar dig så snart vi kan.