PERSONUPPGIFTSBITRÄDESAVTAL

Ett personuppgiftsbiträdesavtal innehåller bestämmelser om biträdets behandling av personuppgifterna.

SYFTET MED ETT PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal kan bli förkortat till ”PB-avtal”. Enligt GDPR måste alla som är personuppgiftansvariga ingå ett sådant avtal med samtliga biträden som de delar personuppgifterna med. Avtalet reglerar personuppgiftsbiträdets behandling av personuppgifter på uppdrag av den ansvarige. Exempelvis kan ett företag dela personuppgifter med en redovisningskonsult, affärssystem, molntjänster, CRM-system och många fler leverantörer som agerar i egenskap av personuppgiftsbiträde. Enligt GDPR måste det finnas ett skriftligt PB-avtal mellan företaget och samtliga sådana biträden.

Syftet är att säkerställa att biträdet behandlar personuppgifterna för den ansvariges räkning, i enlighet med GDPR. Behandlingen av uppgifterna får enbart ske i enlighet med de instruktioner som biträdet får från den ansvarige och instruktionerna ska framgå av avtalet. Avtalet innebär att både den ansvarige och biträdet åtar sig skyldighet att följa GDPR vid behandlingen.

INNEHÅLL I ETT PERSONUPPGIFTSBITRÄDESAVTAL

Ändamålet med behandlingen

Personuppgiftsbiträdesavtal ska innehålla information om hur biträdet får behandla personuppgifterna. Instruktionerna varierar beroende på vad biträdet ska göra med uppgifterna och varför. Exempelvis kan ett biträde vara en redovisningskonsult, som får personuppgifter från företaget, i syfte att sköta företagets bokföring. Det ska då framgå att personuppgifterna enbart får bli behandlade för det ändamålet.

Instruktioner för behandlingen

I avtalet ska det framgå att biträdet enbart får behandla personuppgifterna i enlighet med instruktionerna i avtalet och GDPR.

Assistans

Biträdet ska även på begäran av den ansvarige, rätta, radera eller flytta personuppgifter samt assistera den ansvarige att uppfylla sina skyldigheter enligt GDPR. Exempelvis ska biträdet göra den möjligt för den ansvarige att uppfylla alla sina rättsliga förpliktelser enligt GDPR avseende bland annat information om incidenter till IMY och registrerade personer.

Sekretessbestämmelse

Ett personuppgiftsbiträdesavtal ska även inkludera ett sekretessåtagande, som innebär att biträdet samt dennes personal ska iaktta sekretess rörande de behandlade personuppgifterna.

Tekniska och organisatoriska säkerhetsåtgärder

I avtalet ska det framgå att biträdet ska genomföra systematiska, organisatoriska och tekniska åtgärder för  att säkerställa en lämplig säkerhetsnivå, med hänsyn tagen till den senaste tekniken och kostnader i förhållande till den risk som behandlingen innebär och typen av personuppgifter som ska skyddas.

Tystnadsplikt

Biträdet får inte heller svara direkt på förfrågningar från registrerade avseende personuppgifter eller lämna ut personuppgifter till någon annan, utan att först informera den ansvarige om detta.

Personuppgiftsansvariges skyldigheter

Avtalet ska även innehålla information om den personuppgiftsansvariges skyldigheter. Exempelvis ska det framgå att den ansvarige ansvarar för personuppgifternas riktighet, att denne har rättslig grund till att överlämna uppgifterna till biträdet och att den ansvarige behandlar personuppgifter i enlighet med GDPR.

Underbiträden

Det ska framgå information om biträdet får anlita andra underbiträden eller inte och till vilket syfte underbiträden ska bli anlitade. Exempelvis kan det vara för att biträdet ska kunna fullgöra sina avtalsenliga förpliktelser gentemot den ansvarige. Den ansvarige har rätt att neka till ett visst underbiträde och ska lämna sitt godkännande innan ett underbiträde anlitas av biträdet. Om ett underbiträde ska bli anlitat, måste det framgå en skyldighet för biträdet att ingå skriftligt PB-avtal även med underbiträdet. Avtalet ska säkerställa att underbiträdet åtar sig ansvar och skyldigheter som minst motsvarar biträdets skyldigheter enligt avtalet mellan biträdet och den ansvarige.

Revision och granskning

Den ansvarige har rätt att genomföra en revision och granskning av biträdets uppfyllande av villkoren i personuppgiftsbiträdesavtalet, för att verifiera att biträdet fullgör sina skyldigheter enligt avtalet. Biträdet ska tillhandahålla all information som krävs för att styrka att förpliktelserna enligt avtalet efterlevs och medverka i en eventuell granskning samt ge den ansvarige den assistans som behövs för genomförandet sådan inspektion.

Personuppgiftsincidenter

Avtalet ska innehålla bestämmelser om incidenter och det ska framgå att biträdet är skyldigt att anmäla incidenterna till den ansvarige, utan onödigt dröjsmål. En anmälan ska innehålla specifik information om incidenten. Exempelvis vart och hur den inträffat, konsekvenser, vilka kategorier av personuppgifter och hur många registrerade personer som är berörda av incidenten, åtgärder som vidtagits m.m. Detta är viktigt, eftersom den ansvarige måste anmäla incidenten till Integritetsskyddsmyndigheten, som är tillsynsmyndigheten i Sverige.

Behandling av personuppgifter efter avtalets upphörande

Avtalstiden ska framgå samt information om vad som ska ske med personuppgifterna efter avtalets upphörande. Exempelvis att den ansvarige har rätt att begära att personuppgifterna blir återlämnande och att samtliga kopior ska bli raderade. Om biträdet behöver behålla personuppgifter efter avtalstiden enligt gällande lagstiftning, får det ske enbart med samma typ av tekniska och organisatoriska säkerhetsåtgärder som beskrivs i avtalet.

VI SKRIVER OCH GRANSKAR PERSONUPPGIFTSBITRÄDESAVTAL

Vi kan skriva och granska ett personuppgiftsbiträdesavtal till fastpris. I våra priser ingår alltid samtal och genomgång med en jurist via dator och telefon.

Sammanfattning av GDPR för företag

Det finns mycket information om GDPR som är viktigt att känna till för företag. Vi har därför sammanfattat olika centrala delar för att kunna ge en överblick om GDPR, vad det innebär och vad företag måste göra för att följa regelverket.

Här kan du läsa vår sammanfattning av GDPR för företag och företagare.

BESTÄLL AVTAL / KONTAKTA OSS

Vi besvarar meddelandet och kontaktar dig så snart vi kan.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_2LHD5RXEW7	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_3	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.