Skriftliga avtal och dokument
Ingå ett personuppgiftsbiträdesavtal
Det är viktigt att ingå ett personuppgiftsbiträdesavtal när en personuppgiftsansvarig anlitar ett personuppgiftsbiträde. Det måste ett personuppgiftsbiträdesavtal vara skriftligt enligt reglerna i GDPR.
Vem kan vara personuppgiftsbiträde?
- Fysiska personer, såsom en enskild näringsidkare.
- Juridiska personer, såsom ett aktiebolag eller handelsbolag.
- Offentliga myndigheter.
- Institutioner.
- Andra organ.
När ska företag ingå ett personuppgiftsbiträdesavtal?
Det finns två olika situationer där företag ska ingå ett personuppgiftsbiträdesavtal:
1. Anlita personuppgiftsbiträde
Om en personuppgiftsansvarig anlitar ett personuppgiftsbiträde. Till exempel om ett företag anlitar en redovisningsbyrå för att redovisningsbyrån ska sköta den löpande bokföringen för företagets räkning.
2. Anlita personuppgiftsunderbiträde
När ett personuppgiftsbiträde i sin tur anlitar ett personuppgiftsbiträde. Ofta kallat för ett “personuppgiftsunderbiträde” eller förkortat “underbiträde” (eng: sub-processor). Till exempel om ett kundföretag, i egenskap av personuppgiftsansvarig, anlitar ett utvecklingsföretag som är ett personuppgiftsbiträde, för att de ska utveckla och drifta en mobilapplikation för kundföretagets räkning. Utvecklingsföretaget anlitar i sin tur ett konsultbolag vid behov av en extern konsult med spetskompetens för uppdragets fullgörande. Konsultföretaget blir då ett personuppgiftsbiträde till utvecklingsföretaget.
Observera att personuppgiftsbiträdesavtal ska vara skriftliga för att vara giltiga enligt artikel 28(3) i GDPR.
Vanliga exempel på när företag brukar anlita ett personuppgiftsbiträde
Redovisningsbyrå
När ett företag anlitar en redovisningsbyrå för att sköta till exempel företagets lönehantering, löpande bokföring och redovisning.
Molntjänster
Om ett företag använder molntjänster för att lagra personuppgifter.
Utvecklare
Om ett företag vill bygga en mobilapplikation och anlitar ett utvecklingsföretag som behandlar personuppgifter inom uppdragets fullgörande för företagets räkning.
Vad ett personuppgiftsbiträdesavtal ska säkerställa
Ett personuppgiftsbiträdesavtal ska säkerställa att både den personuppgiftsansvarige och personuppgiftsbiträdet:
- Följer GDPR.
- Är medvetna om sina skyldigheter enligt GDPR, både gentemot varandra men också de registrerade.
- Skydda personuppgifterna som behandlas. Det gäller personuppgiftfer tillhörande exempelvis kunder, personal och andra kategorier av registrerade.
- Dokumenterar sitt samarbete och arbetet med GDPR tydligt för att kunna visa att parterna följer GDPR i enlighet med den grundläggande dataskyddsprincipen ansvarsskyldighet.
Dessutom måste personuppgiftsbiträdesavtalet minst innehålla de minimikrav som framgår av artikel 28 i GDPR. Annars riskerar avtalet att anses vara ogiltigt, eller bristfälligt och därmed i strid med reglerna i GDPR.
Exempel på nödvändigt innehåll i ett personuppgiftsbiträdesavtal
Syftet
Det ska stå klart och tydligt vad syftet med behandlingen är.
Tidsfrist
Hur länge behandlingen ska ske, när den ska upphöra m.m. Det är också möjligt att reglera om tidsfrister som är mer specifika än de som framgår av GDPR. I GDPR står ibland att något ska ske “utan onödigt dröjsmål”. Avtalsparterna kan vid sådana välja att avtala om att åtgärden ifråga istället ska ske inom “24 timmar”.
Kategorier
Vilka typer av personuppgifter gäller det, såsom vanliga personuppgifter, känsliga personuppgifter eller andra integritetskänsliga personuppgifter. Det ska också framgå vilken kategori av registrerade som behandlingen avser. Exempelvis om det är en extra skyddsvärd grupp, såsom barn eller sjuka, användare, kunder, anställda etc.
Rättigheter och skyldigheter
Vilka rättigheter och skyldigheter som den personuppgiftsansvarige respektive personuppgiftsbiträdet har. Det är viktigt att även reglera kommersiella villkor som inte berörs av GDPR. Exempelvis om personuppgiftsbiträdet har rätt till ersättning för sitt tillhandahållande av assistans enligt personuppgiftsbiträdesavtalet.
Personuppgiftsunderbiträde
Vilka villkor som gäller ifall personuppgiftsbiträdet anlitar ett personuppgiftsunderbiträde. Villkoren varierar, beroende på om den personuppgiftsansvarige har valt att lämna ett särskilt eller allmänt skriftligt förhandstillstånd avseende personuppgiftsbiträdets anlitande av annat personuppgiftsbiträde.
Tystnadsplikt
Enligt artikel 28(3)(b) i GDPR måste personuppgiftsbiträdesavtalet innehålla en bestämmelse som innebär att personuppgiftsbiträdet säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt. Detta gäller inte bara den egna personalen, utan också konsulter och andra som får ta del av personuppgifterna genom personuppgiftsbiträdet.
Granskningar
Personuppgiftsbiträdet ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i GDPR har fullgjorts. Dessutom ska Personuppgiftsbiträdet möjliggöra och bidra till granskningar som genomförs av den personuppgiftsansvarige eller av en annan revisor denne anvisar. Detta behöver regleras uttryckligen i avtalet.
Avtalets upphörande
Vad som ska ske med personuppgifterna när avtalet upphör. Den personuppgiftsansvarige har rätt att bestämma om personuppgiftsbiträdet ska återlämna eller radera personuppgifterna, samt inom vilken tid och hur det ska ske.
EU kommissionen har publicerat “Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR”, och där finns fler rekommendationer och riktlinjer kring innehållet i ett personuppgiftsbiträdesavtal.
Den personuppgiftsansvarige ska ge skriftliga instruktioner till personuppgiftsbiträdet
Det framgår i artikel 28(3)(a) i GDPR att personuppgiftsbiträden enbart får behandla personuppgifter i enlighet med de instruktioner som den personuppgiftsansvarige ger, såvida det inte krävs en nödvändigt behandling enligt EU-rätten eller en nationell lag i ett av medlemsländerna. Om ett personuppgiftsbiträde behandlar personuppgifterna i strid med de skriftliga instruktionerna, kan personuppgiftsbiträdet åläggas det samma ansvaret som om det vore en personuppgiftsansvarig.
Instruktionerna kan framgå i personuppgiftsbiträdesavtalet, men det är inte ett måste. Det är möjligt att istället upprätta separata instruktioner i bilagor som kompletterar personuppgiftsbiträdesavtalet. Det är ofta enklare att justera och uppdatera instruktionerna om de finns formulerade i en bilaga till personuppgiftsbiträdesavtalet. Därför är det vår rekommendation att upprätta instruktionerna i en instruktionsbilaga, istället för inbakat i personuppgiftsbiträdesavtalet som sådant.
Mer info
Informera registrerade genom ett integritetsmeddelande
De registrerade ska alltid bli informerade om behandlingen av sina personuppgifter. Det brukar ske via ett integritetsmeddelande. Företag brukar ha sitt integritetsmeddelande publicerat på sin webbplats. Där ska det bland annat framgå vad ändamålet med behandlingen är, hur länge behandlingen ska pågå, vilka rättigheter de registrerade har, om företaget har ett eventuellt dataskyddsombud m.m.