Personuppgiftsbiträdesavtal måste vara skriftliga för att vara giltiga enligt GDPR. När det saknas formkrav i lagen gäller både muntliga och skriftliga avtal. Däremot är det enklare att bevisa skriftliga avtal vid en eventuell tvist, och därför kan det vara bra att ha avtalen dokumenterade. Dessutom kan det förebygga en tvist om parterna vet att det finns skriftliga överenskommelser som går att bevisa. I vissa fall det dock vara ett lagkrav på att ett avtal måste vara skriftligt och då är muntliga avtal ogiltiga.
Vanliga företag som är personuppgiftsbiträden:
- Redovisningsbyråer
- Webbyråer
- Leverantörer av molntjänster
Observera att ett företag kan vara personuppgiftsansvarig vid vissa behandlingar och personuppgiftsbiträde vid andra. Till exempel är en redovisningsbyrå personuppgiftsansvarig när det gäller behandling av personuppgifter om sina egna anställda, medan personuppgiftsbiträde när byrån behandlar personuppgifter åt sina kunders vägnar.
GDPR: Personuppgiftsbiträdesavtal måste vara skriftliga för att vara giltiga
Det framgår i Artikel 28 punkten 3 i GDPR att personuppgiftsbiträdesavtal ska vara skriftliga. Dessutom är det ett krav att ingå ett personuppgiftsbiträdesavtal när en personuppgiftsansvarig anlitar ett personuppgiftsbiträde. Ett personuppgiftsbiträde är en aktör som behandlar personuppgifter åt en personuppgiftsansvarig. Det är den personupppgiftsansvarige som till exempel bestämmer ändamålet med behandlingen.
När ett personuppgiftsbiträde anlitar ett underbiträde måste de också ingå ett skriftligt avtal
Det är möjligt för ett personuppgiftsbiträde att anlita ett underbiträde, förutsatt att personuppgiftsbiträdet får ett skriftligt tillstånd från den personuppgiftsansvarige. Dessutom behöver personuppgiftsbiträdet och underbiträdet ingå ett skriftligt avtal med varandra, för att säkertställa att de registrerade har samma skydd som i avtalet såsom mellan den personuppgiftsansvarige och personuppgiftsbiträdet.
Exempel på när det kan vara aktuellt för ett personuppgiftsbiträde att anlita ett underbiträde
- Webbyrå anlitar ett analysföretag: Ett företag är personuppgiftsansvarig och anlitar en webbyrå för att bygga och underhålla sin webbplats. Webbyrån är då personuppgiftsbiträde när de behandlar personuppgifter åt den personuppgiftsansvarige. Den personuppgiftsansvarige vill kunna analysera statistisk (såsom köpbeteende på webbplatsen). Då webbyrån inte har den kompetensen, anlitar webbyrån ett analysföretag för den uppgiften. Analysföretaget är då ett underbiträde till webbyrån som är personuppgiftsbiträde.
- Installation av ett chattverktyg på webbplats: Om företaget som är personuppgiftsansvarig också vill att kunder ska kunna chatta direkt med företaget på webbplatsen, men webbyrån behöver använda ett chattverktyg från en tjänsteleverantör för att kunna införa det, är tjänsteleverantören också ett underbiträde.