Personuppgiftsbiträdesavtal OLD

GDPR ställer vissa krav på personuppgiftsbehandling hos externa aktörer.

GDPR ställer krav på att det för all personuppgiftsbehandling som sker hos en extern aktör för den personuppgiftsansvariges räkning, det vill säga hos ett så kallade personuppgiftsbiträde, ska finnas ett avtal som reglerar den behandlingen.

En personuppgiftsansvarig får bara anlita personuppgiftsbiträden som lämnar tillräckliga garantier om att behandlingen hos dem kommer vara säker och i enlighet med GDPR.

Många personuppgiftsbiträden anlitar i sin tur ett underbiträde för personuppgiftsbehandling. Behandlingen kan och sker i sådana fall i flera led.

Personuppgiftsbiträdesavtal

När personuppgifter behandlas av ett personuppgiftsbiträde ska behandlingen regleras genom ett avtal i vilket föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade samt den personuppgiftsansvariges skyldigheter och rättigheter anges.

I personuppgiftsbiträdesavtalet ska det vidare särskilt föreskrivas att personuppgiftsbiträdet:

  • endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige
  • Säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt,
  • Ska vidta alla åtgärder som krävs enligt artikel 32 GDPR,
  • Inte ska anlita ett annat personuppgiftsbiträde (underbiträde) utan ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd erhålls måste dock personuppgiftsbiträdet fortfarande meddela den personuppgiftsansvarige eventuella planer på att anlita nya underbiträden eller ersätta befintliga så att den personuppgiftsansvarige ska kunna göra eventuella invändningar mot sådana förändringar.
  • Vidare är personuppgiftsbiträdet skyldigt att med sitt underbiträde ingå ett avtal som motsvarar skyldigheterna som personuppgiftsbiträdet har mot den personuppgiftsansvarige.
  • Ska hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att denne kan fullgöra sina skyldigheter att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III GDPR
  • Ska bistå den personuppgiftsansvarige med att se till att skyldigheterna enligt artikel 32-36 GDPR fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå,
  • Beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänsten har avslutats, och radera befintliga kopior
  • Ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i artikel 28 GDPR (det vill säga artikeln som föreskriver att ett personuppgiftsbiträdesavtal ska ingås och innehålla de skrivningar som nu har redogjorts för) har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av någon som bemyndigats av den personuppgiftsansvarige.

Mall för personuppgiftsbiträdesavtal

Många gånger finns det ett redan ett avtal, uttryckligt eller mindre uttryckligt, mellan en personuppgiftsansvarig och ett personuppgiftsbiträde. Det kan exempelvis vara ett avtal om att en viss leverantör ska tillhandahålla den personuppgiftsansvarige en viss tjänst, exempelvis ett löneadministrativt system som ska hostas av personuppgiftsbiträdet. Genom tjänsten får biträdet tillgång till den personuppgiftsansvariges personuppgifter och ett personuppgiftsbiträdesavtal måste då i regel ingås.

Eftersom det redan ofta finns ett avtal mellan parterna är det lämpligt att låta personuppgiftsbiträdesavtalet hänvisa till vad i mallen benämns som ”Huvudavtalet”, det vill säga just det avtal som redan finns mellan parterna. För de fall något sådant Huvudavtal inte finns kan man i mallen istället beskriva vad det är personuppgiftsbiträdet ska göra vad gäller personuppgiftsbehandling för den personuppgiftsansvariges räkning. Detta benämns i mallen som ”Uppdraget”. Det sagda är i princip det enda som behöver göras vid användandet av mallen, det vill säga identifiera om det finns ett Huvudavtal eller om det är ett Uppdrag och sen anpassa mallen i de få ställen där en anpassning krävs. 

Om mallarna

Under Relaterad information finns två mallar för personuppgiftsbiträdesavtal, en med kommentarer och en "ren" utan kommentarer. Mallen med kommentarer kan användas för ytterligare vägledning. 

Mallarna är generella och ska ses som vägledande. Mallarna kan behöva justeras för att passa just er specifika verksamhet. Det viktiga är tydlighet och att den information som ska finnas enligt GDPR är med.