Personuppgiftsbiträdesavtal

Det är vanligt att företag använder sig av underleverantörer för att effektivisera verksamheten. Några typiska exempel är att lönehanteringen eller IT-tjänsterna läggs på underleverantörer. I dessa fall har underleverantörerna tillgång till personuppgifter och behandlar dessa å företagets vägnar. Företaget är i en sådan situation personuppgiftsansvarig och underleverantören är ett personuppgiftsbiträde.  

5 saker att ha i åtanke när du upprättar ett personuppgiftsbiträdesavtal

  1. Utred om personuppgiftsbiträdet är anslutet till en godkänd uppförandekod eller certifieringsmekanism.
  2. Ange tydliga instruktioner över hur och när personuppgiftsbiträdet får behandla personuppgifterna.
  3. Säkerställ att de som får tillgång till personuppgifterna omfattas av tystnadsplikt. Ställ upp krav som garanterar att lämplig säkerhetsnivå upprätthålls och klargör vilka skyldigheter personuppgiftsbiträdet har i förhållande till GDPR.
  4. Tydliggör om och när det är tillåtet för personuppgiftsbiträdet att anlita ett annat personuppgiftsbiträde (s.k. underbiträde).
  5. Formulera rutiner för hur uppgifterna ska hanteras när behandlingstjänsten avslutas.

Hanterar ditt bolag personuppgifter? Då är det viktigt att ett personuppgiftsbiträdesavtal finns på plats.

Ett långt och krångligt ord med en viktig betydelse. För dig som har ett bolag som hanterar personuppgifter så finns även ett ansvar för dina underleverantörer och samarbetspartners. Det innebär att ditt bolag måste ha kontroll över att era underleverantörer och samarbetspartners uppfyller de krav som ställs enligt GDPR. Detta gör ni genom att ha ett personuppgiftsbiträdesavtal.

Varför behövs du ett personuppgiftsbiträdesavtal?

Varje gång ert bolag för över personuppgifter från en av era kunder till underleverantörer/samarbetspartners så finns ett krav enligt GDPR på att ett personuppgiftsbiträdesavtal finns mellan er. Syftet med avtalet är att hanteringen av personuppgifter ska skötas i enlighet med GDPR. Bryter ett företag mot GDPR så kan det få allvarliga konsekvenser. Datainspektionen kontrollerar kontinuerligt hantering av personuppgifter och kan tilldela varningar, sanktioner och höga böter mot företag som brister i hanteringen. Företag som brister i sin behandling av personuppgifter riskerar att betala sanktionsavgifter från Datainspektionen på upp till fyra procent av bolagets omsättning (Dock max 20 miljoner Euro).

Genom att ha ett personuppgiftsbiträdesavtal på plats säkerställer du att ditt företag efterlever de regler som finns enligt GDPR och att en eventuell skadeståndsskyldighet fördelas på den part som har brustit i sin hantering av personuppgifter.

När behövs ett personuppgiftsbiträdesavtal?

Det är inte tillåtet att överföra behandlingen av personuppgifter till en tredje part hur som helst. När ett personuppgiftsbiträde behandlar personuppgifter på uppdrag av en personuppgiftsansvarig ska ett personuppgiftbiträdesavtal upprättas. GDPR reglerar vad ett sådant avtal ska innehålla.

Den personuppgiftsansvarige bär det yttersta ansvaret för att behandlingen sker i enlighet med GDPR och riskerar att drabbas av höga bötesbelopp om behandlingen utförs felaktigt. Att personuppgiftsbiträdesavtalet upprättas korrekt är därför väldigt viktigt. Om den personuppgiftsansvarige misslyckas med att leva upp till de bestämmelser som följer av GDPR kan följden i värsta fall bli mycket höga böter.

Vem är personuppgiftsansvarig?

Den personuppgiftsansvarige är den som avgör vilket ändamål personuppgifterna ska samlas in för och hur behandlingen ska gå till. Det är viktigt att behandlingen följer de regler och krav som ställs upp i GDPR.

Vem är personuppgiftsbiträde?

En organisation som behandlar personuppgifter på uppdrag av en personuppgiftsansvarig kallas för personuppgiftsbiträde. Vissa av de skyldigheter som tidigare enbart gällde för den personuppgiftsansvarige gäller numera, efter att GDPR trädde i kraft, även för personuppgiftsbiträdet.

Vill du veta mer om personuppgiftsbiträdesavtal?

Kontakta oss på Lavendla för en kostnadsfri konsultation. Vi erbjuder hjälp på dina villkor. Oavsett om du vill ha hjälp online, via telefon eller genom ett personligt möte så finns våra företagsjurister tillgängliga för att hjälpa dig! Du kommer i kontakt med våra jurister genom formuläret nedan eller genom att ringa oss på 0770 33 90 70.

Lavendla Juridik finns i hela Sverige

Oavsett var i landet du befinner dig så kan vi på Lavendla Juridik hjälpa dig. Lavendla Juridik kan hjälpa dig med ett Personuppgiftsbiträdesavtal och har jurister verksamma i Stockholm, Göteborg och Malmö, men även i resten av Sverige.  Vi erbjuder service på dina villkor, vare sig du vill få hjälp över telefon, digitalt eller genom ett personligt möte. Kontakta oss för en kostnadsfri konsultation!

Lavendla Juridik