1. Lavendla Juridik

Personuppgiftsbiträdesavtal

Det är vanligt att företag använder sig av underleverantörer för att effektivisera verksamheten. Några typiska exempel är att lönehanteringen eller att IT-tjänster läggs på underleverantörer. I dessa fall har underleverantörerna tillgång till personuppgifter och behandlar dessa å företagets vägnar. Företaget är i en sådan situation personuppgiftsansvarig och underleverantören är ett personuppgiftsbiträde. Mellan personuppgiftsansvarige och personuppgiftsbiträdet behöver ett personuppgiftsbiträdesavtal finnas.

 

Vad är personuppgiftsbiträdesavtal?

Den som behandlar personuppgifter, måste tillse att personuppgiftsbehandlingen sker i enlighet med bestämmelserna  i EU-förordningen The General Data Protection Regulation (GDPR) eller på  svenska kallad dataskyddsförordningen. Ett personuppgiftsbiträdesavtal behöver finnas för att tillgodose kraven i GDPR, exempelvis när ett företag använder en underleverantör som sköter hanteringen av personuppgifter. 

5 saker att ha i åtanke när du upprättar ett personuppgiftsbiträdesavtal

  1. Utred om personuppgiftsbiträdet är anslutet till en godkänd uppförandekod eller certifieringsmekanism.
  2. Ange tydliga instruktioner över hur och när personuppgiftsbiträdet får behandla personuppgifterna.
  3. Säkerställ att de som får tillgång till personuppgifterna omfattas av tystnadsplikt. Ställ upp krav som garanterar att lämplig säkerhetsnivå upprätthålls och klargör vilka skyldigheter personuppgiftsbiträdet har i förhållande till GDPR.
  4. Tydliggör om och när det är tillåtet för personuppgiftsbiträdet att anlita ett annat personuppgiftsbiträde (s.k. underbiträde).
  5. Formulera rutiner för hur uppgifterna ska hanteras när behandlingstjänsten avslutas.

The General Data Protection Regulation (GDPR)

GDPR är tillämplig på alla organisationer som sparar eller behandlar personlig och känslig information om sina anställda eller kunder. Flera verksamheter behöver behandla sådana uppgifter för att överhuvudtaget kunna fungera. 

 

Vad är syftet med GDPR? 

Syftet är att se till att känslig information om individer behandlas på ett sätt som inte kränker den personliga integriteten. Vidare syftar GDPR att se till så att hanteringen av personuppgifter blir enhetlig inom EU. Personlig integritet är en grundlagsskyddad rättighet. Tidigare var personuppgiftslagen den huvudsakliga lag som behandlade hantering av personliga uppgifter och känsliga information, men den har sedan år 2018 ersatts av GDPR. 

 

Datainspektionen och GDPR

Datainspektionen är en svensk myndighet vars uppgift bland annat är att se till att personuppgifter behandlas på ett sätt som inte kränker människors integritet. Det kan exempelvis handla om uppgifter som rör en individs hälsa och ekonomi. I datainspektionens arbete ingår att se till att GDPR efterlevs, men även annan lagstiftning relaterad till personuppgifter såsom brottsdatalagen och kamerabevakningslagen. Datainspektionen har även insyn över inkasso- och kreditupplysningsområdena med uppdrag att se till att dessa lever upp till god sed.

 

Datainspektionens arbete kan delas in i fyra huvudområden:

  • Granska och kontrollera organisationer (vanligen genom tillsyn).
  • Ge tillstånd.
  • Samverkan med EU.
  • Informera, bevaka och följa.

 

Varför behövs ett personuppgiftsbiträdesavtal?

Varje gång ert bolag för över personuppgifter från en av era kunder till underleverantörer/samarbetspartners så finns ett krav enligt GDPR på att ett personuppgiftsbiträdesavtal finns mellan er. Syftet med avtalet är att hanteringen av personuppgifter ska skötas i enlighet med GDPR. Bryter ett företag mot GDPR så kan det få allvarliga konsekvenser. 

Datainspektionen kontrollerar kontinuerligt hantering av personuppgifter och kan tilldela varningar, sanktioner och höga böter mot företag som brister i hanteringen. Företag som brister i sin behandling av personuppgifter riskerar att betala sanktionsavgifter från Datainspektionen på upp till fyra procent av bolagets omsättning (Dock max 20 miljoner Euro).

Genom att ha ett personuppgiftsbiträdesavtal på plats säkerställer du att ditt företag efterlever de regler som finns enligt GDPR och att en eventuell skadeståndsskyldighet fördelas på den part som har brustit i sin hantering av personuppgifter.

 

När behövs ett personuppgiftsbiträdesavtal?

Det är inte tillåtet att överföra behandlingen av personuppgifter till en tredje part hur som helst. När ett personuppgiftsbiträde behandlar personuppgifter på uppdrag av en personuppgiftsansvarig ska ett personuppgiftsbiträdesavtal upprättas. GDPR reglerar vad ett sådant avtal ska innehålla.

Den personuppgiftsansvarige bär det yttersta ansvaret för att behandlingen sker i enlighet med GDPR och riskerar att drabbas av höga bötesbelopp om behandlingen utförs felaktigt. Att personuppgiftsbiträdesavtalet upprättas korrekt är därför väldigt viktigt. Om den personuppgiftsansvarige misslyckas med att leva upp till de bestämmelser som följer av GDPR kan följden i värsta fall bli mycket höga böter.

 

Vem är personuppgiftsansvarig?

Den personuppgiftsansvarige är den som avgör vilket ändamål personuppgifterna ska samlas in för och hur behandlingen ska gå till. Det är viktigt att behandlingen följer de regler och krav som ställs upp i GDPR.

 

Vem är personuppgiftsbiträde?

En organisation som behandlar personuppgifter på uppdrag av en personuppgiftsansvarig kallas för personuppgiftsbiträde. Vissa av de skyldigheter som tidigare enbart gällde för den personuppgiftsansvarige gäller numera, efter att GDPR trädde i kraft, även för personuppgiftsbiträdet.

 

Exempel på vad personuppgiftsbiträdet har att ta i beaktning

  • Att personuppgifter endast behandlas enligt instruktioner från personuppgiftsansvarige.
  • Att de personer som hanterar personuppgifterna omfattas av tystnadsplikt.
  • Personuppgiftsbiträdet vidtar åtgärder som är nödvändiga för att säkerställa lämplig säkerhetsnivå i relation till riskerna för personuppgiftsbehandlingen.
  • Personuppgiftsbiträdet beaktar kraven för förhandstillstånd samt avtal vid eventuellt anlitande av ett underbiträde.
  • Personuppgiftsbiträdet vidtar åtgärder så att den personuppgiftsansvarige kan besvara begäran från enskild att få tillgång till sina personuppgifter. 
  • Hjälper den personuppgiftsansvarige att se till att skyldigheter i form av säkerhetsåtgärder efterlevs.
  • Raderar alternativt återlämnar personuppgifter till den personuppgiftsansvarige när uppdraget är slutfört.
  • Tillhandahåller all information till personuppgiftsansvarig som är nödvändig för att understryka att biträdet fullgör sina skyldigheter, och möjliggöra inspektioner och granskningar som den personuppgiftsansvariga önskar vidta. 

 

Mallar på personuppgiftsbiträdesavtal enl. GDPR

Det finns flera personuppgiftsbiträdesavtalsmallar att tillgå över internet, men det är viktigt att personuppgiftsbiträdesavtalet anpassas efter ert specifika bolag och avtalsförhållande med personuppgiftsbiträdet. Det är den personuppgiftsansvarige som ansvarar för att det finns ett personuppgiftsbiträdesavtal. 

 

Avtalet ska bland annat ange:

  • Varför samt hur länge som personuppgifterna behandlas.
  • Ändamålet för behandlingen.
  • Vilka kategorier av registrerade personer personuppgifterna avser.

 

Vill du veta mer om personuppgiftsbiträdesavtal?

Kontakta oss på Lavendla för en kostnadsfri konsultation. Vi erbjuder hjälp på dina villkor. Oavsett om du vill ha hjälp online, via telefon eller genom ett personligt möte så finns våra företagsjurister tillgängliga för att hjälpa dig! Du kommer i kontakt med våra jurister genom formuläret nedan eller genom att ringa oss på 0770-33 90 70.

 

Lavendla Juridik finns i hela Sverige

Oavsett var i landet du befinner dig så kan vi på Lavendla Juridik hjälpa dig. Lavendla Juridik kan hjälpa dig med ett Personuppgiftsbiträdesavtal och har jurister verksamma i Stockholm, Göteborg och Malmö, men även i resten av Sverige.  Vi erbjuder service på dina villkor, vare sig du vill få hjälp över telefon, digitalt eller genom ett personligt möte. Kontakta oss för en kostnadsfri konsultation!

Lavendla Juridik