Hem / Lavendla Juridik / Affärsjuridik / Personuppgiftsbiträdesavtal
  1. Lavendla Juridik

Personuppgiftsbiträdesavtal

Det är vanligt att företag använder sig av underleverantörer för att effektivisera verksamheten och bl.a. kan lönehantering och IT-tjänster läggas på underleverantörer. Underleverantörerna har då tillgång till personuppgifter och behandlar dessa åt företaget. I sådana situationer är företaget personuppgiftsansvarig och underleverantören personuppgiftsbiträde. Mellan parterna behöver ett personuppgiftsbiträdesavtal upprättas. Har du frågor? Du når Lavendla Juridik på 0770 – 33 90 70 eller på mail.

5 viktiga saker att ha i åtanke när ett personuppgiftsbiträdesavtal upprättas

  1. Utred om personuppgiftsbiträdet är anslutet till en godkänd uppförandekod eller certifieringsmekanism.
  2. Ange tydliga instruktioner över hur och när personuppgiftsbiträdet får behandla personuppgifterna.
  3. Säkerställ att de som får tillgång till personuppgifterna omfattas av tystnadsplikt. Ställ upp krav som garanterar att lämplig säkerhetsnivå upprätthålls och klargör vilka skyldigheter personuppgiftsbiträdet har i förhållande till GDPR.
  4. Tydliggör om och när det är tillåtet för personuppgiftsbiträdet att anlita ett annat personuppgiftsbiträde (s.k. underbiträde).
  5. Formulera rutiner för hur uppgifterna ska hanteras när behandlingstjänsten avslutas.

Ett personuppgiftsbiträdesavtal behövs för att uppfylla kraven i GDPR

Den som behandlar personuppgifter måste se till att behandlingen sker enligt bestämmelserna i GDPR (The General Data Protection Regulation), vilket är en EU-förordning som måste följas. GDPR brukar även kallas för dataskyddsförordningen.

GDPR är tillämplig på alla organisationer som sparar eller behandlar personlig och känslig information om sina anställda eller kunder. Flera verksamheter behöver behandla sådana uppgifter för att överhuvudtaget kunna fungera. 

Ett personuppgiftsbiträdesavtal behöver finnas för att tillgodose kraven i GDPR, exempelvis när ett företag använder en underleverantör som sköter hanteringen av personuppgifter. 

Syftet med GDPR är att känslig information behandlas på rätt sätt

Syftet med GDPR är att se till att känslig information om individer behandlas på ett sätt som inte kränker den personliga integriteten. Vidare syftar GDPR att se till så att hanteringen av personuppgifter blir enhetlig inom EU.

Personlig integritet är en grundlagsskyddad rättighet. Tidigare var personuppgiftslagen den huvudsakliga lagen som behandlade hantering av personliga uppgifter och känsliga information, men lagen har sedan år 2018 ersatts av GDPR. 

Frågor? Kontakta oss för en personlig konsultation

Integritetsskyddsmyndighetens arbete med GDPR

Integritetsskyddsmyndigheten (före detta datainspektionen) är en svensk myndighet vars uppgift bl.a. är att se till att personuppgifter behandlas på ett sätt som inte kränker människors integritet. Det kan exempelvis handla om uppgifter som rör en individs hälsa och ekonomi.

I integritetsskyddsmyndighetens arbete ingår att se till att GDPR efterlevs, men myndigheten undersöker även att andra lagar relaterade till personuppgifter följs (t.ex. brottsdatalagen och kamerabevakningslagen). Integritetsskyddsmyndigheten har även insyn över inkasso- och kreditupplysningsområdet med uppdrag att se till att dessa lever upp till god sed.

Integritetsskyddsmyndighetens arbete kan delas in i fyra huvudområden:

  1. Granska och kontrollera organisationer (vanligen genom tillsyn).
  2. Ge tillstånd.
  3. Samverka med EU.
  4. Informera, bevaka och följa.

Personuppgiftsbiträdesavtal behövs för att slippa riskera höga böter

Varje gång ett företag för över personuppgifter från en av företagets kunder till underleverantörer eller samarbetspartners ställs krav på att personuppgiftsbiträdesavtal finns mellan parterna enligt GDPR. Syftet med personuppgiftsbiträdesavtalet är att hanteringen av personuppgifter ska skötas i enlighet med GDPR. Ifall ett företag bryter mot bestämmelserna i GDPR kan det leda till allvarliga konsekvenser. 

Integritetsskyddsmyndigheten kontrollerar kontinuerligt hantering av personuppgifter och kan ge varningar, sanktioner och höga böter mot företag som brister i hanteringen. Företag som inte lever upp till GDPR riskerar att få betala avgifter som kan gå upp till hela fyra procent av bolagets omsättning (det finns dock finns ett maxtak på 20 miljoner Euro).

Genom att ha ett personuppgiftsbiträdesavtal säkerställs att företag efterlever reglerna som finns i GDPR och att en eventuell skadeståndsskyldighet fördelas på den part som har brustit i sin hantering av personuppgifter.

Vem är personuppgiftsansvarig och personuppgiftsbiträde?

Den personuppgiftsansvarige är den som avgör till vilket ändamål personuppgifterna ska samlas in och hur behandlingen av uppgifterna ska gå till. Det är viktigt att behandlingen följer de regler och krav som ställs upp i GDPR.

En organisation som behandlar personuppgifter på uppdrag av en personuppgiftsansvarig kallas för personuppgiftsbiträde. Vissa av skyldigheterna som tidigare gällde enbart för den personuppgiftsansvarige gäller numera även för personuppgiftsbiträdet efter att GDPR trätt i kraft.

8 exempel på vad personuppgiftsbiträdet ska ta hänsyn till

  1. Att personuppgifter endast behandlas enligt instruktioner från personuppgiftsansvarige.
  2. Att de personer som hanterar personuppgifterna omfattas av tystnadsplikt.
  3. Personuppgiftsbiträdet vidtar åtgärder som är nödvändiga för att säkerställa lämplig säkerhetsnivå i relation till riskerna för personuppgiftsbehandlingen.
  4. Personuppgiftsbiträdet vidtar åtgärder så att den personuppgiftsansvarige kan besvara begäran från enskild att få tillgång till sina personuppgifter. 
  5. Personuppgiftsbiträdet beaktar kraven för förhandstillstånd samt avtal vid eventuellt anlitande av ett underbiträde.
  6. Hjälper den personuppgiftsansvarige att se till att skyldigheter i form av säkerhetsåtgärder efterlevs.
  7. Raderar alternativt återlämnar personuppgifter till den personuppgiftsansvarige när uppdraget är slutfört.
  8. Tillhandahåller all information till personuppgiftsansvarig som är nödvändig för att understryka att biträdet fullgör sina skyldigheter, och möjliggöra inspektioner och granskningar som den personuppgiftsansvariga önskar vidta. 

Vill du veta mer om personuppgiftsbiträdesavtal?

Kontakta oss på Lavendla Juridik för en personlig konsultation. Vi erbjuder hjälp på dina villkor. Du kommer i kontakt med våra jurister genom formuläret ovan, genom att ringa oss på 0770-33 90 70 eller genom att maila till oss.

Lavendla Juridik finns i hela Sverige

Oavsett var i landet du befinner dig så kan vi på Lavendla Juridik hjälpa dig. Lavendla Juridik kan hjälpa dig med ett Personuppgiftsbiträdesavtal och har jurister verksamma i Stockholm, Göteborg och Malmö, men även i resten av Sverige.  Vi erbjuder service på dina villkor, vare sig du vill få hjälp över telefon, digitalt eller genom ett personligt möte. Kontakta oss för en personlig konsultation!

Skrivet av Catharina Looft

Chefsjurist

Catharina har över 20 års praktisk erfarenhet av familjejuridik och har både undervisat på universitet samt haft ledande positioner i flertalet juridiska företag. Som chefsjurist är Catharina ansvarig för Lavendlas jurister och dess utbildning som kvalitetssäkring. Catharina är verksam på Lavendlas huvudkontor i Stockholm.