Personuppgiftsbiträdesavtal

Instruktion för personuppgiftsbiträdesavtal

När du som företag anlitar andra underleverantörer som ni delar era personuppgifter med, exempelvis App-företag, IT-företag eller lönehantering eller över huvud taget när andra behandlar personuppgifter för ert företags räkning så kan det behöva upprättas ett Personuppgiftsbiträdesavtal. Läs mer om detta på Datainspektionens sida här (klicka på länken).

Här nedan följer en lite guide på när du behöver teckna ett personuppgiftsbiträde och vad denna ska innehålla.

Underst finner du även en mall på ett underbiträdesavtal

Vad är ett personuppgiftsbiträdesavtal?

En organisation som vill anlita ett personuppgiftsbiträde måste teckna ett skriftligt avtal med biträdet, ett personuppgiftsbiträdesavtal. Avtalet reglerar hanteringen av ett personuppgiftsbiträdes behandling av personuppgifter.

När ska ett personuppgiftsbiträdesavtal tecknas?

Ett personuppgiftsbiträdesavtal ska tecknas när ett personuppgiftsbiträde anlitas för att behandla personuppgifter för den personuppgiftsansvariges räkning.

För att bedöma om ni behöver teckna ett personuppgiftsbiträdesavtal behöver ni känna till skillnaden mellan personuppgiftsansvarig, personuppgiftsbiträde och gemensamt personuppgiftsansvar.

Personuppgiftsansvarig är den som bestämmer varför och hur personuppgifter behandlas.

Personuppgiftsbiträde är den som behandlar personuppgifter för den ansvariges räkning.

Gemensamt personuppgiftsansvarig är de som gemensamt bestämmer hur och varför personuppgifter behandlas.

Vad ska ett personuppgiftsbiträdesavtal innehålla?

I avtalet ska biträdet åta sig att:

  • Bara behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige
  • Se till att personer som har behörighet att behandla personuppgifter hos biträdet har åtagit sig att iaktta tystnadsplikt eller omfattas av lagstadgad sådan
  • Vidta alla tekniska och organisatoriska åtgärder som är nödvändiga för att säkerställa en lämplig säkerhetsnivå i förhållande till riskerna med behandlingen
  • Respektera kraven på förhandstillstånd och avtal vid anlitande av ett annat biträde (ett underbiträde)
  • Vidta lämpliga tekniska och organisatoriska åtgärder så att den personuppgiftsansvarige kan svara på en enskilds begäran om att få utöva sina rättigheter, såsom rätten till information och registerutdrag, rättelse, radering med mera
  • Bistå den personuppgiftsansvarige med att se till att skyldigheterna fullgörs ifråga om säkerhetsåtgärder, anmälan av personuppgiftsincidenter och information om sådana incidenter till de registrerade samt konsekvensbedömning och förhandssamråd
  • Radera eller återlämna alla personuppgifter till den personuppgiftsansvarige (beroende på vad den personuppgiftsansvarige väljer) när uppdraget avslutas och även radera alla kopior
  • Ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att man fullgör alla skyldigheter som man har som biträde samt att möjliggöra och bidra till inspektioner och andra granskningar som den personuppgiftsansvarige vill genomföra.
Vad gäller för eventuella underbiträden?

Ett personuppgiftsbiträde kan i sin tur anlita andra biträden, så kallade underbiträden, men endast om den personuppgiftsansvarige i förväg gett ett skriftligt tillstånd till detta. Tillståndet kan gälla anlitande av ett visst underbiträde eller gälla generellt. Om ett biträde har ett generellt tillstånd måste ändå den personuppgiftsansvarige informeras så att denne ges möjlighet att göra invändningar mot planerna att anlita ett nytt biträde.

Även när ett personuppgiftsbiträde anlitar ett underbiträde måste dessa teckna ett avtal sinsemellan. I det avtalet ska slås fast att underbiträdet omfattas av samma skyldigheter som det ursprungliga biträdet har mot den personuppgiftsansvarige enligt deras avtal.

Den personuppgiftsansvarige behöver även få reda på bland annat kontaktuppgifter till underbiträdet för att kunna utföra eventuella kontroller av hur underbiträdet lever upp till avtalet