Den som är ansvarig för behandling av personuppgifter är också ansvarig för sina underleverantörer. Verktyget för att behålla kontrollen heter personuppgiftsbiträdesavtal. Här får du veta mer om det.
Lagar & regler > Personuppgiftsbiträdesavtal
Den här texten innehåller inte juridiska råd. Den är en översiktlig presentation av några enstaka delar av lagen. Texten har som mål att ge en enkel introduktion eftersom många företag påverkas och behöver ta ställning till om man behöver söka juridisk rådgivning.
Den ansvarige
Den som bestämmer att personuppgifter ska samlas in och vad de ska användas till är personuppgiftsansvarig i lagens mening. Med ansvaret följer skyldigheter att värna uppgifterna, att informera den registrerade samt andra skyldigheter GDPR ålägger. Det är organisationen eller företaget som får denna roll, inte de anställda som utför uppgifterna. Den ansvarige är alltid 100 procent ansvarig. Det går inte att dela på detta ansvar.
Biträdet
Ofta har den som behandlar personuppgifter en underleverantör som man för över uppgifter till. Det kan vara en datahall, en mail-leverantör, ett kreditupplysningsföretag eller annan part. En sådan part kallas personuppgiftsbiträde. Kom ihåg att den som är personuppgiftsansvarig har det fulla ansvaret hela tiden.
Avtalet
För att stödja den ansvarige kräver GDPR att om man delar data med någon annan, till exempel en underleverantör, måste det finnas ett avtal som binder underleverantören till att följa lagens krav. Det är detta som är ett personuppgiftsbiträdesavtal. Låt oss kalla det ”biträdesavtal” i den här texten.
Enligt GDPR ska biträdesavtalet reglera att biträdet:
- Bara behandlar personuppgifter enligt dokumenterad instruktion.
- Se till att alla som behandlar uppgifterna har åtagit sig att iaktta konfidentialitet.
- Upprätthåller en anpassat hög säkerhetsnivå såväl med rutiner som i utrustning.
- Låter den ansvariga godkänna eventuella underbiträden samt tecknar biträdesavtal om biträde anlitas.
- Bistår den ansvariga när någon registrerad vill utnyttja sina rättigheter.
- Bistår den ansvariga kring säkerhet, dataintrång och andra skyldigheter.
- Radera eller återlämna data vid avtalets upphörande.
- Ge den ansvariga möjlighet att kontrollera att biträdet fullföljer sina skyldigheter ovan.
Underbiträden
Det gamla ordspråket ”Min dräng har också en dräng” var kanske lite roligt en gång i tiden men idag är det snarare regel än undantag. Många varor och tjänster levereras som slutprodukt via en lång kedja av underleverantörer. Man kan säga att ordspråket ”Skomakare, bli vid din läst” har fått en renässans. Var och en gör det den är bäst på. Allt annat köper man in.
Underbiträdesavtal
Om man har rätt att använda ett underbiträde så ska man teckna ett biträdesavtal mellan sig själv som biträde och underbiträdet. Principen för det avtalet är samma som för det vanliga biträdesavtalet.
Tips
Följ personuppgifterna, följ datan. Det är tumregeln för att hitta alla som berörs och ska bindas med biträdesavtal. Ett bra tips är att rita upp flödet. Det kan vara ett enkelt flödesdiagram på papper. Vår erfarenhet är att det är först när man visar vad som händer som man riktigt börjar förstå detaljerna.
Visma Spcs och våra kunder
Som alla andra företag ska vi ha biträdesavtal med våra kunder. Det har vi sedan många år eftersom det är ett krav redan i Personuppgiftslagen (PUL).
Vill du veta mer? Kika på vår samlingssida om GDPR
Här arbetar experter, journalister och skribenter med att ta fram aktuell och intressant information för dig som ska starta eller driver företag. Våra artiklar uppdateras löpande men upptäcker du något fel är du välkommen att kontakta oss.
