Alla kategorier › GDPR ›

Personuppgiftsbiträdesavtal

Ett personuppgiftsbiträdesavtal ska upprättas av den personuppgiftsansvarige och personuppgiftsbiträdet . I detta ska anges föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsuppgiftansvariges skyldigheter och rättigheter.  Nedan presenteras vad som ska ingå i ett personuppgiftsbiträdesavtal.

Garantier

Personuppgiftsbiträdet ska lämna tillräckliga garantier som att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven enligt GDPR och säkerställer att den registrerades rättigheter skyddas.

Annat personuppgiftsbiträde

Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt tillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.

Specifika klausuler i personuppgiftsbiträdesavtalet

Nedan anger specifika klausuler och innehåll i ett personuppgiftsbiträdesavtal.

1. I personuppgiftsbiträdesavtalet ska personuppgiftsbiträdet få dokumenterade instruktioner från den personuppgiftsansvarige ;
2. Personuppgiftsbiträdet ska säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt;
3. Personuppgiftsbiträdet ska respektera de villkor som avses rörande anlitande av ett annat personuppgiftsbiträde;
4. Personuppgiftsbiträdet ska vidta alla åtgärder som krävs för att uppfylla säkerhetsregleringarna i GDPR;
5. Personuppgiftsbiträdet ska respektera de villkor som avses rörande anlitande av ett annat personuppgiftsbiträde;
6. Personuppgiftsbiträdet ska hjälpa den personuppgiftsansvarige genom att införa lämpliga tekniska och organisatoriska åtgärder så att den personuppgiftsansvarige ska klara av att fullgöra sin skyldighet att lämna information till registrerade och ge dem tillgång till sina personuppgifter. Detsamma gäller möjligheten till rättelse, radering och dataportabilitet m.m.;
7. Personuppgiftsbiträdet ska bistå den personuppgiftsansvarige med att se till att skyldigheterna rörande säkerhet och anmälan om säkerhetsincident fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå;
8. Personuppgiftsbiträdet ska, beroende på vad den personuppgiftsansvarige väljer, antingen radera eller återlämna personuppgifter till den personuppgiftsansvarige efter det att biträdesavtalet har avslutats. Personuppgiftsbiträdet ska i detta fall radera befintliga kopior.
9. Personuppgiftsbiträdet ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i punkterna ovan har fullgjorts. Denne ska också möjliggöra och bidra till granksingar. Detta omfattar inspektioner, som genomförs av den personuppgiftsansvarige eller av en anna revisor som bemyndigats av den personuppgiftsansvarige.
10. Personuppgiftsbiträdet ska omedelbart informera den personuppgiftsansvarige om det anser att en instruktion strider mot GDPR.

Certifiering

Ett personuppgiftsbiträdes anslutning till en godkänd certifiering får användas för att visa att tillräckliga garantier tillhandahålls.

Skriftlighetskrav

Ett personuppgiftsbiträdesavtal ska upprättas skriftligen, vilket innefattar elektroniskt format (tex. PDF).

Överträdelse av biträdesavtal

Om ett personuppgiftsbiträde överträder GDPR genom att själv fastställa ändamålen med och medlen för behandlingen, ska personuppgiftsbiträdet anses vara personuppgiftsansvarig rörande den behandlingen.