Personuppgiftsbiträdesavtal

Vad är ett personuppgiftsbiträdesavtal?

Ett personuppgiftsbiträdesavtal är ett avtal som reglerar hur ett personuppgiftsbiträde ska hantera personuppgifter när biträdet hjälper en personuppgiftsansvarig att hantera dennes personuppgifter. En personuppgiftsansvarig är en juridisk person som bestämmer hur personuppgifterna får användas och personuppgiftsbiträdet är en juridisk person som hjälper den ansvarige att utföra en viss uppgift, till exempel lagra personuppgifterna. Enligt dataskyddsförordningen (GDPR) måste ett personuppgiftsbiträdesavtal ingås mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Avtalet ska enligt GDPR reglera en rad omständigheter, däribland hur personuppgiftsbiträdet får använda personuppgifterna, vilka säkerhetsrutiner som ska implementeras samt hur personuppgiftsbiträdet ska gå tillväga för det fall denne vill anlita egna personuppgiftsbiträden, så kallade underbiträden. 

När borde vi upprätta ett personuppgiftsbiträdesavtal?

Så snart ni ska ta hjälp av någon utanför er egen organisation som kommer hantera de personuppgifter som ni är ansvariga för, eller om ni ska hantera personuppgifter som någon annan ansvarar för så ska ni upprätta ett personuppgiftsbiträdesavtal. Så kan vara fallet om ni till exempel vill köpa en molntjänst att lagra data på, om ni köper en SaaS-tjänst för rekrytering där ni ska lagra data om era arbetssökande eller om ni själva säljer en SaaS-tjänst och vill försäkra er om att ni kan erbjuda era kunder ett tryggt avtal för personuppgiftshantering. Inför varje ingående av avtal ni ska ingå bör ni alltid ställa er frågan om någon part kommer att hantera den andres personuppgifter för att avgöra om ni även ska ingå ett personuppgiftsbiträdesavtal. Man väljer inte själv om man kan ingå personuppgiftsbiträdesavtal, eftersom det är en lagstadgad skyldighet enligt GDPR. Skyldigheten att ha ett avtal på plats  träffar i första hand personuppgiftsansvariga, men det ligger i sakens natur att personuppgiftsbiträden har ett starkt intresse av att kunna erbjuda ett  egna personuppgiftsbiträdesavtal eftersom dessa alltid efterfrågas och det är bra för biträdet att erbjuda  ett avtal som är till biträdets fördel. 

Varför är ett personuppgiftsbiträdesavtal viktigt och varför borde vi ha ett personuppgiftsbiträdesavtal? 

Ett personuppgiftsbiträdesavtal är en mycket viktig del för att uppfylla kraven i GDPR. Utöver lagkraven så finns det även ett egenintresse från respektive part att kunna reglera ansvaret för hanteringen av personuppgifterna. För den personuppgiftsansvarige blir avtalet ett instrument för att kunna uppnå andra skyldigheter i dataskyddsförordningen, till exempel kan den personuppgiftsansvarige säkerställa att den lever upp till artikel 32 i GDPR om lämpliga organisatoriska och tekniska säkerhetsåtgärder genom att kravställa vilken nivå av säkerhet personuppgiftsbiträdet ska uppnå när biträdet hanterar den ansvariges personuppgifter. Ytterligare en viktig aspekt är att reglera var personuppgifterna kommer hanteras rent geografiskt när ni anlitar personuppgiftsbiträdet. Som tumregel bör man som företag inom EU/EES eller UK inte vilja att personuppgiftsbiträdet överför personuppgifterna utanför denna geografiska zon.

Det finns stora risker med att inte följa lagstiftningen. De mest allvarliga överträdelserna kan resultera i böter i upp till 4 % av ett företags globala omsättning eller, beroende på vilket belopp som är högst, 20 miljoner euro. För mindre allvarliga överträdelser kan bötesbeloppet uppgå till 2 % av den globala omsättningen eller 10 miljoner euro, beroende på vilket belopp som är högst.

Vilka är de vanligaste fallgroparna med ett personuppgiftsbiträdesavtal? 

En vanlig fallgrop är att personuppgiftsbiträdesavtalet inte är specifikt baserat på er faktiska situation. Innan ni upprättar ert personuppgiftsbiträdesavtal så måste ni göra en analys av vilka personuppgifter som ska omfattas av avtalet, hur pass kritiska dessa är för ert företag och om det rör sig om personuppgifter som kan vara känsliga från ett integritetsperspektiv.

Personuppgiftsbiträdesavtalet bör vara tydligt utformat avseende krav på respektive part. Kommer ni fram till att personuppgifterna är integritetskänsliga bör ni ställa höga krav på personuppgiftsbiträdet vad gäller säkerhet. Det kan underlätta om ni hänvisar till vedertagna säkerhetsstandarder som till exempel ISO när ni kravställer säkerhet för personuppgifterna.

Ytterligare en fallgrop är att glömma bort att undersöka personuppgiftsbiträdets biträden, så kallade underbitträden. Det spelar ingen roll om ni har varit noggranna med att säkerställa att personuppgiftsbiträdet inte har några servrar utanför EU/EES eller UK om biträdet använder sig av en underleverantör i Indien som kan få tillgång till era personuppgifter. Det kan räcka med att biträdet har en supportfunktion som sitter i ett land som inte har tillräcklig skyddsnivå för personuppgifter för att ni ska ha gjort er skyldiga till en överträdelse av GDPR. 

För att kunna kontrollera att personuppgiftsbiträdet håller vad det lovar är det vanligt förekommande att personuppgiftsbiträdet ges möjlighet till revision av biträdets personuppgiftshantering. Det är då även viktigt att reglera vem som ska stå för kostnaderna som revisionen medför, vem som får utföra revisionen och hur ofta revision får ske.