När krävs ett personuppgiftsbiträdesavtal?

Den som är personuppgiftsansvarig ansvarar för att personuppgifter hanteras korrekt i alla led. Ansvaret gäller alltså även om man anlitar underleverantörer. För att ha full kontroll över personuppgifterna krävs – i vissa situationer – att det upprättas ett personuppgiftsbiträdesavtal.

     

den 16 augusti 2018 Anna Schönfelder

Införandet av EU:s dataskyddsförordning (GDPR) skedde den 25 maj i år, och alla organisationer ska numera följa de nya reglerna. Som arbetsgivare är det viktigt att kartlägga hur personuppgifterna hanteras i den egna verksamheten. Det handlar om att ta kontroll och säkerställa att personuppgifter hanteras enligt förordningens bestämmelser.

Det är mycket vanligt att arbetsgivare använder sig av olika underleverantörer, t ex att man outsourcar lönehanteringen, anlitar rekryteringsföretag eller IT-leverantörer. Dessa underleverantörer hanterar ofta personuppgifter för den personuppgiftsansvariges räkning.

När en personuppgiftsansvarig lämnar ut personuppgifter till ett biträde är det viktigt att säkerställa att uppgifterna hanteras korrekt. Det är alltid den som är personuppgiftsansvarig som ytterst ansvarar för att underleverantörer hanterar personuppgifterna rätt.

För att behålla kontrollen över personuppgifter ska ett personuppgiftsbiträdesavtal upprättas mellan parterna (den som är personuppgiftsansvarig och den som är personuppgiftsbiträde). Det är den som är personuppgiftsansvarig som ska se till att ett sådant avtal upprättas.

Vad ska ett biträdesavtal innehålla?

I dataskyddsförordningen finns detaljerade bestämmelser om vad ett personuppgiftsbiträdesavtal ska innehålla. Här är några punkter som ska finnas med i ett avtal

  • Behandlingens varaktighet, art och ändamål
  • Typen av personuppgifter
  • Kategorier av registrerade
  • Rättigheter och skyldigheter
  • Dokumenterade instruktioner om hur personuppgifterna får behandlas
  • Överföring till tredje land

Vad gäller för underbiträden?

Det händer att ett personuppgiftsbiträde anlitar ett annat biträde, ett underbiträde. För att detta ska vara möjligt krävas att den personuppgiftsansvariga ger sitt tillstånd. När ett personuppgiftsbiträde anlitar ett underbiträde måste det upprättas ett avtal mellan parterna.

Vill du veta mer om personuppgiftsbiträdesavtal och få hjälp med åtgärder och kartläggning inför GDPR? Läs mer om Servicepaket Dataskydd i arbetslivet


Välkommen på webinar!

29 maj: Ett år med GDPR

Nu har det snart gått ett år sedan den nya dataskyddsförordningen – GDPR – infördes. Har era rutiner satt sig eller finns det områden som fortfarande känns oklara?

Under det här webinaret kommer Linn Samuelsson, advokat på MAQS Advokatbyrå, att kolla på vad som har skett under året som gått och vilka tillsynsområden du bör ha extra koll på!

Tid: 29 maj kl 10:00  Till anmälan