Det är inte giltigt med muntligt personuppgiftsbiträdesavtal. Enligt huvudregeln inom avtalsrätt, gäller både muntliga och skriftliga avtal lika mycket. Däremot finns det vissa undantag. Exempelvis måste testamente och äktenskapsförord vara skriftliga för att vara giltiga enligt formkrav i lagen. Dessutom måste äktenskapsförord vara registrerade hos Skatteverket för att gälla.
Inte giltigt med muntligt personuppgiftsbiträdesavtal
Sedan GDPR började gälla den 25 maj 2018 behöver företag som behandlar personuppgifter ha vissa avtal och dokument. GDPR är en EU-förordning och därför gäller det för alla medlemsländer samt EES-länderna.
Innan företaget behandlar personuppgifter, måste företaget lämna information om behandlingen till personen ifråga. Det brukar ske genom att företaget upprättar en dataskyddspolicy (även kallad integritetspolicy), som besökare på exempelvis en hemsida accepterar i samband med att avtal ingås. I dataskyddspolicyn ska det bland annat framgå information om ändamålet med behandlingen, vilka kategorier av personuppgifter som blir behandlade och vem som är den personuppgiftsansvarige. Ett företag som inte informerade registrerade om behandlingen fick betala en hög sanktionsavgift.
Dessutom är det vanligt för företag att anlita underbiträden för olika uppdrag. Om personuppgifter ska bli delade till underbiträdet, behöver företaget ingå ett personuppgiftsunderbiträdesavtal med underbiträdet innan personuppgifterna blir delade. Detta avtal måste vara skriftligt enligt formkraven i GDPR.
Vi skriver och granskar dokument och avtal som företag behöver enligt GDPR. Företag behöver bland annat en integritetsskyddspolicy, interna rutiner och en registerförteckning. Dessutom måste vissa företag upprätta en TIA (Transfer impact assesment), LIA (Legitimate interest assesment) eller ingå ett personuppgiftsbiträdesavtal. Vid vissa typer av behandlingar behöver företag även samråda med IMY.