You are currently viewing Personuppgiftsbiträdesavtal med biträden

Personuppgiftsbiträdesavtal med biträden

Personuppgiftsansvarig ska ingå skriftligt personuppgiftsbiträdesavtal med biträden enligt GDPR, innan personuppgifterna blir delade. Det är den personuppgiftsansvarige som ansvarar för att se till att de ingår personuppgiftsbiträdesavtalet. Många företag använder externa parter som ett led i sin verksamhet, som utför olika typer av behandlingar där de behandlar personuppgifter i samband med arbetet.

Exempel på aktörer som agerar i egenskap av personuppgiftsbiträden är applikationsutvecklare, som tar hand om ett företags applikation och därigenom behandlar eller har tillgång till personuppgifter som tillhör applikationens användare. Även ekonomisystem och redovisningskonsulter agerar i egenskap av personuppgiftsbiträden till sina kunder, när de tar hand om kundernas bokföring, fakturering och har tillgång till personuppgifter som tillhör företagets kunder och leverantörer.

Personuppgiftsbiträdesavtal medbiträden är ett krav enligt GDPR

Ett personuppgiftsbiträdsavtal med biträden måste vara skriftligt för att gälla enligt formkrav i GDPR. Det har ingen betydelse om personuppgiftsbiträdet är en fysisk eller juridisk person. Dessutom kan det vara en myndighet eller något annat organ. Det är viktigt att ett personuppgiftsbiträde följer GDPR, annars kan de få konsekvenser. Bland annat behöver de ha tillräckliga säkerhetsåtgärder för att säkerställa att personuppgifterna inte läcker ut till obehöriga eller blir behandlade på ett sätt som strider mot instruktionerna som den personuppgiftsansvariga har lämnat. 

Ett personuppgiftsbiträdesavtal ska bland annat innehålla:

  • Garantier om att personuppgiftsbiträdet kommer behandla personuppgifterna i enlighet med GDPR och ha tillräckliga tekniska åtgärder. Såsom tillräcklig säkerhet samt organisatoriska åtgärder.  
  • Bestämmelse som reglerar under vilka förutsättningar ett personuppgiftsbiträde får anlita något annat underbiträde. Ofta måste den personuppgiftsansvarige som anlitat personuppgiftsbiträdet ge tillstånd till det innan. 
  • Instruktioner för behandlingen. Dessutom ska det stå med om personuppgifterna får bli överförda till ett tredje land. Det är ett land som inte är medlem i EU eller tillhör EES-länderna och då är reglerna striktare. 
  • ett åtagande som innebär att de personer som kommer behandla personuppgifterna ska vara omfattade av tystnadsplikt. Exempelvis anställda. Därför är det bra att upprätta ett sekretessavtal gällande detta mellan de som är behöriga för behandlingen och företaget de anställda arbetar på. 

Vi skriver och granskar avtal till företag och företagare, bland annat avtal och dokument om GDPR. Dessutom har vi skapat hemsidan www.AvtalGDPR.se där vi har samtal mer information om GDPR. Våra priser är alltid fasta. Se vår prislista. 

Mer information

Här kan du läsa mer om:

Gallring av personuppgifter enligt GDPR.