Personuppgiftsbiträdesavtal

När en personuppgiftsansvarig anlitar ett personuppgiftsbiträde ska de upprätta ett personuppgiftsbiträdesavtal där de skriftligen avtalar om vissa minimikrav avseende behandlingen av personuppgifterna, enligt lagkravet i artikel 28 GDPR.

Personuppgiftsbiträdesavtal mellan en ansvarig och ett biträde

Det är vanligt att företag upprättar och ingår dessa avtalsvillkor genom ett separat personuppgiftsbiträdesavtal, som utgör en bilaga till det huvudavtal som parterna har ingått med varandra.

I det skriftliga avtalet mellan parterna måste det bland annat tydligt framgå att personuppgiftsbiträdet endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige. Personuppgiftsbiträdet ska även i avtalet säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta sekretess.

Ett företag som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde. Dessutom är det vanligt för en personuppgiftsansvarig att anlita ett personuppgiftsbiträde.

Exempel på behandling av personuppgifter som blir utförd av ett personuppgiftsbiträde

Nedan följer ett exempel på när ett personuppgiftsbiträde behandlar personuppgifter på en personuppgiftsansvarigs vägnar.

Ett företag (nedan kallad ”Uppdragsgivaren”) ger i uppdrag åt ett annat företag (nedan kallad ”Uppdragstagaren”) att behandla personuppgifter för ett specifikt ändamål, i enlighet med angivna instruktioner.

Uppdraget innebär att Uppdragstagaren ska marknadsföra nya produkter mot Uppdragsgivarens befintliga kunder, i syfte att få dem att återkomma som kunder. För att kunna genomföra detta uppdrag, behöver Uppdragstagaren behandla kundernas personuppgifter, såsom namn och e-postadress, vilka kunderna tidigare har tillhandahållit till Uppdragsgivaren.

Innan dessa personuppgifter blir delade till Uppdragstagaren, ska Uppdragsgivaren och Uppdragstagaren skriftligen avtala om de minimikrav som framgår av artikel 28 GDPR, exempelvis genom att ingå ett personuppgiftsbiträdesavtal.

Därefter kan behandlingen av personuppgifterna bli genomförd för Uppdragsgivarens räkning och i enlighet med dennes skriftliga instruktioner som framgår av det skriftliga ingångna avtalet.

Det är viktigt att tydligt avtala om att Uppdragstagaren inte får behandla personuppgifterna för andra ändamål, än för att fullgöra uppdraget i fråga.

När ett personuppgiftsbiträde anlitar ett personuppgiftsunderbiträde

Det är inte heller ovanligt för ett personuppgiftsbiträde att anlita ett annat underbiträde (personuppgiftsunderbiträde), för utförande av specifik behandling på den personuppgiftsansvariges vägnar. Vid sådana fall ska dessa två biträden också ingå ett personuppgiftsbiträdesavtal med varandra.

Något som är viktigt att känna till är att det enligt GDPR framgår att om det andra personuppgiftsbiträdet inte fullgör sina skyldigheter i fråga om dataskydd, ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarig gentemot den personuppgiftsansvarige för utförandet av det andra personuppgiftsbiträdets skyldigheter.

Nedan följer ett exempel på när ett personuppgiftsbiträde anlitar ett personuppgiftsunderbiträde, föra att båda dessa ska behandla personuppgifter på en personuppgiftsansvarigs vägnar.

Den personuppgiftsansvarige säljer kläder online. Den personuppgiftsansvarige anlitar ett företag för att bygga och ta hand om driften av e-handelsplattformen. Det anlitade företaget blir vid sådana fall ett personuppgiftsbiträde, eftersom de kommer att få tillgång till och eventuellt behandla personuppgifter tillhörande kunderna som genomför beställningar.

Den personuppgiftsansvarige vill att kunderna ska kunna chatta direkt med kundtjänsten på webbplatsen, men personuppgiftsbiträdet behöver anlita ett annat företag för att ta fram verktyget.

Det företags som personuppgiftsbiträdet anlitar för att utföra denna delen av uppdraget, kommer därmed också få tillgång till kundernas personuppgifter och därför blir de ett personuppgiftsunderbiträde.

Det är viktigt att tänka på att den personuppgiftsansvarige måste ge tillstånd till personuppgiftsbiträdet för att denne ska få anlita ett underbiträde. Dessutom ska det vara ett skriftligt tillstånd.

Vi skriver och granskar avtal till fasta priser

Gratis juridikskolor

Vi driver olika gratis juridikskolor för företagare på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.

På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_CND1TJSVVT	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_1	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.