GDPR-relaterade avtal och dokument
Personuppgiftsbiträdesavtal
När en personuppgiftsansvarig anlitar ett personuppgiftsbiträde ska de upprätta ett personuppgiftsbiträdesavtal där de skriftligen avtalar om vissa minimikrav avseende behandlingen av personuppgifterna, enligt lagkravet i artikel 28 GDPR.
Personuppgiftsbiträdesavtal mellan en ansvarig och ett biträde
Det är vanligt att företag upprättar och ingår dessa avtalsvillkor genom ett separat personuppgiftsbiträdesavtal, som utgör en bilaga till det huvudavtal som parterna har ingått med varandra.
I det skriftliga avtalet mellan parterna måste det bland annat tydligt framgå att personuppgiftsbiträdet endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige. Personuppgiftsbiträdet ska även i avtalet säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta sekretess.
Ett företag som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde. Dessutom är det vanligt för en personuppgiftsansvarig att anlita ett personuppgiftsbiträde.
Exempel på vanliga biträden
- Molntjänter: Om ett företag lagrar personuppgifter på en molntjänst.
- Redovisningskonsult: Om ett företag har anlitar en redovisningskonsult som får tillgång till personuppgifter vid till exempel utfärdande av faktura.
- Reklambyrå: Om ett företag anlitar en reklambyrå för att skicka ut mejl till tidigare kunder och därför ger tillgång till dem för att reklambyrån ska kunna utföra arbetet.
Exempel på behandling av personuppgifter som blir utförd av ett personuppgiftsbiträde
Nedan följer ett exempel på när ett personuppgiftsbiträde behandlar personuppgifter på en personuppgiftsansvarigs vägnar.
Ett företag (nedan kallad ”Uppdragsgivaren”) ger i uppdrag åt ett annat företag (nedan kallad ”Uppdragstagaren”) att behandla personuppgifter för ett specifikt ändamål, i enlighet med angivna instruktioner.
Uppdraget innebär att Uppdragstagaren ska marknadsföra nya produkter mot Uppdragsgivarens befintliga kunder, i syfte att få dem att återkomma som kunder. För att kunna genomföra detta uppdrag, behöver Uppdragstagaren behandla kundernas personuppgifter, såsom namn och e-postadress, vilka kunderna tidigare har tillhandahållit till Uppdragsgivaren.
Innan dessa personuppgifter blir delade till Uppdragstagaren, ska Uppdragsgivaren och Uppdragstagaren skriftligen avtala om de minimikrav som framgår av artikel 28 GDPR, exempelvis genom att ingå ett personuppgiftsbiträdesavtal.
Därefter kan behandlingen av personuppgifterna bli genomförd för Uppdragsgivarens räkning och i enlighet med dennes skriftliga instruktioner som framgår av det skriftliga ingångna avtalet.
Det är viktigt att tydligt avtala om att Uppdragstagaren inte får behandla personuppgifterna för andra ändamål, än för att fullgöra uppdraget i fråga.
När ett personuppgiftsbiträde anlitar ett personuppgiftsunderbiträde
Det är inte heller ovanligt för ett personuppgiftsbiträde att anlita ett annat underbiträde (personuppgiftsunderbiträde), för utförande av specifik behandling på den personuppgiftsansvariges vägnar. Vid sådana fall ska dessa två biträden också ingå ett personuppgiftsbiträdesavtal med varandra.
Något som är viktigt att känna till är att det enligt GDPR framgår att om det andra personuppgiftsbiträdet inte fullgör sina skyldigheter i fråga om dataskydd, ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarig gentemot den personuppgiftsansvarige för utförandet av det andra personuppgiftsbiträdets skyldigheter.
Tänk på följande!
Den personuppgiftsansvarige måste ge sitt tillstånd för att ett personuppgiftsbiträde ska få anlita ett underbiträde. Observera att det ska vara skriftligt.
Exempel på när ett biträde anlitar ett underbiträde
Den personuppgiftsansvarige säljer kläder online. Den personuppgiftsansvarige anlitar ett företag för att bygga och ta hand om driften av e-handelsplattformen. Det anlitade företaget blir vid sådana fall ett personuppgiftsbiträde, eftersom de kommer att få tillgång till och eventuellt behandla personuppgifter tillhörande kunderna som genomför beställningar.
Den personuppgiftsansvarige vill att kunderna ska kunna chatta direkt med kundtjänsten på webbplatsen, men personuppgiftsbiträdet behöver anlita ett annat företag för att ta fram verktyget.
Det företag som personuppgiftsbiträdet anlitar för att utföra denna delen av uppdraget, kommer därmed också få tillgång till kundernas personuppgifter och därför blir de ett personuppgiftsunderbiträde.
Det är viktigt att tänka på att den personuppgiftsansvarige måste ge tillstånd till personuppgiftsbiträdet för att denne ska få anlita ett underbiträde. Dessutom ska det vara ett skriftligt tillstånd.
Behöver ni hjälp?
Vi kan hjälpa er genom att skriva ett personuppgiftsbiträdesavtal till fast pris, som uppfyller minimikraven i GDPR.
Om ni redan har ett personuppgiftsbiträdesavtal, kan vi istället hjälpa till genom att granska och vid behov komplettera och justera det till fast pris.
Om ni behöver andra typer av GDPR relaterade avtal och dokument, kan ni även kika igenom och jämföra våra GDPR-paket. De innehåller flera viktiga GDPR-relatera avtal och dokument.
Mer information
Registerförteckning
I vissa fall måste företag upprätta en registerförteckning gällande sina behandlingar av personuppgifter. Dessa måste vara skriftliga och finnas tillgängliga i ett elektroniskt format. Registerförteckningen innehåller bland annat ändamålen med behandlingen, mottagare, eventuella överföringar till tredjeland m.m.
Vill du veta mer?
Lär dig mer
Gratis juridikskola
Vi driver olika gratis juridikskolor för företagare på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.
På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.