Viktiga avtal och dokument
GDPR-relaterade avtal & dokument
Företag behöver upprätta vissa avtal och dokument för att följa GDPR. Enligt principen om ansvarsskyldighet, måste företag dessutom kunna visa att de följer GDPR. Därför behöver företag vidta särskilda åtgärder.
Nedan kan du läsa mer om viktiga GDPR avtal och dokument företag kan behöva.
Personuppgiftsbiträdesavtal
Om ett företag i egenskap av personuppgiftsansvarig anlitar ett annat företag som sitt personuppgiftsbiträde, måste dessa aktörer skriftligen avtala om vissa fastställda minimikrav. Detsamma gäller om ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde.
Minimikraven framgår av artikel 28 GDPR, vilka måste bli avtalade i ett skriftligt avtal för att vara giltigt. Det är vanligt att reglera minimikraven i ett så kallat personuppgiftsbiträdesavtal. Även kallat för ”PUB-avtal” eller ”Biträdesavtal”.
Utöver minimikraven som måste bli skriftligen avtalade, finns det möjlighet att avtala om ytterligare frivilliga kommersiella villkor. Exempelvis bestämmelser om ekonomiska uppgörelser parterna emellan, olika processer och tillvägagångssätt m.m. Det är viktigt att känna till företagets roll vid behandling av personuppgifter.
Ett företag som behandlar personuppgifter kan göra det i egenskap av personuppgiftsansvarig, personuppgiftsbiträde eller personuppgiftsunderbiträde och måste följa GDPR. Utöver företag i egenskap av handelsbolag, aktiebolag och ekonomiska föreningar, kan även fysiska individer vara skyldiga att följa bestämmelserna i GDPR. Bland annat gäller detta för individer som bedriver en enskild firma.
Skillnader mellan ansvarig och biträde
- Den den personuppgiftsansvarige bestämmer medel och ändamål med behandlingen. Det vill säga, hur och varför behandlingen ska bli genomförd.
- Ett personuppgiftsbiträde behandlar istället enbart personuppgifterna för den personuppgiftsansvariges räkning i enlighet med dennes skriftliga instruktioner.
- Personuppgiftsbiträdet får alltså inte behandla personuppgifterna för egna ändamål eller syften.
Registerförteckning
När företag behandlar personuppgifter ska företaget föra ett skriftligt register över behandlingen. Alla behandlingar som företaget utför ska vara skriftligen noterade i en registerförteckning enligt artikel 30 GDPR. Detta gäller oavsett om företaget är ett personuppgiftsbiträde eller personuppgiftsansvarig. Däremot finns det undantag då företag inte behöver göra detta, men det kan vara bra att göra ändå.
En registerförteckning är ett skriftligt dokument med ett register över behandlingarna. Där ska företaget bland annat ange vilka kategorier av personuppgifter behandlingen omfattar och vilka de registrerade är.
Enligt huvudregeln behöver företag som har färre än 250 anställda inte ha någon registerförteckning, men det finns flera undantag. Till exempel om företaget behandlar känsliga personuppgifter såsom uppgifter om hälsa.
Observera att företag som har anställda och behandlar sjukfrånvaro, behandlar känsliga personuppgifter eftersom det är uppgifter om hälsa.
Om företaget även behandlar personuppgifter för utbetalning av lön, är det inte en tillfällig behandling. Vid dessa fall måste företaget upprätta en registerförteckning, även om företaget har mindre än 250 anställda.
Bedömningar
Företag kan behöva utföra och dokumentera vissa bedömningar innan de påbörjar en behandling av personuppgifter. Dessutom kan företaget behöva göra detta under en pågående behandling om omständigheterna för behandlingen förändras. Nedan följer en kort sammanfattning av olika bedömningar som företag kan behöva göra.
Konsekvensbedömning av dataskydd (DPIA)
Om en behandling av personuppgifter kan medföra en hög risk för de registrerades fri- och rättigheter, ska företaget göra en konsekvensbedömning av dataskydd. I vissa fall ska företaget även begära förhandssamråd med tillsynsmyndigheten. Syftet med denna typ av konsekvensbedömning är att analysera vilka risker som behandlingen innebär. Därefter kan företaget ta reda på vilka åtgärder och vilka rutiner som behöver bli implementerade, för att minimera riskerna med behandlingen.
Det är viktigt att företaget utfår från en riskanalys vid bedömningen, genom att analysera vilka risker som den planerade behandlingen av personuppgifterna innebär. Om resultatet av denna bedömning visar att det finns en hög risk med behandlingen, måste företaget genomföra ett förhandssamråd med tillsynsmyndigheten innan behandlingen i fråga blir påbörjad.
Konsekvensbedömning av dataöverföringar (DTIA)
Om företaget avser att överföra personuppgifter till ett land utför EU/EES som EU kommissionen inte anser har en adekvat skyddsnivå, måste företaget utföra en konsekvensbedömning avseende dataöverföringen. Syftet med denna bedömning är att identifiera och bedöma riskerna för de registrerades integritet. Det sker bland annat genom att utvärdera hur personuppgifterna kommer att bli behandlade, lagrade, överförda och vilka säkerhetsrisker som finns. Det är även annat viktigt att granska lagarna i det tredjelandet, dit personuppgifter avser att bli överförda. Något som är viktigt att tänka på är att denna bedömning ska bli utförd och skriftligen dokumenterad innan personuppgifterna blir överförda till tredjeland. Dessutom ska en sådan bedömning enbart bli utförd för ett land och en mottagare åt gången.
Bedömning av berättigat intresse (LIA)
Intresseavvägning är en av de sex (6) rättsliga grunderna för behandling av personuppgifter. Denna rättsliga grund kan bli använd om företaget kan visa att behandlingen är nödvändig för att uppfylla ett berättigat intresse, och att den registrerades rättigheter och friheter inte väger tyngre än det identifierade berättigade intresset. För att ta reda på detta, måste företaget utföra och skriftligen dokumentera en intresseavvägning. Företaget måste väga sina berättigade intressen till behandlingen, mot den registrerades rättigheter och friheter. Om den registrerades rättigheter och friheter väger tyngre, får företaget inte använda intresseavvägning som rättslig grund för behandlingen.
Information om behandling av personuppgifter
Individers vars personuppgifter företaget behandlar, har rätt till information om behandlingen. Denna information kan bli formulerad i ett integritetsmeddelande, som företaget med fördel kan publicera på sin offentliga webbplats. Ofta är detta dokument även kallat för en integritetspolicy eller personuppgiftspolicy. Minimikraven avseende innehållet i ett integritetsmeddelande är reglerat i bland annat artiklarna 13 och 14 GDPR.
Informationen om bland annat hur och varför företaget behandlar personuppgifter ska bli presenterad för den registrerade innan personuppgifterna blir insamlade. Syftet med integritetsmeddelandet är att den registrerade ska kunna läsa om behandlingen av personuppgifter som företaget utför. Därefter ska den registrerade kunna besluta om personuppgifterna ska bli lämnade till företaget för sådan behandling eller inte.
Ett integritetsmeddelande ska vara formulerat på det språk som målgruppen av informationen förstår. Informationen får inte vara för omfattande eller formulerad med komplicerade juridiska termer. Om informationen riktar sig till barn, är det ännu viktigare att säkerställa att informationen är lättläst och att barnen förstår innehållet.
Interna rutiner inom dataskydd
För att säkerställa att företaget efterlever GDPR och att medarbetarna behandlar personuppgifter korrekt, måste företaget upprätta olika interna rutiner och styrdokument. Den interna dokumentationen kan även bestå av checklistor, loggböcker, registerförteckningar och annat underlag som stöd i det interna GDPR-arbetet.
Genom att upprätta och implementera interna rutiner och policyer, kan företaget styrka att företaget följer GDPR samt den grundläggande dataskyddsprincipen om ansvarsskyldighet.
Exempel på interna rutiner och dokument att implementera för att säkerställa GDPR efterlevnad
- Intern rutin om hantering av incidenter
- Checklista vid inträffad incident
- Loggbok för protokollföring av inträffade incidenter
- Intern rutin om gallring (radering eller anonymisering) av personuppgifter
- Utbildningsplan för medarbetare avseende GDPR
- Intern rutin om IT-säkerhet och åtkomsträttigheter
- Intern rutin om hantering av registrerades åberopande av sina rättigheter enligt GDPR
- Svarsmallar att använda vid registrerades begäran om tillgång till sina personuppgifter
- Checklista för årlig kontroll av det interna GDPR-arbetet
Våra GDPR-paket innehåller viktiga GDPR-relatera avtal och dokument. Klicka här för att besöka prislistan och se en sammanställning av innehållet i paketen.
Det är viktigt att företaget i egenskap av arbetsgivare säkerställer att medarbetarna har de kunskaper om GDPR som krävs, för att de ska behandla personuppgifter korrekt. Dessutom är det viktigt att alla medarbetare vet hur de ska agera vid exempelvis inträffande av incidenter som involverar personuppgifter. Därför bör företagets interna rutiner och dokument dessutom ingå som en del i onboardingprocessen av nya medarbetare, med krav på att den nya medarbetaren ska läsa dessa dokument.
Mer information
Integritetsmeddelande
Företag som behandlar personuppgifter behöver informera de registrerade om behandlingen. Denna information sammanställs i ett dokument kallat för integritetsmeddelande, som många företag väljer att publicera i sidfoten på sin webbplats. På engelska är det kallat för ”Privacy Notice”. Ett integritetsmeddelande måste innehålla minst det som krävs enligt artiklarna 13-14 GDPR.
Vill du veta mer?
Lär dig mer
Gratis juridikskola
Efter att ha gått igenom den detaljerade samanfattningen av GGDPR (Dataskyddsförordningen), är det tydligt varför dataskydd är så viktigt idag. För de som vill fördjupa sig ytterligare efter att ha läst vår sammanfattning av GDPR (Dataskyddsförordningen), rekommenderar vi att besöka webbplatsen www.AvtalGDPR.se som är en del av Digitala Juristerna.
Vi driver dessutom olika gratis juridikskolor på Linkedin och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridkskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.
På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.