Personuppgiftsbiträdesavtal – vad innebär GDPR:s längsta ord?

Två händer som bildar ett hjärta.

Den som är ansvarig för behandling av personuppgifter är också ansvarig för sina underleverantörer. Verktyget för att behålla kontrollen heter personuppgiftsbiträdesavtal. Här får du veta mer om det.

Lagar & regler > Personuppgiftsbiträdesavtal

Den här texten innehåller inte juridiska råd. Den är en översiktlig presentation av några enstaka delar av lagen. Texten har som mål att ge en enkel introduktion eftersom många företag påverkas och behöver ta ställning till om man behöver söka juridisk rådgivning.

Den ansvarige

Den som bestämmer att personuppgifter ska samlas in och vad de ska användas till är personuppgiftsansvarig i lagens mening. Med ansvaret följer skyldigheter att värna uppgifterna, att informera den registrerade samt andra skyldigheter GDPR ålägger. Det är organisationen eller företaget som får denna roll, inte de anställda som utför uppgifterna. Den ansvarige är alltid 100 procent ansvarig. Det går inte att dela på detta ansvar.

Biträdet

Ofta har den som behandlar personuppgifter en underleverantör som man för över uppgifter till. Det kan vara en datahall, en mail-leverantör, ett kreditupplysningsföretag eller annan part. En sådan part kallas personuppgiftsbiträde. Kom ihåg att den som är personuppgiftsansvarig har det fulla ansvaret hela tiden.

Avtalet

För att stödja den ansvarige kräver GDPR att om man delar data med någon annan, till exempel en underleverantör, måste det finnas ett avtal som binder underleverantören till att följa lagens krav. Det är detta som är ett personuppgiftsbiträdesavtal. Låt oss kalla det ”biträdesavtal” i den här texten.

Enligt GDPR ska biträdesavtalet reglera att biträdet:

  • Bara behandlar personuppgifter enligt dokumenterad instruktion.
  • Se till att alla som behandlar uppgifterna har åtagit sig att iaktta konfidentialitet.
  • Upprätthåller en anpassat hög säkerhetsnivå såväl med rutiner som i utrustning.
  • Låter den ansvariga godkänna eventuella underbiträden samt tecknar biträdesavtal om biträde anlitas.
  • Bistår den ansvariga när någon registrerad vill utnyttja sina rättigheter.
  • Bistår den ansvariga kring säkerhet, dataintrång och andra skyldigheter.
  • Radera eller återlämna data vid avtalets upphörande.
  • Ge den ansvariga möjlighet att kontrollera att biträdet fullföljer sina skyldigheter ovan.

Underbiträden

Det gamla ordspråket ”Min dräng har också en dräng” var kanske lite roligt en gång i tiden men idag är det snarare regel än undantag. Många varor och tjänster levereras som slutprodukt via en lång kedja av underleverantörer. Man kan säga att ordspråket ”Skomakare, bli vid din läst” har fått en renässans. Var och en gör det den är bäst på. Allt annat köper man in.

Underbiträdesavtal

Om man har rätt att använda ett underbiträde så ska man teckna ett biträdesavtal mellan sig själv som biträde och underbiträdet. Principen för det avtalet är samma som för det vanliga biträdesavtalet.

Tips

Följ personuppgifterna, följ datan. Det är tumregeln för att hitta alla som berörs och ska bindas med biträdesavtal. Ett bra tips är att rita upp flödet. Det kan vara ett enkelt flödesdiagram på papper. Vår erfarenhet är att det är först när man visar vad som händer som man riktigt börjar förstå detaljerna.

Visma Spcs och våra kunder

Som alla andra företag ska vi ha biträdesavtal med våra kunder. Det har vi sedan många år eftersom det är ett krav redan i Personuppgiftslagen (PUL).

 Vill du veta mer? Kika på vår samlingssida om GDPR 

Lev ut din passion

Här är bokföringsprogrammet för dig som driver företag eller som har en helt-fantastisk-affärsidé-du-måste-förverkliga-nu. Bokföringen puttrar på tryggt och säkert i bakgrunden och skapas av sig självt, simsalabim.

Visma eEkonomi

Lev ut din passion