Grunderna i ett Personuppgiftsbiträdesavtal

Denna artikel beskriver grundläggande ansvar vid personuppgiftsbehandling mellan två parter som delar personuppgifter som en biprodukt av deras samarbete, t.ex. förhållandet mellan köpare och leverantör.

Lästid: 1,5 minuter.

Vem är ansvarig och för vad?

Personuppgiftsansvarig är organisationer som samlar in personuppgifter och bestämmer vad som händer med dem. Av denna anledning är de också huvudansvariga för att skydda personuppgifter.

Personuppgiftsbiträden är organisationer som behandlar personuppgifter enligt instruktioner från personuppgiftsansvarig, vanligtvis för specifika ändamål och tjänster som är tillgängliga för den personuppgiftsansvarig.

Personuppgiftsansvariga och Personuppgiftsbiträden har samma typer av skyldigheter och principer att följa. Det som är nytt i GDPR är att personuppgiftsbiträden nu också har skyldigheter som är direkt verkställbara. Dessutom är GDPR-efterlevnad numera en delad skyldighet mellan personuppgiftsansvarig och personuppgiftsbiträdet.

Advertisement

Sharp Cookie Advisors

Företagsstöd och juridiska tjänster för hantering av personuppgifter


Många av principerna i GDPR gäller för båda parter. Exempel är principer för behandling, “inbyggt integritetsskydd” och bestämmelser i personuppgiftsbiträdesavtal.

Personuppgiftsbiträden ska bistå den personuppgiftsansvarige på flera sätt. Det inkluderar att hjälpa till med registrerades förfrågningar och utföra konsekvensbedömningar för dataskydd.

Förhållandet mellan personuppgiftsansvarig och personuppgiftsbiträde och deras gemensamma skyldigheter

Den personuppgiftsansvarige har ett ansvar gentemot de personuppgiftsbiträden som den arbetar med. Personuppgiftsansvariga måste se till att personuppgiftsbiträden kan garantera säker behandling. Med andra ord måste personuppgiftsbiträden följa GDPR. Det är upp till personuppgiftsansvarige att se till att så är fallet. Personuppgiftsbiträden kan å sin sida inte anlita ett underbiträde om inte den personuppgiftsansvarige först ger sitt samtycke.

Ett personuppgiftsbiträdesavtal måste finnas mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Detta avtal bör innehålla ämnet och syftet med behandlingen. Personuppgiftsbiträden kan aldrig behandla personuppgifter för en personuppgiftsansvarigs räkning utan tydliga instruktioner.

Både personuppgiftsansvarig och personuppgiftsbiträdet är skyldiga att föra register över sina behandlingsaktiviteter. De måste båda samarbeta med tillsynsmyndigheten när så krävs.

Om du vill läsa mer om vad som ska ingå i ett personuppgiftsbiträdesavtal kan du läsa den här artikeln.

LÄMNA ETT SVAR

Please enter your comment!
Please enter your name here