Personuppgiftsbiträdesavtal – grunderna

Denna artikel behandlar grunderna för personuppgiftsbiträdesavtal mellan två parter som delar personuppgifter som en del av ett samarbete, exempelvis i förhållandet mellan köpare och leverantör.

Lästid: 1,5 minuter.

Vem är ansvarig, och för vad?

Personuppgiftsansvariga (ansvariga) är organisationer som samlar in personuppgifter och avgör vad som ska göras med dem. Därför är de även viktiga för att skydda personuppgifter.

Personuppgiftsbiträden (biträden) är organisationer som behandlar personuppgifter i enlighet med vad ansvariga instruerar. Vanligtvis är det för specifika ändamål och tjänster som är tillgängliga för den ansvarige.

De skyldigheter och principer som gäller för både ansvariga och biträden är i många fall desamma. Det som är nytt i GDPR är att biträden numera också har skyldigheter som är direkt verkställbara. Vidare är efterlevnad av GDPR nu en delad skyldighet mellan ansvariga och biträden.

Många principer i GDPR är tillämpliga för bägge parter. Exempel är principer för behandling, krav på “inbyggt dataskydd”, samt bindande bestämmelser i personuppgiftsbiträdesavtal.

Biträden måste bistå ansvariga på flera sätt. Bland annat inkluderar det att assistera med begäranden från registrerade, och att genomföra konsekvensbedömningar avseende dataskydd.

Förhållandet mellan ansvarig och biträde samt deras gemensamma skyldigheter

Ansvariga har ett ansvar när det kommer till biträdet de arbetar med. De måste se till att biträdet kan garantera säker behandling. Med andra ord måste biträdet efterleva GDPR. Det är upp till ansvariga att se till att så är fallet. Å sin sida kan biträden inte anlita underbiträden utan att ansvariga samtycker till detta.

Ett giltigt personuppgiftsbiträdesavtal måste finnas mellan bägge parter. Avtalet bör inkludera vad som behandlas och syftet med behandling. Biträden kan aldrig behandla personuppgifter för den ansvariges räkning utan tydliga instruktioner.

Ansvarig och biträde är båda skyldiga att föra ett register över deras behandling av personuppgifter. De måste båda samarbeta med tillsynsmyndigheten när det så krävs.

LÄMNA ETT SVAR

Please enter your comment!
Please enter your name here