GDPR ställer nya krav på personuppgiftsbiträdesavtalet

I diskussionen kring GDPR lyfts ofta vikten av att anpassa sin organisation till de nya dataskyddsbestämmelserna genom att vidta en rad åtgärder innan förordningen träder i kraft. En viktig del i åtgärdspaketet är att se till att såväl nya som gamla personuppgiftsbiträdesavtal anpassas till de förändringar som GDPR för med sig.

När behövs ett personuppgiftsbiträdesavtal?

Så snart någon ska behandla personuppgifter för annans räkning uppstår ett behov av ett personuppgiftsbiträdesavtal som reglerar hur hantering av personuppgifter ska ske mellan parterna. Ett vanligt exempel på när ett personuppgiftsbiträdesavtal krävs är då en IT-leverantör uppdragits att leverera olika typer av IT-tjänster åt en kund, såsom lagringstjänster eller administrativa tjänster vilka involverar personuppgifter. Kunden är då personuppgiftsansvarig, och leverantören blir personuppgiftsbiträde. En förutsättning för att behandling av personuppgifter för en personuppgiftsansvarigs vägnar ska få genomföras av ett biträde är att denne kan ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i GDPR och säkerställer att den registrerades rättigheter skyddas. Det kan exempelvis röra sig om garantier avseende personuppgiftsbiträdets kompetens, tillförlitlighet, ekonomiska resurser, rutiner och tillgång till tekniska lösningar.

Personuppgiftsbiträdesavtalets innehåll

Att det ska finnas ett personuppgiftsbiträdesavtal mellan en personuppgiftsansvarig och dess biträde är inte en nyhet i sig. I ljuset av den nya förordningen finns det dock anledning att belysa några viktiga skillnader mellan kraven i rådande personuppgiftslag (PuL) och de krav som uppställs i GDPR.

Vad ett personuppgiftsbiträdesavtal ska innehålla regleras huvudsakligen i artikel 28 i GDPR. Likt vad som anges i PuL ställer GDPR krav på skriftlighet vid upprättandet av ett personuppgiftsbiträdesavtal. Likaså anges i GDPR att personuppgiftsbiträdet endast får behandla personuppgifter på instruktioner från den personuppgiftsansvarige, med den skillnad att det i GDPR uppställs ett uttryckligt krav på att sådana instruktioner ska vara dokumenterade.

Som grundläggande krav uppställs i artikel 28.3 i GDPR att ett personuppgiftsbiträdesavtal bland annat ska ange föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter, kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter. Härigenom tydliggörs avtalets omfattning, och då personuppgiftsbiträden och personuppgiftsansvariga båda kan hållas ansvariga för brott mot GDPR är det i båda parters intresse att det dras en tydlig gräns inom vilken personuppgiftsbiträdet har rätt att behandla personuppgifterna i fråga.

I personuppgiftsbiträdesavtalet ska det även särskilt föreskrivas att biträdet ska vidta lämpliga säkerhetsåtgärder i samband med behandling av personuppgifter, vilket förvisso inte är en nyhet i förhållande till PuL. Enligt GDPR har biträdet dock ett eget ansvar att se till att lämpliga tekniska och organisatoriska åtgärder vidtas för att upprätthålla säkerhetsnivån. I och med förordningens ikraftträdande kan personuppgiftsbiträdet därför sägas axla ett större ansvar. Personuppgiftsansvariges ansvar kan dock inte sägas minska i motsvarande mån, varför det fortfarande är i personuppgiftsansvariges intresse att vara tydlig med vilka säkerhetsåtgärder som biträdet ska vidta.

Utöver personuppgiftsbiträdets egna ansvar att uppfylla krav på säkerhet, ska personuppgiftsbiträdesavtalet föreskriva att biträdet ska bistå den personuppgiftsansvarige med att fullgöra sina skyldigheter enligt artikel 32-36 i GDPR, inbegripet skyldigheten att tillse att säkerheten i samband med behandling av personuppgifter är tillräcklig.

Bland de nya krav på personuppgiftsbiträdesavtalet som uppställs i GDPR återfinns en skyldighet för personuppgiftsbiträdet att säkerställa att de som behandlar personuppgifterna iakttar konfidentialitet, vilket exempelvis kan ske genom att ingå sekretessavtal med sina anställda. Det finns därutöver krav på att biträdet ska bistå den personuppgiftsansvarige att fullgöra sina skyldigheter enligt förordningen, däribland sin skyldighet att svara på en registrerads begäran om att få utöva sina rättigheter. En sådan begäran kan bland annat avse rätt till information, rätt till rättelse och rätt till radering av personuppgifter. Biträdet ska även bistå den personuppgiftsansvarige att fullgöra sin skyldighet vad avser anmälan om personuppgiftsincident och att informera en registrerad om en sådan incident ägt rum, bistå personuppgiftsansvarig i utförandet av en konsekvensbedömning avseende dataskydd och vara personuppgiftsansvarig behjälplig i förhandssamråd med tillsynsmyndighet.

GDPR föreskriver även att ett personuppgiftsbiträdesavtal ska reglera ansvaret vid avtalets upphörande så att personuppgiftsbiträdet inte har åtkomst till personuppgifterna längre än nödvändigt. Som en följd därav ska ett personuppgiftsbiträdesavtal innehålla ett åtagande om att personuppgiftsbiträdet, på personuppgiftsansvariges instruktion, ska radera eller återlämna alla personuppgifter till personuppgiftsansvarige. I personuppgiftsbiträdesavtalet ska även finns ett åtagande från biträdets sida om att ge personuppgiftsansvarige tillgång till all information som krävs för att visa att samtliga skyldigheter fastställda i artikel 28 i GDPR har fullgjorts, och att bidra till att granskningar och inspektioner kan genomföras. Om den personuppgiftsansvarige exempelvis begär bevis på att personuppgifter som ett biträde ålagts att radera har förstörts permanent, så ska biträdet bistå med information som bekräftar att så skett. I personuppgiftsbiträdesavtalet ska också finnas en skyldighet för biträdet att omedelbart informera personuppgiftsansvarig om biträdet anser att en instruktion från den personuppgiftsansvarige strider mot förordningen eller andra dataskyddsbestämmelser.

I det fall ett personuppgiftsbiträde vill anlita ett eget biträde, så regleras detta i artikel 28 i GDPR. Bestämmelsen anger att personuppgiftsbiträdet måste inhämta ett skriftligt förhandstillstånd från personuppgiftsansvarig för att få anlita ett underbiträde. I personuppgiftsbiträdesavtalet mellan personuppgiftsansvarige och personuppgiftsbiträdet ska särskilt föreskrivas att ett sådant underbiträde ska åläggas samma skyldigheter i fråga om dataskydd som personuppgiftsbiträdet har gentemot den personuppgiftsansvarige. I en sådan situation ska det därför finnas ett personuppgiftsbiträdesavtal även mellan personuppgiftsbiträdet och underbiträdet i fråga.

Sammanfattningsvis kan konstateras att GDPR uppställer en hel del krav på utformningen av ett personuppgiftsbiträdesavtal som inte sedan tidigare funnits reglerade i PuL. Som ett första steg är det därför en god idé att se över befintliga avtals förenlighet med GDPR, för att i nästa steg anpassa samtliga personuppgiftsbiträdesavtal inom sin organisation till GDPR:s nya krav.

______________________

Esmeralda Eberhardson, trainee på Foyen Advokatfirma
esmeralda.eberhardson@foyen.se

 

Tillbaka till nyhetsbrevet >>