Personuppgiftsbiträdesavtal

Säkerställ att er behandling av personuppgifter följer den nya dataskyddsförordningen
9 990 kr
exklusive moms

Skriv personuppgiftsbiträdesavtal online

BOKA HÄR >>

Säkerställ att er behandling av personuppgifter följer den nya dataskyddsförordningen
Fördela ansvaret på rätt sätt
Ge tydliga instruktioner om vad som får göras

Den nya dataskyddsförordningen (GDPR) som började gälla den 25 maj 2018 ställer stora krav på alla företag och organisationer som hanterar personuppgifter.

Den som har ansvaret kallas personuppgiftsansvarig och har det fulla ansvaret mot den registrerade, även för åtgärder som någon annan utför. Ansvaret kan alltså inte överlåtas. Det företag som behandlar personuppgifter för någon annans räkning är att anse som personuppgiftsbiträde.

Enligt den nya dataskyddsförordningen måste den personuppgiftsansvarige teckna ett skriftligt avtal med biträdet.

När du gör ett personuppgiftsbiträdesavtal hos oss vet du att får ett juridiskt korrekt avtal till ett fast pris.

Det ska finnas ett skriftligt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Det är den personuppgiftsansvarige som ansvarar för att avtalet finns.

I avtalet ska biträdet åta sig bland annat att:

  • Bara behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige.
  • Se till att personer som har behörighet att behandla personuppgifter hos biträdet har åtagit sig att iaktta tystnadsplikt eller omfattas av lagstadgad sådan.
  • Vidta alla tekniska och organisatoriska åtgärder som är nödvändiga för att säkerställa en lämplig säkerhetsnivå i förhållande till riskerna med behandlingen.
  • Vidta lämpliga tekniska och organisatoriska åtgärder så att den personuppgiftsansvarige kan svara på en enskilds begäran om att få utöva sina rättigheter. Det handlar om rätten till information och registerutdrag, rättelse, radering med mera.
  • Stödja den personuppgiftsansvarige med att se till att skyldigheterna fullgörs för säkerhetsåtgärder, anmälan av personuppgiftsincidenter och information om sådana incidenter till de registrerade samt konsekvensbedömning och förhandssamråd.
  • Radera eller återlämna alla personuppgifter till den personuppgiftsansvarige (beroende på vad den personuppgiftsansvarige väljer) när uppdraget avslutas och även radera alla kopior.
  • Ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att man fullgör alla skyldigheter som man har som biträde samt att möjliggöra och bidra till inspektioner och andra granskningar som den personuppgiftsansvarige vill genomföra.

Ett personuppgiftsbiträdesavtal krävs för att det överhuvudtaget ska vara tillåtet att någon annan ska få hantera personuppgifter för den som är personuppgiftsansvarig. 

Med avtalet tydliggörs bl a vad biträdet får göra och vilka säkerhetsåtgärder de ska vidta. Vidare regleras skadeståndsskyldigheten som kan riktas mot den ansvarige men där det är biträdet som har orsakat skadan.

Om man idag har personuppgifter som man samlat in via samtycke och samtycket har inhämtats på det sätt som förordningen anger behöver man inte inhämta ett nytt samtycke när dataskyddsförordningen börjar tillämpas.

Dataskyddsförordningen innehåller en del skärpta krav på ett samtycke jämfört med personuppgiftslagen. Till exempel måste den personuppgiftsansvarige kunna visa att man verkligen har fått den registrerades samtycke. Har man inte dokumenterat samtycket eller utgått ifrån att den registrerade samtyckt utan att han eller hon aktivt har uttryckt detta på något sätt, så måste ett nytt samtycke inhämtas.

Andra nya krav i förordningen är kravet på information om att man när som helst ska kunna återkalla sitt samtycke och kravet på samtycke från vårdnadshavare när det gäller personuppgifter som rör barn.

Den nya dataskyddslagen, GDPR, medför att företag som brister i sin behandling av personuppgifter kan tvingas betala sanktionsavgifter på upp till fyra procent av omsättningen (max 20 miljoner euro). I Sverige blir det Datainspektionen som gör bedömningen.

Ansvaret är straff- och skadeståndssanktionerat. Den personuppgiftsansvarige är skadeståndsskyldig gentemot den registrerade, även för åtgärder som en medhjälpare eller ett personuppgiftsbiträde har utfört.

Ett biträde kan enligt avtal eller allmänna regler bli skadeståndsskyldigt gentemot den personuppgiftsansvarige.

Syftet med den nya lagstiftningen är dels att få till en harmonisering mellan EU:s medlemsstater.

Samtidigt har det varit fokus på ett ökat integritetsskydd. Företag och andra organisationer ska informera om vilka uppgifter de hanterar, varför och hur. Det ska också under vissa omständigheter gå att säga nej till att personuppgifterna används. Till exempel blir det lättare att slippa direktreklam.

I det ökade medborgarskyddet ingår också rätten att bli glömd. En person får rätt att begära att få uppgifter på sökmotorer bortplockad. För det krävs att sökresultatet är oriktigt, irrelevant, eller överflödigt.

Du bokar in en tid med en av våra företagsjurister på 0771-24 00 24. Vid telefonmötet diskuterar vi tillsammans er situation och våra jurister utformar därefter avtalet, som du får efter några dagar.

Frågor och svar om personuppgiftsbiträdesavtal
Vad är ett personuppgiftsbiträdesavtal?

Det ska finnas ett skriftligt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet.
Det är den personuppgiftsansvarige som ansvarar för att avtalet finns.

I avtalet ska biträdet åta sig bland annat att:

·  Bara behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige

·  Se till att personer som har behörighet att behandla personuppgifter hos biträdet har åtagit sig att iaktta tystnadsplikt eller omfattas av lagstadgad sådan

·  Vidta alla tekniska och organisatoriska åtgärder som är nödvändiga för att säkerställa en lämplig säkerhetsnivå i förhållande till riskerna med behandlingen

·  Vidta lämpliga tekniska och organisatoriska åtgärder så att den personuppgiftsansvarige kan svara på en enskilds begäran om att få utöva sina rättigheter. Det handlar om rätten till information och registerutdrag, rättelse, radering med mera

·  Stödja den personuppgiftsansvarige med att se till att skyldigheterna fullgörs för säkerhetsåtgärder, anmälan av personuppgiftsincidenter och information om sådana incidenter till de registrerade samt konsekvensbedömning och förhandssamråd

·  Radera eller återlämna alla personuppgifter till den personuppgiftsansvarige (beroende på vad den personuppgiftsansvarige väljer) när uppdraget avslutas och även radera alla kopior

·  Ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att man fullgör alla skyldigheter som man har som biträde samt att möjliggöra och bidra till inspektioner och andra granskningar som den personuppgiftsansvarige vill genomföra.