Får ett personuppgiftsbiträde anlita ett annat personuppgiftsbiträde, det vill säga en underleverantör?

Fråga

Vi har anlitat ett personuppgiftsbiträde utanför EU för att behandla personuppgifter för vår räkning. Vi har ingått ett avtal med biträdet som innehåller de standardavtalsklausuler som kommissionen godkänt. Vårt personuppgiftsbiträde vill nu i sin tur anlita ett annat företag för behandlingen av uppgifterna. Är detta möjligt? Vad måste vi göra?

Svar

I ett beslut av EU-kommissionen den 5 februari 2010 finns en uppsättning standardavtalsklausuler som kan användas för överföring av personuppgifter från en personuppgiftsansvarig i EU/EES till ett personuppgiftsbiträde utanför EU/EES, det vill säga i tredje land. Enligt de klausulerna får personuppgiftsbiträdet i sin tur lägga ut en del av behandlingen på entreprenad hos ett annat företag, dock under vissa förutsättningar, bland andra dessa:

  • Den personuppgiftsansvarige måste i förväg ha lämnat skriftligt samtycke till att biträdet anlitar ett annat företag.
  • Biträdet måste ingå ett skriftligt avtal med underentreprenören, varigenom denne åläggs samma skyldigheter som personuppgiftsbiträdet själv har.
  • Biträdet måste hålla en lista tillgänglig för den personuppgiftsansvarige över samtliga underleverantörer som anlitats.
  • Det måste finnas en klausul som ger en tredje part (dvs. den registrerade) rätt att rikta skadeståndsanspråk även mot underentreprenören såvitt avser dennes behandling av uppgifterna.

Den personuppgiftsansvarige behöver däremot inte själv ingå ett avtal med varje underentreprenör.

Den som vill veta mer kan läsa kommissionens standardavtalsklausuler:

Läs kommissionens standardavtalsklausuler

Standardavtalsklausulerna syftar till att skydda personuppgifter i situationer där en personuppgiftsansvarig för över personuppgifter till ett biträde i ett tredje land. De kan därför inte användas när den personuppgiftsansvarige anlitar ett personuppgiftsbiträde i ett EU/EES-land – oavsett om biträdet sedan anlitar underentreprenörer i tredje land. I ett sådant fall kan den personuppgiftsansvarige själv ingå ett avtal innehållande standardavtalsklausulerna direkt med underentreprenören. Den personuppgiftsansvarige kan också ge det EU/EES-baserade biträdet mandat att ingå avtal med underentreprenören för den ansvariges räkning och i dennes namn.

Tillbaka till Frågor och svar