meny

Personuppgiftsbiträdesavtal

Den personuppgiftsansvariga anlitar ofta ett personuppgiftsbiträde som utför hela eller delar av personuppgiftsbehandlingen. Både den personuppgiftsansvariga och personuppgiftsbiträdet kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. Personuppgiftsbiträdet är dock alltid någon utanför den egna organisationen.

Här hittar du information om vad som gäller för avtal mellan personuppgiftsansvarig och personuppgiftsbiträde.

Vad säger dataskyddsförordningen om biträdesavtal?

Dataskyddsförordningen anger två situationer då ett biträdesavtal behöver ingås.

Första situationen framgår av artikel 28.3 och rör avtal mellan personuppgiftsansvarig och ett personuppgiftsbiträde:  

När ett personuppgiftsbiträde behandlar personuppgifter åt den personuppgiftsansvariga, ska behandlingen regleras genom avtal (eller annan rättsakt). Avtalet ska vara bindande för den personuppgiftsansvariga och personuppgiftsbiträdet.  

Andra situationen framgår av artikel 28.4 och rör avtal mellan ett personuppgiftsbiträde och underbiträden:  

När ett personuppgiftsbiträde anlitar ett underbiträde som ska utföra en specifik behandling, på den personuppgiftsansvarigas vägnar, måste det finnas ett avtal (eller annan rättsakt) mellan personuppgiftsbiträdet och underbiträdet.

Här finns dataskyddsförordningen i fulltext  

När används ett personuppgiftsbiträde?

Det är vanligt att personuppgiftsansvariga anlitar biträden för att utföra en viss personuppgiftsbehandling för att använda biträdets specifika expertis eller erfarenhet som den personuppgiftsansvariga saknar i sin organisation.  

Exempel:

  • Läsarna av ett vetenskapsmagasin får varje månad ett exemplar av tidningen i sin brevlåda. Tidningsutgivaren anlitar ett biträde som sköter administrationen av prenumerationerna och leveransen av tidningen.
  • Ett marknadsföringsföretag skickar på uppdrag av en frisörkedja reklam till frisörkedjans kunder.
  • Ett företag anlitar en molnleverantör som lagrar och analyserar personuppgifter åt företaget.  

Avtal mellan personuppgiftsansvarig och personuppgiftsbiträde

Enligt dataskyddsförordningen ska personuppgiftsansvariga och personuppgiftsbiträden reglera sina relationer genom ett skriftligt avtal (eller annan rättsakt).

Avtalet säkerställer att  

  • båda parter följer dataskyddsförordningen 
  • båda parter är medvetna om sina åtaganden och skyldigheter mot varandra och de registrerade 
  • båda parter skyddar kunders, personals och andra kategorier av registrerades personuppgifter  
  • båda parter dokumenterar tydligare och därmed enklare kan visa att de följer reglerna (ansvarsskyldighet).

När används ett underbiträde?

Ett personuppgiftsbiträde som har fått i uppgift att utföra en personuppgiftsbehandling åt en personuppgiftsansvarig kan ibland behöva hjälp med uppgiften och anlitar ett underbiträde.

Exempel:

  • En möbelbutik anlitar en webbyrå som ska ta fram och sköta möbelbutikens nya webbutik. Möbelbutiken vill att även att kunders köpvanor analyseras i webbutiken. Webbyrån saknar den kompetensen och behöver därför anlita ett analysföretag som blir underbiträde. 
  • Möbelbutiken vill också att kunder ska kunna chatta med personal via webbplatsen. Webbyrån som utformat webbplatsen behöver anlita ett företag som kan ta fram chattverktyget. 
  • En revisionsbyrå köper en molnbaserad lagringstjänst. Molntjänstföretaget i sin tur måste anlita ett it-företag som utför den tekniska supporten av servrarna.  

Innan ett underbiträde får anlitas måste det ursprungliga biträdet först få skriftlig tillåtelse av den personuppgiftsansvariga att anlita underbiträden. Därefter måste biträdet säkerställa att det finns ett avtal med underbiträdet med samma nivå av skydd för de registrerades personuppgifter som finns i avtalet mellan den personuppgiftsansvariga och personuppgiftsbiträdet.  

Vad ska ett personuppgiftsbiträdesavtal innehålla?  

Enligt artikel 28.3 ska avtalet innehålla följande information om behandlingen:   

  • föremålet för behandlingen och behandlingens varaktighet 
  • behandlingens art och ändamål 
  • typer av personuppgifter och kategorier av registrerade 
  • den personuppgiftsansvarigas rättigheter och skyldigheter.  

Det är väldigt viktigt att den personuppgiftsansvariga tydligt klargör vilka personuppgiftsbehandlingar det är man vill lägga över på ett personuppgiftsbiträde.  

Vilka är minimikraven för ett avtal?

I artikel 28.3 anges dessa minimikrav för vad ett personuppgiftsbiträdesavtal ska innehålla:   

  • att behandling endast får ske enligt dokumenterade instruktioner från den personuppgiftsansvariga 
  • försäkran om konfidentialitet eller lagstadgad tystnadsplikt 
  • lämpliga säkerhetsåtgärder 
  • villkor för anlitande av underbiträden 
  • skyldighet att vidta åtgärder för att uppfylla de registrerades rättigheter 
  • bistå den personuppgiftsansvariga i fråga om dennes skyldigheter enligt artikel 32-36 
  • hur personuppgifter ska hanteras när avtalet upphör 
  • skyldighet att gå med på och bistå vid granskning och inspektioner.  

Personuppgiftsansvarig och personuppgiftsbiträde kan alltid komplettera minimikraven med ytterligare avtalsvillkor. Minimikraven beskrivs utförligare nedan.

Behandling kräver dokumenterade instruktioner från personuppgiftsansvarig

Enligt artikel 28.3 a ska det i avtalet framgå att: 

  • personuppgiftsbiträdet endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvariga (även när det gäller överföringar till ett tredjeland eller en internationell organisation) om inte behandlingen är nödvändig enligt EU-rätten eller medlemsstaternas nationella rätt. 

Bestämmelsen fastställer att det är den personuppgiftsansvariga, och inte personuppgiftsbiträdet, som bestämmer vad som sker med personuppgifterna (ändamål och medel). Om ett personuppgiftsbiträde agerar utanför den personuppgiftsansvarigas skriftliga instruktioner genom att bestämma ändamål och medel kan biträdet åläggas samma ansvar som en personuppgiftsansvarig.

Instruktionerna från den personuppgiftsansvariga kan följa direkt av avtalet eller ges skriftligen på annat sätt, exempelvis via e-post. Instruktionerna måste dock kunna sparas så att de finns dokumenterade.  

Konfidentialitet eller lagstadgad tystnadsplikt

Enligt artikel 28.3 b ska det i avtalet framgå att:

  • Personuppgiftsbiträdet säkerställer att alla som behandlar personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av lagstadgad tystnadsplikt.   Detta avtalsvillkor ska täcka biträdets anställda, konsulter och all annan personal som under biträdets överinseende behandlar uppgifterna.  

Lämpliga säkerhetsåtgärder

Enligt artikel 28.3 c ska det i avtalet framgå att:

  • personuppgiftsbiträdet ska vidta alla åtgärder som krävs enligt artikel 32.

Både personuppgiftsansvarig och personuppgiftsbiträde ska vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att säkerställa ett tillräckligt skydd för personuppgifterna.  

Att ansluta sig till godkända uppförandekoder eller certifieringar

Uppförandekoder och certifiering kan vara ett sätt för personuppgiftsbiträdet att visa att behandlingen följer övriga bestämmelser i dataskyddsförordningen. Inför att ett biträdesavtal ingås kan personuppgiftsbiträdet använda uppförandekoder och certifieringar för att lämna garantier på att deras behandling kommer att följa bestämmelserna i dataskyddsförordningen.

Att anlita underbiträden

Enligt artikel 28.3 d ska det i avtalet framgå att    

  • personuppgiftsbiträdet inte får anlita andra biträden (underbiträden) utan ett särskilt eller allmänt skriftligt förhandstillstånd från den personuppgiftsansvariga. 
  • Om ett underbiträde anlitas efter ett allmänt förhandstillstånd ska personuppgiftsbiträdet informera den personuppgiftsansvariga om alla planerade förändringar när det gäller underbiträdet så att den personuppgiftsansvariga kan invända mot förändringarna. 
  • Om personuppgiftsbiträdet anlitar ett underbiträde ska underbiträdet ha samma skyldigheter i fråga om dataskydd som personuppgiftsbiträdet enligt artikel 28.3. Underbiträdet ska bland annat ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska säkerhetsåtgärder så att behandlingen uppfyller kraven i dataskyddsförordningen.
  • Personuppgiftsbiträdet ansvarar för att underbiträdet uppfyller sina skyldigheter i fråga om dataskydd.  

Avtalet mellan personuppgiftsbiträdet och underbiträdet behöver inte vara identiskt med avtalet mellan den personuppgiftsansvariga och personuppgiftsbiträdet. Däremot måste det tecknas ett avtal som gör att underbiträdet omfattas av samma skyldigheter som personuppgiftsbiträdet har gentemot den personuppgiftsansvariga. Om underbiträdet inte fullgör sina skyldigheter kan personuppgiftsbiträdet enligt förordningen bli fullt ansvarig gentemot den personuppgiftsansvariga.  

De registrerades rättigheter

Enligt artikel 28.3 e ska det i avtalet framgå att 

  • personuppgiftsbiträdet, genom att vidta lämpliga tekniska och organisatoriska åtgärder, ska hjälpa den personuppgiftsansvariga att fullgöra sina skyldigheter gentemot de registrerade.   Denna bestämmelse hänvisar till kapitel III i dataskyddsförordningen (art 12 - 23) som reglerar den personuppgiftsansvarigas skyldigheter gentemot de registrerade, till exempel att underlätta för dem att utöva sina rättigheter och tillgodose deras rättigheter efter begäran.

Ett exempel på åtgärd är att personuppgiftsbiträdet utformar sina system så att de kan förse den personuppgiftsansvariga med relevant information när en registrerad begär till exempel registerutdrag, rättelse eller radering.  

Bistå den personuppgiftsansvariga

Enligt artikel 28.3 f ska det i avtalet framgå att 

  • personuppgiftsbiträdet ska bistå den personuppgiftsansvariga med att se till att skyldigheterna enligt artiklarna 32 – 36 fullgörs.

Det omfattar att hjälpa den personuppgiftsansvariga att 

  • skydda personuppgifter 
  • anmäla en personuppgiftsincident till tillsynsmyndighet 
  • informera de registrerade om en personuppgiftsincident 
  • göra en konsekvensbedömning när så krävs 
  • samråda med tillsynsmyndighet om konsekvensbedömningen visar att behandlingen skulle leda till en hög risk för de registrerades fri- och rättigheter som inte kan åtgärdas.

Det är bra om avtalet så tydligt som möjligt anger hur personuppgiftsbiträdet kan bistå den personuppgiftsansvariga i att fullgöra sina skyldigheter.   

Ett exempel är att personuppgiftsbiträdet vidtar tekniska åtgärder för att stärka sin förmåga att upptäcka personuppgiftsincidenter och vidtar organisatoriska åtgärder som att utforma en tydlig rapporteringsrutin vid händelse av en personuppgiftsincident.  

När avtalet upphör

Enligt artikel 28.3 g ska det i avtalet framgå att 

  • personuppgiftsbiträdet ska radera eller återlämna personuppgifter till den personuppgiftsansvariga 
  • personuppgiftsbiträdet ska radera befintliga kopior av personuppgifter om inte lagring av personuppgifter krävs enligt EU-rätten eller nationell rätt. 

Syftet med denna bestämmelse är att säkerställa fortsatt skydd för personuppgifter även efter att avtalsförhållandet upphört. Det är därför i slutänden upp till den personuppgiftsansvariga att besluta vad som sker med de personuppgifter som biträdet behandlat.

Det är viktigt att tänka på att gallringen av personuppgifter sker på ett säkert sätt och att bestämmelserna i artikel 32 följs.   

Det kan finnas tillfällen då det i praktiken är svårt att direkt efter avtalstidens slut radera personuppgifter, exempelvis när det gäller personuppgifter i stora arkiv.  

Granskning och inspektioner

Enligt artikel 28.3 h ska det i avtalet framgå att 

  • personuppgiftsbiträdet ska ge den personuppgiftsansvariga tillgång till all information som krävs för att visa att de skyldigheter som framgår av artikel 28 har fullgjorts 
  • personuppgiftsbiträdet ska möjliggöra och bidra till granskningar och inspektioner som görs av den personuppgiftsansvariga eller av annan revisor som utsetts av den personuppgiftsansvariga.

Biträdet ska alltså kunna visa för den personuppgiftsansvariga att alla bestämmelserna i artikel 28 följts. Biträdesavtalet i sig behöver inte ange att biträdet ska föra register över sina behandlingar – men det kan vara ett av flera sätt som visar att reglerna följts. Biträdet måste ändå föra register över sina behandlingar enligt artikel 30.2.

Kan standardavtalsklausuler för PUA/PUB användas i  Sverige?

Enligt dataskyddsförordningen kan EU-kommissionen och medlemsstaternas dataskyddsmyndigheter fastställa standardavtalsklausuler som gäller för biträdessituationer. Efter yttrande från Europeiska dataskyddstyrelsen (EDPB) kan de fastställda standardavtalsklausulerna vara ett enkelt och användbart verktyg för personuppgiftsansvariga och personuppgiftsbiträden.

Den danska dataskyddsmyndigheten har tagit fram standardavtalsklausuler för biträdessituationer. Standardavtalsklausulerna har prövats av EDPB som också har yttrat sig över dem.

De standardavtalsklausuler som den danska dataskyddsmyndigheten har tagit fram kan användas av verksamheter i Sverige. Verksamheter som vill använda dem bör dock vara särskilt uppmärksamma på att klausulerna inte får ändras.

Som tidigare ansvarar verksamheterna både för att säkerställa att avtalen återspeglar de faktiska förhållandena mellan avtalsparterna och för att instruktioner till biträden och underbiträden är korrekta. Även då standardavtalsklausuler för biträdesituationer används har Datainspektionen möjlighet att granska och utöva tillsyn.

Fler medlemsstater kan komma att fastställa standardavtalsklausuler för biträdessituationer. Om Datainspektionen bedömer att även de kan användas i Sverige kommer listan nedan att kompletteras.

De danska standardavtalsklausulerna för biträdessituationer har översatts av EDPB till samtliga officiella EU-språk.

Rättsinformation
Artikel 28 (Personuppgiftsbiträden)
Artikel 30 (Register över personuppgifter)
Artikel 32 (Säkerhet i samband med behandling av personuppgifter)
Artikel 33 (Anmälan av en personuppgiftsincident till tillsynsmyndigheten)
Artikel 34 (Information till den registrerade om en personuppgiftsincident)
Artikel 35 (Konsekvensbedömning avseende dataskydd)
Artikel 36 (Förhandssamråd)
Skäl 81 samt 82 - 96