Ett eller flera biträdesavtal med samma leverantör?

Övrigt

Fråga:

Är det möjligt att ha endast ett biträdesavtal per ramavtalsleverantör (oberoende av vilka uppdrag/system som sedan ingår) eller behöver man i varje uppdrag definiera vilka behandlingar som ska göras och dokumenteras i enlighet med EU:s standardavtalsklausuler?

Svar:

Personuppgiftslagen kräver att ett personuppgiftsbiträdesavtal ska föreskriva att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta lämpliga säkerhetsåtgärder.

Datainspektionen har accepterat allmänt hållna avtalsformuleringar, som har kunnat användas gentemot den personuppgiftsansvariges samtliga biträden. Men på något sätt måste ju den personuppgiftsansvarige lämna instruktioner om hur det enskilda biträdet får behandla personuppgifterna, eftersom biträdet bara får behandla uppgifterna i enlighet med instruktioner från den personuppgiftsansvarige och den personuppgiftsansvarige alltid har ansvaret gentemot de registrerade. I praktiken torde alltså dessa instruktioner behöva dokumenteras på liknande sätt som görs i tillägg 1 till standardavtalsklausulerna. Instruktioner lämnas lämpligen i biträdesavtalet, men kan i stället lämnas i till exempel ett uppdragsavtal gentemot biträdet.

När det gäller säkerhetsåtgärder är den personuppgiftsansvarige skyldig att förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att biträdet verkligen vidtar åtgärderna. Från ansvarssynpunkt kan det därför vara lämpligt att ange vilka säkerhetsåtgärder som ska vidtas av det enskilda biträdet. Dessa åtgärder måste naturligtvis anpassas efter vilka personuppgifter som biträdet ska behandla och vilka behandlingar som ska utföras. Det kan tilläggas att personuppgiftsbiträdesavtalet kan utgöra en del av ett annat avtal med personuppgiftsbiträdet, till exempel ett uppdragsavtal.

Personuppgiftsombudet


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.