Personuppgiftsbiträdesavtal med underentreprenörer

Övrigt

Fråga:

I egenskap av personuppgiftsombud skulle jag vilja ha följande utrett.

Måste den personuppgiftsansvarige skriva personuppgiftsbiträdesavtal med alla underentreprenörer till sin huvudleverantör eller räcker det att skriva personuppgiftsbiträdesavtal med huvudleverantören?

Svar:

Du har kontaktat Datainspektionen och undrar om den personuppgiftsansvarige måste skriva personuppgiftsbiträdesavtal med alla underentreprenörer till ett personuppgiftsbiträde (huvudbiträde) eller om det räcker att skriva avtal med huvudbiträdet. De situationer du syftar på är när den personuppgiftsansvarige anlitar ett personuppgiftsbiträde och personuppgiftsbiträdet i sin tur anlitar en eller flera underentreprenörer för behandling av personuppgifter för den personuppgiftsansvariges räkning.

Personuppgiftsbiträden definieras som den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Detta innebär att även underentreprenörer till ett personuppgiftsbiträde är att anses som personuppgiftsbiträden när de ta emot personuppgifter i den enda avsikten att efter överföringen behandla personuppgifterna för den personuppgiftsansvariges räkning.

Nedan kommer personuppgiftsbiträdet som i sin tur anlitar en underentreprenör definieras som huvudbiträde och underentreprenörer som underbiträde.

Datainspektionen vill inledningsvis poängtera att det är den personuppgiftsansvarige som ansvarar för behandlingen av personuppgifter sker i enlighet med personuppgiftslagen. Detta förändras inte av att personuppgiftsbehandlingen utförs av ett personuppgiftsbiträde.

Personuppgiftslagens krav på personuppgiftsbiträdesavtal:

När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde ska det finnas ett skriftigt avtal, ett så kallat personuppgiftsbiträdesavtal. Det är den personuppgiftsansvarige som ansvarar för att avtalet finns. I avtalet ska det särskilt föreskrivas att:

  • personuppgiftsbiträdet endast får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige
  • personuppgiftsbiträdet är skyldig att vidta de säkerhetsåtgärder som den personuppgiftsansvarige är skyldig att vidta enligt lagen.

Vad gäller instruktionerna ska de vara så tydliga att otillåten behandling inte kommer att utföras. Sådana instruktioner kan exempelvis gälla ändamålet/n med behandlingen, tredjelandsöverföring och utlämnande till tredje man. Vad gäller kravet på säkerhet ska den personuppgiftsansvarige kunna förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna. Det sistnämnda kravet innebär att den personuppgiftsansvarige har ett ansvar att kontrollera att anlitade personuppgiftsbiträden både kan och verkligen vidtar lämpliga säkerhetsåtgärder.

Personuppgiftsbiträdesavtal i situationer där det finns underbiträden:

I de situationer huvudbiträdet anlitar en eller flera underbiträden anser Datainspektionen att kravet på personuppgiftsbiträdesavtal kan uppfyllas genom att den personuppgiftsansvarige i avtal ger ett huvudbiträde mandat att ingå avtal med underbiträden. Ger man ett sådant mandat måste det framgå i avtalet att varje underbiträde har samma skyldigheter som huvudbiträdet. Om förutsättningarna för personuppgiftsbehandlingen ser väsenligt annorlunda ut hos ett underbiträde än hos huvudbiträdet kan detta kräva ytterligare villkor för att underbiträdet ska kunna uppnå samma skyldigheter som huvudbiträdet.

Datainspektionen vill slutligen tydliggöra att en grundläggande förutsättning för att den personuppgiftsansvarige ska kunna uppfylla säkerhetskraven och kravet på kontroll av personuppgiftsbiträden är att den personuppgiftsansvarige har kännedom om vilka personuppgiftsbiträden som behandlar personuppgifter för dennes räkning.

(November 2011)

Personuppgiftsombudet


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.