Personuppgiftsbiträdesavtal

Vad är ett personuppgiftsbiträdesavtal?  

Ett personuppgiftsbiträdesavtal (DPA) är ett avtal som reglerar hur ett personuppgiftsbiträde ska hantera personuppgifter när biträdet hjälper en personuppgiftsansvarig att behandla personuppgifter. Den personuppgiftsansvariga är den juridiska person som bestämmer hur uppgifterna får användas, och personuppgiftsbiträdet är den juridiska person som hjälper den ansvariga att utföra en viss uppgift, till exempel att lagra personuppgifterna. Enligt kraven i den brittiska dataskyddsförordningen (UK GDPR) måste ett DPA ingås mellan den personuppgiftsansvariga och personuppgiftsbiträdet. Enligt UK GDPR måste ett sådant avtal reglera ett antal omständigheter, bland annat hur personuppgiftsbiträdet får använda personuppgifterna, vilka säkerhetsstandarder som ska införas och vilka kriterier personuppgiftsbiträdet måste uppfylla när det vill anlita andra biträden, så kallade underbiträden.

När ska du använda ett personuppgiftsbiträdesavtal? 

Så snart du behöver hjälp från någon utanför din egen organisation som ska behandla personuppgifter där du är personuppgiftsansvarig, eller om du själv ska behandla personuppgifter där någon annan är personuppgiftsansvarig, bör du ingå ett DPA. Det kan till exempel vara aktuellt om du vill köpa en molntjänst för att lagra dina data, om du använder en SaaS-tjänst för rekrytering där du ska lagra uppgifter om dina jobbkandidater, eller om du själv säljer en SaaS och vill säkerställa att du kan erbjuda dina kunder ett starkt avtal för personuppgiftsbehandlingen. Innan du ingår något avtal bör du alltid fråga dig om någon av parterna kommer att behandla den andra partens personuppgifter. Den genomgången gör du för att avgöra om du också behöver ingå ett DPA. Att ingå ett personuppgiftsbiträdesavtal är inte valfritt, eftersom det är ett lagkrav enligt UK GDPR.  Även om det i första hand är den personuppgiftsansvariga som ansvarar för att ett DPA finns på plats, kan biträdet ha nytta av att erbjuda sitt eget DPA som speglar biträdets särskilda intressen.

Varför är ett personuppgiftsbiträdesavtal viktigt, och varför ska du använda det?

Ett DPA är en mycket viktig del av att uppfylla kraven i UK GDPR. Utöver de rättsliga kraven har båda parter också ett tydligt intresse av att kunna reglera ansvaret för personuppgifterna. För den personuppgiftsansvariga blir avtalet ett verktyg för att uppfylla andra skyldigheter enligt UK GDPR. Den personuppgiftsansvariga kan till exempel säkerställa att kravet på lämpliga säkerhetsåtgärder uppfylls genom att ställa krav på vilken säkerhetsnivå personuppgiftsbiträdet måste införa när det behandlar den ansvarigas personuppgifter. En annan viktig aspekt är att reglera var personuppgifterna ska behandlas geografiskt när du anlitar ett personuppgiftsbiträde. En tumregel för företag inom EU/EES och Storbritannien är att du inte vill att personuppgiftsbiträdet överför dina personuppgifter utanför detta geografiska område.

Det finns betydande potentiella böter för att inte följa UK GDPR - de mest allvarliga överträdelserna kan leda till böter på upp till 4 % av den globala omsättningen under föregående räkenskapsår eller 17,5 miljoner pund (beroende på vilket som är högst), och andra överträdelser kan leda till böter på upp till 2 % av den årliga globala omsättningen under föregående räkenskapsår eller 8,75 miljoner pund (beroende på vilket som är högst). 

Vilka är de vanligaste fallgroparna i ett personuppgiftsbiträdesavtal? 

En vanlig fallgrop är att DPA:t inte utgår från din specifika situation. Innan du tar fram ditt DPA måste du analysera vilka personuppgifter som ska omfattas av avtalet, hur kritiska dessa personuppgifter är för ditt företag och om det rör sig om personuppgifter som kan vara särskilt känsliga ur ett integritetsperspektiv.

DPA:t ska vara glasklart när det gäller varje parts skyldigheter. Om du kommer fram till att personuppgifterna är känsliga bör du ställa höga krav på personuppgiftsbiträdet när det gäller säkerhet. Det hjälper ofta att hänvisa till allmänt accepterade säkerhetsstandarder som ISO när du ställer krav på säkerhetsåtgärder för dina personuppgifter.

En annan fallgrop är att glömma att granska personuppgiftsbiträdets egna biträden, så kallade underbiträden. För det spelar ingen roll om du har säkerställt att personuppgiftsbiträdet inte har några servrar utanför EU/EES och Storbritannien, om de använder en underleverantör i Indien som när som helst kan få åtkomst till dina personuppgifter. Det kan räcka att biträdet har en supportfunktion i ett land som inte har en tillräcklig skyddsnivå för personuppgifter för att du ska ha brutit mot UK GDPR.

För att kunna kontrollera att personuppgiftsbiträdet håller sina  löften är det vanligt att den personuppgiftsansvariga får möjlighet att granska biträdet. Det är också viktigt att ange vem som ska stå för eventuella kostnader som uppstår vid granskningen, vem som får genomföra den och hur ofta en granskning får ske.