Vad är ett personuppgiftsbiträdesavtal?

Ett personuppgiftsbiträdesavtal är ett avtal som styr hur ett personuppgiftsbiträde får hantera personuppgifter när biträdet hjälper en personuppgiftsansvarig. Den personuppgiftsansvarige är den juridiska person som bestämmer hur personuppgifterna får användas. Personuppgiftsbiträdet är den juridiska person som behandlar uppgifterna för den ansvariges räkning, till exempel genom att lagra dem. Enligt dataskyddsförordningen (GDPR) måste ett personuppgiftsbiträdesavtal finnas mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Avtalet ska enligt GDPR reglera flera frågor, bland annat hur personuppgiftsbiträdet får använda personuppgifterna, vilka säkerhetsåtgärder som ska införas och hur biträdet ska agera om det vill anlita egna personuppgiftsbiträden, så kallade underbiträden. 

När behöver du ett personuppgiftsbiträdesavtal?

Så snart du tar hjälp av någon utanför din egen organisation som ska hantera personuppgifter du ansvarar för, eller om du själv ska hantera personuppgifter som någon annan ansvarar för, behöver du upprätta ett personuppgiftsbiträdesavtal. Det gäller till exempel om du köper en molntjänst för lagring, en SaaS-tjänst för rekrytering där du lagrar uppgifter om kandidater eller om du själv säljer en SaaS-tjänst och vill kunna erbjuda dina kunder ett tryggt avtal för personuppgiftshantering. Inför varje avtal du ingår bör du ställa frågan om någon part kommer att hantera den andres personuppgifter för att avgöra om parterna också behöver ingå ett personuppgiftsbiträdesavtal. Det är inte valfritt att använda ett sådant avtal, utan en lagstadgad skyldighet enligt GDPR. Skyldigheten att ha ett avtal på plats ligger främst på den personuppgiftsansvarige, men personuppgiftsbiträden har också ett starkt intresse av att kunna erbjuda ett eget personuppgiftsbiträdesavtal eftersom det nästan alltid efterfrågas och dessutom kan utformas på ett sätt som är fördelaktigt för biträdet. 

Varför är det viktigt med ett personuppgiftsbiträdesavtal?

Ett personuppgiftsbiträdesavtal är en central del av att uppfylla kraven i GDPR. Utöver lagkraven har båda parter ett tydligt intresse av att reglera ansvarsfördelningen kring personuppgifterna. För den personuppgiftsansvarige är avtalet också ett verktyg för att uppfylla andra skyldigheter i dataskyddsförordningen. Det gör det till exempel möjligt att säkerställa kraven i artikel 32 i GDPR om lämpliga organisatoriska och tekniska säkerhetsåtgärder genom att ställa tydliga krav på vilken säkerhetsnivå personuppgiftsbiträdet ska hålla när det hanterar den ansvariges personuppgifter. En annan viktig fråga är var personuppgifterna faktiskt kommer att hanteras geografiskt när du anlitar ett personuppgiftsbiträde. Som huvudregel bör företag inom EU/EES eller UK undvika att personuppgifter överförs utanför detta område.

Riskerna med att inte följa lagstiftningen är stora. De allvarligaste överträdelserna kan leda till böter på upp till 4 % av ett företags globala omsättning eller 20 miljoner euro, beroende på vilket belopp som är högst. För mindre allvarliga överträdelser kan böterna uppgå till 2 % av den globala omsättningen eller 10 miljoner euro, beroende på vilket belopp som är högst.

Vanliga fallgropar

En vanlig fallgrop är att personuppgiftsbiträdesavtalet inte är anpassat till din faktiska situation. Innan du upprättar avtalet behöver du analysera vilka personuppgifter som ska omfattas, hur kritiska de är för verksamheten och om det rör sig om uppgifter som är känsliga ur ett integritetsperspektiv.

Avtalet bör vara tydligt utformat när det gäller kraven på respektive part. Om personuppgifterna är integritetskänsliga bör du ställa höga krav på personuppgiftsbiträdet, särskilt kring säkerhet. Det kan också vara klokt att hänvisa till etablerade säkerhetsstandarder, till exempel ISO, när du specificerar säkerhetskraven.

En annan vanlig fallgrop är att glömma att granska personuppgiftsbiträdets egna biträden, så kallade underbiträden. Det spelar ingen roll om du noggrant har säkerställt att personuppgiftsbiträdet inte har några servrar utanför EU/EES eller UK om biträdet samtidigt använder en underleverantör i Indien som kan få tillgång till dina personuppgifter. Det kan till och med räcka att biträdet har en supportfunktion i ett land som inte har tillräcklig skyddsnivå för personuppgifter för att en överträdelse av GDPR ska uppstå. 

För att kunna kontrollera att personuppgiftsbiträdet lever upp till sina åtaganden är det vanligt att den personuppgiftsansvarige får rätt att revidera biträdets personuppgiftshantering. Då är det också viktigt att reglera vem som ska stå för kostnaderna, vem som får genomföra revisionen och hur ofta den får ske.