Vad ska ett biträdesavtal innehålla?

När en extern part hanterar personuppgifter åt er uppstår ofta ett biträdesförhållande, vilket betyder att ett skriftligt avtal mellan parterna behöver upprättas. 

Hantering av personuppgifter av extern part kan innebära att en annan organisation lagrar personuppgifter och sköter driften av ett system. Det kan också betyda att en extern part har åtkomst till uppgifterna på distans för exempelvis support eller utveckling i olika typer av molntjänster. 

En personuppgiftsansvarig har bara rätt att anlita ett personuppgiftsbiträde om det finns garantier att:

• personuppgifterna skyddas
• personuppgifterna behandlas i enlighet med lagstiftningen
• de registrerades rättigheter skyddas 

Nedanstående delar är exempel på sådant som särskilt ska ingå i ett biträdesavtal: 

• uppgifterna får endast behandlas utifrån den personuppgiftsansvariges dokumenterade instruktioner
• den personuppgiftsansvarige ska omedelbart informeras om man anser att en instruktion strider mot GDPR eller mot andra dataskyddsbestämmelser
• personer (exempelvis personal) som behandlar personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt
• alla åtgärder som krävs enligt artikel 32 GDPR ska säkerställas -  det vill säga lämplig säkerhet
• den personuppgiftsansvarige ska få hjälp att fullgöra sina skyldigheter för de registrerades rättigheter
• alla personuppgifter ska raderas eller återlämnas till den personuppgiftsansvarige (beroende på vad den personuppgiftsansvarige väljer) efter avslutat uppdrag.

Tänk på att listan ovan är ett minimikrav enligt artikel 38.2 i GDPR. I ert specifika fall kan det finnas ytterligare delar som ni behöver avtala om. Vår rekommendation är att ert avtal innehåller bestämmelser om hur en eventuell tvist ska lösas. 

Vill du fördjupa dig om biträdesavtal? Ladda ner vårt faktablad om när ett biträdesavtal behövs!

Personuppgiftsbiträdet ska få skriftliga instruktioner

Instruktionerna till personuppgiftsbiträdet ska innehålla information om hur personuppgifterna ska hanteras och skyddas. Det kan bland annat gälla var i världen informationen får lagras och vilka autentiseringsmetoder som ska användas. Gäller det särskilt känsliga behandlingar kan det också innebära information om fysiska skyddsåtgärder som hur identifikation i ett passersystem ska gå till. 

Spara tid med standardavtal

Känns det svårt att komma igång med ett avtal? Med mallar eller standardavtalsklausuler blir det enklare att säkerställa att ni har fått med alla delar, även om ni kan behöva göra egna justeringar. EU-kommissionen har beslutat om standardavtalsklausuler som finns att tillgå i Word-format i Privacy Expert - vårt juridiska kompetensstöd inom dataskydd. Där får du även tillgång till allt annat du behöver känna till om GDPR tillsammans med tydliga råd om hur du går tillväga för att leva upp till kraven.