Nu är det hög tid att förbereda sig för GDPR!

I vår podd #23 GDPR och Dataskyddsreformen pratar vi med Jonatan Seeskari, biträdande jurist på Advokatfirman Lindahl. Du kanske också har läst hans gästblogg där han beskriver hur viktigt det är att säkerställa att personuppgiftsbiträdesavtal uppfyller kraven i GDPR. Här lyfter han 4 punkter som han anser är speciellt viktiga att ta hänsyn till i GDPR förberedelsen.

1) Hantering av underbiträden

Ett personuppgiftsbiträde får inte anlita underbiträden för behandling av personuppgifter utan att först ha inhämtat ett förhandstillstånd från den personuppgiftsansvarige. Förhandstillståndet ska vara skriftligt och kan antingen regleras i varje enskilt fall eller genom ett allmänt förhandstillstånd i personuppgiftsbiträdesavtalet.

Personuppgiftsbiträdesavtalet måste säkerställa att den personuppgiftsansvarige alltid har tillgång till uppdaterad information om de underbiträden som är involverade eller avses involveras i behandlingen. Detta är särskilt viktigt om personuppgifterna kommer behandlas utanför EU/EES, vilket kräver särskilda undantag och skyddsmekanismer.

Underbiträdesavtalet mellan personuppgiftsbiträdet och underbiträdet ska ålägga underbiträdet samma skyldigheter i fråga om dataskydd som huvudbiträdesavtalet med den personuppgiftsansvarige.

2) Säkerhetsnivå och sekretess

GDPR innehåller en rad bestämmelser om säkerhetsnivån vid behandling av personuppgifter. Personuppgiftsbiträdesavtalet ska särskilt föreskriva att personuppgiftsbiträdet vidtar tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen av personuppgifterna. Ett personuppgiftsbiträde ska vidare säkerställa att anställda och eventuella konsulter som är involverade i behandlingen av personuppgifterna åtar sig att iaktta konfidentialitet (t.ex. genom sekretessavtal, lagstadgad tystnadsplikt eller särskilda klausuler i anställningsavtal).

3) Ansvar, samarbete och avtalets upphörande

En av de större nyheterna i GDPR är att personuppgiftsbiträden får uttryckliga skyldigheter och ett legalt ansvar under GDPR. Den personuppgiftsansvarige kan dock inte delegera sitt ansvar och är alltid ytterst ansvarig för att behandlingen sker i enlighet med kraven i GDPR.

Ett personuppgiftsbiträdesavtal ska därför bl.a. ålägga personuppgiftsbiträdet att hjälpa den personuppgiftsansvarige med att fullgöra sina skyldigheter gentemot de registrerade. 

Om en personuppgiftsansvarig t.ex. driftar en kundportal hos en extern leverantör så ska personuppgiftsbiträdesavtalet innehålla en reglering som säkerställer att de registrerade kan få tillgång till sina personuppgifter samt hur rättelse, radering och eventuell dataportabilitet av personuppgifterna hanteras. Vidare ska personuppgiftsbiträdet samarbeta med den personuppgiftsansvarige vad avser säkerhetsåtgärder, incidentrapportering, samt vid eventuella konsekvensbedömningar avseende dataskydd.

Från den personuppgiftsansvariges perspektiv är det även särskilt viktigt att säkerställa att den personuppgiftsansvarige får tillgång till all information som krävs för att visa att personuppgiftsbiträdet uppfyller kraven och skyldigheterna samt möjligheten att genomföra granskningar av personuppgiftsbiträdets behandling av personuppgifterna. När avtalet och uppdraget upphör ska personuppgiftsbiträdet radera eller återlämna alla personuppgifter som behandlas på uppdrag av den personuppgiftsansvarige.

4) Vikten av korrekta personuppgiftsbiträdesavtal

Behovet av att säkerställa att personuppgiftsbiträdesavtalen uppfyller kraven i GDPR gäller både befintliga personuppgiftsbiträdesavtal och nya avtal som träffas innan och efter att GDPR träder i kraft. Senast den 25 maj 2018 måste nämligen personuppgiftsavtalen uppfylla samtliga krav enligt GDPR.

Bristande personuppgiftsbiträdesavtal kan leda till administrativa sanktionsavgifter på upp till det högre av 10 MEUR eller 2 % av den globala årsomsättningen. Vid allvarligare överträdelser av GDPR kan den personuppgiftsansvarige eller personuppgiftsbiträdet riskera högre sanktionsavgifter; det högre av 20 MEUR eller 4 % av den globala årsomsättningen. Personuppgiftsbiträdesavtalet är därför ett viktigt instrument för att hantera denna risk och säkerställa att personuppgifterna behandlas korrekt i enlighet med kraven i GDPR.

Här hittar du mer matnyttigt om GDPR.  


Om Lindahl:
Lindahl är rådgivare åt flera av de största informationsleverantörerna på den svenska marknaden, på så sätt  har de ett stort kunnande och förståelse för företags specifika behov när det gäller möjligheten att behandla personuppgifter i sin verksamhet. Här kan du ta del av deras tips på hur man förbereder sig för GDPR. De håller även utbildningar kring Dataskyddsreformen. Håll utkik på www.Lindahl.se för mer information om nästa tillfälle.


Texten är skriven av Sara Alvin-Hansson

Läs nästa artikel

Radering av backuper – en av många huvudvärkar för it-chefer inför GDPR

Läs nästa: Radering av backuper – en av många huvudvärkar för it-chefer inför GDPR