Säkerställ att personuppgiftsbiträdesavtal uppfyller kraven i GDPR

Personuppgiftsansvariga och personuppgiftsbiträden behöver granska sin verksamhet och genomföra en rad förändringar och uppdateringar inför maj 2018 när EU:s allmänna dataskyddsförordning (”GDPR”) börjar tillämpas. Personuppgiftsbiträdesavtal är en av komponenterna som företag och myndigheter behöver se över för att säkerställa att avtalen uppfyller kraven i GDPR.

Med en personuppgiftsansvarig avses den som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Begreppet innefattar t.ex. företag som outsourcar sin löneadministration eller köper in drifttjänster från en extern leverantör. Personuppgiftsbiträdet är den som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige, dvs. i många fall en leverantör av IT-tjänster.

GDPR ställer krav på ett skriftligt personuppgiftsbiträdesavtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet. I grunden ska avtalet specificera varför och hur länge personuppgifterna behandlas, ändamål för behandlingen, typen av personuppgifter och kategorier av registrerade som personuppgifterna avser. Personuppgiftsbiträdet ska alltid behandla personuppgifterna enligt dokumenterade instruktioner från den personuppgiftsansvarige och bistå den ansvarige i att säkerställa efterlevnaden av kraven i GDPR.

Utöver dessa allmänna principer innehåller GDPR särskilda krav på vad ett personuppgiftsbiträdesavtal ska innehålla. Av dessa minimikrav kan följande punkter lyftas som jag anser är särskilt viktiga.

  • Hantering av underbiträden
  • Säkerhetsnivå och sekretess
  • Ansvar, samarbete och avtalets upphörande
  • Vikten av korrekta personuppgiftsbiträdesavtal

Bristande personuppgiftsbiträdesavtal kan leda till administrativa sanktionsavgifter på upp till det högre av 10 MEUR eller 2 % av den globala årsomsättningen. Vid allvarligare överträdelser av GDPR kan den personuppgiftsansvarige eller personuppgiftsbiträdet riskera högre sanktionsavgifter; det högre av 20 MEUR eller 4 % av den globala årsomsättningen. Personuppgiftsbiträdesavtalet är därför ett viktigt instrument för att hantera denna risk och säkerställa att personuppgifterna behandlas korrekt i enlighet med kraven i GDPR.


På Advokatfirman Lindahl arbetar vi  med komplexa dataskyddsfrågor och hjälper både beställare och leverantörer bl.a. med att upprätta och granska personuppgiftsbiträdesavtal som lever upp till kraven i GDPR. Du är alltid välkommen att höra av dig till oss för råd om vad er organisation behöver göra för att säkerställa efterlevnaden av GDPR. Du kan även lyssna på Digitaliserats Pod #23 GDPR och Dataskyddsreformen där jag pratar om GDPR i allmänhet.


Texten är skriven av Jonatan Seeskari, Associate, Advokatfirman Lindahl. 


Läs nästa artikel

Radering av backuper – en av många huvudvärkar för it-chefer inför GDPR

Läs nästa: Radering av backuper – en av många huvudvärkar för it-chefer inför GDPR