GDPR Personuppgiftsbitradesavtal

Personuppgiftsbiträdesavtal

GERT STRAND A/B

Vi ansvarar för dina personuppgifter

Det är GERT STRAND AB (org.nr. 556171-3420) som är ansvarig för dina personuppgifter ("personuppgiftsansvarig"). Kontaktinformation till oss finner du längst ner i policyn.

Personuppgiftsansvarig och personuppgiftsbiträde

Personuppgiftsansvarig är den som bestämmer ändamålen och medlen för personuppgiftshanteringen.

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning, dvs. i många fall en leverantör av IT-tjänster, redovisningsbyrå eller liknande. Den personuppgiftsansvarige kan inte delegera sitt ansvar och är alltid ytterst ansvarig för att behandlingen sker i enlighet med GDPR. Ett personuppgiftsbiträde kan bli skadeståndsansvarigt om denne bryter mot regler eller instruktioner, eller behandlar uppgifter i strid med GDPR.

Skriftligt avtal

När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde ska ett skriftligt avtal, ett så kallat personuppgiftsbiträdesavtal, upprättas. Det är den ansvariges skyldighet att detta sker.

Avtalets innehåll

I grunden ska avtalet specificera varför och hur länge personuppgifterna behandlas, ändamål för behandlingen, typen av personuppgifter och kategorier av registrerade som personuppgifterna avser.

Enligt GDPR ska personuppgiftsbiträdet i avtalet åta sig att:

  • Bara behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige.
  • Se till att personer som har behörighet att behandla personuppgifter hos biträdet har åtagit sig att iaktta tystnadsplikt eller omfattas av lagstadgad tystnadsplikt.
  • Vidta alla tekniska och organisatoriska åtgärder som är nödvändiga för att säkerställa en lämplig säkerhetsnivå i förhållande till riskerna med behandlingen.
  • Respektera kraven på förhandstillstånd och avtal vid anlitar av annat biträde (underbiträde).
  • Vidta lämpliga tekniska och organisatoriska åtgärder så att den personuppgiftsansvarige kan svara på enskilds begäran om tillgång till sina personuppgifter. Detsamma gäller möjlighet till rättelse, radering, dataportabilitet med mera.
  • Bistå den personuppgiftsansvarige med att se till att skyldigheterna fullgörs ifråga om säkerhetsåtgärder, anmälan av personuppgiftsincidenter och information om sådana incidenter till de registrerade samt konsekvensbedömning och förhandssamråd.
  • Radera eller återlämna alla personuppgifter till den personuppgiftsansvarige (beroende på vad den personuppgiftsansvarige väljer) när uppdraget avslutas och även radera alla kopior.
  • Ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att man fullgör alla skyldigheter som man har som biträde samt att möjliggöra och bidra till inspektioner och andra granskningar.

Avtalspunkter

Här är en genomgång av de punkter som finns med i personuppgiftsbiträdesavtalet. Tänk på att varje avtal är unikt och att detta endast är ett exempel. Du kan behöva anpassa avtalet till just din situation. Avtalet bör dock täcka de flesta fall med normala omständigheter.

PARTER

Det är brukligt att i början av avtalet skriva parternas namn och gärna organisationsnummer. Parternas fullständiga namn behöver inte upprepas i de övriga klausulerna. Det räcker med att använda benämningarna personuppgiftsansvarig och personuppgiftsbiträde.

DEFINITIONER

GDPR och personuppgiftsbiträdesavtalet innehåller flera svåra begrepp och det kan vara lämpligt att förklara dessa i början av avtalet. På så sätt underlättas läsningen och tolkningen av avtalet.

INNEHÅLL OCH SYFTE

Det är bra att i början av avtalet skriva lite om bakgrunden, innehållet och syftet med avtalet. Är det ett komplext avtal kan detta ge en bra överblick och göra det lättare att förstå innehållet.

BEHANDLING AV PERSONUPPGIFTER

Personuppgiftsbiträdet får enbart behandla personuppgifterna i enlighet med de instruktioner och för de syften som den personuppgiftsansvarige angett i avtalet. Instruktionerna kan finnas i en bilaga, på den personuppgiftsansvariges hemsida eller i tjänsteavtalet.

Instruktionerna ska vara tydliga och tillräckliga för att personuppgiftsbiträdet ska kunna uppfylla GDPR:s krav. De bör innehålla syfte, ändamål, kategorier av personuppgifter och behandlingsverksamheter.

Biträdesavtalet ska även föreskriva att biträdet omedelbart ska informera den personuppgiftsansvarige om en instruktion strider mot GDPR eller andra dataskyddsregler.

Om personuppgiftsbiträdet börjar behandla personuppgifterna för andra syften än de instruktioner den fått, blir biträdet personuppgiftsansvarig för dessa.

ÖVERFÖRING TILL TREDJE LAND

För överföring av personuppgifter till länder utanför EU och EES gäller särskilda regler. GDPR möjliggör fri överföring inom EU/EES, men för tredje land krävs adekvat skyddsnivå eller tillstånd från tillsynsmyndigheter.

Personuppgiftsbiträdet kan i avtalet bestämma att överföringar kräver den personuppgiftsansvariges samtycke.

SÄKERHET

Ett personuppgiftsbiträde har ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en tillräcklig säkerhetsnivå för personuppgifterna.

Detta kan inkludera pseudonymisering, kryptering, kontinuerlig säkerhetsövervakning, återställning av data vid incidenter och regelbundna tester av säkerhetsåtgärder.

SEKRETESS

De personer som behandlar personuppgifter ska ha tystnadsplikt, och detta ska regleras i avtalet. Alla involverade ska vara informerade om hur behandling av personuppgifterna får ske.

UNDERBITRÄDEN

Ett personuppgiftsbiträde kan anlita underbiträden (underleverantörer). Det ska finnas ett avtal mellan biträdet och underbiträdet som säkerställer att underbiträdet följer samma skyldigheter.

Underbiträdet ska också omfattas av samma skyldigheter som det ursprungliga biträdet vad gäller dataskydd och säkerhet.

ASSISTANS

Biträdet ska hjälpa den personuppgiftsansvarige att svara på begäran om tillgång, rättelse, radering och dataportabilitet samt att säkerställa att skyldigheterna enligt GDPR fullgörs, inklusive säkerhetsåtgärder och incidentrapportering.

GRANSKNING

Den personuppgiftsansvarige har rätt att genomföra revision och kontroll av personuppgiftsbiträdets behandling av personuppgifterna. Biträdet ska bistå vid denna granskning.

PERSONUPPGIFTSINCIDENT

Incidenter som innebär att personuppgifter röjs, förstörs eller obehörigen röjs ska anmälas till den personuppgiftsansvarige omedelbart och senast inom 72 timmar. Biträdet ska omedelbart underrätta den ansvarige om en incident inträffar.

AVTALETS UPPHÖRANDE

När behandlingen avslutas ska biträdet radera eller återlämna personuppgifterna, såvida inte laglig skyldighet kräver annat. Instruktioner för radering ska finnas tydligt reglerade.

ÄNDRINGAR

Eventuella tillägg eller ändringar av avtalet ska göras skriftligen och i samförstånd mellan parterna. Tillägg ska inte strida mot det ursprungliga avtalet.

TVIST

Tvister som inte kan lösas i samförstånd ska lösas i domstol eller genom skiljemän, enligt vad som anges i avtalet eller enligt tillämplig lag.

DEFINITIONER

Begrepp i detta avtal ska ha samma betydelse som i GDPR och tillämplig dataskyddslagstiftning, inklusive "Behandling", "Personuppgifter", "Personuppgiftsansvarig", "Personuppgiftsbiträde" och "Personuppgiftsincident".

Behandling

Avser en åtgärd eller kombination av åtgärder beträffande personuppgifter, såsom insamling, lagring, användning, utlämning, radering, etc.

Tillämplig dataskyddslagstiftning

Avser EU:s dataskyddsförordning (EU 2016/679) och nationella lagar, samt vägledningar, rekommendationer och beslut från tillsynsmyndigheter.

Personuppgiftsansvarig

Den som på egen hand eller tillsammans med andra fastställer ändamål och medel för behandlingen av personuppgifter.

Personuppgiftsbiträde

Den som behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige.

Personuppgifter

Varje upplysning som avser en identifierad eller identifierbar fysisk person, t.ex. namn, personnummer, IP-adress, eller andra identifierare.

Personuppgiftsincident

En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörig röjning eller åtkomst till personuppgifter.

Behandling av Personuppgifter

Den Personuppgiftsansvarige garanterar att denne har rätt att behandla personuppgifter och att behandlingen sker i enlighet med tillämplig dataskyddslagstiftning. Personuppgiftsbiträdet åtar sig att endast behandla personuppgifter enligt avtalet och instruktioner, och att följa dataskyddslagstiftningen.

Biträdet ska omedelbart informera den personuppgiftsansvarige om det saknas instruktion eller om instruktionen strider mot GDPR eller andra regler.

Det är förbjudet att samla in, lämna ut, ändra metoder eller behandla personuppgifter för andra syften än de som anges i avtalet, utan skriftligt tillstånd.

Överföring till tredje land

Överföring av personuppgifter till länder utanför EU/EES kräver skriftligt samtycke och att villkoren i dataskyddslagstiftningen är uppfyllda.

Säkerhet

Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Åtgärder kan inkludera pseudonymisering, kryptering, back-up, säkerhetskontroller och regelbundna tester av säkerheten.

Sekretess

Personer som behandlar personuppgifterna ska ha tystnadsplikt och vara informerade om hur behandling får ske. De ska också vara bundna av sekretess under anställning eller uppdrag.

Underbiträden

Biträdet kan anlita underbiträden, men måste först inhämta skriftligt tillstånd. Underbiträden ska ha ett avtal som säkerställer att de följer samma dataskyddsskyldigheter.

Biträdet ska kunna visa att dessa skyldigheter är uppfyllda, och vid behov visa kopior av underbiträdesavtal.

Assistans

Biträdet ska hjälpa den personuppgiftsansvarige att svara på begäran om rättigheter (t.ex. tillgång, rättelse, radering), säkerhetsåtgärder och incidenthantering.

Granskning

Den personuppgiftsansvarige har rätt att genomföra revision och kontroll av biträdet. Biträdet ska bistå vid detta.

Personuppgiftsincident

Vid en incident som innebär att personuppgifter röjs eller obehörigen röjs, ska biträdet omedelbart underrätta den personuppgiftsansvarige. Incidenten ska utredas och åtgärder vidtas för att begränsa skadan.

Avtalets upphörande

När avtalet avslutas ska biträdet radera eller återlämna alla personuppgifter, såvida inte laglig skyldighet kräver annat. Instruktionerna för detta ska vara tydliga i avtalet.

Ändringar

Ändringar och tillägg till avtalet ska göras skriftligen och i samförstånd. Det är viktigt att ändringarna inte strider mot det ursprungliga avtalet.

Tvist

Tvister som inte kan lösas i samförstånd ska lösas i domstol eller enligt skiljeförfarande, enligt vad som anges i avtalet eller tillämplig lag.

Begrepp och definitioner

Begrepp som används i detta avtal ska ha samma betydelse som i GDPR och tillämplig dataskyddslagstiftning, inklusive:

  • Behandling: En åtgärd eller flera åtgärder beträffande personuppgifter, såsom insamling, lagring, användning, utlämning, radering etc.
  • Personuppgifter: Alla upplysningar som avser en identifierad eller identifierbar fysisk person.
  • Personuppgiftsansvarig: Den som på egen hand eller tillsammans med andra bestämmer ändamål och medel för behandlingen.
  • Personuppgiftsbiträde: Den som behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige.
  • Personuppgiftsincident: En säkerhetsincident som kan leda till oavsiktlig eller olaglig förstöring, förlust eller obehörig röjning av personuppgifter.