GDPR Personuppgiftsbitradesavtal
Personuppgiftsbiträdesavtal GERT STRAND A/B
Vi ansvarar för dina personuppgifter
Det är GERT STRAND AB (org.nr.556171-3420 ) som är ansvarig för dina personuppgifter
(”personuppgiftsansvarig”), och kontaktinformation till oss finner du nederst i policyn.
Personuppgiftsansvarig och personuppgiftsbiträde
Personuppgiftsansvarig är den som bestämmer ändamålen och medlen för personuppgiftshanteringen.Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning, dvs i många fall en leverantör av IT-tjänster. Det kan också t ex vara en redovisningsbyrå som sköter t ex bokföring och lönehantering.Den personuppgiftsansvarige kan inte delegera sitt ansvar och är alltid ytterst ansvarig för att behandlingen sker i enlighet med kraven i dataskyddsförordningen (även kallad GDPR). Ett personuppgiftsbiträde kan bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den personuppgiftsansvariges instruktioner. Personuppgiftsbiträdet kan, på samma sätt som personuppgiftsansvariga, drabbas av sanktionsavgifter om det inte uppfyller de skyldigheter som finns i GDPR.
Skriftligt avtal
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde ska det finnas ett skriftligt avtal, ett så kallat personuppgiftsbiträdesavtal. Det är den personuppgiftsansvarige som ansvarar för att det upprättas ett avtal.
Avtalets innehåll
I grunden ska avtalet specificera varför och hur länge personuppgifterna behandlas, ändamål för behandlingen, typen av personuppgifter och kategorier av registrerade som personuppgifterna avser.
Enligt GDPR ska personuppgiftsbiträdet i avtalet åta sig att:
- Bara behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige.
- Se till att personer som har behörighet att behandla personuppgifter hos biträdet har åtagit sig att iaktta tystnadsplikt eller omfattas av lagstadgad tystnadsplikt.
- Vidta alla tekniska och organisatoriska åtgärder som är nödvändiga för att säkerställa en lämplig säkerhetsnivå i förhållande till riskerna med behandlingen.
- Respektera kraven på förhandstillstånd och avtal vid anlitande av
- ett annat biträde (ett underbiträde).
- Vidta lämpliga tekniska och organisatoriska åtgärder så att den personuppgiftsansvarige kan svara på en enskilds begäran om att få tillgång till sina personuppgifter. Detsamma gäller möjlighet till rättelse, radering, dataportabilitet med mera.
- Bistå den personuppgiftsansvarige med att se till att skyldigheterna fullgörs ifråga om säkerhetsåtgärder, anmälan av personuppgiftsincidenter och information om sådana incidenter till de registrerade samt konsekvensbedömning och förhandssamråd.
- Radera eller återlämna alla personuppgifter till den personuppgiftsansvarige (beroende på vad den personuppgiftsansvarige väljer) när uppdraget avslutas och även radera alla kopior.
- Ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att man fullgör alla skyldigheter som man har som biträde samt att möjliggöra och bidra till inspektioner och andra granskningar som den personuppgiftsansvarige vill genomföra.
Avtalspunkter
Här är en genomgång av de punkter som finns med i personuppgiftsbiträdesavtalet. Tänk på att varje avtal är unikt och att detta avtal endast är ett exempel. Du kan alltså behöva anpassa avtalet till just din situation. Avtalet ska dock täcka de flesta fall med normala omständigheter.
PARTER
Det är brukligt att i början av avtalet skriva parternas namn och gärna organisationsnummer. Parternas fullständiga namn behöver inte upprepas i de övriga avtalsklausulerna. Det räcker med att använda benämningarna personuppgiftsansvarig och personuppgiftsbiträde.
DEFINITIONER
GDPR och personuppgiftsbiträdesavtalet innehåller flera svåra begrepp och det kan vara lämpligt att förklara svåra ord och termer i början av avtalet. På så sätt underlättas läsningen och tolkningen av avtalet.
INNEHÅLL OCH SYFTE
Det är bra att i början av avtalet skriva lite om bakgrunden, innehållet och syftet med avtalet. Är det ett komplext avtal kan det ge en bra överblick över avtalet. Därigenom blir det lättare att läsa och förstå avtalsinnehållet.
BEHANDLING AV PERSONUPPGIFTER
Personuppgiftsbiträdet får enbart behandla personuppgifterna i enlighet med de instruktioner och för de syften som den personuppgiftsansvarige angett i personuppgiftsbiträdesavtalet. Instruktionerna kan definieras i en bilaga till avtalet, på den personuppgiftsansvariges hemsida eller i tjänsteavtalet mellan parterna. I vårt exempel på Personuppgiftsbiträdesavtal har vi utgått ifrån att instruktionerna finns med i en bilaga till avtalet. Någon mall för denna bilaga har vi dock inte tagit fram eftersom den kan skilja sig väsentligt åt från fall till fall.
Instruktionerna ska vara så pass tydliga att personuppgiftsbiträdet kan uppfylla GDPR:s krav på behandlingen. Instruktionerna bör innehålla syfte och ändamål med behandlingen, kategorier av personuppgifter, behandlingsverksamheter, mm. När du laddar ner mallen medföljer en mall även för instruktionerna. Notera att den gulmarkerade texten är exempeltext som du ska byta ut mot din text.
Biträdesavtalet ska enligt GDPR även föreskriva att biträdet omedelbart måste informera den personuppgiftsansvarige för det fall biträdet anser att en instruktion som denne fått av den personuppgiftsansvarige strider mot GDPR eller mot andra dataskyddsbestämmelser.
Observera att om personuppgiftsbiträdet börjar behandla personuppgifterna som det fått från den ansvarige för andra syften som biträdet själv bestämmer, blir biträdet istället personuppgiftsansvarig för dessa, med allt ansvar som det innebär.
ÖVERFÖRING TILL TREDJE LAND
För överföring av personuppgifter till länder utanför EU och EES (överföring till tredje land) gäller särskilda regler. GDPR innebär att länder inom EU och EES har ett likvärdigt skydd för personuppgifter och personlig integritet. Därför kan personuppgifter föras över fritt inom detta område utan begränsningar. Eftersom det inte finns några generella regler som ger motsvarande garantier utanför EU och EES får överföring till sådana länder bara ske under särskilda förutsättningar. Överföring får bara t ex ske till tredje land som har adekvat skyddsnivå (vilket EU-kommissionen avgör) eller efter särskilt tillstånd från Integritetsskyddsmyndigheten (fd Datainspektionen).
För att den personuppgiftsansvarige ska ha fullständig kontroll över överföringar till tredje land kan man i personuppgiftsbiträdesavtalet bestämma att detta kräver den personuppgiftsansvariges samtycke.
SÄKERHET
Ett personuppgiftsbiträde har ett eget ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att se till att säkerhetsnivån för dennes personuppgiftsbehandling är tillräcklig.
Avtalet ska innehålla en bestämmelse om att personuppgiftsbiträdet ska vidta de åtgärder som krävs enligt GDPR för att uppnå en rimlig säkerhetsnivå. Som exempel på vad som kan vara lämpliga skyddsåtgärder som minskar risken med behandlingen nämner GDPR bland annat pseudonymisering, kryptering, etc. Det är vanligt att dessa exempel återges i biträdesavtalet, vilket de även gör i detta avtal.
SEKRETESS
Enligt GDPR ska avtalet innehålla bestämmelser om att de personer som behandlar personuppgifter hos personuppgiftsbiträdet ska ha tystnadsplikt.
UNDERBITRÄDEN
Ett personuppgiftsbiträde kan anlita underbiträden (underleverantörer). Det är särskilt vanligt med underbiträden när det kommer till handlar om molntjänster.
I personuppgiftsbiträdesavtalet ska det framgå att biträdet inte får anlita ett underbiträde för behandling av personuppgifter utan att först ha inhämtat ett förhandstillstånd från den personuppgiftsansvarige. Förhandstillståndet ska vara skriftligt och kan antingen regleras i varje enskilt fall eller genom ett allmänt förhandstillstånd i personuppgiftsbiträdesavtalet. Vi rekommenderar ett generellt tillstånd för att underlätta byten av underleverantörer. Har personuppgiftsbiträdet fått ett generellt tillstånd att anlita underbiträden måste biträdet ändå informera den personuppgiftsansvarige om planerna på att anlita ett nytt underbiträde, så att den ansvarige kan göra invändningar mot detta.
Befintliga underleverantörer som personuppgiftsbiträdet använder sig av vid avtalets ingående ska specificeras på t ex biträdets hemsida eller i en bilaga till biträdesavtalet.
När ett personuppgiftsbiträde anlitar ett underbiträde måste ett avtal (ett underbiträdesavtal) upprättas mellan parterna. Om underbiträdet inte fullgör sina skyldigheter kommer personuppgiftsbiträdet enligt GDPR att vara fullt ansvarig gentemot den personuppgiftsansvarige för att dessa skyldigheter utförs.
Underbiträdet ska enligt underbiträdesavtalet omfattas av samma skyldigheter som det ursprungliga biträdet har mot den personuppgiftsansvarige enligt deras avtal.
ASSISTANS
Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder så att den personuppgiftsansvarige kan svara på en enskilds begäran om att få tillgång till sina personuppgifter. Detsamma gäller den enskildes möjlighet till rättelse och radering av personuppgifter samt dataportabilitet (rätten att flytta personuppgifter till en annan personuppgiftsansvarig).
Biträdesavtalet ska vidare innehålla en bestämmelse om att biträdet har en allmän skyldighet att bistå den personuppgiftsansvarige att fullgöra skyldigheterna enligt GDPR. Med detta menas att personuppgiftsbiträdet har en mer allmän skyldighet att bistå den personuppgiftsansvarige så att denne kan fullgöra sina skyldigheter enligt GDPR, t ex att säkerheten för behandlingen är tillräcklig. Personuppgiftsbiträdet ska även hjälpa till med att bistå den personuppgiftsansvarige vid konsekvensbedömningar avseende dataskydd och vara personuppgiftsansvarig behjälplig i förhandssamråd med Integritetsskyddsmyndigheten. Skyldigheten innefattar även anmälan och information om personuppgiftsincidenter (se mer om detta nedan).
GRANSKNING
I personuppgiftsbiträdesavtalet ska det finnas ett åtagande från biträdets sida om att ge personuppgiftsansvarige tillgång till all information som krävs för att visa att samtliga skyldigheter fastställda i GDPR har fullgjorts, och att bidra till att granskningar och inspektioner kan genomföras. Om den personuppgiftsansvarige exempelvis begär bevis på att personuppgifter som ett biträde ålagts att radera har förstörts permanent, ska biträdet bistå med information som bekräftar att detta gjorts.
PERSONUPPGIFTSINCIDENT
Det är ett krav enligt GDPR att säkerhetsincidenter, t ex om den personuppgiftsansvarige misstänker att någon obehörig har fått tillgång till personuppgifter, ska anmälas till Integritetsskyddsmyndigheten inom 72 timmar. Beroende på incident kan den personuppgiftsansvarige även behöva informera dem som drabbats.
Personuppgiftsbiträdet är enligt GDPR skyldigt att utan onödigt dröjsmål underrätta den personuppgiftsansvarige om det sker en personuppgiftsincident. Inom vilken tid underrättelsen ska göras bör avgöras med hänsyn till incidentens art, svårighetsgrad, följder och negativa effekter för den registrerade. Det är svårt att ange en exakt tidsram i avtalet men i praktiken kan viss ledning hämtas av situationen när en personuppgiftsincident sker hos den personuppgiftsansvariga. I detta fall ska ju som sagt den personuppgiftsansvarige göra en anmälan till Integritetsskyddsmyndigheten inom 72 timmar. Därför torde personuppgiftsbiträdet vara skyldigt att underrätta den personuppgiftsansvarige snabbare än så.
Den personuppgiftsansvariges underrättelse till Integritetsskyddsmyndigheten ska enligt GDPR innehålla viss information. Bland annat ska anmälan innehålla information om antalet registrerade som berörs, hur många och vilka uppgifter som röjts, vilka sannolika konsekvenser som kan uppkomma, vilka åtgärder företaget planerar att vidta mm. För att underlätta för den personuppgiftsansvarige bör personuppgiftsbiträdets underrättelse till den personuppgiftsansvarige innehålla samma information. Denna information finns specificerad i avtalet.
AVTALETS UPPHÖRANDE
Enligt GDPR ska personuppgiftsbiträdesavtalet reglera att personuppgiftsbiträdet, när behandlingen avslutas för den personuppgiftsansvariges räkning, raderar eller återlämnar personuppgifterna.
Undantag från skyldigheten kan göras om det finns en unionsrättslig eller nationell legal skyldighet att bevara personuppgifterna, t ex för bokföringssyfte.
Det är därför viktigt att biträdesavtal innehåller tydliga instruktioner om radering och förstörelse av
personuppgifter.
ÄNDRINGAR
Tillägg och ändringar av avtalet måste göras i samförstånd mellan parterna. Ingen kan ensidigt ändra eller göra tillägg. Tillägg och ändringar görs genom att ett nytt avtal skrivs eller genom ett tillägg till det gamla avtalet. Kompletteras det gamla avtalet med ett tillägg är det viktigt att innehållet i tillägget inte strider mot innehållet i det ursprungliga avtalet. Ska vissa bestämmelser i komplementet gälla istället för bestämmelser i det ursprungliga avtalet bör det framgå av komplementet. Risken är annars att man får delar i avtalen som strider mot varandra.
Ändringar och tillägg bör för att vara giltiga göras skriftligen. Annars kan det uppstå tveksamheter och bevissvårigheter.
TVIST
Om det har uppstått en tvist mellan dig och din motpart, som ni inte själva kan lösa, måste ni ta hjälp utifrån. Tvisten kan lösas av domstol eller skiljemän. Finns det ingen klausul i avtalet om hur och var tvisten ska prövas, ska tvisten lösas i domstol. Här kan man hänvisa till tjänsteavtalet om frågan finns reglerad där.
DEFINITIONER
Begrepp och definitioner i detta Avtal ska ha motsvarande betydelse som i Europaparlamentets och Rådets förordning (EU) 2016/679 (nedan kallad dataskyddsförordningen) samt tolkas och tillämpas i enlighet med Tillämplig dataskyddslagstiftning. Detta innebär bland annat följande:
Behandling
avser en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Tillämplig
dataskyddslagstiftning
avser Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG och de nationella lagar som stiftas till följd av denna förordning. ”Tillämplig dataskyddslagstiftning” inkluderar även bindande vägledningar, utlåtanden, rekommendationer och beslut från tillsynsmyndigheter, domstol eller annan myndighet.
Personuppgiftsansvarig
den som på egen hand eller tillsammans med andra, fastställer ändamål och medel för behandlingen av personuppgifterna.
Personuppgiftsbiträde
avser den som behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige
Personuppgifter
varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifikator som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgiftsincident
avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.Den Personuppgiftsansvarige och Personuppgiftsbiträdet har ingått ett avtal (nedan kallat Tjänsteavtal) angående de tjänster som Personuppgiftsbiträdet ska tillhandahålla den Personuppgiftsansvarige. Med anledning av detta Tjänsteavtal kommer Personuppgiftsbiträdet att behandla personuppgifter för Personuppgiftsansvariges räkning. Detta Avtal har upprättats för att bland annat uppfylla kravet i artikel 28 i dataskyddsförordningen om att det ska finnas ett skriftligt avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde för behandlingen av personuppgifter.
BEHANDLING AV PERSONUPPGIFTER
Den Personuppgiftsansvarige garanterar att denne har rätt att behandla personuppgifter samt att behandlingen är i enlighet med Tillämplig dataskyddslagstiftning.
Personuppgiftsbiträdet åtar sig att endast behandla personuppgifter i enlighet med Tjänsteavtalet och med den Personuppgiftsansvariges instruktioner enligt bilaga 1 i detta Avtal. Personuppgiftsbiträdet ska vid behandlingen av personuppgifter följa Tillämplig dataskyddslagstiftning.
Personuppgiftsbiträdet ska omedelbart informera den Personuppgiftsansvarige om Personuppgiftsbiträdet saknar instruktion om hur denne ska behandla personuppgifter i en specifik situation eller om en instruktion enligt detta Avtal eller i annat fall strider mot Tillämplig dataskyddslagstiftning.
Personuppgiftsbiträdet får inte, utan föreläggande från relevant myndighet eller tvingande lagstiftning:
- · samla in eller lämna ut personuppgifter från eller till någon tredje part om inte annat skriftligen har överenskommits,
- · ändra metod för behandling,
- · kopiera eller återskapa personuppgifter eller
- · på något annat sätt behandla personuppgifter för andra ändamål än de som anges i Tjänsteavtalet.
ÖVERFÖRING TILL TREDJE LAND
Överföring av personuppgifter till en stat utanför EU och EES kräver den Personuppgiftsansvariges skriftliga samtycke i förväg och får endast ske de om villkor för överföring till tredje länder som framgår av Tillämplig dataskyddslagstiftning har uppfyllts.
SÄKERHET
Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska innebära en säkerhetsnivå som överensstämmer med Tillämplig dataskyddslagstiftning och som är lämplig med beaktande av:
- · de tekniska möjligheter som finns,
- · vad det skulle kosta att genomföra åtgärderna,
- · de särskilda risker som finns med behandlingen av personuppgifterna och
- · hur pass känsliga de behandlade personuppgifterna är.
Avtalade åtgärder, vilka uppfyller denna punkt, ska åstadkomma en säkerhetsnivå som Personuppgiftsansvarig bedömer lämplig.
Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter, ska Personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt
- · pseudonymisering och kryptering av personuppgifter,
- · förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos de system och tjänster som behandlar personuppgifter,
- · förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, och
- · ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
SEKRETESS
Personuppgiftsbiträdet är skyldigt att säkerställa att endast personer som har ett direkt behov av tillgång till Personuppgifter för att kunna infria Personuppgiftsbiträdets åtaganden i enlighet med Tjänsteavtalet har tillgång till sådan information. Personuppgiftsbiträdet ska se till att samtliga anställda, konsulter och övriga som är involverade i behandlingen är bundna av sekretess samt att de är informerade om hur behandling av personuppgifterna får ske.
UNDERBITRÄDEN
För att Personuppgiftsbiträdet ska kunna uppfylla skyldigheterna enligt Tjänsteavtalet och detta Avtal har Personuppgiftsbiträdet rätt att anlita underbiträde. Den Personuppgiftsansvarige samtycker till att de underbiträden som listas på Personuppgiftsbiträdets hemsida kan komma att anlitas som underbiträde. Om Personuppgiftsbiträdet avser att ändra, ta bort eller lägga till ett underbiträde kommer Personuppgiftsbiträdet att informera om detta så att den Personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.
Om Personuppgiftsbiträdet anlitar underbiträde ska Personuppgiftsbiträdet ingå särskilt person uppgiftsbiträdesavtal med sådant underbiträde vad avser underbiträdets behandling av personuppgifter. I ett sådant avtal ska det framgå att underbiträdet har motsvarande skyldigheter som Personuppgiftsbiträdet har enligt detta Avtal. Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran tillhandahålla kopia av de delar av Personuppgiftsbiträdets avtal med underbiträde som krävs för att utvisa att Personuppgiftsbiträdet uppfyllt sina åtaganden enligt detta Avtal.
ASSISTANS
Personuppgiftsbiträdet ska, med hänsyn taget till Behandlingens art, hjälpa Personuppgiftsansvarig genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Personuppgiftsansvarig kan fullgöra sin skyldighet att svara när den Registrerade vill utöva sina rättigheter.
Personuppgiftsbiträdet ska bistå Personuppgiftsansvarig med att se till att den Personuppgiftsansvarige kan uppfylla sina rättsliga skyldigheter som personuppgiftsansvarig enligt Tillämplig dataskyddslagstiftning.
GRANSKNING
Den Personuppgiftsansvarige äger rätt att, själv eller genom tredje man, genomföra revision gentemot Personuppgiftsbiträdet eller på annat sätt kontrollera att Personuppgiftsbiträdets behandling av personuppgifter följer detta Avtal. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge Personuppgiftsansvarige den assistans som behövs för genomförandet.
PERSONUPPGIFTSINCIDENT
Vid en personuppgiftsincident som omfattar personuppgifter som behandlas på uppdrag av den Personuppgiftsansvarige ska Personuppgiftsbiträdet omedelbart undersöka incidenten och vidta lämpliga åtgärder för att mildra dess potentiella negativa effekt och förhindra upprepning. Personuppgiftsbiträdet ska även omedelbart tillhandahålla Personuppgiftsansvarig en beskrivning av incidenten. Beskrivningen ska åtminstone
- · beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,
- · förmedla namnet på den person som kan tillhandahålla mer information eller svara på frågor,
- · beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och
- · beskriva de åtgärder som Personuppgiftsbiträdet har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.
AVTALETS UPPHÖRANDE
Villkoren i detta Avtal ska gälla så länge Personuppgiftsbiträdet behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige.
Om detta Avtal upphör att gälla ska Personuppgiftsbiträdet upphöra med Behandlingen av Personuppgifter och, efter den Personuppgiftsansvariges önskemål, radera eller återsända alla Personuppgifter till den Personuppgiftsansvarige och radera befintliga kopior, såvida inte Tillämplig dataskyddslagstiftning eller nationell rätt kräver att Personuppgifterna lagras. Personuppgiftsbiträdet ska säkerställa att Underbiträde vidtar samma åtgärder.