Det har nu gått ett par månader sen GDPR trädde i kraft och förde med sig inte bara nya regler att förhålla sig till utan även en hel del nya begrepp. I det här blogginlägget tänkte jag försöka reda ut vad GDPR:s kanske längsta ord betyder och varför det är viktigt.

För att reda ut varför man skriver personuppgiftsbiträdesavtal så behöver man först förstå grunderna i GDPR -regelverket.

Vad är en personuppgift?

En Personuppgift är en uppgift som direkt eller indirekt kan knytas till en fysisk person som är i livet. Typiska personuppgifter är personnummer, namn, adress, foton och telefonnummer. Även IP-adresser kan i vissa fall klassas som en personuppgift, om de kan kopplas till en viss person.

Ett organisationsnummer och företagsadress är däremot inte personuppgifter, med undantag för om det är en enskild firma eftersom det då kan kopplas direkt till en person.

Vem är personuppgiftsansvarig?

Den som bestämmer vilka personuppgifter som ska samlas in och i vilket syfte är alltid personuppgiftsansvarig. Om ett företag samlar in personuppgifter så är det den juridiska personen som är ansvarig, alltså företaget, och inte den anställde på företaget som har det som arbetsuppgift.

Vad är ett personuppgiftsbiträde?

Ett personuppgiftsbiträde  är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation.

Vanliga exempel på personuppgiftsbiträden är: en redovisningsbyrå som bland annat sköter löneutbetalningar. Då behandlar redovisningsbyrån uppgifter om de anställda för att kunna fullgöra sitt uppdrag åt företaget. Ett annat exempel är  IT-leverantörer som tillhandahåller e-mailkonton och molnlagringstjänster åt företagets anställda. Kreditupplysningsföretag samt bud-och transportfirmor är andra vanliga exempel på personuppgiftsbiträden.

Så den personuppgiftsansvarige är alltså den som bestämmer vilka personuppgifter som ska samlas in och i vilket syfte. Personuppgiftsbiträdet är en tredjepart som behandlar personuppgifterna på uppdrag av den ansvarige.

Varför ska man skriva ett personuppgiftsbiträdesavtal?

Ett personuppgiftsbiträdesavtal eller DPA (Data Processor Agreement) är ett avtal mellan den som är personuppgiftsansvarig och den som behandlar personuppgifter på uppdrag av personuppgiftsansvarig, dvs. personuppgiftsbiträdet.

GDPR ställer en hel del krav på hur behandlingen av personuppgifter får gå till och vilka rättigheter den registrerade individen vars uppgifter behandlas har. Den som bestämmer att personuppgifter ska samlas in och vad de ska användas till är alltid personuppgiftsansvarig enligt GDPR. Det ansvaret går inte att överlåta eller avtala bort.

Det  är därför som det är så viktigt att teckna ett personuppgiftsbiträdesavtal. Personuppgiftsbiträdesavtalet innehåller instruktioner för hur uppgifterna får behandlas, om eventuella underbiträden får anlitas, rutiner för att säkerställa överenskommen säkerhetsnivå, sekretess, mm.

Det är alltså genom det avtalet som den personuppgiftsansvarige säkerställer att biträdet behandlar personuppgifterna på rätt sätt.

Har du frågor eller vill du ha hjälp att skriva ett personuppgiftsbiträdesavtal? Läs mer och skicka en förfrågan här.