När behöver jag ett personuppgiftsbiträdesavtal och vad innehåller det?
När behöver jag ett personuppgiftsbiträdesavtal och vad innehåller det?
Personuppgiftsbiträdesavtal ska upprättas med alla utanför Bolagets organisation som behandlar Bolagets personuppgifter på uppdrag av Bolaget.
Bolaget får enligt GDPR inte anlita leverantörer som inte lämnar tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och skydda den registrerades rättigheter. Om Bolaget inte har ett biträdesavtal som uppfyller bland annat dessa krav så får leverantören inte anlitas.
Ett uppdaterat och giltigt personuppgiftsbiträdesavtal är en förutsättning
Ett personuppgiftsbiträdesavtal ska innehålla följande:
- Beskrivning av den typ av behandling som personuppgiftsbiträdet utför
- Ange ändamålet som personuppgiftsbiträdet hanterar personuppgifterna för
- Specificera vilken tid som personuppgiftsbiträdet ska hantera personuppgifterna för personuppgiftsansvarigs räkning
- Vilka typer av personuppgifter som personuppgiftsbiträdet behandlar och vilka kategorier av registrerade personer personuppgifterna avser
- Ange vilka skyldigheter personuppgiftsbiträdet har, t.ex. vilka organisatoriska och tekniska säkerhetsåtgärder som krävs när personuppgiftsbiträdet hanterar uppgifterna, vilka rutiner som personuppgiftsbiträdet ska ha för gallring och lagring av personuppgifterna, vad personuppgiftsbiträdet får och inte får göra med personuppgifterna
- För det fall personuppgiftsbiträdet ska anlita ett underbiträde, måste detta tydligt regleras i avtalet
- Särskild föreskrift att personuppgiftsbiträdet bara får behandla den personuppgiftsansvariges personuppgifter i enlighet med personuppgiftsavtalets regleringar och de dokumenterade instruktioner som den personuppgiftsansvarige lämnar
- Åtagande från personuppgiftsbiträdet att garantera sekretess rörande personuppgifterna och att se till att alla anställda hos personuppgiftsbiträdet följer sådan sekretess
- Skyldighet för personuppgiftsbiträdet att rapportera personuppgiftsincidenter till personuppgiftsansvarig
- Skyldighet för personuppgiftsbiträdet att radera eller återlämna personuppgifterna efter personuppgiftsavtalets upphörande
- Skyldighet för personuppgiftsbiträdet att ge information och tillgång till personuppgiftsansvarig om detta krävs för att personuppgiftsansvarig ska kunna efterleva sina krav enligt GDPR