Vad är PuB-avtal?
Personuppgiftsbiträdesavtal (PuB-avtal) är ett avtal som reglerar hur personuppgifter ska behandlas när ett företag eller en organisation anlitar en leverantör eller en underleverantör som får tillgång till personuppgifterna. Detta avtal är obligatoriskt enligt EU:s dataskyddsförordning (GDPR) och syftar till att skydda de registrerades rättigheter och integritet.
I denna artikeln ska vi förklara vad personuppgiftsbiträdesavtal innebär, vilka roller och skyldigheter som finns, och vad man ska tänka på när man upprättar eller granskar ett sådant avtal.
Vad är personuppgiftsansvarig och personuppgiftsbiträde?
För att förstå vad ett personuppgiftsbiträdesavtal är, måste man först känna till begreppen personuppgiftsansvarig och personuppgiftsbiträde.
Personuppgiftsansvarig är den som bestämmer varför och hur personuppgifter ska behandlas. Det kan vara ett företag, en myndighet, en förening eller annan juridisk eller fysisk person. Personuppgiftsansvarig har det yttersta ansvaret för att personuppgiftsbehandlingen sker i enlighet med GDPR och andra lagar.
Personuppgiftsbiträde är den som behandlar personuppgifter för personuppgiftsansvarigs räkning, det vill säga på uppdrag av eller enligt instruktioner från personuppgiftsansvarig. Det kan vara en leverantör av IT-tjänster, bokföring, marknadsföring, kreditupplysning eller annan verksamhet som kräver tillgång till personuppgifter. Personuppgiftsbiträde har inte rätt att bestämma över personuppgifterna, utan måste följa de villkor som personuppgiftsansvarig har satt upp.
Vad ska ett personuppgiftsbiträdesavtal innehålla?
Ett personuppgiftsbiträdesavtal ska reglera hur personuppgifterna får behandlas av personuppgiftsbiträdet, vilka säkerhetsåtgärder som ska vidtas, hur den registrerades rättigheter ska tillgodoses, och hur ansvaret fördelas mellan parterna.
Enligt GDPR ska ett personuppgiftsbiträdesavtal innehålla följande punkter:
– En beskrivning av vilka typer av personuppgifter som ska behandlas, vilka kategorier av registrerade som berörs, och vilka syften och lagliga grunder som finns för behandlingen.
– En instruktion från personuppgiftsansvarig om hur personuppgiftsbiträdet ska behandla personuppgifterna, inklusive eventuella begränsningar eller förbud.
– Ett åtagande från personuppgiftsbiträdet att endast behandla personuppgifterna i enlighet med instruktionen och inte använda dem för egna ändamål.
– Ett åtagande från personuppgiftsbiträdet att se till att alla som har tillgång till personuppgifterna har tystnadsplikt och följer gällande regler.
– Ett åtagande från personuppgiftsbiträdet att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna mot obehörig åtkomst, förlust, förstörelse eller annan otillbörlig behandling.
– Ett åtagande från personuppgiftsbiträdet att bistå personuppgiftsansvarig med att uppfylla sina skyldigheter gentemot de registrerade, till exempel att svara på begäran om rättelse, radering, begränsning eller dataportabilitet.
– Ett åtagande från personuppgiftsbiträdet att bistå personuppgiftsansvarig med att genomföra konsekvensbedömningar och konsultera tillsynsmyndigheten vid behov.
– Ett åtagande från personuppgiftsbiträdet att informera personuppgiftsansvarig om eventuella dataintrång eller andra incidenter som kan påverka personuppgiftsskyddet, och vidta nödvändiga åtgärder för att begränsa skadan.
– Ett åtagande från personuppgiftsbiträdet att radera eller återlämna personuppgifterna till personuppgiftsansvarig när avtalet upphör eller när behandlingen är slutförd, om inte annat följer av lag.
– Ett åtagande från personuppgiftsbiträdet att låta personuppgiftsansvarig eller en oberoende revisor kontrollera att personuppgiftsbiträdet följer avtalet och GDPR.
– En reglering av hur personuppgiftsbiträdet får anlita underleverantörer (underbiträden) som också får tillgång till personuppgifterna, och vilka krav som ska ställas på dem.
– En reglering av hur ansvaret och ersättningen fördelas mellan parterna om någon av dem bryter mot avtalet eller GDPR, och om någon registrerad eller tillsynsmyndighet kräver skadestånd eller böter.
Hur upprättar eller granskar man ett personuppgiftsbiträdesavtal?
Det finns inget standardiserat formulär för ett personuppgiftsbiträdesavtal, utan det kan utformas på olika sätt beroende på parternas behov och förutsättningar. Det är dock viktigt att avtalet täcker alla de punkter som nämnts ovan, och att det är tydligt och begripligt för båda parter.
Om man ska upprätta eller granska ett personuppgiftsbiträdesavtal kan det vara bra att följa dessa steg:
– Identifiera vilka personuppgifter som ska behandlas, vilka syften och lagliga grunder som finns, och vilka risker som finns för de registrerades rättigheter och friheter.
– Kontrollera att personuppgiftsbiträdet har tillräcklig kompetens, erfarenhet och resurser för att utföra uppdraget på ett säkert och korrekt sätt.
– Kontrollera att personuppgiftsbiträdet har en godkänd integritetspolicy och rutiner för personuppgiftshantering, samt att de följer gällande lagar och branschstandarder.
– Kontrollera att personuppgiftsbiträdet har en adekvat försäkring som täcker eventuella skador som kan uppstå på grund av felaktig eller otillbörlig behandling av personuppgifter.
– Formulera en tydlig instruktion från personuppgiftsansvarig om hur personuppgiftsbiträdet ska behandla personuppgifterna, inklusive eventuella begränsningar eller förbud.
– Formulera ett tydligt åtagande från personuppgiftsbiträdet om att följa instruktionen och inte använda personuppgifterna för egna ändamål.
– Formulera tydliga åtaganden från båda parter om att vidta lämpliga säkerhetsåtgärder, bistå varandra med information och samarbete, samt rapportera eventuella incidenter eller problem.
– Formulera tydliga regler om hur personuppgifterna ska hanteras när avtalet upphör eller när behandlingen är slutförd, samt hur eventuella tvister ska lösas.
– Formulera tydliga regler om hur personuppgiftsbiträdet får anlita underleverantörer (underbiträden), och vilka krav som ska ställas på dem.
– Formulera tydliga regler om hur ansvaret och ersättningen fördelas mellan parterna om någon av dem bryter mot avtalet eller GDPR, och om någon registrerad eller tillsynsmyndighet kräver skadestånd.
Wikipedia information om Personuppgiftslagen
Personuppgiftslagen Personuppgiftslagen (1998:204 ), ofta förkortad PUL eller PuL, var en svensk lag och var den svenska implementeringen av EU:s dataskyddsdirektiv 95/46/EG. Lagen reglerade behandling av personuppgifter. Enligt PUL skall behandling av personuppgifter anmälas till lagens tillsynsmyndighet, som är Integritetsskyddsmyndigheten. Lagen trädde i kraft den 24 oktober 1998 då den förra datalagen (1973:289) slutade gälla. Lagen föreslogs följa samma struktur som direktivet, med motiveringen att direktivet saknar förarbeten och därför inte kan tolkas – det ansågs därför lämpligast att försöka följa direktivets text och struktur. Noterbart är även att bestämmelser om viss dokumentationsskyldighet för myndighet flyttas till 15 kapitlet OSL och straffet för dataintrång flyttades till brottsbalken, detta för att bestämmelserna inte ansågs höra hemma i den nya lagen. Personuppgiftslagen tillämpades inte om det fanns annan lagstiftning som bestämde något annat – personuppgiftslagen var alltså subsidiär andra författningar (2 § PuL). Den svenska personuppgiftslagen ersattes den 25 maj 2018 av EU:s dataskyddsförordning (GDPR), som presenterades 2012. Reformen avser att modernisera EU:s dataskyddsdirektiv från 1995 och reglerar även lagring av personuppgifter. Den innehåller dels en dataskyddsförordning, dels ett särskilt dataskyddsdirektiv för brottsbekämpande myndigheter.Synonymer till biträde
- medverkan, hjälp, bistånd, understöd, assistans