EU:s allmänna dataskyddsförordningen (GDPR) kräver i vissa fall att en personuppgiftsansvarig och ett personuppgiftsbiträde ingår ett skriftligt avtal för att reglera sina inbördes relationer, ett sk personuppgiftsbiträdesavtal. Syftet med att ingå ett personuppgiftsbiträdesavtal är att parterna följer GDPR, att parterna är medvetna om sina åtaganden och skyldigheter mot varandra och de registrerade, att parterna skyddar personuppgifterna som behandlas samt att båda parterna dokumenterar tydligare.
När krävs ett personuppgiftsbiträdesavtal?
Enligt GDPR krävs ett skriftligt avtal i två fall. För det första krävs ett avtal då ett personuppgiftsbiträde behandlar personuppgifter åt den personuppgiftsansvariga. Vidare krävs ett avtal när ett personuppgiftsbiträde anlitar ett underbiträde som ska utföra en specifik behandling, på den personuppgiftsansvarigas vägnar.
Vad ska ett sådant avtal innehålla?
Avtalet ska innehålla information om personuppgiftsbehandlingen enligt artikel 28.3 GDPR. Det ska finnas uppgift om föremålet för behandlingen, behandlingens varaktighet, behandlingens art och ändamål, typer av personuppgifter och kategorier av registrerade. Det ska av avtalet tydligt framgå vilka personuppgiftsbehandlingar den personuppgiftsansvariga vill lägga över på ett personuppgiftsbiträde.
Lag24 Trainee
19.08.2021
Få snabbt och enkelt hjälp med din juridiska fråga.