Personuppgiftsbiträden till GDPR


Författare: Daniel Tornberg
Publicerad: 2018-03-20
Ämne: EU, Dataskyddsförordningen

Som för de flesta bekant träder dataskyddsförordningen - Europaparlamentets och Rådets Förordning (EU) 2016/679, om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, allmänt kallad ”GDPR” efter dess engelska beteckning, General Data Protection Regulation, i kraft den 25 maj 2018.

En del av nyheterna i förordningen i förhållande till den nuvarande personuppgiftslagen rör personuppgiftsbiträden som får nya skyldigheter och ett utökat eget ansvar. Bland de viktigaste förändringarna återfinns en skyldighet att föra register över de olika kategorier av behandling som utförs för den personuppgiftsansvariges räkning samt ett eget ansvar för att tillse att säkerhetsnivån för den behandling som utförs är tillräcklig, avseende tekniska och organisatoriska skyddsåtgärder. Det bör i sammanhanget nämnas att den personuppgiftsansvariges ansvar däremot inte minskar i grad motsvarande biträdets ökade egna ansvar.

Partsförhållanden
Enligt förordningens definitioner i art. 4 p.7 är en personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt, medan ett personuppgiftsbiträde enligt samma artikel p. 8 är: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Skyldighet att träffa skriftligt avtal
När uppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter anges (se art. 28 p. 3).

Detta innebär att i situationer där någon (personuppgiftsbiträdet) behandlar personuppgifter på någon annans uppdrag (personuppgiftsansvarige) föreligger i regel en skyldighet att upprätta ett skriftligt avtal parterna emellan. Bestämmelsen anger dock inte vem av parterna som ska se till att avtalet skrivs utan ansvaret måste därför bedömas som delat. Skriftlighetskrav för personuppgiftsbiträdesavtal gäller förvisso redan enligt 30 § personuppgiftslagen, men förordningens art. 28 innehåller också uttryckliga krav på själva avtalsinnehållet (punkterna a-h) vilket är nytt från ett svenskt perspektiv. Detta krav på specifikt avtalsinnehåll får till konsekvens att både redan upprättade och nya personuppgiftsbiträdesavtal måste skrivas om respektive anpassas till dataskyddsförordningen.

Personuppgiftsbiträdesavtalets innehåll
Vad personuppgiftsavtalet ska innehålla framgår som nämnts huvudsakligen av art. 28. I första punkten anges att om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i förordningen och säkerställer att den registrerades rättigheter skyddas. Lämpligen anges därför i avtalet att biträdet lämnar sådana garantier för att undvika att den personuppgiftsansvarige på andra sätt måste försäkra sig om att personuppgiftsbiträdet uppfyller garantikraven.

Andra punkten anger att personuppgiftsbiträdet inte får anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar. Även denna punkt bör rimligen mer eller mindre ordagrant införlivas i ett biträdesavtal.

I tredje punkten klargörs kravet på skriftlighet men även det specifika avtalsinnehållet (a-h) vilket kommenteras nedan.

  1. a) endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av, och i så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt,

Det bör noteras att Instruktionerna från den personuppgiftsansvarig alltså ska vara dokumenterade – vilket biträdet bör tillförsäkra sig om.

  1. b) säkerställer att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt,

Bestämmelsen ställer alltså krav på att anställda hos personuppgiftsbiträdet som huvudregel har undertecknat ett sekretessavtal. Antingen separat eller i sitt anställningsavtal.

  1. c) ska vidta alla åtgärder som krävs enligt artikel 32

Art. 32 behandlar personuppgiftsansvariges och personuppgiftsbiträdets 
säkerhetsskyldigheter i samband med personuppgiftsbehandling och ställer krav på att biträdet vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken vilket exempelvis kan innebära att pseudonymisering eller kryptering av personuppgifter ska ske eller att anställda hos personuppgiftsbiträdet endast behandlar personuppgifter enligt den personuppgiftsansvariges instruktioner

  1. d) ska respektera de villkor som avses i punkterna 2 och 4 för anlitandet av ett annat personuppgiftsbiträde,

Punkten 2 avser att förhandstillstånd krävs från den personuppgiftsansvarige för få anlita ett underbiträde medan punkt 4 anger att samma ansvar gäller underbiträden som det första biträdet.

  1. e) med tanke på behandlingens art, ska hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III,

Kapitel III, som är omfattande, rör den registrerades rättigheter i förhållande till den personuppgiftsansvarige. Här innefattas exempelvis rätten att få del av information om vilka personuppgifter som behandlas om den registrerade, rätten att få felaktiga uppgifter rättade, raderade eller flyttade (dataportabilitet). Punkten e syftar därmed till att tillse att personuppgiftsbiträdet har tillräcklig tekniska och organisatoriska system för att kunna bistå den personuppgiftsansvarige med att uppfylla sitt ansvar i förhållande till de registrerade.   

  1. f) ska bistå den personuppgiftsansvarige med att se till att skyldigheterna enligt artiklarna 32–36 (säkerhetsåtgärder och konsekvensbedömning) )fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå,

Art. 32 har kommenterats ovan under punkt c.  Art. 33 rör anmälan till tillsynsmyndighet vilken ska ske inom 72 timmar av den personuppgiftsansvarige. Personuppgiftsbiträdet har skyldighet att utan onödigt dröjsmål underrätta den personuppgiftsansvarige vid personuppgiftsincidenter. Art. 34 anger hur den registrerade ska underrättas av den personuppgiftsansvarige vid personuppgiftsincidenter. Artiklarna 35-36 rör sådana konsekvensbedömningar som den personuppgiftsansvarige har skyldighet att göra vid hög risk för fysiska personers rättigheter samt att i vissa fall samråda med tillsynsmyndigheten. Personuppgiftsbiträdet har således skyldighet att bistå den personuppgiftsansvarige vid dessa situationer.

  1. g) beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänster har avslutats, och radera befintliga kopior såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt

Bestämmelsen behandlar biträdet skyldigheter i samband med att biträdesuppdraget avslutas – vilket också ställer krav på tillräckliga tekniska och organisatoriska rutiner.

  1. h) ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i denna artikel har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige.

Som framgår bör biträdet kunna presentera en betryggande dokumentation över att förordningens alla krav är uppfyllda men även ha tillräckliga tekniska och organisatoriska rutiner för att medge en utomstående granskning.

I den avslutande fjärde punkten anges att i de fall där ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde för utförande av specifik behandling på den personuppgiftsansvariges vägnar ska det andra personuppgiftsbiträdet, genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt, åläggas samma skyldigheter i fråga om dataskydd som de som fastställs i avtalet eller den andra rättsakten mellan den personuppgiftsansvarige och personuppgiftsbiträdet enligt punkt 3, och framför allt att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning. Om det andra personuppgiftsbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarig gentemot den personuppgiftsansvarige för utförandet av det andra personuppgiftsbiträdets skyldigheter.

Sammantaget är personuppgiftsbiträdesavtalets innehåll tämligen detaljerat angivet i art. 28 och kan därför utformas i nära anslutning till förordningstexten. Som framgått är dock personuppgiftsbiträdets (och personuppgiftsansvariges) skyldigheter omfattande vilket ställer krav på att respektive part också analyserar om förordningens krav kan efterkommas innan avtalet undertecknas.

Partsintressen
Som många redan erfarit har både personuppgiftsansvariga och personuppgiftsbiträden börjat skicka ut personuppgiftsbiträdesavtal till sina samarbetspartners, kunder, leverantörer m.m. med begäran om underskrift. Avtalen ger ofta intryck av att vara standardmässigt utformade särskilt som de kan kombineras med en förklaring om att avtalet är nödvändigt med hänvisning till den nya dataskyddsförordningen. Beroende på partsställning bör det dock uppmärksammas att det är vanligt att den som vill ha avtalet undertecknat ofta ”passar på” att infoga villkor som inte följer av dataskyddsförordningen utan är helt frivilliga – och därmed öppna för förhandlingar. Som var och en inser är dock måhända utrymmet för avtalsförhandlingar med vissa multinationella storbolag för mindre bolag begränsande. Likväl vilar ett ansvar på den som ska underteckna avtalet att sätta sig in i vilket ansvar som parten faktiskt ta på sig. Sådana centrala delar rör ofta frågor om särskild ersättning till biträdet för att fullgöra ansvar och skyldigheter enligt biträdesavtalet gentemot den personuppgiftsansvarige. Ersättningen varierar mellan ingenting till ersättning enligt särskilda belopp eller timtariffer. En mellanvariant är att ersättning enbart kan utgå om parterna först skriftligen kommit överens om detta. En annat sådant centralt villkor är frågan om skadeståndsskyldighet vid ageranden i strid med avtalet där det är vanligt att den personuppgiftsansvarige anger att ansvaret är obegränsat medan personuppgiftsansbiträdet ofta låser ansvaret till en del av ersättningen per kalenderår för utförandet av sitt huvuduppdrag. Även på villkor om avtalstid och tvistlösning finns all anledning att vara uppmärksam för att skydda sina egna intressen.

En särskilt besvärlig situation, i ljuset av vad som sagts ovan, kan uppstå för mindre konsultbolag som i uppdrag kan behandla personuppgifter för stora kunders räkning men som samtidigt använder sig av olika digitala tjänster – ofta i molnmiljö för att utföra uppdraget. Konsultbolaget hamnar därmed i kläm mellan den stora kunden som vill ha sitt subjektivt utformade personuppgiftsavtal undertecknat samtidigt som molntjänstens på samma sätt subjektivt utformade avtal måste undertecknas för att konsultbolaget överhuvudtaget ska få tillgång till tjänsten. Vid sådana situationer är det därför särskilt viktigt för konsultbolaget att skaffa sig ett grepp om vilka skyldigheter som det tar på sig och om de olika avtalen verkligen är förenliga med varandra. Vid orimliga situationer med för stora affärsrisker kan bolaget behöva avstå uppdrag alternativt lägga ned resurser på att försöka få avtalen justerade – även om kontrahenten är en global jätte.

Krönikan är ursprungligen publicerad i Karnov nyheter 2018-03-13.

Kommentera