Nu är Personuppgiftsbiträdesavtalet anpassat till GDPR


Författare: Daniel Tornberg
Publicerad: 2018-05-30
Ämne: Krönika

När en part ska företa behandling av personuppgifter för annans räkning, krävs ett skriftligt avtal för att reglera formerna för personuppgiftshanteringen parterna emellan. Enligt artikel 28 dataskyddsförordningen (mer känd som ”GDPR”) (2016/679) krävs att skriftligt personuppgiftsbiträdesavtal upprättas – antingen som fristående avtal eller som tydligt avskilda bestämmelser som del av ett större avtal om tjänsteleverans eller dylikt.

Personuppgiftsregleringen har gått igenom betydande förändringar, både på europeisk och nationell nivå, i och med ikraftträdandet av en ny dataskyddsförordning, om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (“GDPR”). Förordningen är direkt tillämplig som lag i Sverige och ersätter personuppgiftslagen (“PUL”) (1998:204). Dataskyddsförordningen innebär förändringar för den som är att anse som personuppgiftsansvarig, bl.a. genom att undantaget för behandling av ostrukturerade uppgifter kommer att försvinna, dvs. den s.k. ”missbruksregeln”, vilken flera svenska organisationer har använt sig av. Vidare uppställer dataskyddsförordningen även skärpta krav på vad som ska anses utgöra ett giltigt samtycke till behandling av personuppgifter och den som får sina uppgifter registrerade tillerkänns även en utökad rätt att kontrollera sina uppgifter, exempelvis genom att få tillgång, få felaktiga uppgifter rättade samt att få sina uppgifter raderade. Denna sistnämnda ”rätten att bli glömd” införs uttryckligen i Dataskyddsförordningen. Ytterligare en viktig nyhet blir regeln om rätt till dataportabilitet, vilken i korthet innebär att den registrerade ska ha rätt att få ut personuppgifter som rör denne i syfte att underlätta överföring av uppgifter till en annan personuppgiftsansvarig.

Även personuppgiftsbiträden påverkas av dataskyddsförordningens ikraftträdande. Personuppgiftsbiträdet får nya skyldigheter och ett utökat eget ansvar. Bland de viktigaste förändringarna återfinns en skyldighet att föra register över de olika kategorier av behandling som utförs för den personuppgiftsansvariges räkning, samt ett eget ansvar för att tillse att säkerhetsnivån för den behandling som utförs är tillräcklig, avseende tekniska och organisatoriska skyddsåtgärder. Det bör i sammanhanget nämnas att den personuppgiftsansvariges ansvar däremot inte minskar i grad motsvarande biträdets ökade egna ansvar. Förordningens sanktionssystem omfattar dock såväl personuppgiftsansvarig som personuppgiftsbiträden och de nationella tillsynsmyndigheterna ges förstärkt möjlighet att döma ut betydande administrativa sanktionsavgifter vid bristande efterlevnad.

Personuppgiftsbiträdesavtalet och kommentarerna till detta hittar du i Karnov avtalsmallar.

 

Kommentera