Ett personuppgiftsbiträdesavtal, ofta kallat DPA efter engelskans Data Processing Agreement, reglerar förhållandet mellan en personuppgiftsansvarig och ett personuppgiftsbiträde. Biträdet är den part som behandlar personuppgifter för den ansvariges räkning, till exempel ett IT-, lön- eller molnföretag. Enligt artikel 28 i dataskyddsförordningen (GDPR) får ett biträde anlitas bara om behandlingen regleras genom ett sådant skriftligt avtal.
Avtalet är därför obligatoriskt så snart ni låter en leverantör hantera personuppgifter åt er. Det handlar inte bara om att uppfylla ett lagkrav utan om att tydliggöra vem som ansvarar för vad, hur uppgifterna får användas och hur de skyddas. Saknas avtalet riskerar både ni och leverantören sanktioner från Integritetsskyddsmyndigheten (IMY), och ansvaret för de registrerades uppgifter blir oklart. Med Avtalsfrid skapar ni ett komplett och korrekt personuppgiftsbiträdesavtal online på några minuter.
Vad är ett personuppgiftsbiträdesavtal?
Ett personuppgiftsbiträdesavtal är ett skriftligt avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde. Den personuppgiftsansvarige är den som bestämmer ändamålen med och medlen för behandlingen av personuppgifter, medan biträdet är den som behandlar uppgifterna på den ansvariges uppdrag och enligt dennes instruktioner. Ett typiskt exempel är när ett företag använder en extern leverantör för lönehantering, kundsupport, e-post eller molnlagring.
Avtalet ska enligt artikel 28 i GDPR bland annat beskriva föremålet för och varaktigheten av behandlingen, dess art och ändamål, vilka typer av personuppgifter som behandlas och vilka kategorier av registrerade som berörs. Det ska också reglera biträdets skyldigheter, till exempel att endast behandla uppgifter enligt dokumenterade instruktioner, att vidta lämpliga säkerhetsåtgärder och att bistå den ansvarige vid till exempel en personuppgiftsincident.
När behöver du ett personuppgiftsbiträdesavtal?
Ni behöver ett personuppgiftsbiträdesavtal varje gång en extern part behandlar personuppgifter åt er räkning. Det gäller en lång rad vanliga tjänster: molntjänster och serverdrift, ekonomi- och lönesystem, CRM- och e-postverktyg, supportplattformar, marknadsföringsverktyg, fakturasystem och mycket annat. Så snart leverantören får tillgång till uppgifter om era anställda, kunder eller andra personer aktualiseras kravet.
Det är viktigt att skilja på olika roller. Om ni och en annan part gemensamt bestämmer ändamål och medel är ni i stället gemensamt personuppgiftsansvariga och behöver en annan typ av reglering. Om mottagaren behandlar uppgifterna för egna ändamål är denne en egen personuppgiftsansvarig. Ett biträdesavtal behövs just i den situationen där leverantören enbart agerar på era instruktioner. Vid minsta tveksamhet kring rollfördelningen kan det vara klokt att rådfråga en jurist.
Så skapar du avtalet online hos Avtalsfrid
Hos Avtalsfrid skapar ni ett personuppgiftsbiträdesavtal genom att svara på enkla frågor i ett guidat formulär. Ni anger vilka parter som ingår i avtalet, vilka kategorier av personuppgifter och registrerade som behandlas, behandlingens ändamål och varaktighet samt vilka säkerhetsåtgärder och rutiner som ska gälla. Utifrån era svar fyller mallen i de delar som artikel 28 i GDPR kräver.
När ni gått igenom frågorna får ni ett färdigt avtal som ni kan ladda ner, granska och underteckna. Avtalet kräver varken bevittning eller registrering hos någon myndighet, utan blir giltigt när båda parter har skrivit under. Det räcker att avtalet är skriftligt, vilket även omfattar elektronisk form. Ni bör spara avtalet tillsammans med er övriga dokumentation kring dataskydd, eftersom IMY kan begära att få se det vid en granskning.
Formkrav och vanliga misstag
Formkraven för ett personuppgiftsbiträdesavtal är förhållandevis enkla: det ska vara skriftligt, undertecknat av båda parter och innehålla de uppgifter som artikel 28 i GDPR anger. Något krav på bevittning eller registrering finns inte. Det innebär dock inte att innehållet kan tas lätt på, eftersom det är just innehållet som styr ansvarsfördelningen och skyddet av de registrerades uppgifter.
Vanliga misstag är att helt sakna avtal trots att en leverantör behandlar personuppgifter, att använda en alltför generell mall som inte beskriver den faktiska behandlingen, eller att inte reglera hur underbiträden (leverantörens egna underleverantörer) får anlitas. Ett annat vanligt fel är att glömma reglera vad som händer med uppgifterna när samarbetet upphör, det vill säga om de ska raderas eller återlämnas. Tänk också på att överföringar av personuppgifter till länder utanför EU och EES kräver särskilda skyddsåtgärder, vilket avtalet bör ta höjd för.
Vanliga frågor om personuppgiftsbiträdesavtal
Är ett personuppgiftsbiträdesavtal obligatoriskt?
Ja. Enligt artikel 28 i GDPR får ni anlita ett personuppgiftsbiträde bara om behandlingen regleras genom ett skriftligt avtal. Så snart en extern leverantör behandlar personuppgifter åt er räkning är avtalet obligatoriskt, och saknas det kan både ni och leverantören drabbas av sanktioner från IMY.
Vad är skillnaden mellan personuppgiftsansvarig och personuppgiftsbiträde?
Den personuppgiftsansvarige bestämmer ändamålen med och medlen för behandlingen, alltså varför och hur uppgifterna behandlas. Personuppgiftsbiträdet behandlar uppgifterna på den ansvariges uppdrag och enligt dennes instruktioner, utan att själv bestämma ändamålen. Ett biträdesavtal reglerar just den relationen.
Måste avtalet bevittnas eller registreras?
Nej. Det finns inget krav på bevittning eller registrering hos Skatteverket, Bolagsverket eller någon annan myndighet. Avtalet ska vara skriftligt, vilket även omfattar elektronisk form, och undertecknat av båda parter. Ni bör dock spara avtalet, eftersom IMY kan begära att få se det vid en granskning.
Vad måste ett personuppgiftsbiträdesavtal innehålla?
Avtalet ska enligt artikel 28 i GDPR bland annat beskriva behandlingens föremål, varaktighet, art och ändamål, vilka typer av personuppgifter och kategorier av registrerade som berörs, samt parternas skyldigheter. Det bör även reglera säkerhetsåtgärder, anlitande av underbiträden, eventuella överföringar utanför EU/EES och vad som händer med uppgifterna när samarbetet upphör.
Behöver jag ett nytt avtal för varje leverantör?
I regel ja. Varje leverantör som behandlar personuppgifter åt er bör omfattas av ett personuppgiftsbiträdesavtal som speglar just den behandlingen. Eftersom ändamål, uppgiftstyper och säkerhetskrav skiljer sig åt mellan leverantörer är det sällan lämpligt att återanvända samma avtal oförändrat. Med Avtalsfrid kan ni snabbt skapa ett anpassat avtal för varje leverantör.