1email

Mejl: kontakt@enklajuridik.se

1phone

Tel: 020 – 89 95 96

Skicka in ärende

Klicka här för förutsättningslös kontakt!

Startsida » Juridik för dataskydd och GDPR » PuB-avtal

Personuppgiftsbiträdesavtal

Avtal för när en leverantör ska ha tillgång till era personuppgifter

Ett personuppgiftsbiträdesavtal (PuB-avtal) är ett väldigt viktigt och vanligt avtal mellan uppdragsgivare och leverantörer. Så fort en leverantör på något sätt ska hantera eller ha tillgång till uppdragsgivarens kunders/medlemmars personuppgifter behöver ett PuB-avtal upprättas.

Nedan går vi igenom vad ni ska tänka på. Tveka inte att kontakta oss om ni behöver hjälp!

Clara

Clara – jurist inom IT-rätt, dataskydd och GDPR

Trustpilot

Vi hjälper dig med:

  • Kostnadsfri första kontakt
  • Enbart fast pris
  • Skriva eller granska PuB-avtal

Ta kontakt

Fri första kontakt med jurist. Fortsatt hjälp alltid till fast pris efter överenskommelse.

Skicka in ärende
020 - 89 95 96
1. Vad är ett Personuppgiftsbiträdesavtal (PuB)?

Det är vanligt förekommande att företag vänder sig till underleverantörer för att få hjälp med delar av sin verksamhet. Det kan exempelvis röra sig om att underleverantören sköter diverse IT-tjänster. Det leder emellertid ofta till att underleverantören kommer att ha tillgång till både kunders och anställdas personuppgifter. Underleverantören blir då rent personuppgiftbiträde och företaget är personuppgiftsansvarig.

När ett företag låter personuppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett avtal som är bindande för parterna. Detta avtal benämns personuppgiftsbiträdesavtal, vidare nämnt PuB.

Enligt EU:s dataskyddsförordning (GDPR – The General Data Protection Regulation) måste ett PuB-avtal upprättas i syfte att tillgodose de särskilda skyldigheter som tillkommer den/de som behandlar personuppgifter.

2. Vad/vem är personuppgiftsansvarig? Vad innebär det?

Personuppgiftsansvarig är den/de som bestämmer till vilka syften personuppgifterna ska behandlas och hur det ska ske. Det kan vara en fysisk eller juridisk person, statlig myndighet eller ett annat institut.

Det är även de/den som låter annan än personuppgiftsansvarig behandla personuppgiftshanteringen.

Ett exempel är att ett aktiebolag ansvarar och bestämmer hur personuppgifterna för bolaget ska gå till. Det är då aktiebolaget som är personuppgiftsansvarig och måste se till så att allt sker i enlighet med dataskyddsförordningen.

Som personuppgiftsansvarig är du skyldig att hantera känsliga uppgifter på ett sätt som inte står i strid med den personliga integriteten. Det innebär att hanteringen inte ska leda till en risk för att fysiska personers rättigheter och friheter kränks.

Behandlingen ska exempelvis inte leda till fysiska, materiella eller immateriella skador, diskriminering, identitetsstöld, bedrägeri eller annan ekonomisk förlust.

3. Vad/vem är personuppgiftsbiträde? Vad innebär det?

Personuppgiftsbiträde är den eller de som behandlar personuppgifter för den personuppgiftsansvariges vägnar. Det kan, precis med vad som gäller med den personuppgiftsansvariga, vara en fysisk eller juridisk person, statlig myndighet eller ett annat institut.

Ett exempel är när en organisation anlitar ett IT-företag för att lagra och hantera organisationens personuppgifter i en molntjänst. IT-företaget blir då personuppgiftsbiträde, eftersom det har fått i uppgift att hjälpa till med organisationens personuppgiftsbehandling. Utöver ett IT-avtal ska parterna då även upprätta ett PuB-avtal.

Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas.

Detta innebär att du som personuppgiftsbiträde endast kommer att anlitas av en personuppgiftsansvarig om du kan erbjuda vissa garantier.

4. I vilka situationer måste det finnas ett PuB-avtal?

Enligt EU:s dataskyddsförordning finns det två situationer då ett personuppgiftsbiträdesavtal måste upprättas.

Den ena situationen gäller när ett personuppgiftsbiträde behandlar personuppgifter åt den personuppgiftsansvariga. Ett bindande avtal måste upprättas mellan parterna för att medvetandegöra det faktum att de har vissa skyldigheter enligt dataskyddsförordningen.

I avtalet ska det framgå vilka skyldigheter parterna har och hur de ska skydda de registrerades personuppgifter.

Den andra situationen som ställer krav på att ett PuB-avtal måste finnas är när ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde (underbiträde) för utförande av specifik behandling på den personuppgiftsansvariges vägnar.

Om underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarig gentemot den personuppgiftsansvarige för utförandet av den underbiträdes skyldigheter.

Notera att om ett PuB-avtal inte upprättas i dessa två situationer kan det leda till allvarliga konsekvenser. Ett företag som inte följer detta kan behöva utge stora administrativa sanktionsavgifter. Detsamma gäller om övriga föreskrifter i dataskyddsförordningen inte uppfylls. Integritetsskyddsmyndigheten (IMY) utövar tillsyn på området och kan utöver sanktionsavgifter även utge varningar, reprimander, förelägganden, begränsningar och förbud.

Rådfråga en vår GDPR-jurist om du är osäker på vad som ska ingå i ett PuB-avtal. Enkla Juridik hjälper dig till ett fast pris.

    5. Vad ska stå med i avtalet (minimikrav)?

    I dataskyddsförordningen uppställs 8 minimikrav för vad ett personuppgiftsbiträdesavtal måste innehålla:

    1. Att ett personuppgiftsbiträde endast får behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvariga
    2. Bestämmelser om konfidentialitet eller en lämplig lagstadgad tystnadsplikt
    3. En garanti om säkerhet i samband med behandlingen (säkerhetsåtgärder)
    4. Vilka villkor som gäller för att anlita ett underbiträde
    5. Personuppgiftsbiträdets skyldighet att uppfylla de registrerades rättigheter
    6. Att personuppgiftsbiträdet har en skyldighet att bistå den personuppgiftsansvarige med fullgörandet av dennes skyldigheter enligt artiklarna 32–36 i dataskyddsförordningen.
    7. Vad som sker med personuppgifterna när avtalet upphör
    8. Att personuppgiftsbiträdet ska bidra till granskningar och inspektioner
    PuB-avtal
    6. Hur ska man avtala om personuppgiftsincidenter?

    Enligt EU är ”en personuppgiftsincident är en incident som leder till oavsiktligt eller olagligt brott mot konfidentialiteten, tillgängligheten eller integriteten. Hur en sådan incident ska hanteras ska därför anges i PuB-avtalet.”

    Det kan exempelvis anges enligt följande:

    Personuppgiftbiträdet ska bistå Personuppgiftsansvarige med att fullgöra vad som åligger denna vid uppkomsten av en personuppgiftsincident. Personuppgiftbiträdet ska hjälpa den personuppgiftsansvariga genom att erbjuda lämpligt stöd och därigenom utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till personuppgifterna.

    Personuppgiftsbiträdet ska utan dröjsmål underrätta den Personuppgiftsansvariga vid personuppgiftsincidenter eller vid misstankar om sådana incidenter.

    7. Hur ska underbiträden tas upp i avtalet?

    Villkoren för personuppgiftsbiträdet att anlita ett underbiträde ska anges i PuB-avtalet. Det kan i korthet regleras enligt följande:

    Personuppgiftsbiträdet ska, innan ett underbiträde anlitas, informera Personuppgiftsansvarig om detta.

    Personuppgiftsbiträdet ska säkerhetsställa att underbiträden faller under samma villkor som gäller Personuppgiftsbiträdet.

    Personuppgiftsbiträdet har fullt ansvar för de underbiträden som anlitas.

    8. Hur ska man avtala om skadeansvar?

    Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av dataskyddsförordningen har rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Riskfördelning mellan personuppgiftsansvarig och personuppgiftsbiträde bör därför anges i avtalet.

    Det kan se ut på följande sätt:

    Parterna ska gemensamt och i samråd med varandra förhindra samt minimera frågor om skador.

    När den Personuppgiftsansvariga misstänker att en omständighet kan orsaka skadestånd- eller annat betalningsansvar för Personuppgiftsbiträdet ska den Personuppgiftsansvarige så fort som möjligt underrätta Personuppgiftsbiträdet om detta.

    Artikel 82 i Dataskyddsförordningen ska tillämpas gällande ersättning för skador som har orsakats till följd av att någon bestämmelse i detta avtal överträtts.

    9. Går det att använda malla?

    I vissa fall. Om du hittar en mall som verkar uppfylla era behov rekommenderar vi starkt att du hör av dig till en GDPR-jurist för att granska och anpassa mallen till er situation. Det är väldigt sällan som mallar passar perfekt. Ibland måste mindre eller större justeringar av mallen göras.

    10. Kan Enkla Juridik skriva, tolka eller granska ett personuppgiftsbiträdesavtal?

    Ja. Enkla Juridik upprättar och granskar personuppgiftsbiträdesavtal till ett fast pris. Vi erbjuder initialt en kostnadsfri första kontakt med jurist innan vi går vidare med ditt ärende. Vi skriver därutöver även konsultavtal, uppdragsavtal, IT-avtal med mera. Tveka inte på att ta kontakt! 

    Innehåll på sidan