Personuppgiftsbiträdes skyldigheter

Dataskyddsförordningen tillämpas på ett personuppgiftsbiträde då

  • det är etablerat i en EU-medlemsstat
  • det inte är etablerat i en EU-medlemsstat, men dess behandling av personuppgifter anknyter till tillhandahållande av varor eller tjänster till registrerade i unionen eller övervakning av beteendet hos registrerade inom EU.

Dataskyddsförordningen innehåller direkta plikter för personuppgiftsbiträden. Ett personuppgiftsbiträde ska bistå och ge den personuppgiftsansvarige råd om fullgörandet av vissa plikter som fastställts i dataskyddsförordningen. Dessa plikter omfattar konsekvensbedömningar avseende dataskyddet, anmälningar om personuppgiftsincidenter, datasäkerheten, förstöring av uppgifter och deltagande i auditering.

Ett personuppgiftsbiträde ska därtill vidta tillräckliga skyddsåtgärder och ändamålsenliga tekniska och organisatoriska åtgärder. Med tekniska och organisatoriska åtgärder avses till exempel anvisningar till personalen för att genomföra dataskyddet, driftskontroll via egenkontroll, informationssystemens datasäkerhet, kryptering av uppgifter och andra skyddsåtgärder. Behandlingen ska uppfylla kraven på skydd av den registrerades rättigheter i dataskyddsförordningen.

Ansvarsskyldigheten enligt dataskyddsförordningen påverkar också biträdets och den personuppgiftsansvariges förhållande. En personuppgiftsansvarig ska kunna visa att dataskyddsprinciperna följts effektivt också i den utsträckning som ett biträde behandlar personuppgifter för den personuppgiftsansvariges räkning.

Ett personuppgiftsbiträdes plikter

Vanliga frågor om personuppgiftsbiträden