Personuppgiftsbiträdes skyldigheter

Ett personuppgiftsbiträde ska:

• Upprätta ett avtal eller ett annat juridiskt dokument tillsammans med den personuppgiftsansvarige, vilket fastställer varje parts skyldigheter och täcker det informationsinnehåll som artikel 28 i dataskyddsförordningen förutsätter.
• Upprätta en skriftlig förteckning över den personuppgiftsansvariges anvisningar som fastställer behandlingen av personuppgifter  Ett biträde kan visa att det följer den personuppgiftsansvariges anvisningar bland annat med sådan dokumentation.
• Av den personuppgiftsuppgiftsansvarige begära ett skriftligt tillstånd för att använda andra personuppgiftsbiträden i behandlingen av personuppgifter.
• Till den personuppgiftsansvarige överlämna alla uppgifter som behövs för att visa att plikterna fullföljts och genomföra autideringar.
• Vid behov upprätta ett register över behandling.

Personuppgiftsbiträden har en skyldighet att ge den personuppgiftsansvarige tillräckliga garantier om att behandlingen av personuppgifter för dennes räkning är förenlig med kraven i dataskyddsförordningen och att tillgodoseendet av de registrerades rättigheter säkerställts. Detta innebär i synnerhet att

• dataskyddsprinciperna byggs in i de verktyg, produkter, applikationer eller tjänster som erbjuds till den personuppgiftsansvarige
• verktyg, produkter, appar eller tjänster som standard tryggar att behandlingen är avgränsad enbart till personuppgifter som är nödvändiga med tanke på behandlingens syften. I avgränsningen av behandlingen ska man beakta informationsmängden, behandlingsomfattningen, lagringstiden för uppgifterna och antalet personer som är berättigade att använda uppgifterna.

Principerna om inbyggt dataskydd och dataskydd som standard kan genomföras till exempel på följande sätt:

• Den personuppgiftsansvarige ges möjlighet att fastställa de uppgifter som ska samlas in bland annat på så sätt att det av tekniska orsaker inte är obligatoriskt att samla in uppgifter som det är frivilligt att lämna (t.ex. ifyllning av fält på en e-blankett).
• Uppgifterna minimiseras: enbart uppgifter som är nödvändiga för behandlingen samlas in.
• Uppgifter tas ur bruk automatiskt och selektivt med jämna mellanrum.
• Rätten att använda uppgifter och radering av uppgifter fastställs enligt uppgift eller på begäran av de registrerade (till exempel i tjänster inom sociala medier).

Ett personuppgiftsbiträde ska säkerställa att de som arbetar under biträdet omfattas av sekretess och att de har rätt att behandla personuppgifter.

Ett biträde ska på alla sätt försöka säkerställa en dataskyddsnivå som svarar mot de risker som är förknippade med behandlingen av personuppgifter. Vid personuppgiftsincidenter ska ett personuppgiftsbiträde utan dröjsmål underrätta den personuppgiftsansvarige om ärendet. Läs mer om riskbedömning

När en tjänst upphör ska biträdet, enligt den personuppgiftsansvariges anvisningar

• förstöra alla uppgifter eller returnera dem till den personuppgiftsansvarige
• förstöra kopior av uppgifterna, förutom om en lagstadgad skyldighet att lagra dessa föreligger.

Om en anvisning av den personuppgiftsansvarige enligt personuppgiftsbiträdets uppfattning bryter mot dataskyddsreglerna, ska personuppgiftsbiträdet omedelbart underrätta den personuppgiftsansvarige om detta.

När de registrerade utövar sina rättigheter, ska ett personuppgiftsbiträde i mån av möjlighet bistå den personuppgiftsansvarige i tillmötesgåendet av begäranden som gäller utövande av rättigheterna. Läs mer om den registrerades rättigheter

Ett personuppgiftsbiträde ska inom ramen för de tillgängliga uppgifterna hjälpa den personuppgiftsansvarige att fullgöra de plikter som gäller säkerheten i behandlingen, anmälning av personuppgiftsincidenter och konsekvensbedömning av dataskydd.

Ett dataskyddsombud har till uppgift att övervaka efterlevnaden av dataskyddsförordningen och den övriga lagstiftningen om dataskydd i den organisation där ombudet utnämnts.

Ett personuppgiftsbiträde ska utnämna ett dataskyddsombud då

• biträdet är en aktör inom den offentliga förvaltningen
• biträdets kärnuppgifter förutsätter omfattande regelbunden och systematisk övervakning av registrerade för den personuppgiftsansvariges räkning eller
• biträdets kärnuppgifter förutsätter omfattande behandling av personuppgifter om särskilda kategorier av personuppgifter (såsom hälsouppgifter, etniskt ursprung, politiska åsikter, religiös övertygelse eller sexuell läggning) eller brott eller förseelser.

Ofta är det nyttigt att utnämna ett dataskyddsombud också på frivillig basis. Då har biträdet tillgång till en sakkunnig, vars uppgift är att följa och hantera uppfyllandet av kraven i dataskyddsförordningen och den övriga lagstiftningen om dataskydd. Om ett dataskyddsombud utnämns frivilligt, tillämpas bestämmelserna i dataskyddsförordningen på dataskyddsombudets uppgifter och ställning.

Med ett avtal eller ett annat juridiskt dokument som definierar den behandling som utförs av ett personuppgiftsbiträde ska man fastställa

• föremålet för behandlingen för den personuppgiftsansvariges räkning och dess längd
• karaktären på och syftet med behandlingen av personuppgifter
• typen på de personuppgifter som ska behandlas för den personuppgiftsansvariges räkning och kategorierna av registrerade
• den personuppgiftsansvariges skyldigheter och rättigheter.

I avtalet eller det juridiska dokumentet i fråga ska det därtill särskilt fastställas att personuppgiftsbiträdet

• behandlar personuppgifter enbart enligt de dokumenterade anvisningar som den personuppgiftsansvarige gett
• säkerställer att de personer som arbetar för biträdet, vilka har rätt att behandla personuppgifter, omfattas av sekretess
• vidtar alla åtgärder som behandlingssäkerheten förutsätter
• iakttar förutsättningarna för användning av ett annat personuppgiftsbiträde
• i mån av möjlighet hjälper den personuppgiftsansvarige att med behöriga tekniska och organisatoriska åtgärder tillmötesgå begäranden som gäller utövande av de registrerades rättigheter
• hjälper den personuppgiftsansvarige att säkerställa att de skyldigheter som anknyter till personuppgiftssäkerheten, konsekvensbedömningen avseende dataskydd och föregående samråd fullgörs
• då tjänsten upphör, i enlighet med den personuppgiftsansvariges anvisningar, förstör alla personuppgifter eller returnerar dem till den personuppgiftsansvarige och förstör eventuella kopior av uppgifter, förutom om en lagstiftningsmässig skyldighet föreligger för lagringen av dessa
• ger den personuppgiftsansvariges alla uppgifter som är nödvändiga för att visa att de skyldigheter som gäller ett personuppgiftsbiträde fullgjorts
• tillåter auditeringar, såsom inspektioner, av den personuppgiftsansvarige eller av en annan auditeringsaktör som den personuppgiftsansvarige befullmäktigat, och deltar i dessa.

Ett register över behandling ska föras, om organisationen har över 250 arbetstagare.

Registret ska i så fall täcka alla behandlingsåtgärder.

Ett register över behandling ska föras oberoende av antalet anställda, då

• behandlingen av personuppgifter sannolikt äventyrar den registrerades rättigheter eller friheter eller
• behandlingen av personuppgifter inte är sporadisk eller
• de personuppgifter som behandlas omfattar personuppgifter om särskilda kategorier av uppgifter eller brottmålsdomar eller förseelser.

Enbart de behandlingsåtgärder som hör till ovan angivna kategorier ska i så fall införas i registret. Också till exempel ett litet företag behandlar regelbundet personuppgifter om sina arbetstagare. I så fall är inte behandlingen av personuppgifter sporadisk, och dessa behandlingsåtgärder som gäller personuppgifter ska införas i registret över behandling. Det är inte nödvändigt att införa sporadisk behandling av personuppgifter i ett register över behandling, förutom om en annan grund föreligger, såsom en sannolik risk som gäller den registrerades rättigheter och friheter eller särskilda kategorier av personuppgifter.

Läs mer: Ett personuppgiftsbiträdes register över behandling

Ett personuppgiftsbiträde kan använda ett annat personuppgiftsbiträdes (ett underbiträdes) tjänster enbart med skriftligt samtycke av den personuppgiftsansvarige. Tillståndet kan efter parternas behov vara antingen

• ett tillstånd som beviljats för ett särskilt, det vill säga ett visst personuppgiftsbiträde, eller
• allmänt, då personuppgiftsbiträdet ska informera den personuppgiftsansvarige om planer på att byta biträden eller ta i bruk nya biträden, så att den personuppgiftsansvarige får möjlighet att göra en invändning mot en ändring, om denne så önskar.

Personuppgiftsbiträdet och underbiträdet ska komma överens om att det underbiträde som biträdet anlitar har samma plikter, som fastställts i avtalet mellan biträdet och den personuppgiftsansvarig som utgör dennes kund. Avtalet ska i synnerhet säkerställa tillräckliga garantier om användning av behöriga tekniska och organisatoriska skyddsåtgärder, så att behandlingen av personuppgifter uppfyller kraven i dataskyddsförordningen.

Om ett underbiträde inte uppfyller sina dataskyddsplikter, ansvarar det ursprungliga personuppgiftsbiträdet till fullo för fullgörandet av plikterna för det underbiträde som det anlitar i förhållande till den personuppgiftsansvarige.

Med personuppgiftsincident avses en dataskyddsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Ett personuppgiftsbiträde ska underrätta den personuppgiftsansvarige om alla personuppgiftsincidenter som gäller personuppgifter utan ogrundat dröjsmål efter att själv ha fått information om dessa.

Utifrån denna anmälan ska den personuppgiftsansvarige ge den behöriga tillsynsmyndigheten och de registrerade information om personuppgiftsincidenten, om dataskyddsförordningen utifrån dess riskbedömning förutsätter en anmälan till dessa.

Biträdet kan göra en anmälan till tillsynsmyndigheten och de registrerade för den personuppgiftsansvariges räkning, om detta tydligt överenskommits i avtalet mellan personuppgiftsbiträdet och den personuppgiftsansvarige. Ansvaret för att göra anmälan lämnar dock kvar hos den personuppgiftsansvarige.

Den personuppgiftsansvarige ska i vissa situationer göra en konsekvensbedömning avseende dataskyddet, med vilken konsekvenserna av den planerade behandlingen för skyddet av personuppgifter bedöms. Det ligger inte på personuppgiftsbiträdets ansvar att göra bedömningen.

Trots detta ska biträdet hjälpa den personuppgiftsansvarige att göra bedömningen och till denne överlämna de uppgifter som behövs i bedömningen. Dessa hjälpåtgärder ska fastställas i avtalet mellan biträdet och kunden.

Ett personuppgiftsbiträde som är ett etablerat i flera medlemsstater, kan dra nytta av den princip om en lucka som föreskrivits i dataskyddsförordningen.

Med den kan organisationer som bedriver gränsöverskridande behandling rapportera till en nationell tillsynsmyndighet, som koordinerar övervakningen av behandlingen av personuppgifter. Denna myndighet kallas för ansvarig tillsynsmyndighet.

Den ansvariga tillsynsmyndigheter är den behöriga tillsynsmyndigheten för det huvudsakliga verksamhetsstället för ett personuppgiftsbiträde. Det huvudsakliga verksamhetsstället för ett personuppgiftsbiträde utgörs av den plats där dess centrala förvaltning är belägen i unionen. Om biträdets huvudsakliga verksamhetsställe inte finns i en EU-medlemsstat, anses dess huvudsakliga verksamhetsställe vara den medlemsstat, där behandlingen av personuppgifter i huvudsak äger rum.

Bestämmelserna i dataskyddsförordningen gäller ett personuppgiftsbiträde som är ett etablerat utanför EU om

• det för sin kunds räkning behandlar personuppgifter som gäller registrerade i unionen eller
• det för den personuppgiftsansvariges räkning erbjuder varor eller tjänster för registrerade i unionen eller följer deras beteende inom unionen.

I sådana situationer ska biträdet i regel skriftligen utse en representant som kontaktperson för frågor som gäller sådan behandling för de registrerade i EU och tillsynsmyndigheten.

Om en person drabbas av materiell eller immateriell skada av ett brott mot dataskyddsförordningen, har han eller hon rätt att av den personuppgiftsansvarige eller personuppgiftsbiträdet få ersättning för de uppkomna skadorna. Det är alltså möjligt att ett personuppgiftsbiträde blir ansvarigt för skador som orsakats av behandling av personuppgifter.

Dataskyddsmyndigheten kan utöva de befogenheter som omfattas av dess behörighet som en följd av försummade plikter. Dataskyddsmyndigheten kan till exempel ge en anmärkning till personuppgiftsbiträdet, om dess behandlingsåtgärder stridit mot dataskyddsförordningen eller förordna personuppgiftsbiträdet att rätta behandlingsåtgärderna så att de är förenliga med dataskyddsförordningen eller meddela ett tillfälligt eller bestående behandlingsförbud.

Tillsynsmyndigheten kan också förordna en administrativ sanktionsavgift för personuppgiftsbiträdet, vilken beroende på förseelsens kategori kan uppgå till upp till 10–20 miljoner euro eller för företag upp till 2–4 % av föregående räkenskapsårs globala omsättning, beroende på vilket av dessa belopp som är högre.  Dataskyddsmyndigheten kan också använda andra behörigheter som omfattas av dess behörighet. Dataskyddsmyndigheten kan till exempel ge en anmärkning till personuppgiftsbiträdet, om dess behandlingsåtgärder stridit mot dataskyddsförordningen eller förordna personuppgiftsbiträdet att rätta behandlingsåtgärderna så att de är förenliga med dataskyddsförordningen eller meddela ett tillfälligt eller bestående behandlingsförbud.

Det handlar om försummade plikter till exempel då ett personuppgiftsbiträde

• förfarit utanför eller i strid med den personuppgiftsansvariges lagenliga anvisningar
• inte hjälper den personuppgiftsansvarige i fullgörandet av skyldigheterna (till exempel i anmälan om en personuppgiftsincident)
• inte ger den personuppgiftsansvarige de uppgifter som behövs för att fullgöra plikterna eller göra auditeringar
• inte underrättar den personuppgiftsansvarige om att en anvisning som den gett inte är förenlig med den allmänna dataskyddsförordningen
• anlitar ett annat biträdes tjänster utan förhandsgodkännande av den personuppgiftsansvarige
• anlitar ett annat biträde som inte uppfyller förutsättningarna i dataskyddsförordningen
• inte utnämner ett dataskyddsombud då detta förutsätts
• inte för ett register över de behandlingsåtgärder som vidtas för den personuppgiftsansvariges räkning.