Jag har fått flera personuppgiftsbiträdesavtal skickat till mig. Ibland kallas dom biträdesavtal, pub-avtal, GDPR-avtal, Data Processing Agreement och DPA. Jag vet inte ens om bolaget jag jobbar för är ett personuppgiftsbiträde eller personuppgiftsansvarig? Vad ska jag göra och varför finns avtalen?

En personuppgiftsansvarig kan överlåta behandling av personuppgifter till ett personuppgiftsbiträde. I sådana fall ska ett personuppgiftsbiträdesavtal (PuB-avtal) upprättas mellan parterna. Personuppgiftsansvarig är den som bestämmer över ändamålet och medel för behandlingar av personuppgifter. Personuppgiftsbiträde är den som behandlar personuppgifter på den personuppgiftsansvariges vägnar.

Syftet med ett PuB-avtal är att reglera förhållandet mellan de båda parterna, avseende dataskydd. PuB-avtalet avser främst att ge instruktioner om vilka personuppgifter som ska behandlas, hur behandlingen ska gå till samt ändamålet med behandlingen.

Personuppgiftsbiträdet får endast behandla personuppgifterna i enlighet med de instruktioner som den personuppgiftsansvarige lämnar. Avviker personuppgiftsbiträdet från den personuppgiftsansvariges instruktioner kan personuppgiftsbiträdet göra sig skyldig till brott mot bestämmelserna i både PuB-avtalet och bestämmelserna i GDPR.

Det kan vara svårt att avgöra om en biträdesrelation föreligger mellan två parter. Den första och mest avgörande frågan är om endast en av parterna bestämmer vilket ändamål personuppgifter behandlas för. Om endast en part bestämmer ändamålet så föreligger en biträdesrelation. Om parterna bestämmer ändamål var för sig så finns det däremot ingen anledning att träffa ett PuB-avtal eftersom parterna är personuppgiftsansvarig var för sig.

Även om ett bolags huvudsakliga affärsverksamhet innebär att bolaget agerar som personuppgiftsbiträde så är det ovanligt, om inte omöjligt, för ett bolag att enbart vara personuppgiftsbiträde. Exempelvis är ett bolag alltid personuppgiftsansvarig för sina anställdas personuppgifter och för kontaktuppgifter till företrädare för kunder och leverantörer.

Du måste därför se till att reda ut vilken roll ditt företag har i den aktuella situationen och därefter se till att ditt företag är nöjd med instruktionerna (om förtaget är att anse som personuppgiftsansvarig) eller om ni kan följa instruktionerna (om företaget är att anse som personuppgiftsbiträde).

Fråga: Vad är ett personuppgiftsbiträdesavtal?

Legalbuddy svarar

Behöver du juridisk kraft i ditt företag?