Att tänka på som personuppgiftsbiträde
Ett personuppgiftsbiträde får bara behandla personuppgifter enligt den personuppgiftansvarigas instruktioner men har också ett visst självständigt ansvar för att kontrollera att personuppgiftsbehandlingen uppfyller de krav som ställs i GDPR. Om personuppgiftsbiträdet anser att instruktionerna står i strid med vad som gäller enligt dataskyddsförordningen måste biträdet omedelbart informera den personuppgiftsansvariga om det.
De personuppgiftsansvariga får endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att skyldigheterna i GDPR kommer att uppfyllas och att de registrerades rättigheter skyddas. Hur omfattande åtgärder som behövs beror på hur er verksamhet ser ut och vilka risker som finns med er personuppgiftsbehandling.
Här är några viktiga punkter att tänka på för personuppgiftsbiträden:
Föra register
Ni ska föra ett register över alla kategorier av behandling som utförs för den personuppgiftsansvarigas räkning. Registret ska bland annat omfatta namn och kontaktuppgifter för personuppgiftsbiträdet och den personuppgiftsansvariga, vilka kategorier av behandling som utförs för varje personuppgiftsansvarigas räkning samt information om tredjelandsöverföring och säkerhetsåtgärder. Det finns vissa undantag från denna skyldighet för mindre företag.
Läs mer om att föra register och vilka undantag som finns
Ansvar vid anlitande av ett underbiträde
Om ni vill anlita ett annat personuppgiftsbiträde måste ni ha ett skriftligt förhandstillstånd från den personuppgiftsansvariga. Har ni fått ett generellt tillstånd att anlita underbiträden måste ni ändå informera den personuppgiftsansvariga om era planer på att anlita ett nytt biträde, så att den ansvarige kan göra invändningar mot detta.
När ni anlitar ett underbiträde måste ni teckna avtal som gör att biträdet omfattas av samma skyldigheter som ni har gentemot den personuppgiftsansvariga. Om det andra biträdet inte fullgör sina skyldigheter kommer ni enligt förordningen att vara fullt ansvarig gentemot den personuppgiftsansvariga för att dessa skyldigheter utförs.
Utse dataskyddsombud
Ni är i vissa fall skyldiga att utse ett dataskyddsombud. Skyldigheten att utse dataskyddsombud omfattar bland annat offentliga myndigheter och organisationer vars verksamhet involverar särskilt riskfylld behandling, som exempelvis regelbunden och systematisk övervakning av registrerade i stor skala eller omfattande behandling av känsliga personuppgifter. En särskilt integritetskänslig behandling kan därför komma att kräva att dataskyddsombud utses både hos den personuppgiftsansvariga och hos personuppgiftsbiträdet.
Den person som utses måste ha tillräcklig kunskap om dataskydd och få det stöd och de befogenheter som krävs för att kunna utföra sitt uppdrag på ett effektivt och oberoende sätt.
Samarbeta med tillsynsmyndigheten
Ni har en uttrycklig skyldighet att på begäran samarbeta med IMY, som är tillsynsmyndigheten i Sverige.
Ansvar för att vidta säkerhetsåtgärder
Ni har ett eget ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att se till att säkerhetsnivån för er behandling är tillräcklig. Det kan bland annat medföra att ni behöver fundera över frågor som pseudonymisering och kryptering av personuppgifter, hur ni säkerställer att era system är tillräckligt säkra och motståndskraftiga samt hur ni fortlöpande testar och utvärderar systemen.
Vilka åtgärder som är nödvändiga beror på vilka särskilda risker som finns med er behandling. Ni behöver till exempel ha ett starkare skydd om ni behandlar känsliga personuppgifter, såsom uppgifter som rör hälsa eller religiös övertygelse.
Det bör även nämnas att personuppgiftsbiträdets utökade ansvar inte medför att den personuppgiftsansvarigas eget ansvar minskar. Ansvaret för att se till att säkerheten kring de personuppgifter som behandlas är tillräcklig kommer att ligga på både den personuppgiftsansvariga och personuppgiftsbiträdet.
Underrätta den personuppgiftsansvariga om personuppgiftsincidenter
Om ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter ni behandlar, en så kallad personuppgiftsincident, måste ni utan onödigt dröjsmål underrätta den personuppgiftsansvariga om detta. Det kan vara bra att bestämma var i er organisation en sådan rapporteringsskyldighet ska ligga eftersom ni, om en personuppgiftsincident inträffar, måste agera skyndsamt.
Bistå den personuppgiftsansvariga
Ni har även en mer allmän skyldighet att bistå den personuppgiftsansvariga när denne ska fullgöra sina skyldigheter enligt förordningen. Ni ska bland annat hjälpa till med att svara på begäranden om elektroniska registerutdrag och att bistå den personuppgiftsansvariga för att se till att säkerheten för behandlingen är tillräcklig.
Risk för sanktioner
Tillsynsmyndigheten har möjlighet att döma ut en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av bolagets globala årsomsättning. En sådan sanktionsavgift kan dömas ut mot både personuppgiftsansvariga och biträden som inte uppfyller de skyldigheter som finns i förordningen.