Vad är ett databehandlingsavtal och varför behöver du ett? - Allt du behöver veta

Så varför ska du ha ett GDPR-avtal om databehandling? Nästan alla företag är beroende av tredje part för att behandla uppgifter. Och om du inte vill få några böter och om du vill följa GDPR bör du teckna ett databehandlingsavtal.När du är klar med det här blogginlägget vet du vad ett personuppgiftsbiträdesavtal är, vem som gör vad i ett avtal samt tips och tricks för hur du kan skriva ett eget avtal.

Här kan du läsa om

• GDPR kräver personuppgiftsbiträdesavtal för efterlevnad
• Vad är ett personuppgiftsbiträdesavtal?

• • Vad är databehandling?
  • Vad är en personuppgiftsansvarig?
  • Vad är då ett personuppgiftsbiträde?

• När krävs ett personuppgiftsbiträdesavtal?

• Vanliga saker som går fel med personuppgiftsbiträdesavtal
• Checklistaför personuppgiftsbehandling
• Mallarför personuppgiftsbiträdesavtal
• Vad vi har lärt oss

GDPR kräver personuppgiftsbiträdesavtal för efterlevnad

GDPR innebär att en personuppgiftsansvarig (t.ex. en organisation eller ett företag) måste teckna ett personuppgiftsbiträdesavtal med alla parter som agerar som personuppgiftsbiträden för deras räkning. Vi vet vad du tänker: "Usch, mer irriterande pappersarbete."Men ett personuppgiftsbiträdesavtal är ett viktigt steg för att uppnå GDPR-efterlevnad OCH det hjälper dig att undvika GDPR-böter. Så om du vill ha en laglig grund för att behandla uppgifter måste du ha ett personuppgiftsbiträdesavtal med vart och ett av dina personuppgiftsbiträden.

Vad är ett databehandlingsavtal?

Vi ska berätta kortversionen och den officiella EU-versionen.

Den korta versionen

Ett personuppgiftsbiträdesavtal är ett avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde som beskriver hur ochvarför uppgifter behandlas.

Den officiella versionen

Ett databehandlingsavtal är ett juridiskt bindande dokument som undertecknas mellan en personuppgiftsansvarig (t.ex. en organisation) och ett personuppgiftsbiträde (t.ex. en tredjepartsleverantör av tjänster).

Men vad gör det egentligen i lekmannatermer?

• Det är ett avtal om hur och vilka uppgifter som behandlas och att alla organ som behandlar personuppgifter följer GDPR

Du tänker säkert "Behöver jag ha ett personuppgiftsbiträdesavtal?" Det gör du förmodligen. Om du utbyter någon form av personuppgifter med andraparter och är involverad i databehandling behöver du ett personuppgiftsbiträdesavtal.

Låt oss börja med grunderna; vad exakt definierar databehandling, vem är personuppgiftsansvarig och vad är ett personuppgiftsbiträde?

Vad är databehandling?

Databehandling är att behandla uppgifter. GDPR definierar det ganska brett som en handling eller åtgärd som utförs på personuppgifter.

Vanligtvis är databehandling insamling och bearbetning av digitala rådata för att producera värdefull information, men det kan också vara:

• Löneadministration

• Lägga upp bilder på människor på din webbplats

• Skicka e-postmeddelanden medmarknadsföring

• Tillgång till databaser med personuppgifter

Vad är en personuppgiftsansvarig?

En personuppgiftsansvarig är den organisation eller detföretag som bestämmer i vilket syfte och på vilket sätt personuppgifter behandlas.

Till exempel, när våra kunder får utbildning i medvetenhet använder de flesta av våra kunder vår LMS-plattform, som tillhandahålls av efront. Efront är en tredjepartsleverantör av LMS-plattform som vi använder för att förse våra kunder med våra kurser i medvetenhetsträning. Du kan naturligtvis också ta emot våra kurser på din egen LMS-plattform.

I detta fall är vi (CyberPilot) personuppgiftsansvariga och LMS-plattformen är personuppgiftsbiträde. Vi samlar in uppgifter om dina anställda och bestämmer hur de ska användas. LMS-plattformen behandlar sedan uppgifterna för vår räkning i enlighet med syftet med uppgifterna.

Vad är då ett personuppgiftsbiträde?

Ett personuppgiftsbiträde är en organisation eller person som behandlar uppgifter på uppdrag av en personuppgiftsansvarig.

Om du vill veta mer om personuppgiftsansvariga och personuppgiftsbiträden kan du läsa om det på vår blogg, där vi har skrivit en guide om allt du behöver veta som personuppgiftsansvarig och personuppgiftsbiträde.

Nu har vi fått grunderna täckta. Vi vet vad ett personuppgiftsbiträdesavtal är, vad det består av och att det krävs för att uppfylla kraven i GDPR. Men när behövs det?

När krävs ett personuppgiftsbiträdesavtal?

Du behöver ett personuppgiftsbiträdesavtal (GDPR DPA) om du är personuppgiftsansvarig och använder ett personuppgiftsbiträde som behandlar uppgifter för din räkning.

Faktum är att om du är personuppgiftsansvarig behöver du ett personuppgiftsbiträdesavtal med var och en av dina personuppgiftsbiträden som behandlar uppgifter för din räkning.

Om du är personuppgiftsbiträde och använder dig av underbiträden behöver du också ett personuppgiftsbiträdesavtal med vart och ett av dina underbiträden.

• Ett underbiträde är: En tredje parts personuppgiftsbiträde som behandlar uppgifter för personuppgiftsbiträdets räkning.

Om någon form av personuppgifter utbyts mellan dig (den personuppgiftsansvarige) och personuppgiftsbiträdet krävs ett personuppgiftsbiträdesavtal.

GDPR kräver att personuppgiftsansvariga skyddar de personuppgifter som de hanterar. Detta innebär att den personuppgiftsansvarige är ansvarig för att se till att även personuppgiftsbiträdet vidtar skyddsåtgärder för att skydda uppgifterna.

Därför är det en god idé att gå igenom ditt personuppgiftsbiträdesavtal för att se om allt är i sin ordning.

Vanliga saker som går fel med personuppgiftsbiträdesavtal

Det är alltid en god idé att granska personuppgiftsbiträdesavtalet för att upptäcka eventuella problem. De vanligaste problemen som kan uppstå i samband med ett personuppgiftsbiträdesavtal är

Personuppgiftsbiträdet behandlar mer än vad som begärts

• Omfattningen av hur personuppgiftsbiträdet behandlar personuppgifter är större än den personuppgiftsansvariges rättsliga grund för behandling av personuppgifter. Därmed följer de inte GDPR.

Bristande säkerhetsåtgärder

• Det är ditt ansvar att se till att ditt personuppgiftsbiträde har tillräckliga skyddsåtgärder på plats och uppfyller kraven i GDPR. Se till att ditt personuppgiftsbiträde kan garantera säkerheten för personuppgifter och garantera konfidentialitet

Plats och överföring av dina uppgifter

• Du bör se till att dina uppgifter stannar inom EU för att undvika internationella överföringsbegränsningar. Du bör kontakta din SaaS-leverantör för att implementera en policy för datalokalisering om så krävs.

Godkännande av underbiträden

• Kom ihåg att kontrollera med dina personuppgiftsbiträden om de använder sig av underbiträden. GDPR kräver att personuppgiftsbiträdena meddelar dig (den personuppgiftsansvarige)om underbiträden används.

Det är viktigt att personuppgiftsansvariga är selektiva när det gäller att välja personuppgiftsbiträden. Det är de personuppgiftsansvarigas ansvar att se till att deras personuppgiftsbiträden följer lämpliga standarder.

Ett bra sätt att undvika några av dessa vanliga problem med ett personuppgiftsbiträdesavtal är att ha en checklista över vad du behöver inkludera i ett personuppgiftsbiträdesavtal-vi hjälper dig.

Checklistaför personuppgiftsbehandling

Härhar vi samlat alla viktiga saker som du behöver ha med för att ha ett personuppgiftsbiträdesavtal som uppfyller kraven i GDPR.

Vi vet att det kan vara ganska överväldigande att på egen hand upprätta ett personuppgiftsbiträdesavtal. Därför har vi samlat ett par mallar som hjälper dig att komma igång.

Mall förpersonuppgiftsbiträdesavtal

Olika länder och deras respektive nationella dataskyddsmyndigheter har sina egna mallar för databehandlingsavtal som du kan använda, och du är naturligtvis välkommen att skriva ditt eget avtal också.

Här följer några exempel på mallar för personuppgiftsbiträdesavtal som ärgratis att ladda ner:

• Mall för databehandling enligt EU:s dataskyddsförordning

• Datatilsynet (Danmarks nationella dataskyddsbyrå) GDPR-avtalsmallför databehandling

Dessa måste naturligtvis justeras för att passa användningsfallet i ditt eget företag. Men dessa mallar är en bra utgångspunkt.

Vad vi har lärtoss

Vi hoppas att du har lärt dig något användbart om personuppgiftsbiträdesavtal. Ett personuppgiftsbiträdesavtal (GDPR DPA) hjälper dig att följa GDPR och säkerställa att de personuppgifter duansvarar för hanteras på rätt sätt.

Här är några av de viktigaste sakerna att tamed sig

• Ett personuppgiftsbiträdesavtal krävs för att följa GDPR.

• Ett personuppgiftsbiträdesavtal krävs om personuppgifter utbyts mellan parter.

• Se till att ditt personuppgiftsbiträde behandlar rätt mängd uppgifter.

• Det är en god idé att ha en checklista för databehandling på plats.

Ett annat steg för att uppfylla kraven i GDPR är att utbilda hela teamet i kontinuerlig medvetenhetsträning. Genom att göra detta skapar du en stark cybersäkerhetskultur i din organisation.