Vad är ett PB-avtal?

GDPR skyddar användares rättigheter när företag och andra aktörer hanterar av deras persondata.
En av de viktigaste delarna av GDPR är det s.k. ”Data Processing Agreement” (DPA), eller på svenska – personuppgiftbiträdesavtalet (PB-avtal). I korthet är det ett avtal som ett företag som hanterar dina personuppgifter kommer att underteckna med alla parter som direkt eller indirekt får tillgång till dessa uppgifter.

Inom ramarna för ett DPA används termen ”datahantering” brett och syftar till att beskriva allt du kan göra med någons data – samla in, lagra, tjäna pengar på den, förstöra den, etc.

Ett DPA är ett juridiskt bindande avtal som anger varje parts rättigheter och skyldigheter när det gäller skydd av personuppgifter. I huvudsak reglerar det hur företag hanterar persondata, till exempel: Omfattningen och syftet med databehandlingen; Förhållandet mellan aktörererna; Varje parts skyldigheter enligt förordningen, osv.

När skriver RECILIO ett DPA?

Som företagare som omfattas av GDPR är det i vårt intresse att ha en DPA på plats. Det betyder att när en databehandlare – det vill säga ett annat företag som hjälper oss att lagra, analysera eller kommunicera personlig information – utför någon typ av datahantering eller databehandling för vår räkning måste vi ha ett skriftligt avtal.

Vad ska ingå i ett DPA?

GDPR Artikel 28, avsnitt 3, förklarar i detalj de åtta faktorerna som måste behandlas inom ramarna för ett DPA. Följaktligen innefattar våra DPA dessa åtta punkter.

Sammanfattningsvis ingår följande i RECILIOs DPA:

  • Dataprocessorn intygar att behandling endast får ske enligt dokumenterade instruktioner från den personuppgiftsansvariga
  • Alla som kommer i kontakt med datan ger en försäkran om att respektera konfidentialitet eller lagstadgad tystnadsplikt
  • Alla lämpliga tekniska och organisatoriska åtgärder används för att skydda datasäkerheten.
  • Dataprocessorn kommer inte att anlita en underleverantör såvida den inte har fått instruktioner om detta skriftligen av den personuppgiftsansvarige – om så är fallet måste en annan datatillsynsansvarig utses för underleverantören (enligt paragraferna 2 och 4 i artikel 28).
  • Dataprocessorn hjälper den personuppgiftsansvarige att upprätthålla sina skyldigheter enligt GDPR, särskilt när det gäller registrerade personers rättigheter.
  • Dataprocessorn kommer att hjälpa den personuppgiftsansvarige att upprätthålla GDPR-överensstämmelse med avseende på artikel 32 (bearbetningssäkerhet) och artikel 36 (samråd med dataskyddsmyndigheten innan han utför högriskbehandling).
  • Databehandlaren samtycker till att radera alla personuppgifter när tjänsterna avslutas eller lämna tillbaka uppgifterna till den registeransvarige.
  • Databehandlaren måste tillåta den personuppgiftsansvarige att genomföra en revision och kommer att tillhandahålla all information som är nödvändig processen.

Se RECILIOs DPA

RECILIO bekräftar att vi är ansvariga för att upprätta en lagenlig datahantering och vi respekterar våra användares rättigheter genom att inkludera datahanteringstillstånd och förfrågningar. Vi bekräftar också att vi är ansvariga för att informera våra användare, underleverantörer och anställda om databehandlingen. I linje med detta kan du se vår DPA här.