Hur hanterar ni era biträdesavtal?

0
292
Business people shaking hands, finishing up a meeting
De avtal som skickas mellan organisationer för att reglera ansvaret mellan personuppgiftsbiträde och personuppgiftsansvarig skiljer sig i innehåll och ansvarsbegränsning. Hur ska man förhålla sig och få en rimlig hantering av personuppgifter som stämmer överens med det som avtalats?
Effekten av GDPR  som märktes mest bland gemene man var främst alla informationsmail. På företagsnivån är en tydlig effekt alla personuppgiftsbiträdesavtal (pubavtal) som skickas i en strid ström mellan olika organisationer. I dagens sammanlänkade värld har i princip alla organisationer behov av att teckna ett eller flera pubavtal.
En reflektion efter att ha hanterat många olika avtal är att de skiljer sig åt stort i innehåll mellan de organisationer som skickar ut dessa. I flera fall finns indikationer att innehållet i avtalen ej anpassats till den egna organisationens förutsättningar innan det skickats iväg. Det är nog ganska troligt att många organisationer har tagit en mall som funnits tillgänglig eller att man köpt en färdig mall för att hinna innan lagen började gälla. I många fall är avtalen åtskruvade till den ansvariges fördel så att när det i realiteten kan det bli utmaningar för många biträden att leva upp till avtalet.
Vår reflektion när vi har granskat ett flertal av de olika avtalen är områden som kan leda till framtida utmaningar:
  • Skrivelser kring att radering av individers personuppgifter skall gälla samtliga backuper
  • Krav på skriftliga vetorätter kring alla förändringar i vilka underbiträden som används
  • Krav på att samtliga personuppgiftsansvariga skall godkänna förändringar i infrastrukturen hos biträdet
  • Krav på certifieringar av biträdet för att hantera tekniska och organisatorisk säkerhet
Mycket av detta beror på att artiklarna i GDPR ställer tydliga krav på biträdena som naturligt återspeglas i pubavtalen. Det skall bli spännande att se hur förhållandet mellan Personuppgiftsansvarig och biträde kommer att tolkas när avtalen prövas juridiskt och praxis växer fram. Till er alla som i en hast har tagit en mall utan eftertanke är vårt råd att åter läsa igenom avtalet för att se hur det passar in i er organisation och om ni verkligen kan leva upp till innehållet i avtalstexten.
  • Är du en tjänsteleverantör bör du ta fram eller se över det avtal ni har så att det är anpassat till den tjänst som ni levererar och samtidigt sätta er in i den ansvariges position så att avtalet är balanserat.
  • Är du personuppgiftsansvarig och tar emot ett antal färdigskrivna avtal. Ta fram en checklista för vad som är viktigt i er organisation så  att ni kan granska avtalen utifrån er verksamhet och att samtliga krav i lagen efterlevs i avtalet.
Vismaspcs skriver på sin hemsida informativ information kring personuppgiftsbiträdesavtal.
Foyen har även bra informationstext kring personuppgiftsbiträdesavtalets innehåll och ansvar på sin hemsida.

LEAVE A REPLY

Please enter your comment!
Please enter your name here

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.