Kontrollera rutinerna för personuppgiftsbiträdesavtal och undvik dryga böter.
De nya bestämmelserna i GDPR skärper ansvaret för hanteringen av personuppgifter. Nu rekommenderar Netsecure att både leverantörer och köpare av IT-tjänster ser över sina avtal.
Personuppgiftsansvarig och personuppgiftsbiträde. Det är två begrepp som har blivit extra viktiga att hålla koll på sedan den nya dataskyddsförordningen, GDPR, infördes i maj. Personuppgiftsansvarig är till exempel ett bolag, en förening eller annan organisation som behandlar personuppgifter och bestämmer hur och för vilka ändamål uppgifterna ska behandlas.
Personuppgiftsbiträde är den som behandlar personuppgifter på uppdrag av en personuppgiftsansvarig, till exempel ett företag som tillhandahåller en IT-tjänst åt ett annat företag.
Många går i fällan
För att säkerställa den här hierarkin måste det dock finnas ett personuppgiftsbiträdesavtal som reglerar relationen mellan de två parterna. Annars riskerar leverantören av tjänsten, utan att veta om det, att bli den som i myndigheternas ögon räknas som personuppgiftsansvarig.
– Det här är tyvärr en fälla som många går i just nu. Att vara personuppgiftsansvarig innebär ett betydligt större ansvar än att vara personuppgiftsbiträde. Att omedvetet ha det ansvaret kommer oundvikligen leda till att viktiga bestämmelser i GDPR inte kommer att kunna följas. Det riskerar att leda till dryga böter. Därför är det viktigt både för leverantör och köpare av IT-tjänster att alltid kontrollera att det finns ett personuppgiftsbiträdesavtal, säger Sara Bergklint, jurist och dataskyddsombud på Netsecure.
Kopierade avtal
Sara Bergklint poängterar att även om ett personuppgiftsbiträdesavtal finns på plats, är det bra om innehållet också är anpassat till den tjänst som levereras.
– Vi har sett alldeles för många fall där en leverantör har kopierat ett standardavtal, som sedan köparen av tjänsten har godtagit. I sådana fall kan det lätt uppstå oklarheter kring vad avtalet faktiskt ska reglera, säger hon.
Ta hjälp
Netsecure har både teknisk och juridisk expertis inom dataskydd och IT-säkerhet. Det gör att företaget kan erbjuda skräddarsydda lösningar som i detalj tar hänsyn till en allt mer komplex kravbild inom de båda fälten.
– Vi rekommenderar att man tar hjälp för att utforma ett personuppgiftsbiträdesavtal som matchar alla funktioner i tjänsten. Det kan finnas omständigheter som är förmildrande i myndigheternas ögon. Men att inte ha koll på sina skyldigheter är knappast en sådan omständighet, säger Sara Bergklint.