När personuppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras genom ett avtal eller en annan rättsakt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige. GDPR ställer särskilda omfattande krav på innehållet i personuppgiftsbiträdesavtal, varför upprättandet av ett sådant kan vara både resurskrävande och komplicerat. GDPR tillåter därför att tillsynsmyndigheter fastställer så kallade standardavtalsklausuler för personuppgiftsbiträdesavtal, i syfte att bidra till en enhetlig tillämpning av GDPR:s regler.
Den danska dataskyddsmyndigheten, Datatilsynet, tog under 2019 fram standardavtalsklausuler för personuppgiftsbiträdesavtal som den svenska Datainspektionen i förra veckan meddelade kan användas av verksamheter även i Sverige, eftersom det saknas en svensk motsvarighet. Standardavtalsklausulerna har prövats och godkänts av Europeiska dataskyddsstyrelsen (EDPB). Svenska verksamheter kan således fritt välja att tillämpa de danska klausulerna som ett alternativ till att teckna egna personuppgiftsbiträdesavtal.
Standardklausulerna är ett bra alternativ för verksamheter som vill minimera sin tid att förhandla eller utforma egna avtal för att hantera personuppgiftsbiträdesrelationer. Det inte tillåtet att ändra klausulerna, men det finns villkor av mer kommersiell karaktär, som inte regleras i standardklausulerna, som parterna kan addera. Rent kommersiella tillägg till klausulerna som inte innebär en ändring av fastställda regulatoriska villkor är tillåten. Ibland kan det dock vara svårt att avgöra när en ändring är av ren kommersiell karaktär, respektive när den juridiskt sett ändrar de fastställda standardklausulerna. Två kommersiella villkor som i vart fall inte anses ändra de regulatoriska villkoren och därmed kan adderas är ansvarsbegränsning och personuppgiftsbiträdets möjlighet till ersättning för personuppgiftsbehandlingen.
Det åligger även verksamheter som använder sig av klausulerna att säkerställa att dessa återspeglar både de faktiska förhållandena mellan parterna och att instruktioner till personuppgiftsbiträden och eventuella underbiträden är korrekta. Vidare krävs det att parterna tar ställning till ett antal frågor eftersom standardklausulerna ger flera valmöjligheter och varje personuppgiftsrelation är unik. Parterna kommer exempelvis behöva ta ställning till (i) om personuppgifterna ska raderas eller återlämnas vid relationens slut, (ii) hur ofta personuppgiftsbiträdet får anlita underleverantörer (s.k. underbiträden) att behandla personuppgifter å den ansvariges vägnar, och (iii) hur snart personuppgiftsbiträdet måste meddela den personuppgiftsansvarige vid en personuppgiftsincident.
Vill du veta mer om de nya standardklausulerna se Datainspektionens hemsida eller hör av dig till en IT-advokat.
