Vad är ett databehandlingsavtal och när behöver jag ett?
Databehandlingsavtal (DPA) krävs enligt GDPR när data överförs mellan en personuppgiftsansvarig och en personuppgiftsbiträde. I den här artikeln presenterar vi en översikt över kraven och verkliga fallstudier.
På Gerrish Legal vill vi minska stressen kring DPA för frilansare och småföretag genom att förklara juridisk jargong. I samarbete med City Law School delar vi här några praktiska tips om varför, när och hur man använder DPA.
Är ett personuppgiftsbiträdesavtal nödvändigt och i så fall när?
Artikel 28.3 i GDPR anger att: Behandling som utförs av ett personuppgiftsbiträde ska styras av ett avtal som är bindande för biträdet gentemot den personuppgiftsansvarige och som anger behandlingens föremål och varaktighet, behandlingens natur och syfte, typen av personuppgifter och kategorier av registrerade samt den personuppgiftsansvariges rättigheter och skyldigheter.
Så, vad är en personuppgiftsansvarig och vad är ett personuppgiftsbiträde enligt GDPR?
Artikel 4.7 i GDPR anger att en "personuppgiftsansvarig" är den fysiska eller juridiska person, offentliga myndighet, myndighet, byrå eller annat organ som, ensam eller tillsammans med andra, fastställer ändamålet och medlen för behandlingen av personuppgifter. Artikel 4.8 fortsätter med att säga att ett "personuppgiftsbiträde" är en fysisk eller juridisk person, offentlig myndighet, myndighet, byrå eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Med andra ord är personuppgiftsansvarig vanligtvis företaget (som kan vara ett bolag eller en frilansare) som äger och/eller erhåller samt fattar beslut om personuppgifter, och personuppgiftsbiträdet är den part som utses av den personuppgiftsansvarige för att behandla dem på dennes vägnar och i enlighet med den personuppgiftsansvariges instruktioner.
Vid någon tidpunkt kommer de flesta företag att behöva dela personuppgifter med en tredje part, såsom leverantörer som tillhandahåller olika tjänster (molninfrastruktur, SaaS, analys, HR och lönerelaterade tjänster för att nämna några), och tjänsteleverantörer kan också ta emot personuppgifter från sina kunder för att behandla dem på deras vägnar. I detta fall krävs ett personuppgiftsbiträdesavtal (DPA).
Detta gör det möjligt för den personuppgiftsansvarige att specificera ämnet och varaktigheten för behandlingen, arten och syftet med behandlingen, typen av personuppgifter och kategorier av registrerade samt den personuppgiftsansvariges skyldigheter och rättigheter, i enlighet med kraven i artikel 28.
I sådana fall är det avgörande för både personuppgiftsansvariga och personuppgiftsbiträden att säkerställa att sådana datadelningsaktiviteter är förenliga med GDPR och i synnerhet kraven i artikel 28 – som anger de olika säkerhets-, tekniska och organisatoriska åtgärder som måste finnas på plats när en personuppgiftsansvarig delar data med ett personuppgiftsbiträde. Artikel 28(3), som nämns ovan, kräver att specifika element inkluderas i databehandlingsavtalet (DPA) för att säkerställa efterlevnad. Dessa inkluderar:
· Att ange detaljer kring tekniska åtgärder för att säkerställa säkerhet och konfidentialitet för personuppgifter
· Regler kring utnämning och användning av andra tredjepartsbiträden (underbiträden)
· Regler kring överföring av personuppgifter utanför Storbritannien eller Europeiska unionen
· Regler kring sekretess och de skyldigheter som åläggs personal som behandlar data för biträdet
· Regler som anger hur biträdet kan svara på eventuella rättigheter eller förfrågningar som individer framför avseende deras personuppgifter
· Regler kring processen för hantering av eventuella dataintrång
· Processen för radering och/eller återlämning av personuppgifter till den personuppgiftsansvarige vid slutet av behandlingsaktiviteterna
· Rättigheterna kring möjligheten att kontrollera att den personuppgiftsbiträdet följer sina skyldigheter, såsom rätten att genomföra revisioner
· Parternas ansvar, inklusive eventuella begränsningar eller försäkringskrav.
När bör ett databehandlingsavtal (DPA) införas?
Alla organisationer som agerar som personuppgiftsansvariga och delar personuppgifter med en tredje part måste ha ett DPA på plats med alla tredje parter som agerar som personuppgiftsbiträden å deras vägnar, och DPA bör ingås innan någon behandling av personuppgifter sker. Behandling har en bred betydelse enligt GDPR, och detta omfattar delning, överföring, uppladdning till plattformar eller portaler samt delning via e-post. Vilka är riskerna med att inte införa ett DPA? Verkliga fallstudier –
Fallet Societatea Energetică Electrica S.A:
År 2022 avslutade Rumäniens nationella tillsynsmyndighet en undersökning av operatören Societatea Energetică Electrica S.A. i november 2022 och konstaterade ett brott mot artikel 28 i GDPR på grund av otillräcklig användning av ett DPA. Undersökningen inleddes efter att operatören Societatea Energetica Electrica S.A. hade skickat en anmälan om ett intrång i konfidentialiteten av personuppgifter, i enlighet med bestämmelserna i GDPR. Fallet resulterade i en böter på 5 000 EUR.
Fallet Wens Experience SRL:
Efter en utredning av Wens Experience SRL upptäcktes ett brott mot artikel 28 punkt 2 i GDPR. Företaget Wens Experience SRL, som personuppgiftsbiträde, fick böter på 1 500 EUR år 2022. Utredningen initierades efter att den berörda personuppgiftsansvarige hade skickat en anmälan om ett personuppgiftsintrång från sitt biträde enligt GDPR. Utredningen fann att biträdet Wens Experience SRL rekryterade ett annat biträde för att behandla personuppgifter om den personuppgiftsansvariges anställda utan att ha fått föregående skriftligt, specifikt eller generellt tillstånd från den personuppgiftsansvarige, i strid med artikel 28 punkt 2 i GDPR.
Fallet Kolibri Image GbR:
Dataskyddsmyndigheten i Hamburg bötfällde ett litet postorderföretag, Kolibri Image, och begärde att det skulle betala ett belopp på 5000 euro plus 250 euro i avgifter på grund av brist på ett personuppgiftsbiträdesavtal (DPA).Dataskyddsmyndigheten uttalade att skyldigheten att ingå ett DPA inte bara gäller tjänsteleverantören (biträdet), utan även klienten som personuppgiftsansvarig.
Av ovanstående kan vi se att ett DPA därför har 3 viktiga fördelar:
Förbättrar din medvetenhet om cybersäkerhet: Inget företag vill hantera risken med okunnighet kring cybersäkerhet eller dataintrång, kostnaderna för dataintrång eller driftstopp på grund av stulna eller förlorade data. Att implementera GDPR i din organisation kan hjälpa dig att etablera ett mer säkerhetsmedvetet arbetsflöde.
Förbättrar trovärdighet, stabilitet och transparens: Det finns sju grundläggande principer som anges i artikel 5 i GDPR:
· Laglighet, rättvisa och transparens
· Syftesbegränsning
· Dataminimering
· Noggrannhet
· Lagringsbegränsning
· Integritet och konfidentialitet
· Ansvarsskyldighet
Att visa att ditt företag kan följa dessa principer vid hantering av dataskyddsrelaterade frågor visar att du är pålitlig och trovärdig. GDPR-efterlevnad blir alltmer en nödvändig standard för tjänsteleverantörer.
Utan ett starkt, verifierbart åtagande till integritet kan företag riskera att utsättas för skador på sitt varumärke.
Juridisk säkerhet och efterlevnad: Oavsett om du är personuppgiftsansvarig eller personuppgiftsbiträde, är efterlevnad av GDPR och artikel 28 i DPA ett lagligt krav när du befinner dig i relationen mellan personuppgiftsansvarig och personuppgiftsbiträde – oavsett om du är ett multinationellt företag, ett litet företag eller en frilansare. Genom att följa de tillämpliga reglerna kan du uppnå juridisk säkerhet och undvika risken för påföljder vid bristande efterlevnad vid en dataincident, myndighetsutredning eller klagomål från en individ angående hanteringen av deras data.
Vilka är fallgroparna med ett dåligt utformat DPA?
Självklart är det tydligt problematiskt att inte ha något DPA alls, men om ett DPA är vagt formulerat eller om element som krävs enligt GDPR saknas, kan detta skapa betydande förvirring och komplikationer för båda parter. Faktum är att om ett DPA är illa utformat kan det orsaka mer skada än nytta. Till exempel, om en part är osäker på vilka deras skyldigheter är och vad de har rätt att göra, kan det leda till betydande problem om detta avtal saknar tydliga lösningar och klausuler, särskilt i händelse av ett dataintrång eller en begäran från en registrerad.
Nästa steg
Tveka inte att kontakta oss för att diskutera utformningen av ditt DPA samt för rådgivning relaterad till GDPR eller integritet.