Ett halvår med GDPR
Malin Cope, bolagsjurist på SKL Kommentus, reflekterar i en krönika kring hur implementeringen av GDPR egentligen har gått och när ett personuppgiftsbiträdesavtal ska tillämpas, så här ett halvår senare.
Hösten är här och över ett halvår har redan gått sedan GDPR, dataskyddsförordningen började tillämpas. Efter en lång sommar känns vårens slit med GDPR-anpassning å ena sidan avlägset, å andra sidan fortfarande högst aktuellt. Det är förmodligen fortfarande många rutiner som kan behövas justeras och frågor som ska hanteras beroende på hur kommande rättspraxis utvecklas. Jag noterar till exempel att det inte alltid är så enkelt att enas med sin avtalspart om villkoren i ett personuppgiftsbiträdesavtal. Det kan vara en väldigt resurskrävande process från både beställar- och leverantörskollektivet.
Vid en upphandling eller förnyad konkurrensutsättning behöver man därför ha villkoren i personuppgiftsbiträdesavtalet klara för sig, redan vid annonseringen eller avropet. För att underlätta detta arbete jobbar SKL Kommentus tillsammans med Inera och SKL med att ta fram ett generiskt personuppgiftsbiträdesavtal. Syftet är att personuppgiftsbiträdesavtalet ska kunna användas mellan våra kunder/medlemmar och privata leverantörer, men också i förhållande till varandra, till exempel när SKL eller Inera är biträde till en kommun eller landsting. Det nya personuppgiftsbiträdesavtalet kommer att finnas tillgängligt innan årsskiftet på organisationernas hemsida. Om man vill använda vårt personuppgiftsbiträdesavtal behöver det kompletteras med bland annat preciserade instruktioner till personuppgiftbiträdet, anpassade för den specifika tjänsten som upphandlas.
Frågor inför ett personuppgiftsbiträdesavtal
Men när ska ett personuppgiftsbiträdesavtal användas? Vem är egentligen personuppgiftsansvarig och vem är personuppgiftsbiträde? Eller kanske en så kallad tredje part? Ja, det är frågor som är viktiga att utreda noggrant och ta ställning till innan ett personuppgiftsbiträdesavtal ingås.
Ta uthyrning av personal som exempel. Om en leverantör hyr ut en konsult, låt säga en HR-assistent, åt en kommun och konsulten arbetar under kommunens direkta arbetsledning och ansvar i kommunens lokaler, IT-miljö och utrustning, är normalt sett kommunen personuppgiftsansvarig för de behandlingar konsulten utför hos kommunen. Leverantören är en så kallad tredje part i denna situation. Något biträdesförhållande föreligger då normalt sett inte och något personuppgiftsbiträdesavtal ska inte ingås mellan leverantören och kommunen för dessa behandlingar.
Om konsulten däremot ska behandla personuppgifter åt kommunen i samband med sitt uppdrag men inte under kommunens direkta ledning och ansvar, kan istället leverantören istället inneha eget personuppgiftsbiträdesansvar, eller vara ett personuppgiftsbiträde, beroende på bland annat hur insamling och hantering av personuppgifter kommer att ske. Det är viktigt att ha klart för sig att det är en funktionell bedömning som behöver göras och att man inte hur som helst kan avtala om vem som är personuppgiftsansvarig och vem som är biträde. Att felaktigt använda ett personuppgiftsbiträdesavtal kan leda till onödiga risker för både kommunen och leverantören.
Stort genomslag för dataskyddsförordningen
Det finns fortfarande en hel del frågetecken att räta ut men vi är på god väg. Med tiden och genom kommande praxis kommer frågorna kring den praktiska och juridiska hanteringen av GDPR klarna ytterligare. Och det är inte omöjligt, snarare troligt, att vi i framtiden kommer se en uppdaterad version av vårt personuppgiftsbiträdesavtal. Däremot måste sägas att dataskyddsförordningen redan fyllt sitt syfte och, i alla fall ur lagstiftarens synvinkel, måste betraktas som en succé. Mig veterligen har få lagar haft samma genomslagskraft. Det är inte bara i Europa utan också många företag i hela övriga världen som har fått ställa om och anpassa sin verksamhet för att vi alla ska få ett bättre skydd för våra personuppgifter.
Av
Kommentusbloggen
Kommentarer (0)
Skriv en kommentar