Personuppgiftsbiträdesavtal
Från Sydarkiveras Wiki
Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.
De biträden som den personuppgiftsansvarige anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas.
Ett personuppgiftsbiträde och dess personal får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvarige. Biträdet får inte anlita ett annat biträde utan att i förhand få ett skriftligt tillstånd av den personuppgiftsansvarige.
En nyhet i förordningen är att några av de skyldigheter som tidigare har gällt för den personuppgiftsansvarige nu även gäller för personuppgiftsbiträdet, till exempel kraven på att föra register över behandlingar, att säkerställa en lämplig säkerhetsnivå och att i vissa fall utse ett dataskyddsombud.
Även personuppgiftsbiträdet kan bli föremål för tillsyn eller administrativa sanktionsavgifter och bli skadeståndsansvarig. Den personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så kallat biträdesavtal. Dataskyddsförordningen räknar upp vad ett sådant biträdesavtal ska innehålla.
Metod
När ett personuppgiftsbiträdesavtal skall skrivas är det viktigt att mallen med instruktionerna blir rätt. Enklast är att börja med en informationsklassning utifrån fyra aspekter: Konfidentialitet, riktighet, tillgänglighet och spårbarhet.
Denna klassning ger svar på vilka krav som kan ställas i instruktionerna.
Exempelvis om klassningen visar på att det är viktigt med hög konfidentialitet, ger det som krav att behörighet och tillgång till informationen blir mycket viktig. Detta medför då krav på behörighetsrutiner, stark autentisering (2-faktors) samt kryptering av överföringslänk. Dessa krav kan då infogas som krav i instruktionerna.
Visar klassningen höga krav på riktighet så ger det höga krav på att informationen är rätt innan den skall skrivas in i system el liknande men också höga krav på överföringslänkar, kanske också krav på kontroll av checksumma. Krav som då infogas i instruktionerna.
Dokument
Sydarkivera rekommenderar att medlemmar använder sig av SKRs mallar och underlag.
Tänk på att du måste fylla i de uppgifter som hör till din organisation. Radera även SKR-loggan.
De senaste mallar från SKR är från 2020-01-02. De finns på följande adress:
- Bygg, miljö och teknik
- Hälsa och socialt stöd
- Kommunledning
- Kultur och fritid
- Skola och utbildning
- Trygghet och säkerhet
- Arkivansvarig
- Arkivmyndighet
- Arkivombud
- Arkivarie
- Arkivassistent
- Bolag
- Handläggare
- Kontaktperson
- Medlemssamordnare
- Myndighet
- Privata aktörer
- Registrator
Arkivleveranser
Arkivredovisning
- Arkivbeskrivning
- Arkivförteckning
- Arkivreglemente
- Diarium och registrering
- Informationshanteringsplan
Arkivinspektion / Tillsyn
- Självvärdering arkivlokaler
- Självvärdering arkivansvarig
- Utvärdering för arkivombud
- Händelsestyrd tillsyn
- Planerad tillsyn
Dataskydd
- Dataskyddsefterlevnad
- Dataskyddsförordningen GDPR
- Dataskyddsombud
- Delegationsordning enligt GDPR
- Handledningar
- Konsekvensbedömningar och förhandssamråd
- Personuppgiftsansvarig
- Personuppgiftsbiträdesavtal
- Personuppgiftsincident
- Policies och riktlinjer
- Registerförteckning
- Registerutdrag
Digitisering och digitalisering
- Gallra och rensa (slänga)
- Städa i mappar och filer
- Fotografier och bilder
- Ljud och rörlig bild
- Projekt
- Ärende- och dokumenthantering
Hantera och förvara
Insyn och åtkomst
- Allmän handling
- Lämna ut allmän handling
- Offentlighet och sekretess
- Tillgängliggöra och levandegöra arkiv
Systemförvaltning
Verktyg och mjukvara