Personuppgiftsbiträdesavtal
Från Sydarkiveras Wiki
Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.
De biträden som den personuppgiftsansvarige anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas.
Ett personuppgiftsbiträde och dess personal får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvarige. Biträdet får inte anlita ett annat biträde utan att i förhand få ett skriftligt tillstånd av den personuppgiftsansvarige.
En nyhet i förordningen är att några av de skyldigheter som tidigare har gällt för den personuppgiftsansvarige nu även gäller för personuppgiftsbiträdet, till exempel kraven på att föra register över behandlingar, att säkerställa en lämplig säkerhetsnivå och att i vissa fall utse ett dataskyddsombud.
Även personuppgiftsbiträdet kan bli föremål för tillsyn eller administrativa sanktionsavgifter och bli skadeståndsansvarig. Den personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så kallat biträdesavtal. Dataskyddsförordningen räknar upp vad ett sådant biträdesavtal ska innehålla.
Metod
När ett personuppgiftsbiträdesavtal skall skrivas är det viktigt att mallen med instruktionerna blir rätt. Enklast är att börja med en informationsklassning utifrån fyra aspekter: Konfidentialitet, riktighet, tillgänglighet och spårbarhet.
Denna klassning ger svar på vilka krav som kan ställas i instruktionerna.
Exempelvis om klassningen visar på att det är viktigt med hög konfidentialitet, ger det som krav att behörighet och tillgång till informationen blir mycket viktig. Detta medför då krav på behörighetsrutiner, stark autentisering (2-faktors) samt kryptering av överföringslänk. Dessa krav kan då infogas som krav i instruktionerna.
Visar klassningen höga krav på riktighet så ger det höga krav på att informationen är rätt innan den skall skrivas in i system el liknande men också höga krav på överföringslänkar, kanske också krav på kontroll av checksumma. Krav som då infogas i instruktionerna.
Dokument
Sydarkivera rekommenderar att medlemmar använder sig av SKLs mallar och underlag.
Tänk på att du måste fylla i de uppgifter som hör till din organisation. Radera även SKL-loggan.
Om önskas tillhandahåller Sydarkivera, till sina medlemmar, en mall med integrerad registerförteckning, systeminventering och PUB-avtal med tillhörande instruktioner.
Rubriker i Handboken
Ansvar och roller
- Arkivansvar – Nämnder och bolag
- Arkivansvarig
- Arkivombud
- Dataskyddsombud
- Handläggare
- Medlemssamordnare
- Registrator
Arkivleveranser
Arkivredovisning
Arkiv och tillsyn
- Självvärdering arkivlokaler
- Självvärdering arkivansvarig
- Utvärdering för arkivombud
- Händelsestyrd tillsyn
- Planerad tillsyn
Dataskydd
- Dataskyddsförordningen GDPR
- Delegationsordning enligt GDPR
- Handledningar
- Konsekvensbedömningar och förhandssamråd
- Personuppgiftsbiträdesavtal
- Personuppgiftsincident
- Policies och riktlinjer
- Registerförteckning
- Registerutdrag
Digitisering och digitalisering
Förvara och vårda
- Arkivbeständighet
- Arkivlokaler och arbetsrum
- Gallra och rensa (slänga)
- Låna ut och avhända
- OAIS-modellen
- Överlämna till arkivmyndighet
Insyn
- Allmän handling
- Lämna ut allmän handling
- Offentlighet och sekretess
- Tillgängliggöra och levandegöra arkiv
Systemförvaltning
Verksamhetsspecifikt
Verktyg och teknik
VerkSAM Arkivredovisning