Kommunstyrelseförvaltningen
Kommunstyrelseförvaltningen
Administrativa enheten
1 Checklista – Biträdesavtal enligt GDPR
2017-12-05 1(5)
Avtalspunkt | Kommentarer | Krav enligt artikel i GDPR | OK! | |
1 | Parter | Personuppgiftsansvarig (PuA) Personuppgiftsbiträde (PuB) Det kan vara flera PuA. Biträdessituationen gäller lagring men även åtkomst för t.ex. service, support, utveckling, underhåll. | ||
2 | Föremålet för behandlingen, art och ändamål | Ändamål men även PuB:s roll, t.ex. systemsupport, drift, tryckeri. | 28.3 Ingresspunkt 81 | |
3 | Behandlingens varaktighet | Tillsvidare eller tidsbestämt. | 28.3 | |
4 | Typen av personuppgifter | Rekommendation: Peka på om det finns känsliga och/eller extra skyddsvärda personuppgifter och ev. även var, eftersom det sätter nivån på säkerhetsåtgärderna. | 28.3 | |
5 | Kategorier av registrerade | Anställda, kunder, medlemmar, prospekts etc. | 28.3 | |
6 | PuA:s skyldigheter och rättigheter | Exempel: Rätt att få hjälp med GDPR-krav av PuB. Skyldighet att t.ex. inte registrera känsliga personuppgifter. | 28.3 |
7 | Hänvisning till tillräckliga garantier | Man får endast anlita biträden som kan ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder. Hur ska PuB visa PuA att man lever upp till ansvarsskyldigheten och principen om inbyggt dataskydd? Exempel: Dokumentation av egna instruktioner och analyser. | 28.1 28.3 h) | |
8 | Underleverantörer | PuB ska få ett särskilt eller allmänt skriftligt förhandstillstånd av PuA innan PuB anlitar underbiträden. När och hur? PuA kan göra invändningar, men vad händer om man gör det? Behöver det regleras? Kan PuA kliva av avtalet utan att utge ekonomisk ersättning? Behöver man fastställa några väsentlighetskriterier? Underleverantörer ska åläggas minst samma krav som huvudleverantörer i ett avtal med PuB, och det är PuB:s ansvar. PuB ansvarar fullt ut gentemot PuA för sina underleverantörer. | 28.2 28.3 d) 28.4 |
9 | Bilaga med underleverantörer och deras underleverantörer | Behöver bilagan finnas uppdaterad hos PuA, eller räcker det med att den kan presenteras på begäran? Innehåll: Organisationens namn, xxx.xx, geografisk adress där behandlingen utförs, uppgift i leveransen. | 28.2 28.3 d) 28.4 | |
10 | Tredjeland | Vilka krav behöver ställas på lokalisering av eller åtkomst till data? Tänk på att det är en överföring till tredjeland även vid åtkomst på distans, alltså även för personal som genomför service, support, underhåll, utveckling m.m. av systemet. | 28.3 a) | |
11 | Krav gällande tredjelandsöverföringar | Xxxxxxxx ska informera om de har ett krav på sig att lämna vidare informationen – NSA t.ex. (dock inte om det är ”hemligt”.) | 28.3 a) | |
12 | Dokumenterade instruktioner | Vad ska instruktionerna bestå av? Exempel: teknik så som flerfaktorsautentiseringar och krypterad kommunikation. | 28.3 a) | |
13 | Konfidentialitet | PuB:s personal ska ha tystnadsplikt. Det gäller även harmlös information. | 28.3 b) |
14 | Vidta säkerhetsåtgärder | Räcker det med en hänvisning till artikel 32 eller ska det vara specificerade krav? Hur mycket är det lämpligt att reglera i detalj, med hänsyn till den snabba tekniska utvecklingen? Hur mycket är det lämpligt att ”avslöja” i ett avtal? | 28.3 c) | |
15 | PuB ska hjälpa till så att PuA kan fullgöra sina skyldigheter | Behöver man specificera exakt vilka skyldigheterna är, t.ex. att ta fram information till registerutdrag, hjälpa till med incidentrapporter, XXX och förhandssamråd. Ersättning och tidsfrister bör regleras. | 28.3 e) 28.3 f) | |
16 | Vad händer med personuppgifterna när avtalet avslutas? | Reglera tidsfrister och ersättning för radering/förstöring/återlämnande. Rekommendation: Xxxxxxx även vad som händer under avtalstiden, t.ex. rimliga tidsfrister för radering när slutanvändaren angett att personuppgiften inte längre ska finnas kvar, t.ex. genom att trycka på delete-knappen. | 28.3 g) | |
17 | Revision av ansvarsskyldigheten | PuA har rätt till information om PuB:s hantering av PuA:s personuppgifter. PuB ska bidra till granskningar och inspektioner. Vem ska göra revisionen och vem ska bekosta den? Vad ska den visa? Hur ofta? | 28.3 h) |
18 | PuB ska informera PuA omedelbart om man anser att behandlingen är olaglig | Men det är PuA som har ansvar för det och som bestämmer om behandlingen ska fortsätta. | 28.3 andra stycket | |
19 | Avtalsperiod | Hur länge kommer personuppgiftsbehandlingen att pågå? | ||
20 | Tvistelösningar | Vilkets lands lag ska avtalet tolkas efter, om avtalstolkningen blir en sak för domstol? En sak är att svensk dataskyddslagstiftning ska följas när PuB behandlar PuA:s personuppgifter. En annan sak är enligt vilket lands lag som biträdesavtalet ska tolkas. |