Datainspektionens nyhetsbrev 7-2016

Avtal om registerbiträdes behandling av personuppgifter

Datainspektionen har utarbetat en allmän vägledning gällande skriftligt avtal om registerbiträdets behandling av personuppgifter för de registeransvarigas räkning.

Vägledningen innehåller en mall till skriftligt avtal.

Verksamheter som väljer att utlokalisera hela eller delar av behandlingen av personuppgifter till andra verksamheter anlitar registerbiträden. Enligt personuppgiftslagen ska det finnas ett skriftligt avtal om registerbiträdets behandling av personuppgifter för den registeransvarigas räkning. Den registeransvariga ska bland annat försäkra sig om att registerbiträdet håller tillräckligt hög säkerhetsnivå vid behandlingen av personuppgifterna.

Ett exempel på när det kan vara aktuellt med ett avtal är när en kommun köper datalagringstjänster av ett företag och företaget ska lagra bland annat personuppgifter. Det kan till exempel gälla en leverantör av löne- och personaladministrativa system där servern är placerad hos leverantören som också driftar lösningen för kommunen.

Kommunen är således registeransvarig part medan tjänsteleverantören är registerbiträde då den behandlar personuppgifter för kommunens räkning.