Att anförtro behandlingen av personuppgifter enligt GDPR

Service

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda med avseende på behandling av personuppgifter och om fri rörlighet för sådana uppgifter och om upphävande av direktiv 95/46/EG ( GDPR) introducerar många nya funktioner för den redan kända institutionen, som anförtror behandlingen av personuppgifter, inklusive skyldigheten att ingå ett avtal med innehållet som anges i förordningen med den enhet till vilken vi anförtror personuppgifter. Det är värt att bekanta sig med de juridiska reglerna relaterade till denna institution, eftersom de i princip gäller för varje företagare. Detta beror i princip på att överlåtelse sker vid varje outsourcing av tjänster utanför företaget, till exempel vid lagring av personuppgifter på servern hos den enhet som tillhandahåller e-posttjänster eller i samband med tillhandahållande av data till ett externt redovisningsföretag.

Att anförtro behandlingen av personuppgifter

Utgångspunkten för att anförtro behandling är den personuppgiftsansvariges skyldighet att endast använda sådana personupphandlares tjänster som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder så att behandlingen uppfyller kraven i GDPR och skyddar de registrerades rättigheter. Detta innebär samtidigt att registerföraren är skyldig att införa lämpliga skyddsåtgärder i sin struktur för att lagligt behandla uppgifter på uppdrag av den registeransvarige.

Den viktigaste principen för att anförtro behandling är regeln enligt vilken registerföraren har rätt att behandla personuppgifter endast på begäran av handläggaren, på det sätt och inom ramen för de ändamål som handläggaren anger.

Han är också skyldig att inhämta ett tidigare, specifikt eller generellt, skriftligt samtycke från den registeransvarige för att använda en annan personuppgiftsbiträdes tjänster. Vid generellt skriftligt medgivande är registerföraren skyldig att informera den personuppgiftsansvarige om eventuella avsedda ändringar av tillägg eller ersättning av andra personuppgiftsbiträden och därmed ge den registeransvarige möjlighet att invända mot sådana ändringar.

Ytterligare delning av data är endast möjligt med administratörens samtycke. Samtycke kan generellt uttryckas i avtalet för att anförtro behandlingen av personuppgifter.

Behandlingen av registerföraren sker på grundval av ett avtal eller annat rättsligt instrument, som regleras av unions- eller medlemsstatslagstiftningen och är bindande för registerföraren och den registeransvarige, och bestämmer behandlingens föremål och varaktighet, arten och syftet. av behandlingen, typen av personuppgifter och de kategorier av registrerade som berörs, samt administratörens skyldigheter och rättigheter i detta avseende.

Avtal om att anförtro behandling av personuppgifter

Avtalet om att anförtro behandlingen av personuppgifter bör vara skriftligt eller i elektronisk form. Enligt GDPR ska dess innehåll inkludera bestämmelser som anger att processorn:

  • behandlar personuppgifter endast på en dokumenterad administratörs begäran – vilket även gäller överföring av personuppgifter till ett tredjeland eller en internationell organisation. Databehandlaren ska dock utan dröjsmål informera den personuppgiftsansvarige om, enligt dennes uppfattning, den instruktion som ges till honom utgör ett brott mot denna förordning eller annan unions- eller medlemsstatslagstiftning om dataskydd,

  • säkerställer att personer som är behöriga att behandla personuppgifter har förbundit sig till sekretess eller att de omfattas av en lämplig lagstadgad tystnadsplikt,

  • vidtar alla åtgärder som krävs av GDPR i samband med behandlingens säkerhet (artikel 32 i GDPR),

  • följer villkoren för användning av tjänster från en annan processor,

  • med beaktande av behandlingens art, om möjligt, hjälper den personuppgiftsansvarige, genom lämpliga tekniska och organisatoriska åtgärder, att uppfylla skyldigheten att svara på den registrerades begäran vid utövandet av sina rättigheter,

  • med hänsyn till behandlingens art och den information som är tillgänglig för honom, hjälper den personuppgiftsansvarige att uppfylla skyldigheterna relaterade till säkerheten för personuppgifter, konsekvensbedömning av dataskydd och förhandssamråd (artiklarna 32-36 i GDPR),

  • vid upphörande av tillhandahållandet av behandlingstjänster, beroende på den personuppgiftsansvariges beslut, raderar eller återsänder alla personuppgifter till denne och raderar alla befintliga kopior av dessa, såvida inte unionslagstiftningen eller lagstiftningen i en medlemsstat kräver lagring av personuppgifter,

  • ger administratören all information som är nödvändig för att visa att de skyldigheter som anges i denna artikel efterlevs, och möjliggör och bidrar till genomförandet av och bidrar till revisioner, inklusive inspektioner, av administratören eller en revisor auktoriserad av administratören.

Om en personuppgiftsbiträde använder en annan personuppgiftsbiträdes tjänster för att utföra specifika behandlingsaktiviteter för den registeransvariges räkning, ska samma skyldigheter åläggas den andra registerföraren.

Starta en gratis 30-dagars provperiod utan begränsningar!

Andra skyldigheter för processorn

Varje personuppgiftsbiträde för ett register över kategorierna av behandlingsaktiviteter som utförs på uppdrag av den registeransvarige, innehållande följande information:

  • namn och kontaktuppgifter för registerföraren eller registerförarna och varje personuppgiftsansvarig på uppdrag av vilken registerföraren agerar, och i förekommande fall, företrädaren för registeransvarig eller registerförare och dataskyddsombudet;

  • kategorierna av behandling som utförs på uppdrag av varje registeransvarig;

  • i tillämpliga fall - överföring av personuppgifter till ett tredjeland eller internationell organisation, inklusive namnet på det tredje landet eller den internationella organisationen, och i tillämpliga fall - dokumentation av lämpliga skyddsåtgärder;

  • om möjligt en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna.

Dessutom, om villkoren för det obligatoriska utnämningen av ett personuppgiftsskyddsombud är uppfyllda med avseende på registerföraren, ska det enligt art. 37 i GDPR bör processorn säkerställa att en sådan enhet fungerar inom dess struktur. I detta fall gäller samma regler som vid förordnande av en kontrollant av den personuppgiftsansvarige.

Inte bara den personuppgiftsansvarige är skyldig, under de omständigheter som anges i GDPR, att utse ett dataskyddsombud – en sådan skyldighet kan även åläggas registerföraren.

Processorns ansvar

Både den registeransvarige och registerföraren riskerar att behöva betala en administrativ sanktion på upp till 10 000 000 euro eller upp till 2 % av den totala årliga globala omsättningen från föregående räkenskapsår om det bryter mot bestämmelserna om avtalsskyldighet , reglerna för att ingå och det obligatoriska innehållet i avtalet om att anförtro behandlingen av personuppgifter, samt i händelse av underlåtenhet att följa dessa regler (anges i artikel 28 i GDPR).

Bearbetaren är utsatt för att behöva betala sanktioner på upp till 10 000 000 EUR eller upp till 2 % av den totala årliga globala omsättningen från föregående räkenskapsår i händelse av brott mot GDPR-bestämmelserna om att anförtro handläggning.

Samtidigt bör registerföraren komma ihåg att rättigheterna relaterade till hans status är begränsade till databehandling endast inom ramen för de syften och metoder som anges av administratören. Om registerföraren ensam eller tillsammans med den registeransvarige fastställer syftena med behandlingen – kommer den att betraktas som en gemensam registeransvarig och utsatt för administrativa påföljder i samma utsträckning som den registeransvarige. På liknande sätt, om utan administratörens vetskap, behandlade databehandlaren uppgifterna för ett annat ändamål och på ett annat sätt än vad som följer av administratörens instruktioner. I en sådan situation, om processorn bryter mot bestämmelserna i GDPR vid fastställande av ändamål och metoder för behandling, i enlighet med art. 28 sek. 10 GDPR anses han vara registeransvarig med avseende på denna behandling.