För att hålla konsumentdata säker har Europeiska Unionen (EU) implementerat en rigorös integritets- och säkerhetslag känd som allmänna dataskyddsförordningen (GDPR) (allmänna dataskyddsförordningen (GDPR)). Den allmänna dataskyddsförordningen (GDPR) definierar och upprätthåller EU-medborgares rättigheter angående deras personuppgifter. Det implementerar standarder för ansvarsskyldighet, säkerhet och öppenhet i användningen av dessa uppgifter.

Globala företag som är verksamma i EU eller hanterar personuppgifter från EU behöver förstå hur den allmänna dataskyddsförordningen (GDPR) kommer att påverka dem och hur man upprätthåller den allmänna dataskyddsförordningen (GDPR) efterlevnad.

En aspekt av den efterlevnaden är att implementera ett databehandlingsavtal. Ett allmän dataskyddsförordning (GDPR) specificerar detaljer, regler, rättigheter och skyldigheter i samband med databehandling. Det hjälper till att säkerställa företags efterlevnad, säkra data och hålla konsumenterna skyddade och nöjda.

Den här guiden ger en närmare titt på hur DPA fungerar och vad som ska inkluderas i en DPA.

Vad är en DPA enligt allmänna dataskyddsförordningen (GDPR)?

Ett databehandlingsavtal är ett avtal som undertecknas mellan personuppgiftsansvariga och de personuppgiftsbiträden som ska hantera deras uppgifter. Det krävs för fullständig allmänna dataskyddsförordningen (GDPR) efterlevnad.

En DPA anger arten, syftet och varaktigheten för de behandlingsaktiviteter som kommer att äga rum. Den anger också vilken typ av personuppgifter som ska behandlas och vilka kategorier av individer uppgifterna tillhör. Den definierar de rättigheter och skyldigheter som den personuppgiftsansvarige kommer att ha. Det kan specificera användningen av tekniska säkerhetsåtgärder, till exempel en viss krypteringsnivå, som måste vara på plats.

Ett dataskyddsavtal är rättsligt bindande, och den personuppgiftsansvarige och personuppgiftsbehandlaren måste följa det, annars riskerar de allvarliga övergreppen.

Den största fördelen med en DPA är att den säkerställer databehandlarens kvalifikationer och tillförlitlighet. Företag måste veta att deras data är i goda händer och att de är privata och säkra från nyfikna ögon. En DPA hjälper till att ge dessa försäkringar.

Den allmänna dataskyddsförordningen (GDPR) och dess DPA-krav kommer sannolikt att få betydande konsekvenser för affärsverksamheten i framtiden. Affärstransaktioner kan förändras i takt med att insamling av personuppgifter blir mer begränsad, kommunikation om datainsamling och lagring blir viktigare, och relationer med tredjepartsleverantörer kräver strängare avtal. Enskilda företag och deras HR avdelningar kommer att känna av omfattande effekter när de anpassar sina processer för att följa kraven i den allmänna dataskyddsförordningen (GDPR).

Fördelen med kraven i den allmänna dataskyddsförordningen (GDPR) är att förtroendet kan blomstra i näringslivet i takt med att människor blir mer säkra på sina uppgifters integritet och skydd.

När krävs ett databehandlingsavtal?

Behöver du ett databehandlingsavtal? Du kan om du hanterar personuppgifter inom eller från EU.

Enligt den allmänna dataskyddsförordningen (GDPR) är ett dataskyddsdokument obligatoriskt när en person eller organisation lämnar ut personuppgifter till en tredjepartsleverantör för en samarbetstjänst. Alla parter som agerar som personuppgiftsbiträden måste underteckna DPA med personuppgiftsansvariga.

Till exempel, i EU måste en tjänst som är värd för en webbplats underteckna ett dataskyddsavtal med det företag som webbplatsen tillhör. Ett företag som behandlar personuppgifter för att tillhandahålla riktad konsumentmarknadsföring måste också underteckna ett dataskyddsavtal.

Nedan följer flera andra vanliga företagstjänster och scenarier som kräver dataskyddsombud:

  • E-posthantering utkontraktering
  • Tekniska databehandlingslösningar för ekonomi- och lönebokföring
  • Säkerhetskopieringstjänster, antingen via fysiska servrar eller i molnet
  • Datainsamling eller digitalisering via en extern tjänsteleverantör
  • Kassering av gammal hårdvara som innehåller känslig information

I vissa fall kan allmänna dataskyddsförordningen (GDPR) kräva dataskyddsmyndigheter för företag utanför Europa. Detta krav träder i kraft när EU-uppgifter är inblandade. Till exempel kan ett företag i Kanada omfattas av dataskyddskravet om det hanterar uppgifter som rör EU-medborgare.

När krävs inte en DPA?

När en DPA inte krävs tabell inklusive partnerskap, portaltjänster, insamlingsbyråer, och gemensam datahantering från flera företag.

Flera specifika scenarier kräver inte dataskyddsmyndigheter. De har inbyggda skydd som gör DPA-skydd onödigt. Tänk på följande så att du bättre kan förstå din företagares skyldigheter under dessa omständigheter:

  1. Partnerskap med yrkesgrupper som har sekretesskrav: I många yrken är bästa praxis för tjänsteleverantörer att ha branschspecifika, anpassade sekretessavtal som täcker alla säkerhetsåtgärder och sekretesskrav som en DPA skulle kräva. Några yrken som vanligtvis använder dessa sekretessavtal inkluderar lag, skatterådgivning och finansiell revision. Många hälso- och sjukvårdstjänster har vanligtvis också sina egna stränga sekretessförsäkringar.
  2. Portaltjänster: Tjänster som bara ansluter personer eller enheter är vanligtvis undantagna från DPA-krav. Dessa professionella matchningstjänster är så övergående att en DPA skulle ha liten fördel. Rekryterare faller till exempel i denna kategori. De kopplar helt enkelt samman människor som söker arbete med företag som letar efter begåvade nya team . Detta scenario gör en DPA med rekryteraren onödig.
  3. Arbeta med inkassobyråer: Inkassobyråer får tillgång till personlig finansiell information och medicinsk information. Eftersom inkassobyråer är separata från de ursprungliga borgenärerna och samlar in skulden för egen vinning, är de undantagna från DPA-krav. Om de arbetade för de ursprungliga borgenärernas räkning skulle inkassobyråerna behöva underteckna dataskyddsmyndigheter.
  4. Gemensam datahantering från flera företag: I vissa fall arbetar företag som en grupp för att hantera en insamling av data. Detta scenario inträffar ofta när företag har gemensam tillgång till data från leverantörer, produkter eller försäljningsledningar. Även om företagen kan vara konkurrenter använder de samma data för samma allmänna ändamål. Omfattningen av denna dataanvändning innebär i allmänhet att en DPA inte är obligatorisk.
  5. Kliniska prövningar: Storskaliga kliniska läkemedelsstudier använder vanligtvis inte DPA på grund av de många bidragsgivare de medför. Läkare, forskningscentra och sponsorer har alla tillgång till ämnesuppgifterna, och de behandlar dem alla olika beroende på deras behov. De insamlade uppgifterna tjänar också i allmänhet olika syften under hela den kliniska prövningen. Under dessa omständigheter är dataskyddsmyndigheterna i allmänhet inte tillämpliga.

Vem är personuppgiftsansvarig?

Varje DPA-avtal ingås mellan en personuppgiftsansvarig och en personuppgiftsbiträde. Personuppgiftsansvarig är den organisation eller individ som bestämmer hur och varför personuppgifter ska behandlas. Om ditt företag beslutar att skicka data till en tredje part för säkerhetskopiering på sina servrar, är ditt företag personuppgiftsansvarig.

Den definierande egenskapen hos en personuppgiftsansvarig är beslutsfattande. Den personuppgiftsansvarige gör övergripande bedömningar om skälen till datainsamlingen och hur behandlingen av personuppgifter ska ske.

I de flesta fall är ett företag eller en organisation personuppgiftsansvarig. Databehandlaren är en separat enhet som har avtal med företaget. En enskild person som en enskild person eller egenföretagare kan också vara personuppgiftsansvarig om personen fattar beslut om insamling och behandling av personuppgifter.

Vem är personuppgiftsbiträdet?

Personuppgiftsbiträdet är den tredje part som behandlar uppgifterna för en personuppgiftsansvarig. I scenariot ovan, om ditt företag beslutar att skicka ut dina data för säkerhetskopiering, är det företag som tillhandahåller säkerhetskopieringstjänsterna databehandlare.

Databehandlaren kan ta många former. Det kan vara ett företag, en privatperson eller en offentlig myndighet. Det relevanta kriteriet är huruvida den individen eller enheten behandlar uppgifter för en registeransvarigs räkning.

Vad innehåller ett DPA-dokument?

Artiklarna 28-36 i allmänna dataskyddsförordningen (GDPR) anger vilka avtalsförpliktelser som är obligatoriska för databehandlaren enligt allmänna dataskyddsförordningen (GDPR) DPA-regler. Nedan följer några av de obligatoriska DPA-klausulerna:

1. En grundlig uppdelning av detaljerna i datahantering

DPA bör ge omfattande detaljer om hur varje aspekt av databehandling kommer att ske. DPA bör innehålla tydlig information om ämnen som:

  • Vilken typ av personuppgifter som ska behandlas
  • Föremålet för uppgifterna
  • Kategorierna av registrerade
  • Ändamålet och arten av behandlingen
  • Den förväntade varaktigheten av databehandlingen
  • Rättslig grund för behandling av personuppgifter
  • Återlämnande eller radering av personuppgifter i slutet av behandlingen

2. Den personuppgiftsansvariges och personuppgiftsbiträdets rättigheter och skyldigheter

DPA säkerställer tydlighet om vem som kontrollerar datahanteringen.

Genom att specificera rättigheter och skyldigheter för båda parter säkerställer DPA tydlighet om vem som kontrollerar datahanteringen.

DPA bör uttryckligen ange att personuppgiftsbiträdet måste utföra behandlingen i enlighet med den personuppgiftsansvariges önskemål och specifikationer. Det bör specificera att den personuppgiftsansvarige, inte processorn, behåller fullständig kontroll över uppgifterna och vad som händer med dem.

Dataskyddsmyndigheten bör instruera personuppgiftsbiträdet att behandla uppgifterna endast enligt den personuppgiftsansvariges direkta instruktioner, avvika från dessa instruktioner endast när EU-lagar eller någon av medlemsstaternas lagar kräver det.

3. Nödvändiga sekretessåtgärder för personuppgiftsbiträdet

DPA bör ange de protokoll som personuppgiftsbiträdet ska följa för att säkerställa sekretessen för personuppgifterna.

Till exempel måste personuppgiftsbiträdet kräva att fast anställda, tillfälligt anställda och underleverantörer tecknar sekretessavtal innan de kan börja behandla personuppgifter. Den enda gången ett sekretessavtal blir onödigt är när en lagstadgad skyldighet redan kräver att personuppgiftsbiträdet säkerställer sekretess.

4. Nödvändiga tekniska och organisatoriska protokoll för informationssäkerhet

DPA bör beskriva de säkerhetsåtgärder som personuppgiftsbiträdet måste vidta, inklusive åtgärder som dessa när så är lämpligt:

  • Datakryptering
  • Pseudonymisering av registrerade
  • Protokoll för att säkerställa datakonfidentialitet, tillgänglighet, motståndskraft och säkerhet för alla databehandlingssystem
  • Processer för att återställa åtkomst till personuppgifter efter en attack eller ett intrång
  • Ett regelbundet program för att testa och utvärdera effektiviteten av alla säkerhetsåtgärder

Många processorer kanske vill få formella certifieringar eller utarbeta officiella uppförandekoder som intygar deras implementerade protokoll. Åtgärder som dessa bidrar till att garantera att deras databehandling helt och hållet överensstämmer med den allmänna dataskyddsförordningen (GDPR).

5. Villkor för eventuella underleverantörskontrakt

DPA bör också beskriva de krav som personuppgiftsbiträdet måste ställa för sina underleverantörer. Till exempel måste processorn vara säker på att följa dessa regler och bästa praxis:

  • Anställa underleverantörer endast med uttryckligt samtycke och tillstånd från den personuppgiftsansvarige
  • Utarbeta och underteckna avtal som ställer samma datasäkerhetskrav på underleverantören som personuppgiftsbiträdet själv måste följa
  • Säkerställa underleverantörens efterlevnad med dataskyddskrav
  • Informera den personuppgiftsansvarige om eventuella ändringar som involverar underleverantörer och ge den personuppgiftsansvarige tid att svara

6. Samarbetsskyldigheter för personuppgiftsbiträdet

Databehandlaren måste också tillåta den registeransvarige att utföra efterlevnadsrevisioner under behandlingen.

DPA bör ange när och hur personuppgiftsbiträdet ska samarbeta med den personuppgiftsansvarige. Till exempel måste personuppgiftsbiträdet samarbeta för att hjälpa till att lösa förfrågningar om dataåtkomst. Personuppgiftsbiträdet måste också samarbeta för att skydda de registrerades integritet och rättigheter, särskilt genom att uppfylla följande krav:

  • Säkerställa personuppgiftssäkerhet
  • Omedelbart underrätta myndigheter och registrerade om personuppgiftsbrott
  • Genomföra konsekvensbedömningar om dataskydd vid behov
  • Samråd med berörda myndigheter när allvarliga datarisker uppstår

Databehandlaren måste också tillåta den registeransvarige att utföra efterlevnadsrevisioner under behandlingen. Under granskningar måste registerföraren omedelbart tillhandahålla den registeransvarige all relevant information för att visa att den har uppfyllt sina efterlevnadsskyldigheter enligt artikel 28 i allmänna dataskyddsförordningen (GDPR).

Bästa praxis är också att registerföraren ska föra register över sin behandlingsverksamhet för att visa efterlevnad med den allmänna dataskyddsförordningen (GDPR).

Vad händer efter ett dataintrång enligt en DPA?

Om ett dataintrång inträffar måste de berörda företagen vidta specifika, omedelbara åtgärder. Ditt företag måste anmäla till relevant tillsynsmyndighet inom 72 timmar om intrånget innebär allvarliga risker.

Om intrånget utgör en mycket hög risk för de berörda personerna måste ditt företag vanligtvis även meddela dessa personer. Om ditt företag dock redan har effektiva tekniska och organisatoriska riskreducerande protokoll på plats, kanske en anmälan inte är nödvändig.

Tänk dig till exempel att ett kreditkortsföretag har drabbats av ett dataintrång på grund av en attack mot servrarna där det lagrade sina data. Kundernas personliga finansiella information har äventyrats. Deras namn, hemadresser, ytterligare kontaktinformation, ekonomiska detaljer, och detaljerna om de typer av betalningar de gjorde på sina kreditkort har alla blivit offentliga.

Företaget som hostar servrarna skulle behöva meddela myndigheterna om intrånget inom 72 timmar. Det skulle också behöva meddela kreditkortsföretaget.

Företaget skulle sannolikt behöva informera konsumenterna, eftersom utlämnande av deras personligt identifierbara information skulle kunna utsätta dem för risker. Överträdelsen kan också leda till avslöjande av konsumenternas känsliga, skyddade hälsoinformation om de hade gjort medicinska betalningar på sina kreditkort.

Vilka är avgifterna för bristande efterlevnad av allmänna dataskyddsförordningen (GDPR)? 

Om ett dataintrång inträffar kommer företaget som visar sig brista att bli föremål för disciplinära åtgärder. En trolig överträdelse får bara en varning. Bekräftade bristande efterlevnadsincidenter kan bli föremål för en eller flera av dessa avgifter:

  1. En formell tillrättavisning
  2. Ett tillfälligt eller permanent förbud mot databehandling
  3. Böter på upp till20 miljoner euroeller 4 procent av företagets totala årliga globala intäkter.

Anlita datasäkerhetsexperter till ditt team med G-P

När du bygger internationella team med fokus på datasäkerhet, samarbeta med G-P. Våra expertteam kan hjälpa dig att förstå de regler för databehandlingsavtal som gäller för ditt företag.

Att ha dataskyddsombud och andra jurister i sitt team är avgörande för att fortsätta vara del av DPA:s efterlevnad. Som en global Employer of Record (EOR) hjälper G-P dig att anställa och betala den internationella kompetens du behöver för att lyckas. Vi tar dataskydd på största allvar och vi kan hjälpa dig att följa lokala arbetslagsstiftelser och skydda din konfidentiella information när du skalar upp ditt företag internationellt.

På G-P hjälper vi dig att påskynda dina rekryteringsprocesser. Med vår kompletta globala anställningsplattform kan du anställa och onboarda dina nya team med bara några få klick, vilket sparar tid och effektiviserar din strategi för utmaningarna med internationell företagstillväxt.

Begär ett förslag idag, eller kontakta oss för att lära dig mer om att anställa datasäkerhetspersonal via vår plattform.