Flödesschema vid anlitande av personuppgiftsbiträde
Grafiskt flödesschema för anlitande av PUB
Förklaringar till Flödesschema för anlitande av personuppgiftsbiträde
1. För att ett biträde ska få behandla personuppgifter måste hanteringen regleras, antingen genom en rättsakt som är bindande för biträdet (mindre vanligt) eller genom ett avtal mellan PUA och biträde, vad som brukar kallas personuppgiftsbiträdesavtal (PUBA), vilket är det vanliga. Det är PUA:s ansvar att ett sådant avtal kommer på plats och att innehållet är sådant att de registrerades rättigheter skyddas. PUA får inte anlita ett biträde som inte kan ge tillräckliga garantier för att behandlingen sker korrekt och säkert samt att hanteringen endast sker enligt PUA:s dokumenterade instruktioner. Utan avtal eller bindande rättsakt som reglerar hanteringen är det inte tillåtet att använda biträdet (art. 28.1 och 28.3).
2. I vissa fall, särskilt när det handlar om ett biträdet som tillhandahåller samma tjänst till många PUA, vill man gärna ha enhetliga avtal och har därför tagit fram en egen avtalstext. Vems avtal som används är inte avgörande utan det är istället innehållet som inte får avvika från kravet om att säkerställa de registrerades rättigheter. Det är formellt PUA som ansvarar för all behandling som sker genom avtalet och det är därför nödvändigt att noga granska biträdets avtalsförslag. Innehållet får i sak inte avvika från PUA:s instruktioner och det får inte innehålla villkor som gör det omöjligt för PUA att säkerställa de registrerades rättigheter, exempelvis genom att biträdet ges rätt att behandla personuppgifterna för egna ändamål. Kan inte PUA garantera de registrerades rättigheter får biträdet inte användas (art. 28.1 och 28.3).
3. Ett första steg för att avgöra vilken säkerhetsnivå som är nödvändig är att inventera vilka kategorier av personuppgifter som omfattas av behandlingen. I vissa fall är det en tydlig väldefinierad mängd där det kanske även finns tekniska åtgärder som göra att andra uppgifter inte kan komma ifråga. I andra fall är tjänsten mindre väldefinierad och det kan även finnas anledning att misstänka att uppgifter som tjänsten inte är avsedd för kan komma att behandlas.
4. Är det så att ytterligare personuppgifter utöver dem som behandlingen är avsedd att hantera kommer att omfattas av behandlingen är det viktigt att det är klarlagt vilka dessa är. Att veta vad som kommer att behandlas är en nödvändigt förutsättning för att bestämma de tekniska och organisatoriska säkerhetsåtgärder som krävs (art. 24 och 25). Om det överhuvudtaget inte går att fastställa vilka kategorier som kommer att behandlas är det i praktiken mycket svårt att bestämma nödvändiga åtgärder.
5. En konsekvensbedömning (DPIA) innan en behandling av personuppgifter påbörjas är nödvändig om känsliga personuppgifter ska behandlas men kan även vara ett krav om behandlingen på grund av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers fri- och rättigheter (art. 35). Konsultera dataskyddsombudet för att genomföra en DPIA.
6. En DPIA kommer att identifiera en serie risker och åtgärder för att eliminera eller åtminstone reducera dessa. Skulle det, efter den egna konsekvensbedömning, kvarstå en sannolikhet för hög risk kan man begära förhandssamråd med Integritetsskyddsmyndigheten som kan identifiera och värdera åtgärder för att öka säkerheten. Om åtgärderna inte är tillräckliga för att garantera den säkerhet för de registrerade som följer av art. 24 kan behandlingen inte utföras.
7. Om PUB har sin behandling inom EU/EES omfattas man av GDPR och det är inte en export av personuppgifter till tredje land med mindre än att man har ett underbiträde utanför. För vissa länder finns det ett beslut om adekvat skyddsnivå vilket gör att behandling kan ske utan ytterligare krav (räknas i flödesschemat som om behandlingen sker inom EU/EES). Dessa länder är för närvarande Andorra, Argentina, Canada, Färöarna, Guernsey, Israel, Isle of Man, Japan Jersey, Nya Zeeland, Schweiz, Uruguay, Storbritannien, Sydkorea och USA.
8. Om PUB har ett underbiträde utanför EU/EES som behandlar personuppgifterna är det fråga om en export till tredje land vilket ställer ökade krav på hanteringen. Om underbiträdet finns utanför EU/EES och inte i något av länderna med adekvat skyddsnivå måste säkerheten garanteras på annat sätt.
9. Frågan om lagstiftningen i det/de länder där biträdet är placerat eller behandlingen sker ger ett skydd för den enskildes fri- och rättigheter som motsvarar nivån inom EU/EES är komplicerad och kräver i många fall en djupgående utredning som inte alla organisationer har en praktisk möjlighet att genomföra. Ansvaret ligger dock på PUA som måste kunna garantera skyddet (art. 28.1) för att få använda biträdet.
10. Tekniska skyddsåtgärder kan i vissa fall ge en tillräcklig säkerhet vilket beskrivs i i EDPB:s rekommendationer om kompletterande skyddsåtgärder i samband med Schrems II. Exempel på en sådan åtgärd är att använda en stark kryptering innan uppgifterna lämnas till biträdet. Kryptering och ytterligare tekniska åtgärder beskrivs i EDPB:s Rekommendationer 01/2020.
11. Administrativa skyddsåtgärder kan exempelvis utgöras av pseudonymisering där man använder en nyckel för att kunna koppla uppgifter till enskilda. Nyckeln förvaras sedan separat och otillgänglig för biträdet. Det ställs stora krav på att uppgifterna inte ska gå att koppla till enskilda för att pseudonymisering ska anses vara en tillräckligt säker åtgärd, Handlar det om stora mängder uppgifter är det mycket svårt att kunna garantera att det inte går att göra kopplingen. Pseudonymisering och ytterligare administrativa åtgärder beskrivs i EDPB:s Rekommendationer 01/2020.
12. Om det inte går att garantera de registrerades fri- och rättigheter på ett sådant sätt som krävs av lagstiftningen kan biträdet inte användas (art. 28.1)
13. Om biträdets tjänster kan användas måste överföring till tredje land vara grundad på någon av artiklarna 45-47 eller 49. Även i övrigt gäller alla krav om säkerhet (art. 5.2, 24 och 32) och de registrerades rättigheter (art. 12-22) som gäller vid lokal behandling av personuppgifter. Är så fallet kan biträdet användas.
Förkortningar
DPIA | Konsekvensbedömning i enlighet med art. 35 |
EDPB | Europeiska dataskyddsstyrelsen |
PUA | Personuppgiftsansvarig |
PUB | Personuppgiftsbiträde |
PUBA | Personuppgiftsbiträdesavtal |