Vad är ett databehandlingsavtal (DPA)?

För att hålla konsumentdata säkra har Europeiska unionen (EU) implementerat en rigorös integritets- och säkerhetslag som kallas den allmänna dataskyddsförordningen (GDPR). GDPR definierar och verkställer EU-medborgares rättigheter avseende deras personuppgifter. Den implementerar standarder för ansvarsskyldighet, säkerhet och transparens i användningen av dessa uppgifter.

Globala företag som är verksamma inom EU eller hanterar personuppgifter från EU måste förstå hur GDPR kommer att påverka dem och hur man upprätthåller GDPR-efterlevnad.

En aspekt av denna efterlevnad är att implementera ett databehandlingsavtal (DPA). Ett databehandlingsavtal i GDPR specificerar de uppgifter, regler, rättigheter och skyldigheter som är förknippade med databehandlingsaktiviteter. Det hjälper till att säkerställa företagets efterlevnad, säkra data och hålla konsumenterna skyddade och nöjda.

Denna guide ger en närmare titt på hur DPA fungerar och vad som ska ingå i en DPA.

Vad är ett DPA enligt GDPR?

Ett databehandlingsavtal är ett avtal som undertecknats mellan personuppgiftsansvariga och de personuppgiftsbiträden som kommer att hantera deras uppgifter. Det krävs för fullständig GDPR-efterlevnad.

Ett DPA anger arten, syftet och varaktigheten för de behandlingsaktiviteter som kommer att äga rum. Den anger också vilken typ av personuppgifter som ska behandlas och vilka kategorier av individer uppgifterna tillhör. Den definierar de rättigheter och skyldigheter som den personuppgiftsansvarige kommer att ha. Den kan specificera användningen av tekniska säkerhetsåtgärder, till exempel en viss krypteringsnivå, som måste vara på plats.

Ett DPA är juridiskt bindande och den personuppgiftsansvarige och personuppgiftsbiträdet måste följa det eller riskera allvarliga påföljder.

Den största fördelen med ett DPA är att det säkerställer dataprocessorns kvalifikationer och tillförlitlighet. Företag behöver veta att deras data är i goda händer och att den är privat och säker från nyfikna ögon. Ett DPA hjälper till att ge dessa försäkringar.

GDPR och dess DPA-krav kommer sannolikt att ha betydande inverkan på affärsverksamheten i framtiden. Affärstransaktioner kan ändras när insamlingen av personuppgifter blir mer begränsad, kommunikationen om datainsamling och lagring blir nödvändig och relationer med tredjepartsleverantörer kräver mer rigorösa kontrakt. Enskilda företag och deras HR-avdelningar kommer att känna omfattande effekter när de anpassar sina processer för att uppfylla GDPR-kraven.

Uppsidan av GDPR-kraven är att förtroendet kan blomstra i affärer när människor blir mer säkra på deras datas integritet och skydd.

När krävs ett databehandlingsavtal?

Behöver du ett databehandlingsavtal? Du kan om du hanterar personuppgifter inom eller från EU.

Enligt GDPR är ett DPA-dokument obligatoriskt när en person eller organisation lämnar personuppgifter till en tredjepartsleverantör för en samarbetstjänst. Alla parter som agerar som personuppgiftsbiträden måste underteckna DPA:er med de personuppgiftsansvariga.

I EU måste till exempel en tjänst som är värd för en webbplats underteckna ett DPA med det företag som webbplatsen tillhör. Ett företag som behandlar personuppgifter för att tillhandahålla riktad konsumentmarknadsföring måste också underteckna ett DPA.

Nedan följer flera andra vanliga affärstjänster och scenarier som kräver DPA:

Utkontraktering av e-posthantering
Tekniska databehandlingslösningar för ekonomisk redovisning och löneredovisning
Tjänster för säkerhetskopiering av data, antingen via fysiska servrar eller i molnet
Datainsamling eller digitalisering via en extern tjänsteleverantör
Kassering av gammal hårdvara som innehåller känsliga data

I vissa fall kan GDPR kräva DPA för företag utanför Europa. Detta krav kommer in när EU-data är inblandade. Ett företag i Kanada kan till exempel omfattas av DPA-kravet om det hanterar uppgifter om EU-medborgare.

När krävs inget DPA?

Flera specifika scenarier kräver inte DPA. De har inbyggda skydd som gör DPA-skydd onödigt. Tänk på följande så att du bättre kan förstå ditt företags skyldigheter under dessa omständigheter:

Partnerskap med yrkesgrupper som har sekretesskrav: I många yrken är bästa praxis för tjänsteleverantörer att ha branschspecifika, anpassade sekretessavtal som täcker alla säkerhetsåtgärder och sekretesskrav som ett DPA skulle kräva. Några yrken som i allmänhet använder dessa sekretessavtal inkluderar lag, skatterådgivning och finansiell revision. Många hälso- och sjukvårdstjänster kommer vanligtvis också med sina egna rigorösa sekretessförsäkringar.
Portaltjänster: Tjänster som bara kopplar samman personer eller enheter är vanligtvis undantagna från DPA-krav. Dessa professionella matchmaking tjänster är så övergående att en DPA skulle ha liten nytta. Rekryterare tillhör till exempel denna kategori. De kopplar bara samman människor som söker arbete med företag som letar efter begåvade nya teammedlemmar. Detta scenario gör en DPA med rekryteraren onödig.
Arbeta med inkassobyråer: Inkassobyråer får tillgång till personlig finansiell information och medicinsk information. Eftersom inkassobyråer är skilda från de ursprungliga fordringsägarna och samlar in skulden för egen vinning, är de undantagna från DPA-krav. Om de arbetade på uppdrag av de ursprungliga fordringsägarna skulle inkassobyråerna behöva underteckna databehandlingsavtal.
Gemensam datahantering från flera företag: I vissa fall arbetar företag som en grupp för att hantera en insamling av data. Detta scenario inträffar ofta när företag har gemensam tillgång till data från leverantörer, produkter eller försäljningsledare. Även om företagen kan vara konkurrenter använder de samma uppgifter för samma allmänna ändamål. Omfattningen av denna dataanvändning innebär i allmänhet att ett DPA inte är obligatoriskt.
Kliniska prövningar: Stora kliniska läkemedelsprövningar använder vanligtvis inte DPA på grund av de många bidragsgivare de medför. Läkare, forskningscentra och sponsorer har alla tillgång till patientdata, och de behandlar alla olika enligt deras behov. De insamlade uppgifterna tjänar också i allmänhet olika syften under hela den kliniska prövningen. Under dessa omständigheter gäller i allmänhet inte DPA.

Vem är personuppgiftsansvarig?

Varje DPA-avtal sker mellan en personuppgiftsansvarig och en personuppgiftsbiträde. Personuppgiftsansvarig är den organisation eller individ som avgör hur och varför personuppgifter ska behandlas. Om ditt företag beslutar att skicka data till en tredje part för säkerhetskopiering på sina servrar är ditt företag personuppgiftsansvarig.

Den personuppgiftsansvarige fattar övergripande beslut om orsakerna till datainsamlingen och hur behandlingen av personuppgifter ska ske.

I de flesta scenarier är ett företag eller en organisation personuppgiftsansvarig. Personuppgiftsbiträdet är en separat enhet som ingår avtal med företaget. En person, t.ex. en enskild innehavare eller egenföretagare, kan också vara personuppgiftsansvarig om den personen fattar beslut om insamling och behandling av personuppgifter.

Vem är personuppgiftsbiträde?

Personuppgiftsbiträdet är den tredje part som behandlar uppgifterna för en personuppgiftsansvarig. I scenariot ovan, om ditt företag bestämmer sig för att skicka ut dina data för säkerhetskopiering, är det företaget som tillhandahåller säkerhetskopieringstjänsterna personuppgiftsbiträdet.

Personuppgiftsbiträdet kan ta många former. Det kan vara ett företag, en individ eller en offentlig myndighet. Det relevanta kriteriet är huruvida den personen eller enheten behandlar uppgifter på uppdrag av en personuppgiftsansvarig.

Vad innehåller ett DPA-dokument?

I artiklarna 28-36 i GDPR anges vilka avtalsförpliktelser som är obligatoriska för personuppgiftsbiträdet enligt GDPR:s DPA-regler. Nedan följer några av de DPA-klausuler som krävs:

1. En grundlig uppdelning av detaljerna i datahantering

DPA bör ge omfattande information om hur varje aspekt av databehandling kommer att ske. DPA bör innehålla tydlig information om ämnen som:

Den typ av personuppgifter som ska behandlas
Ämnet för uppgifterna
De registrerades kategorier
Behandlingens syfte och art
Den förväntade varaktigheten för databehandling
Den rättsliga grunden för behandling av personuppgifter
Återlämnande eller radering av personuppgifter i slutet av behandlingen

2. Den personuppgiftsansvariges och personuppgiftsbiträdets rättigheter och skyldigheter

Genom att specificera rättigheter och ansvar för båda parter säkerställer DPA tydlighet om vem som kontrollerar datahanteringen.

DPA bör uttryckligen ange att personuppgiftsbiträdet måste utföra behandlingen enligt den personuppgiftsansvariges önskemål och specifikationer. Den bör specificera att styrenheten, inte processorn, behåller fullständig kontroll över data och vad som händer med den.

DPA bör instruera personuppgiftsbiträdet att behandla uppgifterna endast enligt den personuppgiftsansvariges direkta instruktioner, med undantag för dessa instruktioner endast när EU-lagar eller någon av medlemsstaternas lagar kräver det.

3. Obligatoriska sekretessåtgärder för personuppgiftsbiträdet

Datainspektionen ska specificera de protokoll som personuppgiftsbiträdet ska följa för att säkerställa sekretessen för personuppgifterna.

Personuppgiftsbiträdet måste till exempel kräva att fast anställda, tillfälligt anställda och underleverantörer undertecknar sekretessavtal innan de kan börja behandla personuppgifter. Den enda gången ett sekretessavtal blir onödigt är när en lagstadgad skyldighet redan kräver att personuppgiftsbiträdet säkerställer sekretess.

4. Obligatoriska tekniska och organisatoriska protokoll för informationssäkerhet

Datainspektionen bör beskriva de säkerhetsåtgärder som personuppgiftsbiträdet måste implementera, inklusive åtgärder som dessa när så är lämpligt:

Kryptering av data
pseudonymisering av registrerade
Protokoll för att säkerställa datasekretess, tillgänglighet, motståndskraft och säkerhet för alla databehandlingssystem
Processer för att återställa åtkomst till personuppgifter efter en attack eller ett brott
Ett regelbundet program för att testa och utvärdera effektiviteten hos alla säkerhetsåtgärder

Många processorer kanske vill få formella certifieringar eller utarbeta officiella uppförandekoder som intygar deras implementerade protokoll. Åtgärder som dessa hjälper till att garantera att deras databehandling helt överensstämmer med GDPR.

5. Villkor för eventuella underleverantörsavtal

DPA bör också beskriva de krav som personuppgiftsbiträdet måste ställa på sina underleverantörer. Personuppgiftsbiträdet måste till exempel se till att följa dessa regler och bästa praxis:

Anställa underleverantörer endast med den personuppgiftsansvariges uttryckliga samtycke och tillstånd
Utarbetande och undertecknande av avtal som innebär samma datasäkerhetskrav för underleverantören som personuppgiftsbiträdet själv måste följa
Säkerställa att underleverantören uppfyller dataskyddskraven
Informera den personuppgiftsansvarige om eventuella ändringar som involverar underleverantörer och ge den personuppgiftsansvarige tid att svara

6. Samarbetsförpliktelser för personuppgiftsbiträdet

Datainspektionen ska ange när och hur personuppgiftsbiträdet ska samarbeta med den personuppgiftsansvarige. Personuppgiftsbiträdet måste till exempel samarbeta för att hjälpa till att lösa förfrågningar om dataåtkomst. Personuppgiftsbiträdet måste också samarbeta för att skydda de registrerades integritet och rättigheter, särskilt genom att uppfylla dessa krav:

Säkerställa säkerheten för personuppgifter
Omedelbart meddela myndigheter och registrerade om personuppgiftsincidenter
Utföra konsekvensbedömningar avseende dataskydd (DPIA) efter behov
Rådfråga berörda myndigheter när allvarliga datarisker uppstår

Personuppgiftsbiträdet måste också tillåta den personuppgiftsansvarige att utföra efterlevnadsgranskningar under behandlingen. Under revisioner måste personuppgiftsbiträdet omedelbart tillhandahålla den personuppgiftsansvarige all relevant information för att visa att den har uppfyllt sina efterlevnadsskyldigheter enligt artikel 28 i GDPR.

Bästa praxis är också att personuppgiftsbiträdet för register över sina behandlingsaktiviteter för att visa efterlevnad av GDPR.

Vad händer efter ett dataintrång enligt ett DPA?

Om ett dataintrång inträffar måste de berörda företagen vidta specifika, omedelbara åtgärder. Ditt företag måste meddela relevant tillsynsmyndighet inom 72 timmar om överträdelsen utgör allvarliga risker.

Om överträdelsen utgör en mycket hög risk för de personer som påverkas, måste ditt företag vanligtvis meddela dessa personer också. Men om ditt företag redan har effektiva tekniska och organisatoriska riskreducerande protokoll på plats kanske inte ett meddelande är nödvändigt.

Föreställ dig till exempel att ett kreditkortsföretag har drabbats av ett dataintrång på grund av en attack på servrarna där det lagrade sina data. Kundernas personliga ekonomiska information har äventyrats. Deras namn, hemadresser, ytterligare kontaktuppgifter, finansiella uppgifter och detaljer om de typer av betalningar de gjorde på sina kreditkort har alla blivit offentliga.

Företaget som är värd för servrarna måste meddela myndigheterna om överträdelsen inom 72 timmar. Det skulle också behöva meddela kreditkortsföretaget.

Företaget skulle sannolikt behöva informera konsumenterna, eftersom avslöjandet av deras personligt identifierande information kan utsätta dem för risk. Brottet kan också leda till avslöjanden av konsumenternas känsliga, skyddade hälsoinformation om de hade gjort medicinska betalningar på sina kreditkort.

Vilka är påföljderna för bristande efterlevnad av GDPR?

Om ett dataintrång inträffar kommer företaget som befinns vara icke-följsamt att bli föremål för disciplinära åtgärder. En trolig överträdelse får bara en varning. Bekräftade överträdelser kan bli föremål för en eller flera av dessa påföljder:

En formell tillrättavisning
Ett tillfälligt eller permanent förbud mot databehandling
Böter på upp till miljoner euro20 eller 4 procent av företagets totala årliga globala intäkter

Anställ datasäkerhetspersonal till ditt team med Globalization Partners

När du bygger internationella team med fokus på datasäkerhet, arbeta med Globalization Partners . Våra professionella team kan hjälpa dig att förstå de regler för databehandlingsavtal som gäller för ditt företag.

Att ha dataskyddsansvariga och andra jurister i ditt team är viktigt för att du ska kunna fortsätta att följa DPA. Som en global Employer of Record (EOR) hjälper Globalization Partners dig att anställa och betala den internationella kompetens du behöver för att lyckas. Vi tar datasekretess på största allvar och vi kan hjälpa dig att följa lokala arbetslagar och säkra din konfidentiella information när du skalar ditt företag internationellt.

På Globalization Partners hjälper vi dig att påskynda dina anställningsprocesser. Med hjälp av vår globala Global Employment Platform kan du anställa och onboarda dina nya teammedlemmar med bara några klick, vilket sparar tid och effektiviserar din inställning till utmaningarna för internationell företagstillväxt.

Begär ett förslag idag eller kontakta oss för att få veta mer om att anställa datasäkerhetspersonal via vår plattform.

Gillar du att läsa detta?

Kontakta oss

Vad är ett databehandlingsavtal (DPA)?

Datum

Dela

Vad är ett DPA enligt GDPR?

När krävs ett databehandlingsavtal?

När krävs inget DPA?

Vem är personuppgiftsansvarig?

Vem är personuppgiftsbiträde?

Vad innehåller ett DPA-dokument?

1. En grundlig uppdelning av detaljerna i datahantering

2. Den personuppgiftsansvariges och personuppgiftsbiträdets rättigheter och skyldigheter

3. Obligatoriska sekretessåtgärder för personuppgiftsbiträdet

4. Obligatoriska tekniska och organisatoriska protokoll för informationssäkerhet

5. Villkor för eventuella underleverantörsavtal

6. Samarbetsförpliktelser för personuppgiftsbiträdet

Vad händer efter ett dataintrång enligt ett DPA?

Vilka är påföljderna för bristande efterlevnad av GDPR?

Anställ datasäkerhetspersonal till ditt team med Globalization Partners

Missa inte dessa

HR:s guide till globala M&A: Hur en registrerad arbetsgivare stöder personalövergångar

AI i Human Resources: Hur AI förändrar framtiden för HR

2025 Rapport om AI i arbete och utvecklingen av HR

Globalt tankesätt. Global tillväxt.
Nu kör vi.

Vad är ett databehandlingsavtal (DPA)?

Datum

Dela

Vad är ett DPA enligt GDPR?

När krävs ett databehandlingsavtal?

När krävs inget DPA?

Vem är personuppgiftsansvarig?

Vem är personuppgiftsbiträde?

Vad innehåller ett DPA-dokument?

1. En grundlig uppdelning av detaljerna i datahantering

2. Den personuppgiftsansvariges och personuppgiftsbiträdets rättigheter och skyldigheter

3. Obligatoriska sekretessåtgärder för personuppgiftsbiträdet

4. Obligatoriska tekniska och organisatoriska protokoll för informationssäkerhet

5. Villkor för eventuella underleverantörsavtal

6. Samarbetsförpliktelser för personuppgiftsbiträdet

Vad händer efter ett dataintrång enligt ett DPA?

Vilka är påföljderna för bristande efterlevnad av GDPR?

Anställ datasäkerhetspersonal till ditt team med Globalization Partners

Missa inte dessa

HR:s guide till globala M&A: Hur en registrerad arbetsgivare stöder personalövergångar

AI i Human Resources: Hur AI förändrar framtiden för HR

2025 Rapport om AI i arbete och utvecklingen av HR

Globalt tankesätt. Global tillväxt. Nu kör vi.

Globalt tankesätt. Global tillväxt.
Nu kör vi.