Personuppgiftsbiträdesavtal (PUB) — checklista och guide för dataskyddsombud

Ett PUB-avtal krävs när en personuppgiftsansvarig anlitar ett personuppgiftsbiträde för att behandla personuppgifter för den ansvariges räkning. Distinktionen mellan ansvarig och biträde är avgörande: en ansvarig bestämmer ändamål och medel för behandlingen, medan ett biträde agerar enbart på den ansvariges instruktioner. Vanliga biträdesrelationer som kräver PUB-avtal inkluderar: molntjänstleverantörer, plattformar för e-postmarknadsföring, lönetjänstleverantörer, CRM-system, analysverktyg, IT-supportföretag med tillgång till personuppgifter och externa callcenter. Inte varje leverantörsrelation kräver ett PUB-avtal. Om ett företag använder en tjänst där inga personuppgifter behandlas (t.ex. inköp av kontorsmaterial) behövs inget PUB-avtal. Om två parter oberoende bestämmer ändamålen med behandlingen är de gemensamt personuppgiftsansvariga enligt artikel 26 och behöver ett avtal om gemensamt personuppgiftsansvar istället för ett PUB-avtal. För externa dataskyddsombud är ett av de vanligaste revisionsfynden ofullständig PUB-täckning. Klienter har ofta 20–30 biträdesrelationer men bara 10–15 PUB-avtal på plats. En systematisk inventering av alla leverantörsrelationer är det grundläggande första steget.

Artikel 28(3) GDPR specificerar det minsta innehåll som ett PUB-avtal måste inkludera. Varje PUB-avtal måste innehålla: behandlingens föremål och varaktighet, behandlingens karaktär och ändamål, typerna av personuppgifter och kategorierna av registrerade samt den ansvariges skyldigheter och rättigheter. Utöver dessa grundläggande uppgifter måste PUB-avtalet stipulera att biträdet: behandlar uppgifter enbart på dokumenterade instruktioner från den ansvarige, säkerställer att behörig personal är bunden av sekretessåtaganden, implementerar lämpliga tekniska och organisatoriska åtgärder (artikel 32), anlitar underbiträden enbart med förhandsgodkännande och likvärdiga avtalsvillkor, bistår den ansvarige med svar på registerutdrag, bistår vid anmälan av dataintrång och konsekvensbedömningsåtaganden, raderar eller återlämnar uppgifter vid avtalets slut och tillhandahåller all information som krävs för att visa efterlevnad inklusive möjlighet till granskningar. Många organisationer använder mall-PUB-avtal som tillhandahålls av biträdet (t.ex. AWS, Google, Microsoft). Även om dessa mallar ofta täcker de obligatoriska klausulerna kan de innehålla bestämmelser som är ogynnsamma för den ansvarige — som breda rättigheter för underbiträden, begränsad revisionsåtkomst eller minimala ansvarsbegränsningar. Granska alltid biträdets PUB-avtal kritiskt.

Det vanligaste misstaget är att inte ha något PUB-avtal alls för befintliga biträdesrelationer. Många organisationer tecknade avtal med SaaS-leverantörer år innan GDPR:s tillämpning och lade aldrig till ett PUB-avtal. Dessa luckor är bland de enklaste revisionsfynden för tillsynsmyndigheter att identifiera. Ett annat vanligt problem är föråldrade PUB-avtal som inte speglar aktuella behandlingsaktiviteter. Ett PUB-avtal som tecknades när ett företag använde en tjänst för grundläggande e-post kanske inte täcker det utökade användningsområdet som nu inkluderar marknadsföringsautomation, profilering och gränsöverskridande dataöverföringar. Hantering av underbiträden försummas ofta. Enligt artikel 28(2) måste den ansvarige godkänna underbiträden — antingen specifikt eller generellt med rätt att invända. Många biträden upprätthåller listor över underbiträden som ändras regelbundet (särskilt stora molnleverantörer). Dataskyddsombud bör säkerställa att klienter har en process för att granska ändringar av underbiträden. Slutligen förbises ofta bestämmelserna vid avtalets slut. Specificerar PUB-avtalet radering eller återlämnande av uppgifter? Inom vilken tidsram? I vilket format? Dessa detaljer blir kritiska vid leverantörsbyte eller när en biträdesrelation avslutas.

För externa dataskyddsombud som hanterar 10–20 klienter, var och en med 15–30 biträdesrelationer, blir manuell spårning av PUB-avtal opraktisk. Det är potentiellt 200–600 PUB-avtal att övervaka avseende utgångsdatum, underbiträdesändringar och efterlevnadsluckor. En systematisk strategi börjar med ett centralt arkiv. Upprätthåll för varje klient en lista över alla biträdesrelationer med motsvarande PUB-status: på plats, saknas, utgånget eller under granskning. Länka varje PUB-avtal till de relevanta behandlingsaktiviteterna i din registerförteckning — detta skapar en komplett efterlevnadsbild. Ställ in utgångsvarningar för tidsbegränsade PUB-avtal. Många PUB-avtal är knutna till det underliggande tjänsteavtalet och förnyas automatiskt, men vissa har fasta löptider. Ett utgånget PUB-avtal innebär behandling utan en giltig rättslig överenskommelse — en tydlig GDPR-överträdelse. Standardisera din checklista för PUB-granskning. Istället för att läsa varje PUB-avtal från början, kontrollera de obligatoriska elementen enligt artikel 28(3), utvärdera bestämmelser om underbiträden, verifiera skyddsåtgärder vid dataöverföring (särskilt efter Schrems II) och bekräfta villkoren vid avtalets slut. Trustee.eu låter dig spåra allt detta per klient med statusindikatorer och tidsfristpåminnelser.