Fråga: Jag använder mig av flera tredjepartslösningar för lagring, bokföring och CRM-system. Vad gäller då? Vilket ansvar har mina leverantörer?

Svar: Som personuppgiftsansvarig har du ansvaret för att följa GDPR-regelverket med avseende på de personuppgifter du hanterar i din organisation. Men detta innebär nödvändigtvis inte att du alltid ansvarar för allt dina leverantörer gör.

Som många GRPR-frågor så beror det lite på omständigheterna från fall till fall. Som personuppgiftsansvarig ansvarar du bl.a. för att säkra skriftliga avtal med dina leverantörer. Detta avtal skall reglera deras roll som personuppgiftsbiträde och vad dom därmed får eller inte får göra med de personuppgifter du anförtrott dom med.

Ett personuppgiftsbiträde (processor) definieras som: den som behandlar personuppgifter för den personuppgiftsansvariges räkning. (3 § personuppgiftslagen) och definitionen av en personuppgiftsansvarig (controller) är: den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. (3 § personuppgiftslagen)

Detta kontrakt skall enligt artikel 28 minst reglera följande:

  • A legal contract must ensure that the processor:
    • processes the personal data only on documented instructions from the controller;
    • ensures that persons authorised to process the personal data observe
      confidentiality;
    • takes appropriate security measures;
    • respects the conditions for engaging another processor;
    • assists the controller by implementing appropriate technical and organisational
      measures;
    • assists the controller in ensuring compliance with the obligations in respect of
      security of processing;
    • deletes or returns all the personal data to the controller after the end of the
      provision of services; and
    • makes available to the controller all information necessary to demonstrate
      compliance with the Regulation.

Som personuppgiftsansvarig är det också ditt ansvar att försäkra dig om att personuppgifterna inte förvaltas i ett land, eller internationell organisation, som saknar en tillfredsställande nivå av säkerhet. Kraven som ställs är uppsatta i artiklarna 45, 46 och 47. Enkelt beskrivet så är länderna inom EU godkända samt en liten skara länder utanför. För närvarande pågår det stora politiska aktiviteter på detta område. Om du, eller en av dina leverantörer, processar personuppgifter utanför EU är det viktigt att du kartlägger detta så snart som möjligt. Den senaste informationen om vilka länder och organisatoriska regler som gäller kan du finna i ”Official Journal of the European Union”.

Följande sida hos europakommissionen kan också vara av stor hjälp: http://ec.europa.eu/justice/data-protection/international-transfers/

Behöver ni hjälp med att komma i mål med GDPR-förberedelserna?

Cloudonline, f.d. Systemstrategerna, har nu tagit fram en skräddarsydd kurs, GDPR-akuten. Under en 4 timmars workshop varvas teori och praktik och tillsammans går vi igenom betydelsen av GDPR för just ert företag. Vi förklarar även hur ni kommer att påverkas av de nya kraven samt vilka verktyg ni kan använda för att genomföra arbetet på ett effektivt sätt. Målet med denna intensivkurs är att ni snabbt ska kunna anpassa er verksamhet till de nya kraven.

Läs mer och boka er här!