Som personuppgiftsansvarig är det ofta nödvändigt att överlåta hanteringen av information till en eller flera externa leverantörer – personuppgiftsbiträden – som behandlar den för din räkning i enlighet med dina bestämmelser.
På samma sätt som om du själv behandlar aktuella uppgifter har du det juridiska ansvaret för att dina leverantörer behandlar uppgifterna på ett ansvarsfullt sätt. Du måste övervaka dina personuppgiftsbiträden på lämpligt sätt.
Men vad är lämplig tillsyn? Hur ska du utföra det och vad ska du fråga om så att du uppfyller de dokumentationskrav som krävs för inspektion? Frågorna kan kännas oändliga, men i det följande kommer vi att försöka ge dig en överblick så att du kan säkerställa att du utför lämplig tillsyn av dina personuppgiftsbiträden och lever upp till ditt ansvar som personuppgiftsansvarig.
Granskning av personuppgiftsbiträde – varför, hur och hur ofta?
Låt oss först ta en titt på det stora varför? Det är inte utan anledning som ni som organisation med dataansvar måste övervaka era personuppgiftsbiträden. Det måste du göra eftersom du som personuppgiftsansvarig är skyldig att följa personuppgiftslagens personuppgiftsregler – även om du har outsourcat delar av uppdraget.
Det innebär att det är ditt ansvar att personuppgiftsbiträdet använder lämplig teknisk och organisatorisk säkerhet i förhållande till de risker som är förknippade med den aktuella informationen. Med andra ord; att ditt personuppgiftsbiträde följer personuppgiftsbiträdesavtalet. Till exempel i samband med slutdatum för radering, användning av underbiträden och att de undviker eventuella tredjelandsöverföringar.
Utmaningar i tillsynen
Många organisationer har svårt att få grepp om tillsynen av personuppgiftsbiträden, eftersom det snabbt blir ett komplext område där många intressenter är involverade. Samtidigt är det oklart vad du som personuppgiftsansvarig ska fråga om, hur ofta du ska handleda och inte minst om du gör det tillräckligt bra.
Här är det viktigt att komma ihåg att du som personuppgiftsansvarig bestämmer hur personuppgiftsbiträdet ska hantera dina uppgifter. Du måste därför fråga dig om leverantören fortfarande uppfyller de krav som överenskommits i personuppgiftsbiträdesavtalet – till exempel:
- Slutdatum för radering
- Användning av underleverantörer
- Utlämnande till tredje part
- Överföring från tredjeland
- Kontinuerlig uppdatering av data
- Skyddsåtgärder
Kort sagt, du bör följa de riktlinjer som fastställts av den svenska integritetsskyddsmyndigheten (IMY) och kontinuerligt hålla dig uppdaterad om nya justeringar.
Dessutom är det naturligtvis viktigt att titta på varje samarbete med ett riskbaserat synsätt. Med en grundlig riskbedömning kan organisationen prioritera sina insatser och fokusera på mycket kritiska personuppgiftsbiträden
Hur övervakar du personuppgiftsbiträden?
Som personuppgiftsansvarig organisation bör du alltid ha ett riskbaserat förhållningssätt till dina personuppgiftsbiträden, och själva tillsynen kan utföras på två olika sätt; skriftligt eller fysiskt. Om du ska välja det ena eller det andra bör bero på riskbedömningen, och valet bör också vara ekonomiskt förenligt med resultatet – det kan vara dyrt att övervaka och få deklarationer, särskilt om det inte är nödvändigt för säkerheten.
Låg risk kan till exempel vara om endast ett fåtal personer har tillgång till personuppgifterna eller att personuppgiftsbiträdet använder standardprogram som är kända för sin säkerhet.
Här räcker det vanligtvis med en skriftlig förfrågan för att klargöra om organisationen kan fortsätta att upprätthålla förtroendet för leverantören.
Däremot kan en hög risk vara att många får tillgång till informationen, eller att personuppgiftsbiträdet utvecklar egna tekniska lösningar så att man inte har kunskap om säkerhetsnivån.
Här kan ett fysiskt besök vara nödvändigt så att organisationen kan kolla upp säkerhetsnivån och få en överblick över ärendet.
Hur ofta ska inspektioner utföras?
Inspektionernas frekvens kommer återigen att bero på riskbedömningen. Om personuppgiftsbiträdet bedöms utgöra en låg risk kan det vara tillräckligt att utöva tillsyn en gång per år. Om risken däremot är hög kan ett halvårsbesök bli aktuellt.
Till exempel bör en IT-leverantör som behandlar mycket känsliga personuppgifter övervakas noggrant och ofta, medan en telekommunikationsleverantör som endast behandlar namn och telefonnummer kan nöja sig med en årlig och mindre noggrann inspektion.
