Hoppa till innehåll
Skip to page content

3. Avtala om behandlingen av personuppgifter

Om anordnaren av hobbyverksamheten anlitar en utomstående part för behandling av personuppgifter ska man upprätta ett skriftligt avtal om behandling av personuppgifter. Med avtalet försäkrar man sig om att de skyldigheter som gäller behandling av personuppgifter uppfylls även när ett personuppgiftsbiträde behandlar personuppgifter för den personuppgiftsansvarigas räkning.

Innan man upprättar avtalet är det bra att identifiera rollerna i behandlingen av personuppgifter: vilken aktör som är personuppgiftsansvarig och vilken aktör som är personuppgiftsbiträde som behandlar personuppgifter för den personuppgiftsansvarigas räkning. Ett personuppgiftsbiträde kan till exempel vara en löneräknare som räknar och betalar ut lönerna till hobbyverksamhetsanordnarens anställda. Anordnaren av hobbyverksamhet är den personuppgiftsansvariga i och med att anordnaren fastställer de personer till vilka man betalar lön samt grunden för lönen.

Den personuppgiftsansvariga kan låta endast sådana personuppgiftsbiträden behandla personuppgifter som använder tillräckliga skyddsåtgärder för att trygga dataskyddet.

Exempel

En judoförening använder ett datasystem av en utomstående IT-leverantör för behandling av hobbyidkarnas personuppgifter. IT-leverantören är personuppgiftsbiträde för de personuppgifter som behandlas i systemet, och judoföreningen är den personuppgiftsansvariga. Föreningen ingår ett skriftligt avtal med IT-leverantören om behandling av personuppgifter i datasystemet så att föreningen kan försäkra sig om att IT-leverantören följer föreningens dataskyddspraxis och uppfyller de skyldigheter som förknippas med behandling av personuppgifter.

Genom avtalet kommer den personuppgiftsansvariga och personuppgiftsbiträdet överens om hur personuppgiftsbiträdet ska behandla och skydda personuppgifterna. I avtalet ska man fastställa bland annat föremålet för behandlingen av personuppgifter och hur länge personuppgifterna behandlas, behandlingens karaktär och syfte, typen av personuppgifter, de olika kategorierna av de registrerade samt den personuppgiftsansvarigas skyldigheter och rättigheter. Personuppgiftsbiträdet ska också försäkra sig om att dess anställda som har åtkomst till personuppgifterna behandlar dem endast enligt den personuppgiftsansvarigas anvisningar

Kom ihåg följande

Upprätta avtal om behandling av personuppgifter när utomstående tjänsteleverantörer behandlar personuppgifter för hobbyverksamhetsanordnarens räkning.

2. Beskriv hobbyverksamhetsanordnarens behandling av personuppgifter med ett register över behandlingen
4. Bedöm riskerna och konsekvenserna av behandlingen av personuppgifter