3. Avtala om behandlingen av personuppgifter
Om anordnaren av hobbyverksamheten anlitar en utomstående part för behandling av personuppgifter ska man upprätta ett skriftligt avtal om behandling av personuppgifter. Med avtalet försäkrar man sig om att de skyldigheter som gäller behandling av personuppgifter uppfylls även när ett personuppgiftsbiträde behandlar personuppgifter för den personuppgiftsansvarigas räkning.
Innan man upprättar avtalet är det bra att identifiera rollerna i behandlingen av personuppgifter: vilken aktör som är personuppgiftsansvarig och vilken aktör som är personuppgiftsbiträde som behandlar personuppgifter för den personuppgiftsansvarigas räkning. Ett personuppgiftsbiträde kan till exempel vara en löneräknare som räknar och betalar ut lönerna till hobbyverksamhetsanordnarens anställda. Anordnaren av hobbyverksamhet är den personuppgiftsansvariga i och med att anordnaren fastställer de personer till vilka man betalar lön samt grunden för lönen.
Den personuppgiftsansvariga kan låta endast sådana personuppgiftsbiträden behandla personuppgifter som använder tillräckliga skyddsåtgärder för att trygga dataskyddet.
Genom avtalet kommer den personuppgiftsansvariga och personuppgiftsbiträdet överens om hur personuppgiftsbiträdet ska behandla och skydda personuppgifterna. I avtalet ska man fastställa bland annat föremålet för behandlingen av personuppgifter och hur länge personuppgifterna behandlas, behandlingens karaktär och syfte, typen av personuppgifter, de olika kategorierna av de registrerade samt den personuppgiftsansvarigas skyldigheter och rättigheter. Personuppgiftsbiträdet ska också försäkra sig om att dess anställda som har åtkomst till personuppgifterna behandlar dem endast enligt den personuppgiftsansvarigas anvisningar
