Home

databehandlingsavtal

Databehandlingsavtal (DPA) är ett avtal mellan personuppgiftsansvarig och personuppgiftsbiträde som reglerar hur personuppgifter behandlas när biträdet uppdrag görs på uppdrag av den ansvarige. Syftet är att säkerställa att behandlingen sker i enlighet med tillämplig dataskyddslagstiftning, särskilt GDPR och svensk implementering, samt att fördela ansvar och åtgärder mellan parterna.

Avtalet ska ange kärnan i behandlingen: ändamål, varaktighet, natur och typ av uppgifter, samt kategorier av

Avtalet reglerar även användning av underbiträden: processor får anlita sub-processorer endast med föregående skriftligt godkännande och

Vid upphörande av uppdraget ska all personuppgift återlämnas eller raderas i enlighet med avtalet, och bekräftelse

registrerade.
Det
ska
också
klargöra
vilka
instruktioner
som
följs
och
vilka
säkerhetsåtgärder
som
skall
vara
på
plats.
Processor
ska
endast
behandla
uppgifterna
enligt
dokumenterade
instruktioner
från
den
personuppgiftsansvarige,
vidta
lämpliga
tekniska
och
organisatoriska
skyddsåtgärder,
samt
säkerställa
konfidentialitet
bland
personal.
Den
ansvarige
får
å
sin
sida
bistå
med
att
uppfylla
registreredes
rättigheter,
assistera
vid
konsekvensbedömningar
och
vid
personuppgiftsincidenter
underrätta
den
ansvarige
utan
onödigt
dröjsmål.
måste
säkerställa
att
dessa
följer
samma
skyddsnivå.
Vidare
uppmärksammas
överföringar
till
tredje
land,
där
adekvat
skydd
enligt
exempelvis
standardavtalsklausuler
krävs.
om
radering
lämnas,
såvida
inte
lagstiftning
kräver
fortsatt
lagring.
Ansvarsfördelning
och
eventuell
ersättning
regleras
i
avtalet.