Checklista för avtal om delade personuppgifter

Fastighetsägarna ger råd när man skriver personuppgiftsbiträdesavtal med systemleverantörer och andra organisationer som man delar personuppgifter med.

I maj trädde dataskyddsförordnigen (GDPR) i kraft och det innebär att organisationer behöver ha ett ökat skydd för enskildas personuppgifter, skriver Fastighetsägarna.

Organisationen har gjort checklistan ”Tio punkter att tänka på när du skriver ett personuppgifts-biträdesavtal” som du finner en länk till nedan i faktarutan.

Behövs ett avtal?
– Att skriva personuppgiftsbiträdesavtal är krångligt. Det första man bör fundera över är om det verkligen behövs ett sådant avtal. Inte sällan är bägge parter i ett avtalsförhållande ansvariga för sin egen personuppgiftshantering och då behövs inget biträdesavtal, säger Marie Öhrström, chefsjurist på Fastighetsägarna Sverige.

Hon säger att om ett biträdesavtal behövs är det till exempel viktigt att fundera över sekretess, ansvarsfördelning och om överföring av personuppgifter sker till länder utanför EU.

Listans tio punkter
Fastighetsägarnas checklista innehåller följande frågor:

  1. Behövs ett personuppgiftsbiträdesavtal?
  2. Anges rätt partner?
  3. Beskriver personuppgiftsbiträdesavtalet vad som ska göras (så kallade instruktioner)?
  4. Beskrivs vilka personuppgifter som kan komma att behandlas?
  5. Uppställs krav på säkerhet och sekretess?
  6. Assistans i vissa situationer.
  7. Hur ser ansvaret för skadestånd och sanktioner ut?
  8. Ansvarstak i form av maxbelopp?
  9. Underleverantörer.
  10. Överföring av personuppgifter utanför EU/EES.

Vägledning om GDP
Sedan tidigare har Fastighetsägarna tagit fram informationsmaterial om vad de nya reglerna innebär och vad fastighetsföretag och bostadsrättsföreningar behöver tänka på för att anpassa sin verksamhet till de nya reglerna.

Källa: Fastighetsägarna