Personuppgiftsbiträdesavtal. Mallar, råd och rekommendationer

Avtal mellan leverantör och kund relaterat till GDPR

En viktig del av GDPR handlar om att upprätta tydliga avtal mellan leverantörer som utgör personuppgiftsbiträden och dess uppdragsgivare (kunder). Ett företag som behandlar personuppgifter för någon annans räkning och instruktion, är att anse som personuppgiftsbiträde. När Företagshälsan behandlar personuppgifter i egenskap av vårdgivare, är Företagshälsan dock personuppgiftsansvarig gentemot de registrerade.

I vissa fall kan vårdgivaren behandla personuppgifter som inte går att knyta till vårdgivarens funktion och ändamål, då kan ett personuppgiftsbiträdesförhållande uppstå beroende på vilken tjänst som levereras. Det kan t.ex. handla om att företaget tillhandahåller en webbplattform där kunders anställda kan anmäla sig till kurs. Det är då relevant att väl avgränsade delar av personuppgiftsbehandlingen regleras genom ett skriftligt avtal som uppfyller kraven i GDPR.

När Företagshälsan vidare anlitar en leverantör som utgör personuppgiftsbiträde, exempelvis en IT-driftsleverantör, som behandlar personuppgifter på instruktion av Företagshälsovårdsföretaget, ska ett personuppgiftsbiträdesavtal upprättas.

Enligt GDPR måste ett personuppgiftsbiträdesavtal ha ett särskilt innehåll.

Sveriges Företagshälsor har för medlemsföretagen tagit fram följande branschgemensamma mallar för Personuppgiftsbiträdesavtal:
FHV som biträde. Mallen kan medlemmar föreslå sina uppdragsgivare att använda  i de situationer där medlemmen utgör ett personuppgiftsbiträde.
FHV som biträde som anlitar underbiträde. En mall för relationen med företagshälsans egna underleverantörer i den mån dessa utgör personuppgiftsbiträden. 
FHV som personuppgiftsansvarig som anlitar biträde. Mallen kan medlemmar föreslå sina leverantörer att använda i den avtalade relationen i de situationer där medlemmen är personuppgiftsansvarig.

Personuppgiftsansvar inom företagshälsovården, Allmänna råd och rekommendationer 
Sveriges Företagshälsor har tillsammans med advokatfirman DLA Piper tagit fram allmänna råd och rekommendationer för Sveriges Företagshälsors medlemmar och dess uppdragsgivare rörande berörda parters personuppgiftsansvar då personuppgifter behandlas i samband med företagshälsovård.

Fakturaunderlag inom företagshälsovården, Allmänna råd och rekommendationer
Respektive FHV bör se över vilka personuppgifter som behandlas i samband med fakturering till kunder och särskilt avseende personnummer och uppgifter om typ av utförd vårdtjänst. I den mån enskilda individer måste identifieras vid fakturering, rekommenderas att FHV i samråd med kund utreder möjligheterna till att använda mindre integritetskänsliga uppgifter för att identifiera individer. 

Beställ mallarna samt råd och rekommendationer här 
Endast för medlemmar i Sveriges Företagshälsor.