Krävs personuppgiftsbiträdesavtal för att behandla kontaktuppgifter vid avrop och fakturering?
Publicerad 19 april 2018
Hej,
För vissa avtal är det endast kontaktuppgifter (för- och efternamn, e-postadress, ev. yrke och adress till arbetsplats) som lämnas till avtalsleverantör av vara/tjänst. Dessa uppgifter lämnas vid beställning av myndighetens anställda och för att fakturering ska kunna göras av leverantören. Är det att se som en behandling av personuppgifter? Krävs det att vi skriver ett personuppgiftsbiträdesavtal med instruktion för hur dessa uppgifter ska hanteras?
Om det är att se som en behandling som måste regleras, skulle det kunna regleras mer generellt i en sekretessklausul som säger att uppgifter om anställda som kommer leverantören till del inte får behandlas utöver det som krävs för fullgörande av avtal till exempel (ta emot beställning, fakturering) eller kräver GDPR att ett särskilt Personuppgiftsbiträdesavtal upprättas?
För vissa avtal är det endast kontaktuppgifter (för- och efternamn, e-postadress, ev. yrke och adress till arbetsplats) som lämnas till avtalsleverantör av vara/tjänst. Dessa uppgifter lämnas vid beställning av myndighetens anställda och för att fakturering ska kunna göras av leverantören. Är det att se som en behandling av personuppgifter? Krävs det att vi skriver ett personuppgiftsbiträdesavtal med instruktion för hur dessa uppgifter ska hanteras?
Om det är att se som en behandling som måste regleras, skulle det kunna regleras mer generellt i en sekretessklausul som säger att uppgifter om anställda som kommer leverantören till del inte får behandlas utöver det som krävs för fullgörande av avtal till exempel (ta emot beställning, fakturering) eller kräver GDPR att ett särskilt Personuppgiftsbiträdesavtal upprättas?
Anonym
Publicerad 19 april 2018
Hej,
Att två parter i samband med avrop och fakturering behandlar varandras kontaktpersoners kontaktuppgifter innebär inte att en biträdessituation uppstår. Avgörande för om en part är personuppgiftsbiträde åt en annan part är om part behandlar personuppgifter för den andra partens räkning. Det krävs alltså i normalfallet inte något personuppgiftsbiträdesavtal för att behandla kontaktuppgifter vid avrop och fakturering.
Med vänlig hälsning,
Att två parter i samband med avrop och fakturering behandlar varandras kontaktpersoners kontaktuppgifter innebär inte att en biträdessituation uppstår. Avgörande för om en part är personuppgiftsbiträde åt en annan part är om part behandlar personuppgifter för den andra partens räkning. Det krävs alltså i normalfallet inte något personuppgiftsbiträdesavtal för att behandla kontaktuppgifter vid avrop och fakturering.
Med vänlig hälsning,
Gustav
23 april 2018 (Uppdaterat 30 april 2020)
Hej!
Och är det samma synsätt ifall personuppgifter så som namn och arbetsplats sparas i en webbutik med inloggning?
Och är det samma synsätt ifall personuppgifter så som namn och arbetsplats sparas i en webbutik med inloggning?
Anonym
29 maj 2018
Hej!
Som tidigare angetts krävs inte personuppgiftsbiträdesavtal för behandling av kontaktuppgifter vid avrop och fakturering. Detsamma gäller om uppgifterna förs in i leverantörens webbutik. Det vill säga ja, det är samma synsätt och inget personuppgiftsbiträdesavtal krävs i den situationen.
Med vänlig hälsning,
Som tidigare angetts krävs inte personuppgiftsbiträdesavtal för behandling av kontaktuppgifter vid avrop och fakturering. Detsamma gäller om uppgifterna förs in i leverantörens webbutik. Det vill säga ja, det är samma synsätt och inget personuppgiftsbiträdesavtal krävs i den situationen.
Med vänlig hälsning,
Erika
Jurist
12 juni 2018 (Uppdaterat 01 mars 2023)
Om det finns risk för att en leverantör, t.ex. i samband med service, kan få tillgång till personuppgifter, behöver man då ha ett personuppgiftsbiträdesavtal? Uppdraget till leverantör är inte att behandla några personuppgifter, utan enbart att utföra service.
Annika Rolander
06 mars 2020
Hej Annika,
Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Läs mer om personuppgiftsansvariga och personuppgiftsbiträden på Integritetsskyddsmyndigheten webbplats.
Upphandlingsmyndigheten gör inga bedömningar i frågor om vem som är personuppgiftsansvarig respektive personuppgiftsbiträde. Vi kan därför dessvärre inte ge ett tydligare svar på din fråga. För frågor som rör tillämpning av GDPR och näraliggande frågor hänvisar vi i första hand till Integritetsskyddsmyndigheten.
Med vänlig hälsning,
Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Läs mer om personuppgiftsansvariga och personuppgiftsbiträden på Integritetsskyddsmyndigheten webbplats.
Upphandlingsmyndigheten gör inga bedömningar i frågor om vem som är personuppgiftsansvarig respektive personuppgiftsbiträde. Vi kan därför dessvärre inte ge ett tydligare svar på din fråga. För frågor som rör tillämpning av GDPR och näraliggande frågor hänvisar vi i första hand till Integritetsskyddsmyndigheten.
Med vänlig hälsning,
Erika
Jurist
09 mars 2020 (Uppdaterat 01 mars 2023)
Hur blir samma situationen men genomfakturering. Så en tredje part blir inblandad?
JKEA
06 oktober 2021
Hej,
Som vi skrivit ovan hänvisar vi till Integritetsskyddsmyndigheten för frågor som rör tillämpning av GDPR.
Med vänlig hälsning,
Som vi skrivit ovan hänvisar vi till Integritetsskyddsmyndigheten för frågor som rör tillämpning av GDPR.
Med vänlig hälsning,
Erika
Jurist
06 oktober 2021 (Uppdaterat 01 mars 2023)
Fråga oss!
Frågeservice är stängt den 29 april på grund av verksamhetsutveckling. På grund av en stor mängd inkomna frågor har vi just nu längre svarstider i Frågeportalen.