Danska standardklausuler för personuppgiftsbiträdesavtal kan användas i Sverige

Den danska tillsynsmyndigheten för personuppgiftsbehandling och dataskydd, Datatilsynet, har under 2019 tagit fram standardavtalsklausuler för personuppgiftsbiträdesavtal på danska och engelska baserat på den möjlighet som ges till tillsynsmyndigheter i artikel 28.8 i GDPR. De danska klausulerna har även prövats av den Europeiska dataskyddsstyrelsen (EDPB) som godkänt dem för användning som standardavtalsklausuler. Att klausulerna är så kallade standardavtalsklausuler innebär att de anses uppfylla de regulatoriska krav som ställs på personuppgiftsbiträdesavtal i artikel 28.3 och 28.4 i GDPR.

Den 2 april meddelade Datainspektionen att klausulerna kan tillämpas även i Sverige eftersom det saknas motsvarande klausuler här. Datainspektionen poängterar också att klausulerna inte får ändras utöver de ramar som redan ställts upp i klausulerna, detta för att klausulerna ska behålla sin ställning som standardavtalsklausuler.

Det är positivt att dessa klausuler har kommit på plats och på så sätt förenklar och ger en utökad trygghet till avtalsparter som ska ingå ett personuppgiftsbiträdesavtal utan möjligheter att lägga omfattande tid och resurser på detta. Klausulerna är ett bra alternativ för företag som inte vill lägga tid på att förhandla utformningen av ett personuppgiftsbiträdesavtal utan kan nöja sig med ett standardutseende. Samtidigt kräver användande av klausulerna att de organisationer som använder sig av klausulerna tar ställning till ett antal frågor där standardavtalsklausulerna ger flera valmöjligheter; hur personuppgiftsbiträdet (ofta tjänsteleverantören) får anlita underbiträden (underleverantörer), vad som ska hända med personuppgifterna vid avtalets slut och hur snart personuppgiftsbiträdet måste meddela den personuppgiftsansvarige (ofta kunden) om att en incident har inträffat etc. Det finns också några frågor som inte regleras i avtalet och vissa frågor som i och för sig omfattas av klausulerna men som parterna kanske skulle vilja hantera på ett annat sätt än enligt de möjligheter som ges i standardavtalet. Exempelvis så saknas det bestämmelser om ansvarsfrågor och en fullständig reglering om huruvida personuppgiftsbiträdet har rätt till extra ersättning för utförandet av vissa uppgifter enligt personuppgiftsbiträdesavtalet. Vad gäller bestämmelser om ansvar och ersättning som inte rör det regulatoriska innehållet har parterna en rätt att lägga till sådana skrivningar så länge de inte påverkar resten av avtalet och de regulatoriska kraven.

Regleringen i standardavtalsklausulerna lämnar i några fall öppet och för med sig frågor om vad som blir konsekvenserna i samband med att vissa situationer uppkommer. Ett exempel är frågan om hur ändringar av avtalet ska genomföras. Enligt avtalet ges båda parterna en möjlighet att begära omförhandling i samband med förändrade regulatoriska krav, men ingen lösning ges om parterna inte kan komma överens i samband med de nya förhandlingarna. Samma oklarhet finns i situationer när personuppgiftsbiträdet får en generell rätt att anlita underbiträden. Då regleras inte vad som händer om den personuppgiftsansvarige använder sin rätt att invända mot att personuppgiftsbiträdet anlitar ett underbiträde.

I standardavtalsklausulerna finns vissa bestämmelser där avtalsparterna skulle kunna vilja göra ändringar men som eventuellt skulle ses som sådana ändringar som är otillåtna i förhållande till klausulernas ramar som inte får ändras. Bland annat ska avtalsparterna enligt standardavtalsklausulerna välja om personuppgifterna ska förstöras eller återlämnas i samband med avtalets upphörande redan vid ingåendet av avtalet. I många fall kanske parterna har ett intresse av att vänta med att avgöra den frågan till senare, särskilt ur den personuppgiftsansvariges perspektiv. Som avtalet är utformat nu finns det en risk att en sådan ändring ses som en ändring som gör att avtalet inte längre räknas som standardavtalsklausuler i och med att ändringen går längre än de ramar som erbjuds i avtalet. Enligt avtalet ska parterna också komma överens om ett visst antal timmar inom vilka personuppgiftsbiträdet ska anmäla en incident till den personuppgiftsansvarige. Frågan är om det alltid är lämpligt att sätta en sådan tidsgräns, då det i vissa fall, beroende på en incidents karaktär kan vara nödvändigt att vara mer skyndsam än i ett genomsnittligt fall, och en alltför kort tidsfrist för alla personuppgiftsincidenter kan vara betungande för personuppgiftsbiträdet. En avtalsreglering som inte anger timmar specifikt utan bara att anmälan ska ske utifrån incidentens karaktär hade i sådana fall kanske kunnat vara mer lämplig. Precis som i den tidigare situationen som reglerar vad som händer med personuppgifterna vid avtalets upphörande är det här oklart om en ändring som tar bort skrivningen om att en incident måste anmälas inom ett visst antal timmar utgör en sådan ändring som fråntar avtalet sin status som standardavtalsklausuler.

Att EDPB godkänt avtalet ger viss vägledning även i andra frågor, exempelvis får det sägas gå att utläsa att EDPB än så länge ger parterna stort utrymme att själva styra hur granskningar och inspektioner ska utformas enligt artikel 28.3 h), en omdiskuterad fråga med tanke på hur sparsam artikeltexten i GDPR är med detaljer runt hur en sådan granskning ska gå till.

En avslutande fundering är hur en bra svensk översättning av klausulerna skulle bedömas. Möjligtvis förlorar översättningen då sin status som standardavtalsklausuler, men med tanke på att innehållet i sak är identiskt med standardavtalsklausulerna bör det fortfarande kunna vara ett avtal som svenska parter bör känna sig relativt säkra med att använda.