Det ska finnas ett skriftligt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet.
Det är den personuppgiftsansvarige som ansvarar för att avtalet finns.
I avtalet ska biträdet åta sig bland annat att:
- Bara behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige.
- Se till att personer som har behörighet att behandla personuppgifter hos biträdet har åtagit sig att iaktta tystnadsplikt eller omfattas av lagstadgad sådan.
- Vidta alla tekniska och organisatoriska åtgärder som är nödvändiga för att säkerställa en lämplig säkerhetsnivå i förhållande till riskerna med behandlingen.
- Vidta lämpliga tekniska och organisatoriska åtgärder så att den personuppgiftsansvarige kan svara på en enskilds begäran om att få utöva sina rättigheter. Det handlar om rätten till information och registerutdrag, rättelse, radering med mera.
- Stödja den personuppgiftsansvarige med att se till att skyldigheterna fullgörs för säkerhetsåtgärder, anmälan av personuppgiftsincidenter och information om sådana incidenter till de registrerade samt konsekvensbedömning och förhandssamråd.
- Radera eller återlämna alla personuppgifter till den personuppgiftsansvarige (beroende på vad den personuppgiftsansvarige väljer) när uppdraget avslutas och även radera alla kopior.
- Ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att man fullgör alla skyldigheter som man har som biträde samt att möjliggöra och bidra till inspektioner och andra granskningar som den personuppgiftsansvarige vill genomföra.