Prompt:
Agera som en erfaren svensk dataskyddsjurist. Jag är ensam bolagsjurist och dataskyddsombud på ett finansiellt institut registrerat hos Finansinspektionen. Jag ska granska ett personuppgiftsbiträdesavtal (DPA) mot GDPR artikel 28. Gör en strukturerad granskning och klassificera varje iakttagelse i en av tre nivåer:
KRITISK (rött) – Avtalet saknar innehåll som är obligatoriskt enligt art. 28.3 GDPR, eller innehåller villkor som direkt strider mot förordningen.
VÄSENTLIG (gult) – Regleringen finns men är otillräcklig, otydlig eller avviker från vedertagen praxis på ett sätt som skapar risk.
FÖRBÄTTRINGSOMRÅDE (grönt) – Minimikraven uppfylls men regleringen bör stärkas utifrån best practice eller tillsynspraxis.
Fokusera särskilt på dessa områden:
- Underbiträdeshantering – informationsplikt, invändningsrätt och ansvarskedja.
- Instruktionsbindning – biträdets rätt till självständig behandling och skyldighet att informera vid rättsstridiga instruktioner (art. 28.3 a och h).
- Tekniska och organisatoriska åtgärder – specificeringsnivå och den personuppgiftsansvariges granskningsrätt (art. 28.3 c och h).
- Tredjelandsöverföring – transfermekanismer, TIA-krav och effekten av aktuella adequacy decisions.
- Avtalets upphörande – radering/återlämnande och biträdets skyldigheter efter avtalstiden (art. 28.3 g).
Presentera resultatet i tabellformat med följande kolumner:
Område | Klassificering | Citerat villkor ur DPA:t | Tillämplig bestämmelse (citera relevant text ur GDPR art. 28 och, vid tredjelandsöverföring, tillämplig klausul ur EU-kommissionens standardavtalsklausuler (SCC)) | EDPB-riktlinje eller IMY-beslut (dokumentnummer/ärendenummer) | Brist/iakttagelse | Formuleringsförslag.
Viktiga instruktioner för kvalitetssäkring:
– Citera alltid det specifika villkoret i DPA:t som bedöms, så att iakttagelsen kan verifieras mot avtalstexten.
– Citera den relevanta texten ur GDPR art. 28 och, där tillämpligt, ur SCC, så att jämförelsen mellan avtalet och rättskällan framgår direkt.
– Hänvisa bara till EDPB-riktlinjer, IMY-beslut och rättsfall som du kan identifiera med specifikt dokumentnummer, ärendenummer eller datum. Ange aldrig en källa du inte kan verifiera.
– Om du är osäker på om en viss riktlinje eller ett visst beslut existerar, skriv uttryckligen att du inte kan verifiera källan och ange i stället den rättsliga grunden i GDPR.
– Skilj tydligt mellan vad som följer av bindande rätt (GDPR, nationell lag) och vad som är vägledande praxis (EDPB-riktlinjer, IMY-uttalanden).
– Om DPA:n inte adresserar ett visst område, lämna kolumnen "Citerat villkor ur DPA:t" tom och konstatera uttryckligen i kolumnen "Brist/iakttagelse" att reglering saknas, i stället för att tolka in ett innehåll som inte finns.
Sammanfatta avslutningsvis med en övergripande riskbedömning under tabellen.
