VECKANS KRÖNIKA

Är du personuppgiftsansvarig eller personuppgiftsbiträde?

Varje vecka kommer du som prenumerant på DokuMeras nyhetsbrev att kunna läsa en krönika av intresse för dig som företagare. Krönikan i nyhetsbrevet är en fördjupning av artikelliknande karaktär inom något av våra mallområden, om än med personliga inslag. 

Veckans krönika kommer att handla om gränsdragningen mellan begreppen personuppgiftsansvarig och personuppgiftsbiträde. Frågan är av stort praktiskt intresse, och min uppfattning är att gränsdragningen ofta är komplicerad. Det är inte konstigt, eftersom det praktiska affärslivet blir alltmer komplext. Det reser i sin tur frågor om hur de personuppgifter som utväxlas inom ramen för exempelvis samarbeten och tjänsteavtal ska behandlas och vem eller vilka som ska bära ansvaret för behandlingen. Det är av detta skäl mycket positivt att Datainspektionen avser att bringa klarhet i frågan. 

Dataskyddsförordningen gör en åtskillnad mellan å ena sidan den personuppgiftsansvarige och å andra sidan personuppgiftsbiträdet, vilket innebär att alla verksamheter som medverkar vid en behandling av personuppgifter inte har samma grad av ansvar. Den som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde. Ingen behandling kan ske fristående från dessa roller. Inte heller kan någon samtidigt vara personuppgiftsansvarig och personuppgiftsbiträde avseende en och samma behandling. 

Det är först när du har tagit ställning till din roll som det är möjligt att avgöra vilket ansvar du har för en viss behandling. Om du och/eller din affärspartner inte känner till era respektive roller finns det risk för att ingen vill åta sig ansvar för en behandling alternativt att någon åtar sig ett ansvar som egentligen inte är berättigat. Det är i regel först i situationer när ansvar kan utkrävas som de flesta blir medvetna om hur viktigt det är att förstå sitt ansvar för behandlingen av personuppgifter. Det är därför mycket viktigt att tydliggöra respektive parts roll redan innan behandlingen av personuppgifter påbörjas. Detta hjälper dig att säkerställa att det inte finns några luckor i företagets skyldigheter. Sådana luckor kan exempelvis medföra att de registrerades rättigheter inte tillgodoses eller att personuppgifterna inte skyddas på ett tillräckligt sätt. Det är alltså först när parternas roller har bestämts som ett personuppgiftsbiträdesavtal bör upprättas (om ni kommit fram till att det föreligger en biträdesrelation). Det är vanligt förekommande att företag upprättar ett personuppgiftsbiträdesavtal utan att egentligen ha analyserat om en biträdesrelation överhuvudtaget föreligger. Det bör alltså undvikas med anledning av de skäl som beskrivits ovan. 

Några enkla huvudregler om ansvarsfördelning 

Det finns inte något exakt schema för hur bedömningen av parternas roller ska gå till. Det innebär att du i varje enskilt fall behöver göra en bedömning av vem som är personuppgiftsansvarig och personuppgiftsbiträde, i den mån ett personuppgiftsbiträde överhuvudtaget finns. Det finns emellertid ett antal bedömningsgrunder som underlättar. 

Det är den personuppgiftsansvarige som bestämmer ändamålen med behandlingen samt vilka behandlingsaktiviteter som ska utföras. Detta innebär att det är den personuppgiftsansvarige som bestämmer "varför" och "hur" en behandling ska utföras. För att avgöra vilken verksamhet som är personuppgiftsansvarig är det nödvändigt att ta ställning till vilken part som bestämmer 
• om insamling av personuppgifter i första hand och den rättsliga grunden för detta
• vilka personuppgifter som ska samlas in
• ändamålen med personuppgifterna som samlas in
• vilka registrerade som personuppgifter ska samlas in om
• vilka personer som personuppgifter kan komma att lämnas ut till
• hur länge personuppgifterna ska bevaras 

Ovanstående är beslut som endast den personuppgiftsansvarige kan ta, eftersom det är denne som har det övergripande ansvaret för personuppgiftsbehandlingen. Personuppgiftsbiträdets självständighet vad gäller behandlingen inskränker sig i regel till mer tekniska aspekter, såsom
• vilket eller vilka IT-system eller andra metoder som ska användas för att samla in personuppgifterna
• hur personuppgifterna ska lagras
• de tekniska aspekterna gällande skydd av personuppgifterna
• sätten som överföring av personuppgifterna kan komma att ske på
• sätten som personuppgifterna ska tas fram på
• sätten som personuppgifterna ska raderas eller lämnas ut 

Ovanstående är några förenklade huvudregler som du kan förhålla dig till. Huvudreglerna kan alltjämt sägas äga giltighet enligt dataskyddsförordningen, även om det återstår att se om Datainspektionen kommer att lämna några preciseringar eller förtydliganden. Om du vill läsa mer om gränsdragningen mellan begreppen kan du göra det i DokuMeras mall Guide – Så här vet du om du är personuppgiftsansvarig eller personuppgiftsbiträde. 

Om du känner dig osäker på i vilken utsträckning din verksamhet lever upp till de krav som ställs är du välkommen att höra av dig till Recollecta för råd och vägledning.


VECKANS NYHET

Datainspektionens första GDPR-granskning är här

Datainspektionen har genomfört sin första GDPR-granskning. Av totalt 66 tillsynsärenden har myndigheten beslutat att ge reprimander i majoriteten av fallen. 

LÄS MER >

VECKANS TIPS

Utforma en korrekt begäran om samtycke

Ett samtycke ska vara ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerade om att denne godkänner behandling av personuppgifter avseende honom eller henne. 

LÄS MER >
RELATERADE KATEGORIER
Dataskyddsförordningen
LÄS ÄVEN
Datainspektionen granskar specifika branscher