I september publicerades riktlinjer från Europeiska dataskyddsstyrelsen kring personuppgiftsansvarig och personuppgiftsbiträde, ett förhållande som det länge funnits behov att klargöra. Dataskyddsförordningen skiljer på organisationer och företag som vid personuppgiftsbehandling är personuppgiftsansvariga och personuppgiftsbiträden.
När mer än en part är involverad i personuppgiftbehandling kan frågan om respektive parts roll uppstå. Beroende på om organisationen ska betraktas som ansvarig eller biträde bestäms även dess skyldigheter och rättigheter under förordningen. Många gånger är det inte komplicerat att fastställa vilken roll respektive part har av dessa, men i vårt informationssamhälle med ett ständigt utbyte av information och personuppgifter mellan komplexa system kan det i vissa partsrelationer vid detta utbyte, vara svårt att avgöra vem av parterna som är personuppgistansvarig eller personuppgiftsbiträde.
Personuppgiftsansvarig är generellt den av parterna som bestämmer ändamålet för behandlingen av personuppgifterna. Det kan vara att bestämma vilka personuppgifter som ska behandlas, hur länge de ska behandlas och vem som ska ha tillgång till uppgifterna. Ett personuppgiftsbiträde å andra sidan får enbart agera på instruktion av personuppgiftsansvarige vid behandlingen av personuppgifterna. Biträdet kan bestämma mindre väsentliga moment för genomförandet av behandlingen, såsom att välja hårdvara, programvara eller tekniska säkerhetsåtgärder. I praktiken är det nödvändigt att analysera de faktiska omständigheterna vid behandlingen för att identifiera vem som agerar personuppgiftsansvarige respektive biträde. Något som också framgår tydligt av riktlinjerna är att en organisation kan vara personuppgiftsansvarig vid en typ av behandling i organisationen och samtidigt fungera som personuppgiftsbiträde vid andra typer av personuppgiftsbehandling. Det förekommer även situationer när två eller flera personuppgiftsansvariga gemensamt fastställer ändamålen för behandlingen och då föreligger ett gemensamt personuppgiftsavsvar.
När personuppgiftsansvarig anlitar ett personuppgiftsbiträde för att behandla personuppgifter ska det finnas ett skriftligt personuppgiftsbiträdesavtal mellan parterna. I riktlinjerna framhålls behovet av effektiva villkor i personuppgiftsbiträdesavtal som beskriver hur personuppgifterna kommer att hanteras av parterna i praktiken och hur kraven enligt dataskyddsförordningen är tänkta att uppfyllas. Det understryks att enklare omskrivningar av bestämmelserna i förordningen inte är tillräckligt, varför delar såsom garantier för dataskydd och instruktionerna för behandlingen från ansvarige till biträdet behöver specificeras för den aktuella behandlingen.
Tidigare publicerat i Affärsstaden 9 – 2020
Jessica Tornberg
Biträdande jurist
Maminza Advokatbyrå AB
