VECKANS FRÅGA

Juristen svarar: Är du personuppgiftsansvarig eller personuppgiftsbiträde?

Är vi personuppgiftsansvariga eller personuppgiftsbiträde? Den frågan ställs ofta till mig, och det är inte konstigt. Frågan är av praktiskt intresse, och ofta är gränsdragningen komplicerad, vilket beror på att det praktiska affärslivet blir alltmer komplext. Det reser i sin tur frågor om hur de personuppgifter som utväxlas inom ramen för exempelvis samarbeten och tjänsteavtal ska behandlas och vem eller vilka som ska bära ansvaret för behandlingen. 

Dataskyddsförordningen gör en åtskillnad mellan å ena sidan den personuppgiftsansvarige och å andra sidan personuppgiftsbiträdet, vilket innebär att alla verksamheter som medverkar vid en behandling av personuppgifter inte har samma grad av ansvar. Den som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde. Ingen behandling kan ske fristående från dessa roller. Inte heller kan någon samtidigt vara personuppgiftsansvarig och personuppgiftsbiträde avseende en och samma behandling. 

Det är först när du har tagit ställning till din roll som det är möjligt att avgöra vilket ansvar du har för en viss behandling. Om du och/eller din affärspartner inte känner till era respektive roller finns det risk för att ingen vill åta sig ansvar för en behandling alternativt att någon åtar sig ett ansvar som den parten egentligen borde åta sig. Det är oftast först i situationer när ansvar kan utkrävas som de flesta blir medvetna om hur viktigt det är att förstå sitt ansvar för behandlingen av personuppgifter. Det är därför mycket viktigt att tydliggöra respektive parts roll redan innan behandlingen av personuppgifter påbörjas. Detta hjälper dig att säkerställa att det inte finns några luckor i företagets skyldigheter. Sådana luckor kan exempelvis medföra att de registrerades rättigheter inte tillgodoses eller att personuppgifterna inte skyddas på ett tillräckligt sätt. Det är alltså först när parternas roller har bestämts som ett personuppgiftsbiträdesavtal bör upprättas (om ni kommit fram till att det föreligger en biträdesrelation förstås). Det är vanligt förekommande att företag upprättar ett personuppgiftsbiträdesavtal utan att egentligen ha analyserat om en biträdesrelation över huvud taget föreligger. Det bör alltså undvikas med anledning av de skäl som beskrivits ovan. 

Några enkla huvudregler om ansvarsfördelning 

Det finns inte något exakt schema för hur bedömningen av parternas roller ska gå till, även om vägledning från myndighetshåll har publicerats. Det innebär att du i varje enskilt fall behöver göra en bedömning av vem som är personuppgiftsansvarig respektive personuppgiftsbiträde, i den mån ett personuppgiftsbiträde över huvud taget finns. Det finns emellertid ett antal bedömningsgrunder som underlättar. 

Det är den personuppgiftsansvarige som bestämmer ändamålen med behandlingen samt vilka behandlingsaktiviteter som ska utföras. Detta innebär att det är den personuppgiftsansvarige som bestämmer "varför" och "hur" en behandling ska utföras. För att avgöra vilken verksamhet som är personuppgiftsansvarig är det nödvändigt att ta ställning till vilken part som bestämmer:

  • om insamling av personuppgifter i första hand och den rättsliga grunden för detta
  • vilka personuppgifter som ska samlas in
  • ändamålen med personuppgifterna som samlas in
  • vilka registrerade som personuppgifter ska samlas in om
  • vilka personer som personuppgifter kan komma att lämnas ut till
  • hur länge personuppgifterna ska bevaras 

Ovanstående är beslut som endast den personuppgiftsansvarige kan ta, eftersom det är denne som har det övergripande ansvaret för personuppgiftsbehandlingen. Personuppgiftsbiträdets självständighet vad gäller behandlingen inskränker sig i regel till mer tekniska aspekter, såsom:

  • vilket eller vilka IT-system eller andra metoder som ska användas för att samla in personuppgifterna
  • hur personuppgifterna ska lagras
  • de tekniska aspekterna gällande skydd av personuppgifterna
  • sätten som överföring av personuppgifterna kan komma att ske på
  • sätten som personuppgifterna ska tas fram på
  • sätten som personuppgifterna ska raderas eller lämnas ut 

Ovanstående är några förenklade huvudregler som du kan förhålla dig till, men det ska inte ses som något facit, utan varje samarbete och utbyte av personuppgifter behöver analyseras för att ett säkrare svar ska kunna ges.  

Erik Rosqvist

Erik är jurist och driver Recollecta Juridik, där han bistår mindre och mellanstora företag i juridiska frågor. Erik hjälper regelbundet DokuMeras kunder i olika juridiska ärenden, och du som har vår tjänst Företagspaketet kan kontakta honom genom DokuMeras Frågeservice. 

erik.rosqvist@recollecta.se

www.recollectajuridik.se


VECKANS NYHET

Kvalitetssäkra ditt företag steg för steg – så här gör du

De flesta företagare strävar efter att ständigt förbättra och justera sin verksamhet för att möta kundernas behov. Det kan handla om enstaka frågor som hur du undviker driftstörningar eller hur du ska svara i telefon, men det kan också handla om att se över hela områden såsom arbetsmiljö, miljö eller informationssäkerhet. 

LÄS MER >

VECKANS TIPS

Hur ska man strukturera en projektgrupp inom ISO-arbetet?

Det är lämpligt att man bemannar projektet med medarbetare från de flesta avdelningar/divisioner/produktområden och vid behov externa deltagare. Alla nivåer, alltifrån ledningen till verkstadsgolvet.

LÄS MER >