VECKANS FRÅGA
Juristen svarar: Är du personuppgiftsansvarig eller personuppgiftsbiträde?
Är vi personuppgiftsansvarig eller personuppgiftsbiträde? Det är en fråga som ofta ställs, och den har sitt berättigande. Frågan är av praktiskt intresse, och ofta är gränsdragningen komplicerad, vilket beror på att det praktiska affärslivet blir alltmer komplext. Det reser i sin tur frågor om hur de personuppgifter som utväxlas inom ramen för exempelvis samarbeten och tjänsteavtal ska behandlas och vem eller vilka som ska bära ansvaret för behandlingen.
Dataskyddsförordningen gör en åtskillnad mellan å ena sidan den personuppgiftsansvarige och å andra sidan personuppgiftsbiträdet, vilket innebär att alla verksamheter som medverkar vid en behandling av personuppgifter inte har samma grad av ansvar. Den som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde. Ingen behandling kan ske fristående från dessa roller. Inte heller kan någon samtidigt vara personuppgiftsansvarig och personuppgiftsbiträde avseende en och samma behandling.
Det är först när du har tagit ställning till din roll som det är möjligt att avgöra vilket ansvar du har för en viss behandling. Om du och/eller din affärspartner inte känner till era respektive roller finns det risk för att ingen vill åta sig ansvar för en behandling alternativt att någon åtar sig ett ansvar som den parten egentligen borde åta sig. Det är oftast först i situationer när ansvar kan utkrävas som de flesta blir medvetna om hur viktigt det är att förstå sitt ansvar för behandlingen av personuppgifter. Det är därför mycket viktigt att tydliggöra respektive parts roll redan innan behandlingen av personuppgifter påbörjas. Detta hjälper dig att säkerställa att det inte finns några luckor i företagets skyldigheter. Sådana luckor kan exempelvis medföra att de registrerades rättigheter inte tillgodoses eller att personuppgifterna inte skyddas på ett tillräckligt sätt. Det är alltså först när parternas roller har bestämts som ett personuppgiftsbiträdesavtal bör upprättas (om ni kommit fram till att det föreligger en biträdesrelation förstås). Det är vanligt förekommande att företag upprättar ett personuppgiftsbiträdesavtal utan att egentligen ha analyserat om en biträdesrelation över huvud taget föreligger. Det bör alltså undvikas med anledning av de skäl som beskrivits ovan.
Några enkla huvudregler om ansvarsfördelning
Det finns inte något exakt schema för hur bedömningen av parternas roller ska gå till, även om vägledning från myndighetshåll har publicerats. Det innebär att du i varje enskilt fall behöver göra en bedömning av vem som är personuppgiftsansvarig respektive personuppgiftsbiträde, i den mån ett personuppgiftsbiträde över huvud taget finns. Det finns emellertid ett antal bedömningsgrunder som underlättar.
Det är den personuppgiftsansvarige som bestämmer ändamålen med behandlingen samt vilka behandlingsaktiviteter som ska utföras. Detta innebär att det är den personuppgiftsansvarige som bestämmer "varför" och "hur" en behandling ska utföras. För att avgöra vilken verksamhet som är personuppgiftsansvarig är det nödvändigt att ta ställning till vilken part som bestämmer:
- om insamling av personuppgifter i första hand och den rättsliga grunden för detta
- vilka personuppgifter som ska samlas in
- ändamålen med personuppgifterna som samlas in
- vilka registrerade som personuppgifter ska samlas in om
- vilka personer som personuppgifter kan komma att lämnas ut till
- hur länge personuppgifterna ska bevaras
Ovanstående är beslut som endast den personuppgiftsansvarige kan ta, eftersom det är denne som har det övergripande ansvaret för personuppgiftsbehandlingen. Personuppgiftsbiträdets självständighet vad gäller behandlingen inskränker sig i regel till mer tekniska aspekter, såsom:
- vilket eller vilka IT-system eller andra metoder som ska användas för att samla in personuppgifterna
- hur personuppgifterna ska lagras
- de tekniska aspekterna gällande skydd av personuppgifterna
- sätten som överföring av personuppgifterna kan komma att ske på
- sätten som personuppgifterna ska tas fram på
- sätten som personuppgifterna ska raderas eller lämnas ut
Ovanstående är några förenklade huvudregler som du kan förhålla dig till, men det ska inte ses som något facit, utan varje samarbete och utbyte av personuppgifter behöver analyseras för att ett säkrare svar ska kunna ges.
Erik Rosqvist
Erik är jurist och driver Recollecta Juridik, där han bistår mindre och mellanstora företag i juridiska frågor. Erik hjälper regelbundet DokuMeras kunder i olika juridiska ärenden, och du som har vår tjänst Företagspaketet kan kontakta honom genom DokuMeras Frågeservice.
erik.rosqvist@recollecta.se
VECKANS NYHET
Har du mallarna som krävs efter sommarsemestern?
Vid det här laget har de flesta kommit tillbaka till arbetsplatsen från sommarsemestern. Så här dags är det också många som har fått ny personal eller haft personal som precis har slutat. Om du är en av dem kan det vara hög tid att se över företagets Personalhandbok.
NYTT PÅ DOKUMERA
Nya mallar på DokuMera
Vi upprättar ständigt nya mallar inom olika områden för att göra ditt arbete både enklare och effektivare. Just nu har vi flera nya mallar inom olika områden. Klicka här för att se våra senast publicerade mallar.
