Tillbaka till frågor och svar

Är banker personuppgiftsansvariga eller personuppgiftsbiträden vid löneutbetalningar?

21 juli 2023

När det gäller banker är de organisationerna speciella i den bemärkelsen att de lyder under sektorsspecifik lagstiftning och myndighetsföreskrifter och beslut som direkt eller indirekt pekar ut att banken (verksamhetsutövaren) är personuppgiftsansvarig. Exv. lag (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. Med anledning av att banker är bundna av sådan lagstiftning begränsas möjligheten för dem att behandla personuppgifter utifrån andras instruktioner, d.v.s. i rollen som personuppgiftsbiträde. Däremot ska personuppgiftsansvaret alltid bedömas i varje enskild behandling och det kan finnas utrymme för att banken kan ta emot instruktioner för vissa behandlingar och samtidigt uppfylla sina rättsliga förpliktelser.

Exempelvis när en bank behandlar personuppgifter för att kunna betala ut lön till ett företags anställda, görs detta för ändamålet bankverksamhet och banken beslutar oberoende av företagets instruktioner vad för uppgifter som är nödvändiga för att uppfylla ändamålet med behandlingen.

Sammanfattningsvis är alltså banker typiskt sett ensamt personuppgiftsansvariga, men det finns utrymme för att bedöma om det finns behandlingar som de kan agera personuppgiftsbiträde för. För vidare läsning och fördjupning i ämnet rekommenderar vi vägledning från EDPB som ni finner här. Även svenskt näringsliv har skrivit om rollfördelning för korrekt personuppgiftsansvar som ni finner här.

Svaret på frågan är allmänt beskrivet och ska inte betraktas som rådgivning.

Andra besvarade frågor

Skicka in din fråga till oss

Ställ fråga - fråga och svar
Var vänlig och ange inte personuppgifter i din fråga utan ställ den så anonymiserad som det bara går. Tack!
Information om personuppgiftsbehandling *