När det gäller banker är de organisationerna speciella i den bemärkelsen att de lyder under sektorsspecifik lagstiftning och myndighetsföreskrifter och beslut som direkt eller indirekt pekar ut att banken (verksamhetsutövaren) är personuppgiftsansvarig. Exv. lag (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. Med anledning av att banker är bundna av sådan lagstiftning begränsas möjligheten för dem att behandla personuppgifter utifrån andras instruktioner, d.v.s. i rollen som personuppgiftsbiträde. Däremot ska personuppgiftsansvaret alltid bedömas i varje enskild behandling och det kan finnas utrymme för att banken kan ta emot instruktioner för vissa behandlingar och samtidigt uppfylla sina rättsliga förpliktelser.
Exempelvis när en bank behandlar personuppgifter för att kunna betala ut lön till ett företags anställda, görs detta för ändamålet bankverksamhet och banken beslutar oberoende av företagets instruktioner vad för uppgifter som är nödvändiga för att uppfylla ändamålet med behandlingen.
Sammanfattningsvis är alltså banker typiskt sett ensamt personuppgiftsansvariga, men det finns utrymme för att bedöma om det finns behandlingar som de kan agera personuppgiftsbiträde för. För vidare läsning och fördjupning i ämnet rekommenderar vi vägledning från EDPB som ni finner här. Även svenskt näringsliv har skrivit om rollfördelning för korrekt personuppgiftsansvar som ni finner här.