GDPR ställer olika krav beroende på om en biträdesrelation föreligger eller inte. I vissa fall kan det dock vara svårt att fastställa vilken relation man har med andra parter. Vad ska man tänka på när man anlitar revisionsbolag, rekryteringsföretag och bemanningsföretag?
Den rättsliga relationen leder till olika krav
Vid anlitande av ett personuppgiftsbiträde ställer GDPR krav på bland annat att upprätta ett biträdesavtal, där tydliga instruktioner till biträdet ska finnas. Ytterligare en skyldighet som ankommer på den personuppgiftsansvarige som anlitar personuppgiftsbiträdet är att informera den registrerade om överföringen av personuppgifter. Anlitandet av ett biträde kan även påverka ansvarsfördelningen mellan företagen.
Samtidigt är det inte alltid lätt att förstå vilken GDPR-relation man har med ett annat företag. I detta blogginlägg går vi först igenom vilka typer av relationer som kan finnas enligt GDPR, och ser sedan på hur vissa specifika organisationer kan klassificeras.
Olika relationer enligt GDPR
En personuppgiftsansvarig är den organisation som bestämmer ändamålen och medlen med behandlingen. Personuppgiftsbiträdet är istället företaget som utför personuppgiftsbehandlingen för en annans räkning, läs mer om det här. Mellan dessa organisationer krävs ett personuppgiftsbiträdesavtal. I vissa fall kan två företag anses vara gemensamt personuppgiftsansvariga. I sådana fall måste ett datadelningsavtal upprättas mellan företagen!
I andra fall kan företag anses vara tredje part, vilket innebär att de inte är vare sig personuppgiftsansvarig, personuppgiftsbiträde eller registrerad.
Revisionsbolag
Revisorer kan anses vara personuppgiftsbiträden enligt GDPR för vissa uppgifter. När revisionsbolag anlitas för att hjälpa till med ett företags redovisning är detta ett tydligt exempel på en biträdesrelation där revisionsbolaget tar ställningen som personuppgiftsbiträde. När det däremot gäller revisionsuppdraget intar revisionsbolaget en självständig ställning som tredje part. Anledningen till detta är att deras uppgifter styrs av lagen, närmare bestämt revisionslagen. På grund av detta anses de inte kunna ta emot instruktioner och anvisningar av det andra företaget, vilket karaktäriserar en biträdesrelation, se art. 28 i dataskyddsförordningen. Istället har de egna ändamål och lagstöd för behandlingen.
Rekryteringsföretag
Den vanligaste situationen för rekryteringsföretag är att de har sina egna egenarbetade metoder att samla in och behandla personuppgifter på. I sådana fall har rekryteringsföretaget en så pass självständig ställning att det anses vara en personuppgiftsansvarig. Företaget som anlitar rekryteringsföretaget blir endast personuppgiftsansvarig för de personuppgifter som företaget sedan mottar från rekryteringsföretaget.
Om företaget däremot ger tydligare instruktioner till rekryteringsföretaget angående hur rekryteringen ska gå till kan det vara så att detta företag ska anses vara den personuppgiftsansvarige. I en sådan situation är det rekryteringsföretaget som ska klassificeras som ett personuppgiftsbiträde.
Bemanningsföretag
Vissa företag, s.k. bemanningsföretag, arbetar med att hyra ut sina arbetstagare i form av konsulter till andra organisationer. Dessa konsulter utför sedan arbete under dessa organisationers kontroll och ledning. I sådana fall får de uthyrda konsulterna ofta tillgång till en mängd olika personuppgifter för att kunna fullgöra sitt arbete, genom att ha tillgång till gemensamma anläggningar och olika IT-system.
Om:
1. Konsulten behandlar personuppgifter under kunden till bemanningsföretagets direkta ansvar och ledning,
2. Ett sekretessavtal har ingåtts mellan företagen som förbjuder att konsulten tar med sig personuppgifter tillbaka till sin arbetsgivare
3. Samt att bemanningsföretaget inte har tillgång till personuppgifterna på något annat sätt…
…Så anses bemanningsföretaget inte ha någon kontakt med personuppgiftsbehandlingen. I detta fall anses företaget som anlitar bemanningsföretaget vara personuppgiftsansvarig för personuppgiftsbehandlingen som utförs av den inhyrda konsulten. Bemanningsföretaget klassificeras som en tredje part.
Däremot kan bemanningsföretaget i vissa fall anses vara personuppgiftsbiträde, om den uthyrda konsulten inte arbetar under det andra företagets direkta arbetsledning och ansvar och om bemanningsföretaget får tillgång till vissa personuppgifter.
Vill ni ha hjälp med att ta reda på vad som gäller i just ert fall?
Ni är välkomna att höra av er till oss på GDPR Hero, antingen på mejlen info@gdprhero.se eller via telefon 046 – 273 17 17.
