När är egentligen vår verksamhet personuppgiftsansvarig respektive personuppgiftsbiträde? Det är två långa begrepp som kan vara svåra att förstå sig på ibland, men även mycket viktigt att få grepp om. Vi på GDPR Hero får många frågor gällande denna bedömning, därför hoppas vi att detta blogginlägg kommer hjälpa er att få dessa svåra (men otroligt viktiga) delar av GDPR på plats!
Definition av en personuppgiftsansvarig
Den personuppgiftsansvarige är den som har bestämt för vilka ändamål personuppgifterna i fråga ska behandlas. Här åsyftas den som bestämt hur, när och varför personuppgifterna ska behandlas. Det är oftast en juridisk person som är personuppgiftsansvarig och inte exempelvis en chef eller anställd. Fysiska personer kan dock vara personuppgiftsansvariga i vissa specifika situationer. En sådan situation är om en person har en enskild firma.
Om ni exempelvis samlar in personuppgifter om era anställda (namn, adress, e-mail, löneuppgifter) när ni skriver ett anställningsavtal är ni personuppgiftsansvariga. Om ni exempelvis samlar in uppgifter (namn, e-mail) om era kunder för att administrera ett nyhetsbrev är ni personuppgiftsansvariga. Om ni inte lämnar ut dessa personuppgifter till någon annan verksamhet behöver vi inte göra fler bedömningar gällande personuppgiftsansvaret, men om ni sedan lämnar ut dessa personuppgifterna till en annan organisation som ska behandla dessa kan en personuppgiftsbiträdessituation uppstå. En personuppgiftsbiträdessituation uppstår om den andra verksamheten behandlar personuppgifterna för er räkning.
Definition av ett personuppgiftsbiträde
Om det är någon annan som bestämmer ändamålet med personuppgiftsbehandlingen kan det vara så att ni är ett personuppgiftsbiträde. Personuppgiftsbiträdet finns utanför den personuppgiftsansvariges organisation och behandlar personuppgifterna för den personuppgiftsansvariges räkning. Även personuppgiftsbiträdet är som huvudregel en juridisk person.
Tänk på att situationen inte alltid behöver vara en biträdesrelation, alltså en överföring från en personuppgiftsansvarig till ett personuppgiftsbiträde. I vissa situationer kan ni vara gemensamt personuppgiftsansvariga eller enskilt personuppgiftsansvariga. Läs mer om det här.
Exempel
Nedan följer exempel på situationer där personuppgifter överförs eller överlämnas mellan olika organisationer. Överföringen eller överlämnandet kan vara antingen mellan en personuppgiftsansvarig till ett personuppgiftsbiträde eller från en personuppgiftsansvarig till en annan personuppgiftsansvarig.
1. Personuppgiftsansvarig – personuppgiftsbiträde
Ni har samlat in personuppgifter om era anställda i samband med anställningen. Ni har anlitat ett utomstående företag som ska hantera era löneutbetalningar till de anställda, därför lämnar ni över relevanta uppgifter till löneföretaget. Ni bestämmer ändamålet (de ska använda uppgifterna för att betala ut lön till era anställda den 25e varje månad) och de behandlar uppgifterna för er räkning (de har mottagit uppgifterna från er och instruktioner om att betala ut lön till de anställda den 25e varje månad).
2. Personuppgiftsansvarig – personuppgiftsbiträde
Ni har samlat in personuppgifter om era kunder, vilka lagras i en tjänst tillhandahållen av ett IT-företag. IT-företaget har en serverhall där all information finns och företaget sköter även driften av era IT-system. IT-företaget har i detta exempel inte möjlighet att bestämma över ändamålet med behandlingen och är därmed personuppgiftsbiträde.
3. Personuppgiftsansvarig – personuppgiftsansvarig
Ni anlitar en advokat för att föra er talan i domstol. I situationer där motpartens huvudsakliga prestation enligt avtalet inte är att behandla personuppgifter är motparten oftast inte ett personuppgiftsbiträde. Ett exempel kan vara om ni anlitar just en advokat. Avtalet mellan er och advokaten innebär att advokaten ska hjälpa er med ett juridiskt problem. För att advokaten ska kunna utföra detta uppdrag krävs det att han eller hon behandlar personuppgifter i er verksamhet. Däremot kan ni inte bestämma hur eller vilka personuppgifter, utan advokaten är självständig på detta sätt. En bedömning ska dock göras i det enskilda fallet.
4. Personuppgiftsansvarig – personuppgiftsansvarig
En kommun innehåller ofta många separata personuppgiftsansvariga. Ofta kan en kommunal nämnd vara personuppgiftsansvarig för den behandling som sker där, beroende på hur självständig nämnden är. Om flera olika nämnder delar på ett IT-system innebär det att flera personuppgiftsansvariga använder samma system. Syftet med ett sådant system kan vara informationsdelning. Detta kan då innebära en överföring mellan gemensamt personuppgiftsansvariga, trots att alla nämnder tillhör samma kommun.
Det är med andra ord generellt sett den personuppgiftsansvarige som bestämmer. Det är dock möjligt för den personuppgiftsansvarige att delegera vilka medel som ska användas, d.v.s. hur en behandling ska genomföras, till ett personuppgiftsbiträde utan att relationen ändras. Faktorer som tyder på att det rör sig om en relation mellan en personuppgiftsansvarig och ett personuppgiftsbiträde är exempelvis om en av aktörerna är ålagd att enligt lag utföra en uppgift, där personuppgiftsbehandling krävs, och att den andra aktören inte har något eget intresse av att behandla personuppgifterna.
Ibland kan samarbetet innebära att det är mer än en behandling som berörs av förhållandet. Det är då viktigt att identifiera de olika behandlingarna som sker och bedöma vem som är personuppgiftsansvarig och personuppgiftsbiträde på behandlingsnivå. För att avgöra vad som är en behandling kan det vara bra att utgå ifrån syftet med hanteringen av personuppgifter.
GDPR Hero – verktyget som hjälper er med detta!
Enligt GDPR är både personuppgiftsansvariga och personuppgiftsbiträden skyldiga att föra register i många situationer och att reglera förhållandet dem emellan.
I GDPR Hero kan ni enkelt fylla i samtliga företag som är personuppgiftsbiträden för er organisation, det vill säga när ni är personuppgiftsansvariga och har lämnat ut personuppgifter till en utomstående organisation. Ni har även möjlighet att fylla i uppgifter när förhållandet är det omvända – ni kan lägga in samtliga företag som ni är personuppgiftsbiträden till.
Vi finns även snabbt till er hjälp i supportchatten om ni behöver hjälp med detta samt resten av registerföringen i GDPR Hero!
Boka gärna en demo med oss för att få veta mer om hur ni enkelt kan uppfylla de krav som ställs på er! Ni bokar demo här.