Ett personuppgiftsbiträde är någon som behandlar personuppgifter åt en personuppgiftsansvarig. I dataskyddsförordningens (GDPR) artikel 4 definieras personuppgiftsbiträden som ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning”. Vi kan ta hjälp av ett enklare exempel för att illustrera vad ett personuppgiftsbiträde är. Ett företag har anlitat en revisionsbyrå för att få hjälp med att betala ut löner till företagets anställda. För att revisionsbyrån ska kunna betala ut lönerna kommer de behöva uppgifter om de anställda t.ex. deras namn, adress, personnummer och lön. Revisionsbyrån blir därmed företagets personuppgiftbiträde.
Vad har förändrats gällande personuppgiftsbiträdets roll?
Personuppgiftsbiträde finns omnämnt i personuppgiftslagen men i och med GDPR har rollen som personuppgiftsbiträde ändrats. Bland annat har ett personuppgiftsbiträde utökat ansvar för personuppgiftsbehandling. Tre av de viktigaste förändringarna är:
- Ett personuppgiftsbiträde kommer i stort sett alltid behöva föra register över alla de kategorier av behandling som utförs för den personuppgiftsansvariges räkning.
- Ett personuppgiftsbiträde kommer ansvara för att vidta säkerhetsåtgärder för att behandlingen av personuppgifter ska vara tillräckligt säker. Det innebär bland annat att fortlöpande testa och utvärdera system.
- Ett personuppgiftsbiträde riskerar sanktionsavgifter om de inte följer skyldigheter som sätts upp i förordningen. De högsta beloppen som kan dömas ut är 20 miljoner euro eller 4 % av företagets årsomsättning.
Förberedelse
Som personuppgiftsbiträde måste man ställa upp tillräckliga garantier för att de skyldigheter som GDPR ställer upp kommer att efterlevas. Man måste också kunna garantera att de registrerades rättigheter skyddas. Gör man inte detta, får en personuppgiftsansvarig inte anlita det personuppgiftsbiträdet. Här kommer några korta tips, som kan vara bra att gå igenom:
- Se över vilka kategorier av personuppgifter ni behandlar. Avgör vem behandlingen uförs åt, är det för era egna ändamål eller åt någon annan?
- Anpassa verksamheten efter de krav som ställs upp i GDPR.
- Se över era rutiner för personuppgiftsbehandling.
- Har ni en ansvarig för dataskyddsfrågor i er organisation? Om inte, kan det vara bra att utse en, som då har möjlighet att arbeta aktivt med organisationens hantering av personuppgifter.