En viktig del av GDPR är att kunna avgöra om verksamheten är personuppgiftsansvarig eller personuppgiftsbiträde för en viss personuppgiftsbehandling. I visa fall kan en verksamhet till och med vara gemensamt personuppgiftsansvarig med en annan verksamhet. Vi har skrivit om detta ämne tidigare, men det kan inte betonas nog. Reglerna för att bestämma om en verksamhet är ansvarig eller biträde verkar enkla i teorin, men i praktiken måste svåra överväganden göras. Det är dessutom viktigt att förstå konsekvenserna av att vara ansvarig eller biträde.
Bestäm vilken roll ni innehar
Den första aspekten att fundera över är vilken roll er verksamhet har för en viss behandling. Den legala statusen som personuppgiftsansvarig eller personuppgiftsbiträde måste alltid återspegla den aktuella situationen. Det har ingen betydelse huruvida en verksamhet är benämnd ”ansvarig” eller ”biträde” i ett kontrakt om verksamheten faktiskt agerar som det andra.
Personuppgiftsansvarig är den verksamhet som bestämmer ändamålen och medlen med behandlingen. Detta innebär att den personuppgiftsansvarige är den part som bestämmer vissa huvuddelar av behandlingen: varför behandlingen ska ske och hur syftet med behandlingen ska uppnås. I vissa fall är det bestämt i lag vem som ska vara personuppgiftsansvarig. I andra fall måste man titta på vilken verksamhet som har det faktiska inflytandet över behandlingen. En bedömning måste göras för varje individuell behandling. Till exempel, om Företag A och Företag B arbetar tillsammans för att marknadsföra en utställning, kan Företag A vara personuppgiftsansvarig för en behandling relaterad till utställningen och Företag B för en annan behandling. Det faktum att Företag A är personuppgiftsansvarig för den första behandlingen innebär inte att det företaget även är personuppgiftsansvarig för den andra behandlingen.
Det är dock viktigt att komma ihåg att det inte alltid bara finns en personuppgiftsansvarig för en viss behandling. Personuppgiftsansvaret kan vara gemensamt för två personuppgiftsansvariga. De blir då, logiskt nog, gemensamt personuppgiftsansvariga. Det är fallet när ändamålen och medlen med en behandling bestäms av mer än en verksamhet.
Bedömningen av gemensamt personuppgiftsansvar är, lite förenklat, densamma som den bedömning som görs för att avgöra om någon är personuppgiftsansvarig, med den skillnaden att en verksamhet inte själv bestämmer ändamål och medel med behandlingen utan tillsammans med en annan verksamhet. Den viktigaste delen för att två verksamheter ska vara gemensamt ansvariga är just att verksamheterna bestämmer detta tillsammans. Både ändamålen och medlen för behandlingen måste bestämmas av alla verksamheter som berörs för att det ska vara ett gemensamt ansvar. Bedömningen av gemensamt personuppgiftsansvar bör göras baserat på en faktisk analys av ändamålen och medlen för en behandling.
Personuppgiftsbiträdet behandlar personuppgifter på uppdrag av den personuppgiftsansvariga. Biträdet tillser alltså någon annans intressen och får inte utföra behandlingar för sina egna syften. Biträdet är vidare alltid en separat verksamhet i relation till den personuppgiftsansvariga.
Några av er kanske har reflekterat över det faktum att biträdet ibland bestämmer hur en behandling ska genomföras. Till exempel om en personuppgiftsansvarig anlitar ett biträde för att ta hand om den ansvariges IT och externa lagring, kan det vara så att biträdet har ett kunskapsövertag i dessa områden jämfört med den ansvariga. Det är därför som ett biträde har möjlighet att bestämma vissa delar relaterat till hur en behandling ska genomföras, utan att biträdet blir personuppgiftsansvarig. Dessa delar relaterar till mer praktiska aspekter av implementeringen, till exempel valet av en viss typ av hårdvara. Resultatet av detta är att biträdet ibland kan bestämma medlen för en behandling utan att övergå till att vara ansvarig. Det är dock inte möjligt för biträdet att bestämma ändamålen med behandlingen utan att då bli personuppgiftsansvarig.
Ansvaret för en personuppgiftsansvarig
Den personuppgiftsansvariga är ansvarig för att uppfylla kraven i GDPR. Den personuppgiftsansvariga har också en skyldighet att bara anlita biträden som kan möta de säkerhetsåtgärder som uppställs i GDPR. Det innebär att även om biträdet kanske bestämmer vissa delar gällande hur en behandling ska gå till, så är det den personuppgiftsansvariga som förblir ansvarig för att implementera lämpliga tekniska och organisatoriska säkerhetsåtgärder. Denna skyldighet slutar inte gälla när den ansvariga och biträdet ingår ett avtal. Tvärtom måste den ansvariga säkerställa biträdets garantier genomgående under kontraktstiden.
För att en personuppgiftsansvarig ska kunna visa att en behandling är laglig är det en fördel att dokumentera i vart fall nödvändiga tekniska och organisatoriska åtgärder i exempelvis ett kontrakt mellan den personuppgiftsansvariga och biträdet. Ni kan läsa mer om ett så kallat personuppgiftsbiträdesavtal här.
Ansvaret för gemensamt personuppgiftsansvariga
Kvalificeringen som gemensamt personuppgiftsansvariga får främst konsekvenser i form av placeringen av skyldigheter för compliance med dataskyddsregler och framförallt i förhållande till individers rättigheter. I ett gemensamt personuppgiftsansvar blir det väldigt viktigt att bestämma vilken av de personuppgiftsansvariga som är ansvarig för compliance med de krav som finns i GDPR. De gemensamt personuppgiftsansvariga måste därför organisera och komma överens om hur och av vem information till registrerade ska ges samt hur och av vem svar på registrerades begäran ska tillhandahållas. Genom att reglera ”vem som gör vad” undviker de gemensamt personuppgiftsansvariga blinda fläckar, där något eller några av kraven i GDPR inte uppfylls av någon av verksamheterna. Detta säkerställer även att skyddet av personuppgifterna inte reduceras. Det är dock möjligt för de registrerade att kontakta vilken som av de personuppgiftsansvariga när han eller hon utövar sina rättigheter. Dessutom är båda eller alla personuppgiftsansvariga ansvariga för att säkerställa att de har en rättslig grund för behandlingen.
Som ni förstår är vissa krav i GDPR tillämpliga på alla verksamheter som är personuppgiftsansvariga. Det räcker alltså inte att en av de gemensamt personuppgiftsansvariga efterlever dessa krav. Ett annat exempel på när var och en av de ansvariga måste uppfylla ett krav i GDPR var för sig är kravet på att personuppgiftsansvariga ska ha ett register över sina personuppgiftsbehandlingar. Har ni ett register över era personuppgiftsbehandlingar? Vi på GDPR Hero är specialiserade på detta område och vill mer än gärna hjälpa er att uppfylla detta krav. Kontakta oss eller boka demo för att få veta mer om hur!
Ansvaret för personuppgiftsbiträden
Personuppgiftsbiträdet måste alltid rätta sig efter, och enbart agera på, instruktioner från den personuppgiftsansvariga. Biträdet får inte gå utöver vad som instruerats av den ansvariga. Biträdet måste alltid säkerställa att alla som tillåts behandla personuppgifter omfattas av sekretess och att implementera lämpliga tekniska och organisatoriska säkerhetsåtgärder. Dessutom har biträdet en skyldighet att assistera den personuppgiftsansvariga och göra tillgänglig all information som är nödvändig för att den personuppgiftsansvariga ska kunna demonstrera compliance.
Det är emellertid inte bara den personuppgiftsansvariga som måste kunna visa på compliance med GDPR utan biträdet måste också kunna visa på detta. GDPR ställer upp vissa skyldigheter som är direkt tillämpliga specifikt på biträden och biträden kan då bli skyldiga att betala sanktionsavgift om de inte efterlever dessa krav i GDPR. Ett biträde kan också hållas ansvarig om det agerar utanför eller i strid med lagliga instruktioner från den personuppgiftsansvariga. Både personuppgiftsansvariga och biträden är därigenom direkt ansvariga mot tillsynsmyndigheter.
Hur går ni vidare?
Vi hoppas att ni fick vägledning av detta blogginlägg! Om ni har några frågor gällande behandling av personuppgifter eller något annat GDPR-relaterat är ni välkomna att kontakta oss på 046 – 273 17 17 eller via info@gdprhero.se.
GDPR Hero är ett verktyg för att dokumentera era personuppgiftsbehandlingar och ert arbete med GDPR. Boka gärna en demo av GDPR Hero idag här.