Vad är ett personuppgiftsbiträde?

Ett personuppgiftsbiträde är någon som behandlar personuppgifter för en personuppgiftsansvarig. I dataskyddsförordningens (GDPR) art. 4 definieras person-uppgiftsbiträden som ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning”. Vi kan ta hjälp av ett enklare exempel för att illustrera vad ett personuppgiftsbiträde är. Ett företag har anlitat en revisionsbyrå för att få hjälp med att betala ut löner till företagets anställda. För att revisionsbyrån ska kunna betala ut lönerna kommer de behöva uppgifter om de anställda t.ex. deras namn, adress, personnummer och lön. Revisionsbyrån blir därmed företagets personuppgiftbiträde.

Vad kommer förändras gällande personuppgiftsbiträdets roll?

Personuppgiftsbiträde finns omnämnt i den nuvarande personuppgiftslagen men i och med GDPR kommer rollen som personuppgiftsbiträde att ändras. Bland annat kommer ett personuppgiftsbiträde få utökat ansvar för personuppgiftsbehandlingen. Tre av de viktigaste förändringarna är:

  1. Ett personuppgiftsbiträde kommer i stort sett alltid behöva föra register över alla de kategorier av behandling som utförs för den personuppgiftsansvariges räkning.
  2. Ett personuppgiftsbiträde kommer ansvara för att vidta säkerhetsåtgärder för att behandlingen av personuppgifter ska vara tillräckligt säker. Det innebär bland annat att fortlöpande testa och utvärdera system.
  3. Ett personuppgiftsbiträde riskerar sanktionsavgifter om de inte följer skyldigheter som sätts upp i förordningen. De högsta beloppen som kan dömas ut är 20 miljoner euro eller 4 % av företagets årsomsättning.

Förberedelse

Som personuppgiftsbiträde måste man ställa upp tillräckliga garantier för att de skyldigheter som GDPR ställer upp kommer att efterlevas. Man måste också kunna garantera att de registrerades rättigheter skyddas. Gör man inte detta, får en personuppgiftsansvarig inte anlita det person-uppgiftsbiträdet. Här kommer några korta tips, som kan vara bra att gå igenom: Se över vilka kategorier av personuppgifter ni behandlar. Avgör vem behandlingen görs för. Börja anpassa verksamheten efter de krav som ställs i GDPR. Se över era rutiner för personuppgiftsbehandling. Har ni en ansvarig för dataskyddsfrågor i er organisation? Om inte, kan det vara bra att utse en, som då har möjlighet att arbeta aktivt med organisationens hantering av personuppgifter.

Josefin Karlström

josefin.karlstrom@sallbergco.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.
Share This