Bedömning av personuppgiftsansvar
Stöd i bedömningen om vem eller vilka verksamheter som är personuppgiftsansvarig för behandlingen. Det är viktigt att klargöra det tidigt eftersom det är den personuppgiftsansvariga som är ansvarig för att personuppgiftsbehandlingen följer dataskyddsförordningen.
Personuppgiftsansvar
Begreppet personuppgiftsansvarig [1] är ett funktionellt begrepp, vilket innebär att det är den faktiska kontrollen över personuppgiftsbehandlingen som är avgörande vid bedömningen av vilken organisation som är personuppgiftsansvarig. Personuppgiftsansvarig är den som, ensam eller tillsammans med andra, bestämmer ändamål och medel för behandling. Du och din organisation måste med andra ord veta vilken faktisk roll och konkret påverkan på personuppgiftsbehandlingen som alla inblandade har.
I vissa fall finns det lagstiftning som anger vem som är personuppgiftsansvarig för en behandling, till exempel i patientdatalagen, socialförsäkringsbalkens 114:e kapitel, lag om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet eller polisdatalagen. Om det inte finns en lag som pekar ut vilken aktör som är personuppgiftsansvarig måste du och din organisation kartlägga de faktiska omständigheterna för personuppgiftsbehandlingen för att kunna avgöra vilken aktör som är ansvarig.
Gemensamt personuppgiftsansvar
Om flera aktörer är inblandade i en personuppgiftsbehandling måste det utredas om det kan föreligga ett gemensamt personuppgiftsansvar [2] för hela eller delar av behandlingen. Om det går att konstatera att ett gemensamt personuppgiftsansvar föreligger så finns en skyldighet för aktörerna att under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt dataskyddsförordningen [3]. Men notera att bara för att flera parter är involverade i samma personuppgiftsbehandling betyder inte det att de är gemensamt personuppgiftsansvariga för behandlingen. Det krävs en individuell bedömning av varje behandling och varje aktörs roll.
- Om flera aktörer gemensamt bestämmer ändamålen och medlen för behandlingen är de gemensamt personuppgiftsansvariga. Att gemensamt fastställa ändamålen innebär att aktörerna behandlar uppgifterna för samma eller gemensamma ändamål.
- Om aktörerna inte har samma ändamål med behandlingen kan det ändå vara gemensamt personuppgiftsansvar, om de berörda aktörerna eftersträvar ändamål som är nära sammankopplade eller kompletterande [4].
- I vissa fall är det svårt att avgöra om det finns gemensamma ändamål för behandlingen. Då bör bedömningen istället fokusera på om aktörernas beslut är sammanflätade och att behandlingen inte skulle vara möjlig utan att båda deltar. Om aktörernas behandling är oskiljbar i relation till den andra, så kallat oupplösligt länkad, indikerar det ett gemensamt personuppgiftsansvar [5].
- Om flera aktörer är inblandade i en behandling kan det också vara så att aktörerna är självständigt ansvariga, men för olika delar av behandlingen. Då föreligger inte ett gemensamt personuppgiftsansvar. Det bör dock göras tydligt vem som är ansvarig för vilken behandling, till exempel genom någon form av överenskommelse eller avtal, även om inget gemensamt personuppgiftsansvar föreligger.
- Om ett avtal mellan två aktörer anger att en av parterna ska vara personuppgiftsansvarig är det viktigt att kontrollera att avtalet återspeglar de faktiska omständigheterna vid behandlingen. Det går alltså inte att avtala om att en aktör är personuppgiftsansvarig eller att aktörerna är gemensamt personuppgiftsansvariga, om aktörerna i verkligheten inte har sådant inflytande över behandlingen att de faktiskt bestämmer ändamål och medel, självständigt eller gemensamt.
Personuppgiftsbiträde
Personuppgiftsbiträde [6] är en aktör utanför den egna organisationen som behandlar personuppgifter på uppdrag av den personuppgiftsansvariga. Det kan vara en fysisk eller juridisk person. Ett personuppgiftsbiträde har inte inflytande över ändamål och medel för behandlingen utan agerar för att omhänderta den personuppgiftsansvarigas intressen och får endast behandla personuppgifter enligt den personuppgiftsansvarigas instruktioner.
Vid val av personuppgiftsbiträde ska den personuppgiftsansvariga enbart anlita personuppgiftsbiträden som ger tillräckliga garantier för behandlingen [7]. Behandling som utförs av ett personuppgiftsbiträde ska regleras av ett personuppgiftsbiträdesavtal [8].
Om personuppgiftsbiträdet har egen personuppgiftsbehandling, som endast sker för biträdets egna ändamål, är aktören själv personuppgiftsansvarig för den behandlingen.
Stödfrågor för att bedöma personuppgiftsansvar
Om frågorna 1-4 besvaras med ja indikerar det att du och din organisation är personuppgiftsansvariga. Om du tillsammans med en annan verksamhet bestämmer hur och varför personuppgifter ska behandlas kan det vara fråga om gemensamt personuppgiftsansvar.
- Är det ni som bestämmer varför behandlingen ska ske och vilka ändamål den har?
- Bestämmer ni vilken typ av och hur länge personuppgifter ska behandlas?
- Är det ni som bestämmer hur behandlingen kommer att ske?
- Bestämmer ni till exempel hur uppgifterna ska samlas in, hur de organiseras, med vilka tjänster eller system de ska behandlas och hur de lämnas ut?
- Förväntas det av er roll att ni behandlar personuppgifter? Det kan till exempelvis antas att en arbetsgivare behandlar personuppgifter om sina anställda, eller att en myndighet som utfärdar tillstånd behandlar personuppgifter om enskilda som söker tillstånd, kanske både enskilda privatpersoner och personer som är företrädare för företag.
- Vilka aktörer kommer att behandla personuppgifterna?
- Vem eller vilka kommer att bestämma ändamål och medel för behandlingen?
- Har flera aktörer inflytande över hur personuppgifterna behandlas?
- Anlitas personuppgiftsbiträden i någon del vid behandlingen?
- Finns aktören som kan vara biträde utanför den egna organisationen??
- Agerar aktören endast för att tillgodose den personuppgiftsansvariges intressen och ändamål i fråga om personuppgiftsbehandling?
- Agerar aktören endast på instruktioner från den personuppgiftsansvarige?
- Finns aktören som kan vara biträde utanför den egna organisationen??
Källhänvisningar
[1] Artikel 4.7 i dataskyddsförordningen (imy.se) Länk till annan webbplats. samt s. 10 och 12, p. 12 och 21 i EDPB:s Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR (edpb.europa.eu) Länk till annan webbplats.
[2] Artikel 26.1 i dataskyddsförordningen (imy.se) Länk till annan webbplats. samt s. 24–26 i EDPB:s Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR (edpb.europa.eu) Länk till annan webbplats.
[3] Artikel 26.1 i dataskyddsförordningen (imy.se) Länk till annan webbplats.
[4] Se s. 22-23, p. 59-62 i EDPB:s Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR (edpb.europa.eu) Länk till annan webbplats.
[5] Se s. 3, 21 (p. 55) och sid. 55 i EDPB:s Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR (edpb.europa.eu) Länk till annan webbplats.
[6] Artikel 4.8 i dataskyddsförordningen (imy.se) Länk till annan webbplats. samt s. 27 ff, särskilt p. 73-81 i EDPB:s Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR (edpb.europa.eu Länk till annan webbplats.)
[7] Artikel 28.1 i dataskyddsförordningen (imy.se) Länk till annan webbplats. samt s. 33-34, p. 94-99 i EDPB:s Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR (edpb.europa.eu) Länk till annan webbplats.
[8] Artikel 28.3–28.4 i dataskyddsförordningen (imy.se) Länk till annan webbplats.
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: