Feb 28
GDPR Confused if I am a data controller or processor

GDPR Grunder: Vad är skillnaden mellan en personuppgiftsansvarig och ett personuppgiftsbiträde?

En av de grundläggande sakerna vi lär oss på juristlinjen är att förstå vilka skyldigheter och rättigheter någon har i en given situation. Att veta som är vem i en relation är viktigt – speciellt om något skulle gå fel.

När det gäller GDPR, så behöver du förstå vilken typ av organisation du arbetar i. Detta översätts i vilka rättigheter och skyldigheter du har när det kommer till hantering och behandling av personuppgifter.

Enligt GDPR, så behöver organisationer förstå skillnaden mellan personuppgiftsansvarig och personuppgiftsbiträden. Beroende på vilken typ ditt företag faller under så sätter GDPR skyldigheter och begränsningar för vad du kan göra med personuppgifter samt vem som är ansvarig för vad.

Vad är en personuppgiftsansvarig?

En personuppgiftsansvarig är en viktig spelare när det kommer till att skydda rättigheterna av de registrerade (dvs. individen).

Den personuppgiftsansvarige, som namnet antyder, kontrollerar övergripande syfte och medel, eller ”varför” och ”hur” data ska data användas.

Den personuppgiftsansvarige kan också behandla data självt. Det kan dock finnas situationer där en personuppgiftsansvarig behöver använda en extern leverantör eller tjänst för att behandla data vidare.

I det fallet låter personuppgiftsansvarige ett annat företag behandla personuppgifterna. Detta betyder inte att den personuppgiftsansvarige ger kontrollen till ett annat företag. Den personuppgiftsansvarige förblir i kontroll genom att sätta kontrollen och syftet till varför biträdet behandlar data.

De här typen av situationer blir allt vanligare i dagens sammankopplade ekonomi. Det är därför vi också behöver förtydliga den personuppgiftsansvariges roll.

Vad är ett personuppgiftsbiträde?

Den personuppgiftsansvarige kan använda ett annat företag att utföra behandlingen av data. De organisationer som behandlar data å den personuppgiftsansvariges vägnar kallas personuppgiftsbiträden.

Det är viktigt att påpeka att biträdet inte kontrollerar data och inte kan ändra syftet eller användningen av datat. Personuppgiftsbiträdet är begränsad till att bearbeta data enligt instruktionerna och syftet som givits av den ansvarige.

Ett bra sätt att tänka på ett biträde är som en specialiserad teknisk partner, utsedd för att utföra specifika uppgifter för att uppnå de mål som ställts upp av den ansvarige.

Varför är denna skillnad viktig?

I en perfekt värld skulle den personuppgiftsansvarige och personuppgiftsbiträdet veta exakt vilka roller de hade och kommunikation mellan dem skulle vara sömlös. Tyvärr är den riktiga världen långt från perfekt och därmed kommer GDPR etablera ramverk och roller i vilka problem kan dyka upp

Ett vanligt exempel där det är avgörande att veta en roll är vid ett dataintrång. I sådana fall behöver de företag som har påverkats av överträdelsen se till att de har handlat i enlighet med sina ansvarsområden.

I dagens värld är det viktigt att förstå att nästan alla företag lägger ut en del av behandlingen till en extern leverantör. Som personuppgiftsansvarig behöver man se till att biträdet är medveten om sina GDPR-förpliktelser.

En rekommendation är att se till att det finns ett tydligt och specifikt avtal innan du överlämnar behandlingen till en tredje part. Det är viktigt att veta vad ditt företags engagemang är när det gäller de uppgifter du hanterar.

Det är viktigt att förstå att nästan alla företag outsourcar någon del av sin behandling till ett externt personuppgiftsbiträde. Som en personuppgiftsansvarig behöver man se till att personuppgiftsansvarige är medveten om vad sitt företags engagemang är,  med avseende på de uppgifter du hanterar.

En vanlig rekommendation är att se till att det finns ett tydligt och specifikt avtal innan du överlämnar behandlingen till en tredje part. Det är viktigt att veta exakt vad ditt företags engagement är, med avseende på de uppgifter du hanterar.

Är vi en personuppgiftsansvarig eller ett personuppgiftsbiträde?

Det är inte alltid svart eller vitt vad gäller denna fråga. I vissa fall kan det vara en gråzon som behöver legal expertis för att förtydliga saker och ting.

För att komma igång, här är en guide som hjälper dig att förstå vilken roll du spelar när du behandlar personlig data.

Du kan vara en personuppgiftsansvarig om din organisation:

  • samlar in personuppgifter och har en rättslig grund för att göra så,
  • vilka uppgifter av personuppgifter som ska samlas in,
  • att modifiera data,
  • syftet till vilket personuppgifterna ska användas,
  • huruvida data ska delas och i så fall med vem,
  • hur länge datan ska lagras.

Din organisation kan vara ett biträde om en ansvarig instruerat er att utföra några av följande uppgifter:

  • implementera IT-system eller andra metoder för att samla in personuppgifter,
  • använd vissa verktyg eller tekniker för att samla in personuppgifter,
  • installera säkerheten kring personuppgifterna,
  • lagra personuppgifterna,
  • överföra personuppgifter från en organisation till en annan.

Dessa listor är inte exklusiva och osäkerheter kan givetvis uppstå. Vi hoppas att den här artikeln har hjälpt dig att förstå lite bättre vad skillnaden mellan en ansvarig och ett biträde är.

Det är en skillnad som kan hjälpa dig att förstå din organisations roll när GDPR träder i kraft. Om du fortfarande har funderingar, rekommenderar vi att du samråder med en juridisk expert.