Den snabba tekniska utvecklingen inom området molntjänster har lett till en ökad komplexitet vid behandling av personuppgifter där flera olika aktörer deltar i en personuppgiftsbehandling. En central fråga är vilken eller vilka av dessa aktörer som blir personuppgiftsansvarig för personuppgiftsbehandlingen, när ett gemensamt personuppgiftsansvar aktualiseras och när en aktör ska klassas som personuppgiftsbiträde i enlighet med reglerna i dataskyddsförordningen (GDPR).
Kursen ger dig en egenomgång av dataskyddsförordningens regler för att bedöma om en aktör som behandlar personuppgifter ska klassas som personuppgiftsansvarig eller personuppgiftsbiträde och i vilka situationer ett gemensamt personuppgiftsansvar aktualiseras. Innehållet baseras på olika tillsynsmyndigheters vägledningar och beslut, rättspraxis från EU-domstolen och rättspraxis från nationella domstolar.
Kursen riktar sig till alla som behöver utreda eller bedöma huruvida en aktör är personuppgiftsansvarig, gemensamt personuppgiftsansvarig eller personuppgiftsbiträde, oavsett om ni arbetar inom privat eller offentlig sektor. Genom att delta i kursen får du goda kunskaper i ämnet samt tips och råd på konkreta ansvarsförhållanden som kan vara relevanta för din organisation.
Kursinnehåll
Under kursen kommer vi att titta närmare på begreppen personuppgiftsansvarig, gemensamt personuppgiftsansvarig och personuppgiftsbiträde. Vi kommer att använda relevanta vägledningar från tillsynsmyndigheter, rättspraxis och doktrin för att avgränsa begreppen från varandra. Vi kommer även att analysera hur dessa begrepp hänger ihop med begreppet behandling av personuppgifter och vad du behöver tänka på rent praktiskt vid regleringen av komplexa ansvarsförhållanden.
Efter kursen kan du besvara frågor som:
- När är en aktör personuppgiftsansvarig?
- När är en aktör personuppgiftsbiträde?
- När är två eller flera aktörer gemensamt personuppgiftsansvariga?
- Kan en aktör bli personuppgiftsansvarig eller personuppgiftsbiträde för en del i en behandling?
- Kan en leverantör samtidigt vara personuppgiftsansvarig och personuppgiftsbiträde?
- Kan två eller flera företag eller myndigheter bli gemensamt personuppgiftsansvariga?
- Kan ett bolag i en koncern agera som personuppgiftsbiträde gentemot andra bolag i koncernen?
- Kan en nämnd i en kommun eller region agera som personuppgiftsbiträde gentemot andra nämnder?
- Kan en myndighet agera som personuppgiftsbiträde gentemot andra myndigheter?
- Kan min organisation bli gemensamt personuppgiftsansvarig med molntjänstleverantörer?
- Kan min organisation bli gemensamt personuppgiftsansvarig med företag som tillhandahåller sociala medier?
- Vad är konsekvenserna av att bli klassad som personuppgiftsansvarig eller personuppgiftsbiträde?
- När behövs ett personuppgiftsbiträdesavtal?
- Kan jag använda ett personuppgiftsbiträdesavtal för att reglera ett gemensamt personuppgiftsansvar?
- Vad ska jag tänka på vid reglering av komplexa ansvarsförhållanden?