Kunskap: Skillnaden mellan personuppgiftsansvarig och personuppgiftsbiträde

Enligt Dataskyddsförordningen (GDPR), så behöver varje företag, myndighet eller annan organisation förstå skillnaden mellan bregeppen personuppgiftsansvarig och personuppgiftsbiträde. Beroende på vilken typ din verksamhet faller under så sätter GDPR skyldigheter och begränsningar för vad du kan göra med personuppgifter samt vem som är ansvarig för vad.

Vem är personuppgiftsansvarig?

Den som bestämmer över personuppgiftsbehandlingen är personuppgiftsansvarig. Personuppgiftsansvariga är så gott som alltid ett företag, en organisation eller en myndighet. Privatpersoner kan också vara personuppgiftsansvariga, men bara när behandlingen av personuppgifter sker för personens egen räkning och berör andra personer än den egna familjen eller hushållet.

Dataskyddsförordningens definition: ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt”.

Kort sagt är personuppgiftsansvarig den som bestämmer “varför” och “hur” personuppgifter ska behandlas i organisationen.

Vem är personuppgiftsbiträde?

Ett personuppgiftsbiträde är ett företag, en organisation eller annan person som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Det är viktigt att påpeka att personuppgiftsbiträdet inte kontrollerar personuppgiftsbehandlingen och inte kan ändra syftet eller användningen av uppgifterna. Personuppgiftsbiträdet är istället begränsad till att behandla personuppgifter enligt instruktionerna och syftet som givits av den personuppgiftsansvarige.

Dataskyddsförordningens definition: ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning”.

Kort sagt är personuppgiftsbiträdet utsedd för att utföra specifika uppgifter för att uppnå de mål som ställts upp av den som är personuppgiftsansvarig.

Är vi personuppgiftsansvariga eller personuppgiftsbiträden?

Det är inte alltid svart eller vitt när det kommer till denna fråga. I vissa fall kan det krävas en detaljerad granskning för att komma fram till ett svar.

Nedan hittar du några exempel som kan hjälpa dig att förstå vilken roll du spelar när du behandlar personuppgifter.

Du kan vara personuppgiftsansvarig om du:

  • samlar in personuppgifter
  • modifierar personuppgifter
  • bestämmer varför personuppgifter behandlas
  • bestämmer om personuppgifter ska delas och i så fall med vem
  • bestämmer hur länge personuppgifterna ska lagras

Du kan vara personuppgiftsbiträde om du:

  • implementerar it-system för att samla in personuppgifter
  • använder vissa verktyg eller tekniker för att samla in personuppgifter
  • installerar och tar hand om säkerheten omkring personuppgifterna
  • lagrar personuppgifterna
  • överför personuppgifterna från en verksamhet till en annan

Några exempel

Dessa typer av verksamheter är vanligtvis personuppgiftsansvariga:

  • Banker
  • Försäkringar
  • Myndigheter
  • Postföretag
  • Operatörer
  • Inkassoföretag
  • Revisionsbyråer
  • Advokatbyråer
  • Försäkringsförmedlare
  • Företagshälsovård
  • Sjukvård
  • Tandläkare
  • Föreningar (inkl. bostadsrättsföreningar)
  • Sociala medier
  • Digitala plattformstjänster
  • Mäklare

Dessa typer av verksamheter är vanligtvis personuppgiftsbiträde:

  • Tryckerier
  • Callcenter
  • Arkiveringstjänster
  • Tjänster för IT-support
  • IT-säkerhetsföretag
  • Tandtekninker
  • Medicinska labratorier
  • Faktureringstjänster
  • Inscanningscentraler
  • Molntjänster
    • Office 365, Google Apps, osv
    • SMS-leverantör
    • Samarbetsverktyg, samarbetsplattforme, chattverktyg, osv.
    • Fillagring, filöverföring, osv.
    • Videosamtal, VoIP-samtal, osv.
    • E-post
    • Grupp SMS

Dessa exempel är inte uttömmande, men kan förhoppningsvis hjälpa till när du ska bedömma när du är personuppgiftsansvarig och när du är ett personuppgiftsbiträde.

Har du frågor?

Om du fortfarande har funderingar, rekommenderar vi att du kontaktar oss för en konsultation. Vi hjälper både beställare och leverantörer med att upprätta och granska personuppgiftsbiträdesavtal som lever upp till kraven i dataskyddsförordningen.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.