Enligt Dataskyddsförordningen (GDPR), så behöver varje företag, myndighet eller annan organisation förstå skillnaden mellan bregeppen personuppgiftsansvarig och personuppgiftsbiträde. Beroende på vilken typ din verksamhet faller under så sätter GDPR skyldigheter och begränsningar för vad du kan göra med personuppgifter samt vem som är ansvarig för vad.
Vem är personuppgiftsansvarig?
Den som bestämmer över personuppgiftsbehandlingen är personuppgiftsansvarig. Personuppgiftsansvariga är så gott som alltid ett företag, en organisation eller en myndighet. Privatpersoner kan också vara personuppgiftsansvariga, men bara när behandlingen av personuppgifter sker för personens egen räkning och berör andra personer än den egna familjen eller hushållet.
Dataskyddsförordningens definition: ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt”.
Kort sagt är personuppgiftsansvarig den som bestämmer “varför” och “hur” personuppgifter ska behandlas i organisationen.
Vem är personuppgiftsbiträde?
Ett personuppgiftsbiträde är ett företag, en organisation eller annan person som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Det är viktigt att påpeka att personuppgiftsbiträdet inte kontrollerar personuppgiftsbehandlingen och inte kan ändra syftet eller användningen av uppgifterna. Personuppgiftsbiträdet är istället begränsad till att behandla personuppgifter enligt instruktionerna och syftet som givits av den personuppgiftsansvarige.
Dataskyddsförordningens definition: ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning”.
Kort sagt är personuppgiftsbiträdet utsedd för att utföra specifika uppgifter för att uppnå de mål som ställts upp av den som är personuppgiftsansvarig.
Är vi personuppgiftsansvariga eller personuppgiftsbiträden?
Det är inte alltid svart eller vitt när det kommer till denna fråga. I vissa fall kan det krävas en detaljerad granskning för att komma fram till ett svar.
Nedan hittar du några exempel som kan hjälpa dig att förstå vilken roll du spelar när du behandlar personuppgifter.
Du kan vara personuppgiftsansvarig om du:
- samlar in personuppgifter
- modifierar personuppgifter
- bestämmer varför personuppgifter behandlas
- bestämmer om personuppgifter ska delas och i så fall med vem
- bestämmer hur länge personuppgifterna ska lagras
Du kan vara personuppgiftsbiträde om du:
- implementerar it-system för att samla in personuppgifter
- använder vissa verktyg eller tekniker för att samla in personuppgifter
- installerar och tar hand om säkerheten omkring personuppgifterna
- lagrar personuppgifterna
- överför personuppgifterna från en verksamhet till en annan
Några exempel
Dessa typer av verksamheter är vanligtvis personuppgiftsansvariga:
- Banker
- Försäkringar
- Myndigheter
- Postföretag
- Operatörer
- Inkassoföretag
- Revisionsbyråer
- Advokatbyråer
- Försäkringsförmedlare
- Företagshälsovård
- Sjukvård
- Tandläkare
- Föreningar (inkl. bostadsrättsföreningar)
- Sociala medier
- Digitala plattformstjänster
- Mäklare
Dessa typer av verksamheter är vanligtvis personuppgiftsbiträde:
- Tryckerier
- Callcenter
- Arkiveringstjänster
- Tjänster för IT-support
- IT-säkerhetsföretag
- Tandtekninker
- Medicinska labratorier
- Faktureringstjänster
- Inscanningscentraler
- Molntjänster
- Office 365, Google Apps, osv
- SMS-leverantör
- Samarbetsverktyg, samarbetsplattforme, chattverktyg, osv.
- Fillagring, filöverföring, osv.
- Videosamtal, VoIP-samtal, osv.
- E-post
- Grupp SMS
Dessa exempel är inte uttömmande, men kan förhoppningsvis hjälpa till när du ska bedömma när du är personuppgiftsansvarig och när du är ett personuppgiftsbiträde.
Har du frågor?
Om du fortfarande har funderingar, rekommenderar vi att du kontaktar oss för en konsultation. Vi hjälper både beställare och leverantörer med att upprätta och granska personuppgiftsbiträdesavtal som lever upp till kraven i dataskyddsförordningen.