Gränsdragningen mellan att vara personuppgiftsansvarig respektive personuppgiftsbiträde kan vara svår. Skillnaden är emellertid viktig eftersom den personuppgiftsansvarige har ett större ansvar i förhållande till personuppgiftsbiträdet.

Personuppgiftsansvarig

En personuppgiftsansvarig kan vara antingen en fysisk eller juridisk person, en myndighet eller en institution eller ett annat organ som ensamt eller med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Förenklat innebär det att den personuppgiftsansvarige bestämmer hur och varför en behandling av personuppgifter ska ske. Den personuppgiftsansvariges ansvar regleras i Dataskyddsförordningen 2016/679 (GDPR) art. 24. Med hänsyn till hur personuppgifterna behandlas, till exempel vilken typ av uppgifter, hur mycket som behandlas, i vilket sammanhang och i vilket syfte samt vilka risker som finns för människors rättigheter och friheter, ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder.

Personuppgiftsbiträde

Ett personuppgiftsbiträde är den som behandlar personuppgifter för personuppgiftsansvariges räkning (GDPR art. 4). Om någon ska behandla personuppgifter för den personuppgiftsansvariges räkning, får den personuppgiftsansvarige endast anlita personuppgiftsbiträden som kan visa att de har tillräckliga säkerhetsåtgärder. Dessa åtgärder kan vara tekniska och organisatoriska och ska säkerställa att behandlingen följer förordningens krav samt skyddar den registrerades rättigheter. (GDPR art. 28). Personuppgiftsbiträdet och de personer som arbetar under den personuppgiftsansvariges eller biträdets ansvar, och som har tillgång till personuppgifter, får bara behandla uppgifterna enligt instruktioner från den personuppgiftsansvarige. Undantag gäller om de enligt EU- rätt eller nationell lag är skyldiga att behandla uppgifterna på annat sätt (GDPR art. 29). Behandling som utförs av personuppgiftsbiträden ska regleras genom ett avtal med den personuppgiftsansvarige eller genom en annan rättsligt bindande handling.

Personuppgiftsansvarig respektive personuppgiftsbiträde för företag

Ett företag som behandlar personuppgifter om sina anställda, kunder eller leverantörer är personuppgiftsansvarigt. Det innebär att det är bolagets styrelse som ansvarar för att reglerna följs inom företaget. När ett företag behandlar andra personuppgiftsansvarigas uppgifter i enlighet med dess instruktioner är företaget personuppgiftsbiträde. I sådant fall ska det finnas ett personuppgiftsbiträdesavtal. Om ett företag anlitar ett annat företag för exempelvis bokföring eller marknadsföring, vilket inkluderar behandling av personuppgifter, agerar det anlitande företaget personuppgiftsansvarig och det företag som anlitats agerar som personuppgiftsbiträde. Det innebär att det anlitade företaget måste behandla personuppgifterna enligt det personuppgiftsansvariga företagets instruktioner. Den personuppgiftsansvarige kan överlåta själva hanteringen av personuppgifter till någon annan, men ansvaret för personuppgifterna kan aldrig överlåtas. Det är alltid den personuppgiftsansvarige som ska säkerställa att behandlingen sker i enlighet med Dataskyddsförordningen. Två verksamheter kan vara gemensamt personuppgiftsansvariga.

Prata gärna GDPR med oss och läs om vårt erbjudande inom GDPR.