Vad är en personuppgiftsansvarig?

En personuppgiftsansvarig bestämmer ändamålen och medlen för behandlingen av personuppgifter. Med andra ord bestämmer den personuppgiftsansvarige hur och varför en behandling av personuppgifter ska ske. En personuppgiftsansvarig kan vara en juridisk person, till exempel ett företag, , en offentlig myndighet, en byrå eller en annan verksamhet.

I vissa fall kan ändamålen och medlen för behandling av personuppgifter, liksom den personuppgiftsansvarige, bestämmas av EU:s eller medlemsstaternas lagstiftning.

Vad är ett gemensamt personuppgiftsansvar?

När det finns två eller flera personuppgiftsansvariga som gemensamt bestämmer ändamålen och medlen för behandlingen betraktas de som gemensamt personuppgiftsansvariga. De beslutar tillsammans att behandla personuppgifter för ett gemensamt ändamål. Gemensamt personuppgiftsansvar kan ta sig många former och de olika personuppgiftsansvarigas deltagande kan vara ojämlikt. Gemensamt personuppgiftsansvariga måste därför fastställa sitt respektive ansvar för efterlevnaden av dataskyddsförordningen.

Vilket ansvar har en personuppgiftsansvarig eller en gemensam personuppgiftsansvarig?

Vid beslut om ändamål och medel för behandling av personuppgifter ska den personuppgiftsansvarige eller gemensamt personuppgiftsansvariga se till att enskildas personuppgifter skyddas. 

För att uppnå detta måste den personuppgiftsansvarige, eller gemensamma personuppgiftsansvariga, vidta åtgärder för att skydda personuppgifter och göra det möjligt för enskilda att utöva sina rättigheter.

För mer information, se checklistan ”Personuppgiftsansvariges/Gemensamt personuppgiftsansvarigas skyldigheter”

Vad är ett personuppgiftsbiträde?

Ett personuppgiftsbiträde agerar endast enligt den personuppgiftsansvariges instruktioner genom att behandla personuppgifter för den personuppgiftsansvariges räkning.

I likhet med en personuppgiftsansvarig eller gemensamt personuppgiftsansvarig kan ett personuppgiftsbiträde vara en juridisk person, till exempel ett företag, , en offentlig myndighet, en byrå eller andra verksamheter.

 

Vad är ett underbiträde?

Ett underbiträde agerar enligt personuppgiftsbiträdets instruktioner, vilket innebär att de kan behandla enskildas personuppgifter på uppdrag av personuppgiftsbiträdet. En underentreprenör kan vara en juridisk person, till exempel ett företag, en offentlig myndighet, en byrå eller en annan verksamhet.

Observera att ett underbiträde endast kan utses om den personuppgiftsansvarige, eller den gemensamma personuppgiftsansvarige, godkänner detta i skriftlig form. Om så är fallet ska personuppgiftsbiträdet upprätta ett bindande avtal med underbiträdet med uppgift om underbiträdets ansvar. Detta personuppgiftsbiträdesavtal ska ge samma skydd för enskilda personers personuppgifter som det ursprungliga avtalet mellan personuppgiftsansvarig och personuppgiftsbiträde.

Vad är ett personuppgiftsbiträdes ansvar?

Även om det övergripande ansvaret i allmänhet ligger hos den personuppgiftsansvarige, har personuppgiftsbiträden också ett visst ansvar enligt GDPR. Personuppgiftsbiträden måste utföra behandlingen med lämpliga tekniska och organisatoriska åtgärder enligt instruktioner från den personuppgiftsansvarige eller den gemensamt personuppgiftsansvarige. Därigenom hjälper personuppgiftsbiträdet den personuppgiftsansvarige att följa dataskyddsförordningen.

Förhållandet mellan personuppgiftsansvarig och personuppgiftsbiträde, inklusive personuppgiftsbiträdets ansvar, måste regleras genom ett avtal där behandlingen och medlen för behandling av personuppgifter dokumenteras.
 

För mer information, se ”Checklista för personuppgiftsbiträdets ansvar”.

 

Vad ska ingå i ett avtal mellan personuppgiftsansvarig och personuppgiftsbiträde?

I avtalet mellan den personupgiftsansvarige eller den gemensamt personuppgiftsansvarige och personuppgiftsbiträdet ska det föreskrivas att personuppgiftsbiträdet

  • behandlar personuppgifterna endast enligt den personuppgiftsansvariges instruktioner, inbegripet när det gäller överföring av personuppgifter till ett land utanför EES,
  • säkerställer att de personer som är behöriga att behandla uppgifterna har åtagit sig att iaktta sekretess eller har en lämplig lagstadgad tystnadsplikt,
  • säkerställer säkerheten vid behandlingen,
  • inte får anlita ett annat personuppgiftsbiträde utan föregående särskilt eller allmänt skriftligt tillstånd från den personuppgiftsansvarige, som ska ha en meningsfull möjlighet att invända,
  • bistår den personuppgiftsansvarige med fullgörandet av den personuppgiftsansvariges skyldigheter att svara på enskildas begäran om att utöva sina rättigheter,
  • bistår den personuppgiftsansvarige med att säkra behandlingen, anmäla personuppgiftsincidenter och utföra konsekvensbedömningar avseende dataskydd,
  • enligt den personuppgiftsansvariges val raderar eller returnerar alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av tjänster har upphört.
  • gör all nödvändig information tillgänglig för den personuppgiftsansvarige för att visa att skyldigheterna enligt dataskyddsförordningen efterlevs,
  • möjliggör och bidrar till kontroller, inbegripet inspektioner som utförs av den personuppgiftsansvarige eller en annan  som den personuppgiftsansvarige bemyndigat att utföra inspektioner.

Vad ska ingå i ett avtal mellan personuppgiftsbiträde och underbiträde?

Avtalet mellan personuppgiftsbiträdet och underbiträdet måste innehålla särskilda klausuler som garanterar att de personuppgifter som ska behandlas skyddas på samma sätt som i avtalet mellan personuppgiftsansvarig och personuppgiftsbiträde.

 

Vem är ansvarig gentemot vem?

En personuppgiftsansvarig, eller gemensamt personuppgiftsansvarig, är ansvarig för både sin egen efterlevnad av GDPR och för det valda personuppgiftsbiträdets efterlevnad. Konkret, om personuppgiftsbiträdet bryter mot sina skyldigheter enligt GDPR, kan den personuppgiftsansvarige, eller gemensamt personuppgiftsansvarige, hållas ansvarig och bli föremål för sanktionsavgifter och andra konsekvenser i förekommande fall.

Ett personuppgiftsbiträde är ansvarigt för både sin egen efterlevnad av GDPR och kan vara ansvarig gentemot den personuppgiftsansvarige för brott mot personuppgiftsbiträdesavtalet. Ett personuppgiftsbiträde kan också vara ansvarigt gentemot den personuppgiftsansvarige för de överträdelser som orsakats av ett underbiträde. 

 

Checklista över ansvarsområden

Checklista för den personuppgiftsansvariges eller den gemensamt personuppgiftsansvariges ansvar

  • Efterleva dataskyddsprinciperna i artikel 5 i dataskyddsförordningen
  • Upprätthålla enskilda personers rättigheter till skydd av sina personuppgifter
  • Föra register över personuppgiftsbehandlingar
  • Säkerställa säkerheten vid behandling av personuppgifter
  • Välja ett lämpligt personuppgiftsbiträde
  • Upprätta ett bindande avtal med närmare uppgifter om förhållandet mellan personuppgiftsansvarig och personuppgiftsbiträde
  • Anmäla personuppgiftsincidenter till relevant dataskyddsmyndighet och till enskilda personer, i tillämpliga fall
  • Vara ansvarig för behandlingen, tillämpa inbyggt dataskydd och  dataskydd som standard, vid behov utföra konsekvensbedömningar avseende dataskydd
  • Utnämna ett dataskyddsombud vid behov
  • Fullgöra dataskyddsskyldigheterna vid internationella överföringar av personuppgifter
  • Samarbeta med dataskyddsmyndigheter

Checklista för personuppgiftsbiträdens ansvar
 

  • Följa den personuppgiftsansvariges instruktioner
  • Föra register över personuppgiftsbehandlingar
  • Säkerställa säkerheten vid behandlingen
  • Respektera och upprätthålla det bindande avtalet mellan personuppgiftsansvarig och personuppgiftsbiträde
  • Få den personuppgiftsansvariges tillstånd innan ett nytt underbiträde anlitas (och ge den personuppgiftsansvarige möjlighet att invända). I förekommande fall måste ett avtal mellan personuppgiftsbiträde och underbiträde upprättas och motsvara det ursprungliga avtalet mellan personuppgiftsansvarig och personuppgiftsbiträde.
  • Anmäla personuppgiftsincidenter till personuppgiftsansvarig
  • Anmäla GDPR-överträdelser till den personuppgiftsansvarige
  • Ansvara för behandlingen: t.ex. genom att tillämpa inbyggt dataskydd och dataskydd som standard
  • Utnämna ett dataskyddsombud vid behov
  • Säkerställa att internationella överföringar tillåts av den personuppgiftsansvarige och följer GDPR
  • Samarbeta med dataskyddsmyndigheter