En förutsättning för att kunna tillämpa GDPR är att förstå vem som är personuppgiftsansvarig för hanteringen av data om t.ex. kunder och anställda. Den europeiska dataskyddsstyrelsen EDPB skickar nu ut en riktlinje om detta på remiss. Anna Lööv, partner på Kompass Advokat och specialist på frågor om dataskydd, går igenom de viktigaste nyheterna i riktlinjen.
Vem är personuppgiftsansvarig?
Den som bestämmer ändamålet (varför) och medlen (hur) för behandlingen av personuppgifter kallas i dataskyddförordningen GDPR för personuppgiftsansvarig. Ansvaret innebär en skyldighet att följa GDPR och är därför en grundval för hela regelverket.
I vissa fall är det givet vem som är personuppgiftsansvarig, till exempel när det framgår direkt av en lag att en myndighet är personuppgiftsansvarig. I andra fall är det också närmast självklart, till exempel att arbetsgivare är personuppgiftsansvariga för behandlingen av anställdas uppgifter eller i relationen e-handelsföretag – kund eller medieföretag – abonnent.
Men det dyker ibland upp situationer när det är mer tveksamt. Vad gäller till exempel när företagets revisionsbolag hanterar personuppgifter om t.ex. kunder eller anställda i sina granskningar? Här fastslår de nya riktlinjerna att revisionsbolaget självt ansvarar eftersom bolagets arbete inte kan styras av kundföretaget utan regleras av lag. Revisionsbolaget har därför så stor egen makt över personuppgiftsbehandlingen att bolaget blir personuppgiftsansvarigt.
Gemensamt personuppgiftsansvar
Två eller flera företag kan ibland tillsammans vara personuppgiftsansvariga. Det kan till exempel hända när ett företag lämnar ut uppgifter till ett annat företag. I riktlinjerna anges exempel hämtade från rättsfall. I ett av rättsfallen ansågs ett företag som använde en cookie från Facebook vara gemensamt personuppgiftsansvarigt med Facebook för själva utlämnandet av personuppgifter via cookien till Facebook. Det innebär en skyldighet att komma överens, helst i ett avtal, om vem som ansvarar för till exempel informationsgivning till de registrerade personerna.
Samtidigt fastslår riktlinjerna att enbart det faktum att flera företag använder samma tekniska plattform för sin personuppgiftsbehandling inte innebär att de per automatik blir gemensamt ansvariga.
Personuppgiftsbiträde
När ett företag behandlar personuppgifter för någon annans räkning, alltså som tjänsteleverantör, kallas det för personuppgiftsbiträde. I riktlinjerna finns nya och detaljerade regler för det avtal som måste finnas enligt GDPR mellan de två parterna. Det framgår också att den personuppgiftsansvariga behöver kontrollera att biträdet verkligen har kunskaper, resurser och tillräcklig IT-säkerhet innan de tas in som leverantörer och även under uppdragstiden.
"Anna Lööv, partner på Kompass Advokat och specialist på frågor om dataskydd."
I vissa fall har biträdet väldigt stort inflytande över hur datat behandlas. Det kan till exempel handla om avancerade tekniska plattformar. Kan beställaren i så fall verkligen anses bestämma över medlen för behandlingen, alltså för hur datat behandlas? I riktlinjerna förklaras att så länge det handlar om icke-väsentliga medel, t.ex. praktiska aspekter kring behandlingen eller vilken hård- eller mjukvara som ska användas, så påverkas inte ansvaret.
Vad händer nu?
Den 19 oktober går remisstiden ut. Riktlinjerna beräknas träda ikraft under 2021, troligen under våren. Här är en checklista över vad man som företag kan tänka på:
- Stäm av eventuella tveksamheter i nuvarande rollfördelning. Finns t.ex. gemensamt personuppgiftsansvar i vissa situationer?
- Skriv avtal med eventuella gemensamma personuppgiftsansvariga.
- Skapa rutin för utvärdering av nya personuppgiftsbiträden.
- Stäm av befintliga avtal med biträden.
Kompass Advokat är specialister inom försäkringsrätt och finansiell reglering, dataskydd och personuppgifter, marknadsföringsrätt, varumärkesrätt samt avtals- och bolagsrätt.
Läs mer här!
