GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

Roller - GDPR

Personuppgiftsbiträden har en viktig roll enligt GDPR 

När en aktör behandlar personuppgifter åt en personuppgiftsansvarig, sker behandlingen i rollen personuppgitsbiträde. Det kan vara ett företag, en organisation eller ett offentligt organ som behandlar personuppgifter i rollen personuppgiftsbiträde. Det som är avgörande för rollen, är att det inte är personuppgiftsbiträdet som bestämmer hur och varför personuppgifterna ska bli behandlade. 

Anvisningar från den personuppgiftsansvarige

Den personuppgiftsansvarige ger anvisningar till personuppgiftsibiträden för hur de ska behandla personuppgifterna. Instruktionerna ska vara skriftligen dokumenterade. Dessutom måste den personuppgiftsansvarige och personuppgiftsbiträdet ingå ett personuppgiftsbiträdesavtal med varandra. Detta krav framgår i artikel 28 i GDPR. Dessutom måste avtalet vara skriftligt för att vara giltigt. 

Det är inte tillåtet för personuppgiftsbiträdet att behandla personuppgifterna för några egna syften. Dessutom är det den personuppgiftsansvarige som bestämmer syftet med behandlingen. Befattningsbeskrivningen kan vara väldigt avgränsad eller allmän. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Exempel

  • Ett exempel på avgränsade befattningar är vid utkontraktering av sändning av post. 
  • Ett exempel på en allmänt begränsad befattning kan vara en revisor som utför utbetalningen av lön från kundföretaget till dess anställda (lönehantering). 

Observera att det kan förekomma fall där en anvisning från den personuppgiftsansvarige strider mot GDPR. Om personuppgiftsbiträdet anser detta, ska de informera den personuppgiftsansvarige och har rätt att stoppa behandlingen fram till dess att frågan är utredd. 

Exempel på företag som ofta behandlar personuppgifter i rollen personuppgiftsbiträde

  • Marknadsföringsbyråer
  • Redovisningsbyråer 
  • Programmeringbyråer 
  • Laboratorium 
  • Leverantör av molnlagringstjänst
  • Leverantör av ekonomi- eller bokföringssystem

Personuppgiftsbiträden har flera skyldigheter enligt GDPR

Ingå skriftligt personuppgiftsbiträdesavtal

Ett personuppgiftsbiträde måste ingå ett personuppgiftsbiträdesavtal med den personuppgiftsansvarige. Detta framgår i artikel 28(3) i GDPR och avtalet måste uppfylla de angivna minimikraven. Dessutom måste personuppgiftsbiträdesavtalet vara skriftligt för att vara giltigt enligt artikel 28(9) i GDPR. Detta skriftlighetskrav skiljer sig från många andra typer av avtal, som är lika giltiga muntliga som skriftliga.

Innehåll i ett personuppgiftsbiträdesavtal

I personuppgiftsbiträdesavtalet ska parterna bland annat reglera: behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter. Det innehåll som personuppgiftsbiträdesavtalet minst måste innehålla för att vara giltigt framgår i artikel 28(3) i GDPR.

Order the company to comply with GDPR within a certain period of time

Skriftligt tillstånd för att anlita underbiträden

Det är möjligt för ett personuppgiftsbiträde att anlita ett annat personuppgiftsbiträde. Ett så kallat “underbiträde” (sub-processor). Till exempel om ett personuppgiftsbiträde programmerar appar, men inte är duktig på statistik och därför vill anlita en annan byrå som ska hjälpa till med specifikt detta. Däremot får ett underbiträde endast anlitas av ett personuppgiftsbiträde efter att den personuppgiftsansvarige har gett sitt förhandstillstånd. Detta krav framgår i artikel 28(2) i GDPR.

Vital interest

Avtal med underbiträden

Enligt artikel 28(4) i GDPR framgår det klart och tydligt att ett personuppgiftsbiträde måste ingå ett personuppgiftsbiträdesavtal med anlitade underbiträden. Detta ska ske innan ett underbiträde påbörjar behandling av personuppgifter för den personuppgiftsansvariges räkning. Om underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarig gentemot den personuppgiftsansvarige för utförandet av underbiträdets skyldigheter.

Förteckning över anvisningar

Företag som behandlar personuppgifter måste kunna bevisa att det följer GDPR, oavsett om de behandlar personuppgifter i rollen som personuppgiftsbiträde eller personuppgiftsansvarig. Ett personuppgiftsbiträde bör till exempel upprätta förteckningar över de anvisningar de har fått från personuppgiftsansvariga.

Nedan kan du läsa mer om vilka skyldigheter personuppgiftsbiträden har

Personuppgiftsbiträden måste föra ett register över behandlingen av personuppgifter i vissa fall

Mindre företag som är personuppgiftsbiträden behöver som huvudregel inte föra ett register över sina behandlar. Däremot kan de behöva göra det, även fast det inte är ett stort företag. Till exempel om behandlingen medför en hög risk för de rättigheter och friheter som registrerade har. Detsamma vid behandling av känsliga personuppgifter. 

Företag som har 250 eller fler anställda ska föra ett register för behandlingen. Observera att det ska vara skriftligt och tillgängligt i elektroniskt format. Dessutom ska företaget göra det tillgängligt för den nationella dataskyddsmyndigheten vid begäran. Detta framgår av artikel 30 i GDPR.

Underrätta den personuppgiftsansvarige om inträffade personuppgiftsincidenter

En personuppgiftsincident är en typ av säkerhetsincident. Det innebär oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Om en personuppgiftsincident inträffar hos personuppgiftsbiträdet, måste de informera den personuppgiftsansvarige om detta. Dessutom ska det ske utan onödigt dröjsmål. Det är sedan den personuppgiftsansvarige som eventuellt behöver anmäla incidenten till tillsynsmyndigheten inom 72 timmar. 

Vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna

Precis som personuppgiftsansvariga, måste ett personuppgiftsbiträde skydda personuppgifter som de behandlar genom att vidta lämpliga tekniska och organisatoriska åtgärder. Exempelvis genom att kryptera filer, implementera användarbehörigheter, multifaktorautentisering etc. 

Det verkliga förhållandet avgör huruvida ett företag är personuppgiftsbiträde eller personuppgiftsansvarig

Bara för att ett företag anser att de är ett personuppgiftsbiträde, och därför ingår ett personuppgiftsbiträdesavtal med en personuppgiftsansvarig, innebär det inte att de per automatik är personuppgiftsbiträde. Med andra ord avgör det verkliga förhållandet som avgör i vilken roll man behandlar personuppgifter, inte vad som står i ett ingått avtal mellan avtalsparterna. 

Ett företag kan vara både personuppgiftsansvarig och personuppgiftsbiträde för olika behandlingar

Ett företag kan vara personuppgiftsansvarig för vissa behandlingar, såsom när de behandlar personuppgifter tillhörande sina anställda. Dessutom kan företaget vara personuppgiftsbiträde vid vissa av sina behandlar som de utför åt sina kunder. Med andra ord kan ett företag både vara personuppgiftsansvarig och personuppgiftsbiträde, beroende på behandlingen i fråga. 

När tillhandahållandet av behandlingstjänster har avslutats

Personuppgiftsbiträden ska radera alla personuppgifter som behandlats för den personuppgiftsansvariges räkning, när tillhandahållandet av behandlingstjänster har avslutats. Alternativt ska personuppgifterna returneras till den ansvarige. Det är den personuppgiftsansvarige som har rätt att välja mellan dessa två åtgärder, enligt artikel 28(3)(g) i GDPR. Dessutom ska personuppgiftsbiträdet se till att förstöra eventuella kopior av personuppgifterna som personuppgiftsbiträdet har. Observera dock att den personuppgiftsansvarige i vissa fall kan behöva fortsätta behandla personuppgifter, om det krävs enligt lagstadgad skyldighet. 

Mer info om roller

Dataskyddsombud (DPO)

En del företag behöver ha ett dataskyddsombud enligt GDPR. Dataskyddsombud har en viktig roll i företaget och ska bland annat utföra kontroller, ge råd och rekommendationer inom dataskyddsområdet. Dessutom ska både registrerade och medarbetare kunna kontakta dataskyddsombudet vid eventuella frågor gällande företagets behandling av personuppgifter. Dataskyddsombudet får ha flera arbetsuppgifter inom företaget, förutsatt att det inte råder en intressekonflikt. Ett sådant exempel kan vara om en person i ledningen är dataskyddsombud. 

Vill du lära dig mer?

Klicka här
Rulla till toppen