Här kan du läsa om några viktiga saker att tänka på när företag är personuppgiftsbiträde vid behandling av personuppgifter. Ett personuppgiftsbiträde är den aktör som behandlar personuppgifter för den personuppgiftsansvarige räkning. Vidare får ett personuppgiftsbiträde enbart behandla personuppgifter i enlighet med den personuppgiftsansvarige instruktioner.
Det är alltså den personuppgiftsansvarige som bestämmer hur och varför personuppgifter ska bli behandlade. I GDPR är detta uttryckt som att den personuppgiftsansvarige är den som bestämmer ”ändamålen och medlen” med behandlingen (artikel 4 punkt 7 GDPR).
Exempel på ett personuppgiftsbiträde och viktiga saker att tänka på när företag är personuppgiftsbiträde
Till exempel är en redovisningsbyrå ett personuppgiftsbiträde till sina kunder, som är de personuppgiftsansvariga. Kunden ger redovisningsbyrån i uppdrag att sköta kundens bokföring. För att redovisningsbyrån ska kunna göra detta, ger kunden instruktioner till redovisningsbyrån i ett personuppgiftsbiträdesavtal.
I ett personuppgiftsbiträdesavtal ska det bland annat framgå att redovisningsbyrån får behandla de personuppgifter som förekommer i kundens bokföring, exempelvis på fakturor, för att genomföra bokföringen. Däremot får personuppgiftsbiträdet inte göra något annat med personuppgifterna, än att behandla dem för kundens räkning och enligt kundens instruktioner. Redovisningsbyrån får därmed enbart behandla personuppgifterna i den utsträckning det är nödvändigt för att utföra uppdraget. Artikel 28 i GDPR innehåller de minimikrav som ett personuppgiftsbiträdesavtal måste innehålla för att vara giltigt och i enlighet med GDPR.
Personuppgiftsbiträdet får inte behandla personuppgifterna i strid med den personuppgiftsansvarige instruktioner
Personuppgiftsbiträdet får inte själv bestämma hur eller varför personuppgifterna ska bli behandlade. Istället måste personuppgiftsbiträdet följa den personuppgiftsansvarige instruktioner vid all behandling av personuppgifterna. Det är därmed inte tillåtet för ett personuppgiftsbiträde att avvika från instruktionerna för behandlingen av personuppgifterna som framgår i personuppgiftsbiträdesavtalet.
Observera att det är ett krav enligt lag att ingå ett skriftlig personuppgiftsbiträdesavtal. Muntliga personuppgiftsbiträdesavtal är därmed inte giltiga eller lagliga.
Både personuppgiftsansvariga och personuppgiftsbiträden är företag, organisationer eller offentliga organ som behandlar personuppgifter och därmed behöver följa GDPR. Brott mot GDPR kan leda till stora ekonomiska konsekvenser. I vissa fall kan även privatpersoner vara personuppgiftsansvariga, exempelvis en enskild näringsidkare som driver en enskild näringsverksamhet.
Flera saker att tänka på när företag är personuppgiftsbiträde
Ett personuppgiftssbiträde ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning. Detta krav framgår i artikel 30 GDPR. Däremot finns det några undantag från denna regel. Men vid osäkerhet kring huruvida undantag gäller, är rekommendationen att upprätta en registerförteckning ändå.
Ett personuppgiftsbiträde kan anlita ett annat personuppgiftsbiträde
I vissa fall kan ett personuppgiftsbiträde anlita ett annat personuppgiftsbiträde. Även kallat för ett ”underbiträde”. Detta är tillåtet, men vid sådana fall måste den första personuppgiftsbiträdet få tillstånd att anlita ett underbitäde från den personuppgiftsansvarige.
Dessutom gäller att om ett underbiträde inte fullgöra sina skyldigheter, förblir personuppgiftsbiträdet fullt ansvarigt gentemot den personuppgiftsansvarige.
Regler om dataskyddsombud i GDPR
GDPR innehåller även regler avseende dataskyddsombud. Vissa företag behöver utse ett dataskyddsombud. På webbplatsen www.AvtalGDPR.se finns det detaljerad information om dataskyddsombud samt andra viktiga delar av GDPR. Webbplatsen är en del av Digitala Juristerna och innehåller mycket information om GDPR som är ett omfattande regelverk.
