Ny vägledning klargör gränser och skyldigheter för ansvariga och biträden

Dataskyddsförordningen, GDPR, skiljer mellan organisationer som är personuppgiftsansvariga och organisationer som är personuppgiftsbiträden. Den organisation som bestämt varför och hur en viss hantering av personuppgifter ska ske, är ansvarig. Den organisationen kan dock ta hjälp av någon annan för den faktiska hanteringen. Den organisationen är då personuppgiftsbiträde. Beroende på om en organisation är ansvarig eller biträde följer olika skyldigheter och rättigheter.

– I praktiken, med dagens allt mer komplexa it-system och flöden av personuppgifter, kan det dock vara svårt att bedöma vilken organisation som faktiskt är personuppgiftsansvarig och vilken som är biträde. Det har funnits ett stort behov av vägledning på det här området, säger Elisabeth Jilderyd, jurist och internationell samordnare på Integritetsskyddsmyndigheten.

Den Europeiska dataskyddsstyrelsen, EDPB, har nu publicerat en vägledning med fokus på just gränsdragningen mellan personuppgiftsansvarig och biträde. Vägledningen beskriver också vilka följderna blir av att ha en viss roll och vad som måste ingå i det personuppgiftsbiträdesavtal som ska tecknas mellan den organisation som är ansvarig för en viss behandling av personuppgifter och det biträde som utför behandlingen på uppdrag av den ansvariga organisationen.

– GDPR innehåller en tydlig och grundläggande ansvarsprincip för de som hanterar personuppgifter. Det åligger i första hand den personuppgiftsansvarige, det vill säga den som bestämmer varför och hur en behandling av personuppgifter ska ske, att se till att GDPR följs. En nyhet i GDPR är att det nu även finns speciella skyldigheter även för personuppgiftsbiträden, alltså den som utför en personuppgiftsbehandling på uppdrag av en personuppgiftsansvarig. Därför är det viktigt att klart och tydligt  definiera dessa roller mellan de aktörer som är involverade i en viss behandling.

Vägledningen innehåller dessutom en närmare beskrivning av gemensamt personuppgiftsansvar, då två eller fler organisationer tillsammans är ansvariga för en viss behandling, och beskriver även hur ansvaret ska fördelas mellan dessa.

– Det är alltid upp till de berörda organisationerna att själva avgöra vem som har vilken roll som ansvarig respektive biträde. Vår förhoppning är att den här vägledningen kommer att vara till konkret hjälp i det arbetet.

Arbetet med att ta fram den här EU-gemensamma vägledningen har gjorts i en arbetsgrupp som letts av svenska Integritetsskyddsmyndigheten.

– Vår uttalade ambition är att aktivt vara med och påverka de viktiga och grundläggande dataskyddsfrågor som diskuteras inom EU, säger Elisabeth Jilderyd.

Mer om vägledningen
Vägledningen har antagits av den Europeiska dataskyddstyrelsen och är nu ute för publik konsultation till och med 19 oktober.
Läs mer om vägledningen här

För mer information kontakta

Jurist och internationell samordnare Elisabeth Jilderyd, telefon 08-657 61 11

Presstjänst, 08-515 15 415