Hoppa till innehåll på sidan

Att tänka på som personuppgifts­biträde

Den som behandlar personuppgifter för den personuppgiftsansvarigas räkning är ett personuppgiftsbiträde.

Ett personuppgiftsbiträde får bara behandla personuppgifter enligt den personuppgiftansvarigas instruktioner men har också ett visst självständigt ansvar för att kontrollera att personuppgiftsbehandlingen uppfyller de krav som ställs i GDPR. Om personuppgiftsbiträdet anser att instruktionerna står i strid med vad som gäller enligt dataskyddsförordningen måste biträdet omedelbart informera den personuppgiftsansvariga om det.

De personuppgiftsansvariga får endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att skyldigheterna i GDPR kommer att uppfyllas och att de registrerades rättigheter skyddas. Hur omfattande åtgärder som behövs beror på hur er verksamhet ser ut och vilka risker som finns med er personuppgiftsbehandling.

Här är några viktiga punkter att tänka på för personuppgiftsbiträden:

Föra register

Ni ska föra ett register över alla kategorier av behandling som utförs för den personuppgiftsansvarigas räkning. Registret ska bland annat omfatta namn och kontaktuppgifter för personuppgiftsbiträdet och den personuppgiftsansvariga, vilka kategorier av behandling som utförs för varje personuppgiftsansvarigas räkning samt information om tredjelandsöverföring och säkerhetsåtgärder. Det finns vissa undantag från denna skyldighet för mindre företag.

Läs mer om att föra register och vilka undantag som finns

Ansvar vid anlitande av ett underbiträde

Om ni vill anlita ett annat personuppgiftsbiträde måste ni ha ett skriftligt förhandstillstånd från den personuppgiftsansvariga. Har ni fått ett generellt tillstånd att anlita underbiträden måste ni ändå informera den personuppgiftsansvariga om era planer på att anlita ett nytt biträde, så att den ansvarige kan göra invändningar mot detta.

När ni anlitar ett underbiträde måste ni teckna avtal som gör att biträdet omfattas av samma skyldigheter som ni har gentemot den personuppgiftsansvariga. Om det andra biträdet inte fullgör sina skyldigheter kommer ni enligt förordningen att vara fullt ansvarig gentemot den personuppgiftsansvariga för att dessa skyldigheter utförs.

Utse dataskyddsombud

Ni är i vissa fall skyldiga att utse ett dataskyddsombud. Skyldigheten att utse dataskyddsombud omfattar bland annat offentliga myndigheter och organisationer vars verksamhet involverar särskilt riskfylld behandling, som exempelvis regelbunden och systematisk övervakning av registrerade i stor skala eller omfattande behandling av känsliga personuppgifter. En särskilt integritetskänslig behandling kan därför komma att kräva att dataskyddsombud utses både hos den personuppgiftsansvariga och hos personuppgiftsbiträdet.

Den person som utses måste ha tillräcklig kunskap om dataskydd och få det stöd och de befogenheter som krävs för att kunna utföra sitt uppdrag på ett effektivt och oberoende sätt.

Dataskyddsombud

Samarbeta med tillsynsmyndigheten

Ni har en uttrycklig skyldighet att på begäran samarbeta med IMY, som är tillsynsmyndigheten i Sverige.

Ansvar för att vidta säkerhetsåtgärder

Ni har ett eget ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att se till att säkerhetsnivån för er behandling är tillräcklig. Det kan bland annat medföra att ni behöver fundera över frågor som pseudonymisering och kryptering av personuppgifter, hur ni säkerställer att era system är tillräckligt säkra och motståndskraftiga samt hur ni fortlöpande testar och utvärderar systemen.

Vilka åtgärder som är nödvändiga beror på vilka särskilda risker som finns med er behandling. Ni behöver till exempel ha ett starkare skydd om ni behandlar känsliga personuppgifter, såsom uppgifter som rör hälsa eller religiös övertygelse.

Det bör även nämnas att personuppgiftsbiträdets utökade ansvar inte medför att den personuppgiftsansvarigas eget ansvar minskar. Ansvaret för att se till att säkerheten kring de personuppgifter som behandlas är tillräcklig kommer att ligga på både den personuppgiftsansvariga och personuppgiftsbiträdet.

Informationssäkerhet

Underrätta den personuppgiftsansvariga om personuppgiftsincidenter

Om ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter ni behandlar, en så kallad personuppgiftsincident, måste ni utan onödigt dröjsmål underrätta den personuppgiftsansvariga om detta. Det kan vara bra att bestämma var i er organisation en sådan rapporteringsskyldighet ska ligga eftersom ni, om en personuppgiftsincident inträffar, måste agera skyndsamt.

Personuppgiftsincidenter

Bistå den personuppgiftsansvariga

Ni har även en mer allmän skyldighet att bistå den personuppgiftsansvariga när denne ska fullgöra sina skyldigheter enligt förordningen. Ni ska bland annat hjälpa till med att svara på begäranden om elektroniska registerutdrag och att bistå den personuppgiftsansvariga för att se till att säkerheten för behandlingen är tillräcklig.

Risk för sanktioner

Tillsynsmyndigheten har möjlighet att döma ut en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av bolagets globala årsomsättning. En sådan sanktionsavgift kan dömas ut mot både personuppgiftsansvariga och biträden som inte uppfyller de skyldigheter som finns i förordningen.

Läs mer om sanktionsavgifter

Frågor och svar

Dataskyddsförordningen innehåller klara regler om personuppgiftsansvariga och personuppgiftsbiträden. I förordningen finns dessutom många regler som uttryckligen riktar sig mot personuppgiftsbiträden. Förordningen gör det tydligare vilket ansvar och vilka skyldigheter de som behandlar personuppgifter har.

Ja, IMY har till uppgift att hjälpa, vägleda och informera om reglerna kring personuppgiftsbehandling och dataskydd. Det finns också en uttrycklig skyldighet för personuppgiftsansvariga att samråda med oss i vissa fall.

Förhandssamråd

Huvudregeln är att det är den personuppgiftsansvariga som är skadeståndsansvarig för skada som uppstår till följd av att personuppgifter har behandlats i strid med förordningen. Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den ansvarigas instruktioner. Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvariga eller personuppgiftsbiträdet. De får sedan i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.

Ett företag eller myndighet som behandlar personuppgifter för någon annans räkning är att anse som ett personuppgiftsbiträde. En organisation som vill anlita ett sådant biträde (den personuppgiftsansvariga) måste teckna ett skriftligt avtal med biträdet. Avtalet ska bland annat innehålla instruktioner för hur biträdet får behandla personuppgifterna.

Biträdet kan i sin tur anlita andra biträden, så kallade underbiträden, men endast om den personuppgiftsansvariga i förväg gett ett skriftligt tillstånd till detta. Tillståndet kan gälla anlitande av ett visst underbiträde eller gälla generellt. Om ett biträde har ett generellt tillstånd måste ändå den personuppgiftsansvarige informeras så att denne ges möjlighet att göra invändningar mot planerna att anlita ett nytt biträde.

Även när ett personuppgiftsbiträde anlitar ett underbiträde måste dessa teckna ett avtal sinsemellan. I det avtalet ska slås fast att underbiträdet omfattas av samma skyldigheter som det ursprungliga biträdet har mot den personuppgiftsansvariga enligt deras avtal.

Den personuppgiftsansvariga behöver även få reda på bland annat kontaktuppgifter till underbiträdet för att kunna utföra eventuella kontroller av hur underbiträdet lever upp till avtalet.

Senast uppdaterad: 14 november 2024
Sidans etiketter Dataskydd