Den Europeiska dataskyddsstyrelsen har tagit fram en ny vägledning i syfte att klargöra skillnaderna mellan personuppgiftsansvariga och personuppgiftsbiträden.
– Det har funnits ett stort behov av vägledning på det här området, säger Elisabeth Jilderyd, jurist och internationell samordnare på Datainspektionen.
GDPR skiljer åtskiljer organisationer som är personuppgiftsansvariga och organisationer som är personuppgiftsbiträden och det är den organisation som bestämt varför och hur en viss hantering av personuppgifter ska ske, som är ansvarig.
Samma organisation har dock en möjlighet att ta hjälp av någon annan med den faktiska hanteringen och den organisationen bli i sin tur personuppgiftsbiträde. Beroende på vilken organisation som innehar vilken roll följer en rad olika skyldigheter och rättigheter med detta, något som den nya vägledningen nu syftar till att klargöra.
– I praktiken, med dagens allt mer komplexa it-system och flöden av personuppgifter, kan det dock vara svårt att bedöma vilken organisation som faktiskt är personuppgiftsansvarig och vilken som är biträde. Det har funnits ett stort behov av vägledning på det här området, säger Elisabeth Jilderyd, jurist och internationell samordnare på Datainspektionen.
Speciella skyldigheter även för biträden
Vägledningen beskriver, utöver gränsdragningarna mellan de olik rollerna, också vilka följderna blir av att ha en viss roll och vad som måste ingå i det personuppgiftsbiträdesavtal som ska tecknas mellan den organisation som är ansvarig för en viss behandling av personuppgifter och det biträde som utför behandlingen på uppdrag av den ansvariga organisationen.
– GDPR innehåller en tydlig och grundläggande ansvarsprincip för de som hanterar personuppgifter. Det åligger i första hand den personuppgiftsansvarige, det vill säga den som bestämmer varför och hur en behandling av personuppgifter ska ske, att se till att GDPR följs.
– En nyhet i GDPR är att det nu även finns speciella skyldigheter även för personuppgiftsbiträden, alltså den som utför en personuppgiftsbehandling på uppdrag av en personuppgiftsansvarig. Därför är det viktigt att klart och tydligt definiera dessa roller mellan de aktörer som är involverade i en viss behandling, säger Elisabeth Jilderyd.
Alltid upp till organisationerna själva
Slutligen innehåller vägledningen dessutom en förtydligande beskrivning av så kallat ”gemensamt personuppgiftsansvar”, då två eller fler organisationer tillsammans är ansvariga för en viss behandling, och beskriver även hur ansvaret ska fördelas mellan dessa.
– Det är alltid upp till de berörda organisationerna att själva avgöra vem som har vilken roll som ansvarig respektive biträde. Vår förhoppning är att den här vägledningen kommer att vara till konkret hjälp i det arbetet, säger Elisabeth Jilderyd.
