Hantera samtycke

Webbplatsen använder cookies

Vi vill gärna använda Google Analytics, för att analysera webbtrafiken och för att publicera mer relevant innehåll. Du har rätt att när som helst återkalla ditt samtycke. Läs mer i vårt Cookiemeddelande

  • Avtal till företag & företagare
  • Fasta priser inkl. genomgång med jurist
  • GDPR-avtal & dokument
  • Gratis inledande samtal med jurist

Roller och ansvariga enligt GDPR 

Personuppgiftsbiträde

Ett exempel på när ett företag innehar rollen personuppgiftsbiträde är om företaget ska analysera statistik som inkluderar personuppgifter åt ett annat företag.

När ett företag innehar rollen personuppgiftsbiträde är om företaget

Viktiga regler i GDPR

När företag är personuppgiftsbiträde

Om ett företag blir anlitat för att behandla personuppgifter enligt uppdragsgivarens instruktioner och för uppdragsgivarens räkning, blir personuppgifterna behandlade av företaget i egenskap av personuppgiftsbiträde.

En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ kan vara personuppgiftsbiträde. Definitionen av personuppgiftsbiträde framgår i artikel 4 punkt 8 GDPR.

Innehåll

Exempel på när företag är personuppgiftsbiträde

Exempel på ett företag som är personuppgiftsbiträde är en redovisningsbyrå. Detta beror på att en redovisningsbyrå hjälper andra företag med deras bokföring för deras räkning. För att fullgöra redovisningstjänsterna, får redovisningsbyrån tillgång till personuppgifter som kundföretaget behandlar i egenskap av personuppgiftsansvarig. Det kan bland annat röra sig om personuppgifter tillhörande kundföretagets personal, eller personuppgifter tillhörande referenspersoner som framgår på kundföretagets inkommande och utgående fakturor.

Redovisningsbyrån ska enbart behandla sådana personuppgifter som förekommer i kundföretagets bokföringsunderlag för att fullgöra redovisningstjänsterna.

Redovisningsbyrån och kundföretaget måste ingå ett personuppgiftsbiträdesavtal med varandra, eftersom redovisningsbyrån ska behandla personuppgifter för kundföretagets räkning och i enlighet med kundföretagets instruktioner.

Observera att redovisningsbyrån är personuppgiftsansvarig när denne behandlar personuppgifter åt sin egen räkning. Till exempel personuppgifter tillhörande sin egna personal. 

Ytterligare ett exempel är om företaget bedriver en molntjänst som kunder använder för att lagra backup-filer av bilder och annat material som inkluderar personuppgifter.

Något som är bra att känna till är att det kan vara bra för företag att ha backup-filer, eftersom förlorade personuppgifter utgör en typ av personuppgiftsincident. Användningen av ett system för backup är en teknisk säkerhetsåtgärd.

Upprätta ett skriftligt personuppgiftsbiträdesavtal

När en personuppgiftsansvarig anlitar ett personuppgiftsbiträde, ska de ingå ett personuppgiftsbiträdesavtal vilket ska vara ett skriftligt avtal. Vissa avtal kan vara muntliga och vara lika giltiga även fast det är svårare att bevisa att parterna har ingått ett avtal och därför kan det vara bättre att ha skriftliga. Däremot ska personuppgiftsbiträdesavtal vara skriftligt, precis som äktenskapsförord och testamenten. När ett företag är personuppgiftsbiträde, får de inte behandla personuppgifterna på ett sätt som strider mot instruktionerna som den personuppgiftsansvarige har gett.

Anlita ett personuppgiftsunderbiträde

Det är tillåtet för ett personuppgiftsbiträde att anlita ett personuppgiftsunderbiträde men det får enbart ske om den personuppgiftsansvarige har gett tillstånd. Det ska vara ett skriftligt tillstånd. Dessutom ska personuppgiftsunderbiträdet behandla personuppgifterna i enlighet med instruktionerna som den personuppgiftsansvarige har gett till personuppgiftsbiträdet.

Företag kan vara både personuppgiftsansvarig och personuppgiftsbiträde

Ett företag såsom en redovisningsbyrå kan vara ett personuppgiftsbiträde till företaget som den behandlar personuppgifter åt. Däremot kan det fortfarande vara en personuppgiftsansvarig i andra sammanhang. Till exempel om redovisningsbyrån har anställda och behandlar deras personuppgifter.

Både personuppgiftsbiträden och personuppgiftsansvariga ska vidta lämpliga tekniska och organisatoriska åtgärder

Personuppgiftsbiträden och personuppgiftsansvariga ska vidta lämpliga tekniska och organisatoriska åtgärder. Dels för att skydda personuppgifterna, dels för att kunna tillgodose de registrerades rättigheter.

Exempel på tekniska och organisatoriska åtgärder

Företag kan behöva upprätta instruktioner till anställda om hur de ska gå till väga när registrerade ber om att till exempel på sina personuppgifter rättade. De kan också behöva ha backupfiler och anti-virusskydd. Dessutom ska företag informera de registrerade om behandlingen av personuppgifter genom att upprätta en integritetspolicy, även kallat för dataskyddspolicy och sekretesspolicy. Om behandlingen sker med den rättsliga grunden samtycke, ska företaget kunna visa att ett giltigt samtycke har inhämtats.

Svårigheter att bedöma rollen

Observera att det inte alltid är enkelt att avgöra om en viss behandling blir utförd av ett företag i egenskap av personuppgiftsbiträde eller inte. De faktiska förhållandena kan innebära att behandlingen istället blir utförd av en separat personuppgiftsansvarig.

EDPB har publicerat riktlinjer angående begreppen personuppgiftsansvarig, personuppgiftsbiträde och gemensamt personuppgiftsansvariga i GDPR. Huvudsyftet är att förtydliga innebörden av begreppen och att förtydliga rollerna och fördelningen av ansvar mellan dem.

Lär dig mer

Gratis juridikskola

Vi har juridikskolor på LinkedIn och Instagram där vi bland annat sammanfattar intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.

Mer information

Dataskyddsombud

Vissa företag behöver ha ett dataskyddsombud. Denna person ska ha kunskap inom GDPR och vara tillgänglig för registrerade, både internt och externt vid eventuella frågor gällande behandlingen av deras personuppgifter. Det är möjligt att vara dataskyddsombud på flera företag samtidigt. 

Vill du veta mer?

Till nästa sida

Vill ni ha vår hjälp?

Beställ uppdrag

Välkommen att kontakta oss via telefon, eller skicka ett meddelande via formuläret eller till vår mail så hör vi av oss så snart vi kan.

E-post

kontakt@digitalajuristerna.se

Telefon

08-81 66 33

    DIGITALA

    Juristerna

    Linkedin Instagram
    Vi arbetar på distans och håller möten på det sätt som passar dig bäst, via telefon eller videomöte

    Kontakta oss

    • 08-81 66 33
    Mån-Sön: kl 09:00-20:00.

    DigiJuris Sverige AB
    Sveavägen 124, 113 50 Stockholm
    kontakt@digitalajuristerna.se
    Org. nr: 559434-7378

    ekonomi@digitalajuristerna.se
    Bankgiro: 161-4262
    VAT.nr: SE559434737801
    Godkänd för F-skatt

    GDPR

    Juridikskola

    Nyheter

    Sök på sidan

    Rulla till toppen
    Call Now Button