När ett företag är personuppgiftsbiträde

Ett exempel på när ett företag innehar rollen personuppgiftsbiträde är om företaget ska analysera statistik som inkluderar personuppgifter åt ett annat företag.

rättsliga grunder enligt dataskyddsförordningen GDPR

Personuppgiftsbiträde

Om ett företag blir anlitat för att behandla personuppgifter enligt uppdragsgivarens instruktioner och för uppdragsgivarens räkning, blir personuppgifterna behandlade av företaget i egenskap av personuppgiftsbiträde.

En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ kan vara personuppgiftsbiträde. Definitionen av personuppgiftsbiträde framgår i artikel 4 punkt 8 GDPR.

Exempel på när företag är personuppgiftsbiträde

Exempel på ett företag som är personuppgiftsbiträde är en redovisningsbyrå. Detta beror på att en redovisningsbyrå hjälper andra företag med deras bokföring för deras räkning. För att fullgöra redovisningstjänsterna, får redovisningsbyrån tillgång till personuppgifter som kundföretaget behandlar i egenskap av personuppgiftsansvarig. Det kan bland annat röra sig om personuppgifter tillhörande kundföretagets personal, eller personuppgifter tillhörande referenspersoner som framgår på kundföretagets inkommande och utgående fakturor.

Redovisningsbyrån ska enbart behandla sådana personuppgifter som förekommer i kundföretagets bokföringsunderlag för att fullgöra redovisningstjänsterna.

Redovisningsbyrån och kundföretaget måste ingå ett personuppgiftsbiträdesavtal med varandra, eftersom redovisningsbyrån ska behandla personuppgifter för kundföretagets räkning och i enlighet med kundföretagets instruktioner.

Ytterligare ett exempel är om företaget bedriver en molntjänst som kunder använder för att lagra backup-filer av bilder och annat material som inkluderar personuppgifter.

Något som är bra att känna till är att det kan vara bra för företag att ha backup-filer, eftersom förlorade personuppgifter utgör en typ av personuppgiftsincident. Användningen av ett system för backup är en teknisk säkerhetsåtgärd.

Upprätta ett skriftligt personuppgiftsbiträdesavtal

När en personuppgiftsansvarig anlitar ett personuppgiftsbiträde, ska de ingå ett personuppgiftsbiträdesavtal vilket ska vara ett skriftligt avtal. Vissa avtal kan vara muntliga och vara lika giltiga även fast det är svårare att bevisa att parterna har ingått ett avtal och därför kan det vara bättre att ha skriftliga. Däremot ska personuppgiftsbiträdesavtal vara skriftligt, precis som äktenskapsförord och testamenten. När ett företag är personuppgiftsbiträde, får de inte behandla personuppgifterna på ett sätt som strider mot instruktionerna som den personuppgiftsansvarige har gett.

Anlita ett personuppgiftsunderbiträde

Det är tillåtet för ett personuppgiftsbiträde att anlita ett personuppgiftsunderbiträde men det får enbart ske om den personuppgiftsansvarige har gett tillstånd. Det ska vara ett skriftligt tillstånd. Dessutom ska personuppgiftsunderbiträdet behandla personuppgifterna i enlighet med instruktionerna som den personuppgiftsansvarige har gett till personuppgiftsbiträdet.

Företag kan vara både personuppgiftsansvarig och personuppgiftsbiträde

Ett företag såsom en redovisningsbyrå kan vara ett personuppgiftsbiträde till företaget som den behandlar personuppgifter åt. Däremot kan det fortfarande vara en personuppgiftsansvarig i andra sammanhang. Till exempel om redovisningsbyrån har anställda och behandlar deras personuppgifter.

Ansvar

Ett företag såsom en redovisningsbyrå kan vara ett personuppgiftsbiträde till företaget som den behandlar personuppgifter åt. Däremot kan det fortfarande vara en personuppgiftsansvarig i andra sammanhang. Till exempel om redovisningsbyrån har anställda och behandlar deras personuppgifter.

Både personuppgiftsbiträden och personuppgiftsansvariga ska vidta lämpliga tekniska och organisatoriska åtgärder

Personuppgiftsbiträden och personuppgiftsansvariga ska vidta lämpliga tekniska och organisatoriska åtgärder. Dels för att skydda personuppgifterna, dels för att kunna tillgodose de registrerades rättigheter.

Exempel på tekniska och organisatoriska åtgärder

Företag kan behöva upprätta instruktioner till anställda om hur de ska gå till väga när registrerade ber om att till exempel på sina personuppgifter rättade. De kan också behöva ha backupfiler och anti-virusskydd. Dessutom ska företag informera de registrerade om behandlingen av personuppgifter genom att upprätta en integritetspolicy, även kallat för dataskyddspolicy och sekretesspolicy. Om behandlingen sker med den rättsliga grunden samtycke, ska företaget kunna visa att ett giltigt samtycke har inhämtats.

Svårigheter att bedöma rollen

Observera att det inte alltid är enkelt att avgöra om en viss behandling blir utförd av ett företag i egenskap av personuppgiftsbiträde eller inte. De faktiska förhållandena kan innebära att behandlingen istället blir utförd av en separat personuppgiftsansvarig.

EDPB har publicerat riktlinjer angående begreppen personuppgiftsansvarig, personuppgiftsbiträde och gemensamt personuppgiftsansvariga i GDPR. Huvudsyftet är att förtydliga innebörden av begreppen och att förtydliga rollerna och fördelningen av ansvar mellan dem.

Vi skriver och granskar avtal till fasta priser

Gratis juridikskolor

Vi driver olika gratis juridikskolor på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.

På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.

juridikskola online avtal avtalsrätt digitala juristerna