Tillbaka till bloggen
7 min read

Guide: Din roll som personuppgiftsansvarig och personuppgiftsbiträde

Søren Lassen Jensen
By: Søren Lassen Jensen GDPR | 20 januari

Den här guiden är avsedd att hjälpa dig att förstå din roll som personuppgiftsansvarig kontra personuppgiftsbiträde. Vilka ansvarsområden en personuppgiftsansvarig har och hur du övervakar dina personuppgiftsbiträden. Nästan alla företag använder personuppgifter på ett eller annat sätt. Oavsett om du samlar in personuppgifter för att slutföra en order eller för marknadsföring - du arbetar med personuppgifter.Sedan införandet av GDPR 2018 har det tillkommit nya skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden.

I korthet hjälper den här guiden dig att avgöra om du är personuppgiftsansvarig eller personuppgiftsbiträde, vilka ansvarsområden som gäller för respektive roll och varför det är viktigt att förstå din roll. I den här guiden kommer vi också att ge dig vägledning om hur du ska övervaka dina personuppgiftsbiträden för att säkerställa att ni följer GDPR-reglerna och de regler som du som personuppgiftsansvarig har infört. Personuppgiftsansvariga och personuppgiftsbiträden är de två huvudtyper av parter som är involverade i behandling av uppgifter enligt GDPR-reglerna.

Innehållsförteckning

Personuppgiftsansvarig kontra personuppgiftsbiträde

GDPR har fastställt olika roller som har olika ansvar för hur personuppgifter används och för dem som behandlar uppgifterna; även kallade personuppgiftsansvariga och personuppgiftsbiträden.

Vad är en personuppgiftsansvarig?

Personuppgiftsansvariga definieras som:

En juridisk eller fysisk person, en byrå, en offentlig myndighet eller något annat organ som ensamt eller tillsammans med andra bestämmer ändamålen med behandlingen av personuppgifter och medlen för behandlingen av dem.

Enkelt uttryckt är det de personuppgiftsansvariga som fattar besluten. De bestämmer vilken typ av uppgifter som ska samlas in och vad de ska användas till.

En personuppgiftsansvarig kan vara:

  • Ett privat företag eller en juridisk person

Inklusive en offentlig myndighet, en registrerad förening eller ett registrerat partnerskap

  • En enskild person

Till exempel en partner i ett icke inkorporerat partnerskap, en egenföretagare eller en enskild näringsidkare

Vad är ett personuppgiftsbiträde?

Personuppgiftsbiträden definieras som:

En juridisk eller fysisk person, en byrå, en offentlig myndighet eller något annat organ som behandlar personuppgifter för en personuppgiftsansvarigs räkning.

Enkelt uttryckt behandlar personuppgiftsbiträden uppgifter för den personuppgiftsansvariges räkning, men de har ingen beslutsrätt över hur uppgifterna används.

Den personuppgiftsansvarige är alltså den som bestämmer vilken typ av uppgifter som ska samlas in och vad de ska användas till, medan personuppgiftsbiträdet behandlar uppgifterna för den personuppgiftsansvariges räkning. Låt oss titta på ett exempel.

Exempel på en personuppgiftsansvarig och ett personuppgiftsbiträde

Ett bryggeri har många anställda. För att betala ut lönerna tecknar bryggeriet ett avtal med ett löneföretag. Bryggeriet lämnar information till löneföretaget om när lönerna ska betalas ut och när en anställd slutar eller får löneförhöjning. Bryggeriet tillhandahåller också alla relevanta uppgifter för lönespecifikationen och löneutbetalningen. Löneföretaget tillhandahåller IT-systemet och lagrar de anställdas uppgifter. Bryggeriet är personuppgiftsansvarig, medan löneföretaget är personuppgiftsbiträde.

Personuppgiftsansvarigs ansvar

Som personuppgiftsansvarig måste du uppfylla kraven i GDPR. Det är ditt ansvar att se till att inte bara din organisation följer GDPR, utan även att ditt personuppgiftsbiträde gör det.

Därför måste du noga överväga dina alternativ när du funderar på vilken typ av personuppgiftsbiträde du vill använda, oavsett om det är en programvara, en frilansare eller en partner som du arbetar med för ändamålet databehandling.

Enligt GDPR måste organisationer föra korrekta och relevanta register över de uppgifter som organisationen behandlar. Detta gäller också för nästan alla personuppgiftsansvariga och personuppgiftsbiträden, utom när de uppgifter som behandlas är tillfälliga.

Om din organisation agerar som personuppgiftsansvarig måste du föra fullständiga register över följande:

  • Kontaktuppgifter till den personuppgiftsansvarige och kontaktuppgifter till ditt dataskyddsombud (DPO), om tillämpligt.

  • De kategorier av personuppgifter som behandlas och samlas in.

  • Ändamålen med de personuppgifter som behandlas, inklusive derättsliga grunderna för behandlingen

  • Uppgifter om de organisationer som uppgifterna delas med, inklusive tredje parter utanför EU.

  • Tidsramar och processer för lagring och raderingav uppgifter

  • Relevanta avtal som omfattar överföring av uppgifter till tredje land utanför Europeiska ekonomiska samarbetsområdet (EES), t.ex. databehandlingsavtal

  • Information om hur ni säkrar uppgifter och skyddar dem, t.ex. mot cybersäkerhetshot

Nu när alla krav på registerhållning för att vara personuppgiftsansvarig är klara, låt oss prata lite om registerhållning för personuppgiftsbiträden.

Personuppgiftsbiträdets ansvar

Personuppgiftsbiträden är också skyldiga att föra register över information som omfattar kategorierna av behandling:

  • Information om överföringav uppgifter till tredje land

  • Tidsgränserför radering av uppgifter

  • Relevanta säkerhetsåtgärder som vidtagits

GDPR-kraven för personuppgiftsbiträden är mindre omfattande jämfört med personuppgiftsansvariga. Personuppgiftsbiträden har inte samma ansvarsnivå när det gäller att uppfylla kraven i GDPR. Ett personuppgiftsbiträde bör dock vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att alla behandlade uppgifter hanteras i enlighet med reglerna iGDPR.

Det är också viktigt att personuppgiftsbiträdets skyldigheter gentemot den personuppgiftsansvarige specificeras i ett avtal. Avtalet måste också omfatta vad somhänder med personuppgifterna när avtalet upphör.

Teckna ett personuppgiftsbiträdesavtalmed ditt personuppgiftsbiträde

Om ditt företag har en extern tjänsteleverantör som behandlar personuppgifter är det du som personuppgiftsansvarig som ansvarar för korrekt databehandling och dataskydd. Därför är det viktigt att du tecknar ett databehandlingsavtal med ditt personuppgiftsbiträde.

Ett personuppgiftsbiträdesavtal är avsett att säkerställa att personuppgiftsbiträdet endast behandlar uppgifterna för de ändamål som den personuppgiftsansvarige har samlat in uppgifterna för. Personuppgiftsbiträdet får inte använda uppgifterna för några andra ändamål.

För att ett personuppgiftsbiträdesavtal ska vara förenligt med GDPR krävs följande aspekter:

  • Behandlingsobjekt och behandlingensvaraktighet

  • Behandlingensart och syfte

  • Typ av personuppgifter

  • Kategorier av berördapersoner

  • Personuppgiftsansvarigasskyldigheter och rättigheter

  • Antagande av lämpliga tekniska och organisatoriska åtgärder (TOM) för skydd av personuppgifter

  • Omfattning av befogenheten att utfärda direktiv

  • Skyldigheter och rättigheter för personuppgiftsbiträdet

  • Avtal omkonfidentialitet

  • Entreprenörensrapporteringsskyldighet

  • Samarbetsskyldighet/stöd från entreprenörenssida

  • Kontrollbefogenheter

  • Legitim användning av underleverantörer

  • Bevarande av deregistrerades rättigheter

  • Beställningensvaraktighet

  • Avslutande med återlämnande eller radering av personuppgiftsbiträdetsuppgifter

  • Slutliga bestämmelser

 

Picture of the risk analysis template

GDPR-böterför personuppgiftsansvarig kontra personuppgiftsbiträde

Både personuppgiftsansvariga och personuppgiftsbiträden har ansvar. Den personuppgiftsansvarige har ett tydligt ansvar att samarbeta med personuppgiftsbiträden som följer GDPR-reglerna. (Om du vet att ditt personuppgiftsbiträde inte följer GDPR-reglerna bör du överväga ett annat personuppgiftsbiträde). Personuppgiftsbiträdet kan också hållas ansvarigt, tillsammans med den personuppgiftsansvarige, vid GDPR-överträdelser, vilket kan leda till GDPR-böter. Böterna kan uppgå till 20 miljoner euro eller 4 procent av din globala årsomsättning. Två goda skäl att följa GDPR.

Organisationer som har fått böter för att inte ha följt GDPR är bland annat WhatsApp och Google. WhatsApp fick böta 225 miljoner euro för "onödig och oklar" hantering av personuppgifter.

Låt oss nu prata om hur du övervakar dina personuppgiftsbiträden för att se till att de uppfyller kraven.

Guide för personuppgiftsansvariga: Hur du övervakar ditt personuppgiftsbiträde

Enligt artikel 24 i EU's dataskyddsförordning ska den personuppgiftsansvarige kunna visa att personuppgiftsbehandlingen utförs i enlighet med dataskyddsförordningen, och dessa åtgärder ska ses över och uppdateras vid behov.

GDPR anger inte hur ofta eller på vilket sätt du förväntas övervaka dina personuppgiftsbiträden, utan endast att du ska granska att din personuppgiftsbehandling sker i enlighet med GDPR.

Det finns alltså inget officiellt sätt att övervaka dina personuppgiftsbiträden och det kan också vara svårt att avgöra vad som är rätt nivå på övervakningen.

Vi på CyberPilot har tagit fram några rekommendationer om vad du bör vara medveten om när du övervakar dina personuppgiftsbiträden. Våra rekommendationer är delvis baserade på den danska dataskyddsstyrelsens guide om hur man övervakar sina personuppgiftsbiträden.

En tumregel är att ju större volym av personer vars uppgifter behandlas, desto högre bör övervakningsnivån vara på ditt personuppgiftsbiträde.

Få en överblick över dina personuppgiftsbiträden

Innan du börjar bör du skaffa dig en överblick över vilka och hur många företag som behandlar uppgifter för din räkning. Du kanske har fler personuppgiftsbiträden än du tror. Dina personuppgiftsbiträden kan vara ett löneföretag som hanterar dina anställdas löneuppgifter, en molnleverantör som lagrar personuppgifter eller ett kundhanteringssystem (CRM) som hanterar personuppgifter om dina kunders betalningsinformation, privata adresser, e-postmeddelanden och andra personuppgifter.

Fundera också över personuppgiftsbiträdets omfattning. Hur mycket behöver du att de gör? Ju större mängd arbete och data som personuppgiftsbiträdet behandlar, desto mer övervakning och kontroll måste du införa.

En kvinna testar gratis kurser i medvetenhet på sin dator

Så här övervakar du ditt personuppgiftsbiträde

Som personuppgiftsansvarig är du skyldig att övervaka alla personuppgiftsbiträden. När du övervakar dina personuppgiftsbiträden är det några viktiga saker du bör tänka på:

  • Se till att personuppgiftsbiträdets anställda som hanterar personuppgifter har undertecknat ett sekretessavtal

  • Se till att personuppgiftsbiträdet behandlar personuppgifter som de behandlar för din räkning med lämpliga säkerhetsåtgärder,t.ex:

  • Förmågan att säkerställa fortlöpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem och tjänster.

  • Pseudonymisering och kryptering av personuppgifter

  • Personuppgiftsbiträdet använder inte ett underbiträde utan ditt tillstånd

  • Underbiträdet har samma skyldigheter som personuppgiftsbiträdet och att personuppgiftsbiträdet genomför revisioner med det eventuella underbiträdet

  • Se till att personuppgiftsbiträdet hjälper dig med förfrågningar om deregistrerades rättigheter

  • Se till att personuppgiftsbiträdetbistår dig när det gäller rapportering av personuppgiftsincidenter

  • Säkerställa att personuppgiftsbiträdet raderar och återlämnar alla personuppgifter till dig (den personuppgiftsansvarige) när deras tjänst är avslutad

Genomföra revisioner av ditt personuppgiftsbiträde

Du bör, när det är möjligt, granska ditt personuppgiftsbiträdes prestationer i förhållande till det avtal som du har ingått med dem. Be ditt personuppgiftsbiträde om ett register över de databehandlingsaktiviteter som de har utfört för din räkning. Om det finns några frågor eller problem bör du försöka åtgärda och avhjälpa dem. Om det visar sig att databehandlingen inte håller en tillfredsställande nivå bör du överväga att arbeta med ett annat personuppgiftsbiträde som uppfyller dina krav på datahantering.

En bra idé är att ha en fast tid varje år för att gå igenom de personuppgiftsbiträden som du arbetar med och avgöra vilka av dem som behöver övervakas.

Personuppgiftsbiträde som använder ett underbiträde

Enligt GDPR kan ett personuppgiftsbiträde lägga ut en del av sin personuppgiftsbehandling på en tredje part. Detta kallas för ett underbiträde.

Om du har gett ditt personuppgiftsbiträde tillstånd att använda ett underbiträde måste du se till att underbiträdet följer de regler som gäller. Du bör alltid vara medveten om vilka som arbetar med dina uppgifter och hur de hanterar dem.

Ett avtal mellan ett personuppgiftsbiträde och ett underbiträde måste innehålla samma typ av uppgiftsskyldigheter som du (den personuppgiftsansvarige) har upprättat med ditt personuppgiftsbiträde.

Säkerhetsåtgärderför personuppgiftsbiträden

Personuppgiftsbiträden måste vidta samma säkerhetsåtgärder som personuppgiftsansvariga. Du bör därför vara medveten om de säkerhetsåtgärder som dina personuppgiftsbiträden har vidtagit för att garantera säkerheten för personuppgifter samt deras förmåga att garantera konfidentialitet.

Överträdelserav dataskyddsbestämmelser

Om ett fel inträffar kan både du (den personuppgiftsansvarige) och personuppgiftsbiträdet utsättas för illvilliga angrepp. Ditt personuppgiftsbiträde kan råka ut för ett dataintrång, vilket kan påverka de uppgifter som de behandlar för din räkning och de personer vars uppgifter de behandlar. Se till att ni har lämpliga processer på plats, så att ni båda uppfyller skyldigheterna enligt GDPR. Det är också värt att notera att GDPR innehåller krav på hur och när man ska rapportera ett dataintrång, samt vilken typ av intrång som måste rapporteras. Och naturligtvis kan du bli bötfälld om du inte följer dessa rapporteringskrav. Detrekommenderas också att organisationer för en logg över dataintrång, även de som de inte behöver rapportera, så att de kan bevisa att de följer GDPR.

Öppenhetoch transparens

För övrigt bör du vara öppen när du kommunicerar om behandlingen av de registrerades uppgifter. Fundera över hur användningen av tredje part kommuniceras i den information som du ger till de registrerade. Se till att ditt personuppgiftsbiträde kommunicerar behandlingen av personuppgifter på ettkorrekt sätt.

Upprätta starka kommunikationskanaler med ditt personuppgiftsbiträde

Ta alltid upp den typ av aktiviteter som du vill att personuppgiftsbiträdet ska utföra för din räkning. Det är troligt att ditt företag samarbetar med många personuppgiftsbiträden, t.ex. HR-tjänster, löneföretag och marknadsföringsbyråer. Kom ihåg att personuppgiftsbiträdena arbetar för dig och att det därför är viktigt att kommunicera.

Du bör vara öppen och transparent i din relation med dina personuppgiftsbiträden, så att er relation kan växa sig stark och välmående. En stark relation mellan en personuppgiftsansvarig och ettpersonuppgiftsbiträde är nyckeln till att uppnå efterlevnad av GDPR.
Back to blog
Recent articles
GDPR Vem ska ha tillgång till personuppgifter? 4 Konkreta rekommendationer

Alla behöver inte ha tillgång till alla personuppgifter. Här är 4 rekommendationer om hur du kan kontrollera tillgången till personuppgifter.

Ismail Özkan 6 min read - By Ismail Özkan
GDPR Rättslig Grund För Behandling Av Personuppgifter

Du behöver rättslig grund för behandling av personuppgifter. Men vad är det och hur kan du få det? Här är vad du och dina kollegor borde veta.

Ismail Özkan 4 min read - By Ismail Özkan
GDPR, Cybersäkerhet Dataetik och GDPR: Hållbar användning av personuppgifter och data

Vi guidar dig igenom vad datetik är och vad det har att göra med gdpr och cybersäkerhet. Du får även 5 tips för etisk användning av personuppgifter

Emma Soderlund 7 min read - By Emma Soderlund