Företag som är personuppgiftsbiträde

Företag som är personuppgiftsbiträde innebär att företaget behandlar personuppgifter för en personuppgiftsansvarigs räkning och enligt den ansvariges instruktioner.

Vilka som kan vara personuppgiftsbiträde

Offentliga myndigheter, institutioner eller andra organ samt fysiska eller juridiska personer kan vara personuppgiftsbiträden. Behandlingen av personuppgifter sker då i enlighet med den ansvariges instruktioner. Det är alltså inte det företag som är personuppgiftsbiträde som bestämmer hur eller varför personuppgifterna ifråga ska bli behandlade.

När en personuppgiftsansvarig anlitar en tredje part för att denne ska behandla personuppgifter enligt den ansvariges instruktioner, blir den tredje parten ett personuppgiftsbiträde. Till exempel vid användning av en molntjänst, anlitande av en redovisningskonsult eller användning av ett CRM-system. Det är dock viktigt att analysera varje enskilt fall för att avgöra om det är ett personuppgiftsbiträde eller en självständig personuppgiftsansvarig. Anlitandet av en bank, revisor eller jurist innebär exempelvis inte per automatik att dessa blir personuppgiftsbiträden. Istället agerar dessa aktörer i de flesta fall som en självständig personuppgiftsansvarig.

Det faktiska förhållandet mellan parterna avgör vilken roll parterna har. Därför går det inte att avgöra detta genom att skriva in roller i ett avtal och fritt fördela rollerna. Däremot måste den ansvairge och biträdet ingår ett personuppgiftsbiträdesavtal med varandra, om det föreligger en biträdesrelation. Om personuppgiftsbiträdet får för stort inflytande över behandlingen, såsom ändamål (syfte) och medel (organisatoriska och tekniska åtgärder), kan denne bli personuppgiftsansvarig. I vissa fall kan parterna även ha ett så kallat gemensamt personuppgiftsansvar.

Personuppgiftsbiträden kan vara fysiska personer, men det innebär inte att anställda på företaget blir det per automatik. Med fysiska personer avses till exempel personer som driver verksamhet i bolagsformen enskild firma.

Krav för att vara personuppgiftsbiträde

– Behandlingen av personuppgifter ska ske för den personuppgiftsansvariges räkning,

– Det får inte vara samma fysiska eller juridiska person som den personuppgiftsansvarige.

Personuppgiftsbiträdesavtal ska vara skriftliga enligt formkrav

De flesta avtalen kan vara muntliga och fortfarande vara juridiskt bindande, men det finns vissa avtal som måste vara skriftliga enligt formkrav i lagen. Personuppgiftsbiträdesavtal, som är ett avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet, måste vara skriftligt enligt artikel 28 i GDPR.

I ett sådant avtal, ska det bland annat framgå att personuppgiftsbiträdet bara får behandla personuppgifterna i enlighet med instruktionerna som den personuppgiftsansvarige ger. Dessutom måste de anställda hos personuppgiftsbiträdet åta sig att iaktta sekretess kring de behandlade personuppgifterna. De minimikrav som detta avtal måste innehålla, framgår i artikel 28 GDPR.

Personuppgiftsbiträden ska föra register

Personuppgiftsbiträden måste föra register över behandlingen som de genomför för den personuppgiftsansvarige. Exempelvis ska det framgå information om huruvida personuppgifterna blir överföra till tredjeland, vilja säkerhetsåtgärder som blir tillämpade och vilka kategorier av personuppgifter som blir behandlade m.m. Innehållet som måste förekomma i en rådan registerförteckning, framgår i artikel 30 GDPR.

Anlita ett personuppgiftsunderbiträde

Det är möjligt för ett personuppgiftsbiträde att anlita ett personuppgiftsunderbiträde, men det får enbart ske om den personuppgiftsansvarige ger tillstånd till det. Observera att tillståndet måste vara skriftligt. I vissa fall kan företaget få ett generellt tillstånd att få anlita personuppgiftsunderbiträden, men det finns fortfarande en skyldighet att informera den personuppgiftsansvarige om sådant anlitande innan det sker. Då har den personuppgiftsansvarige rätt att göra invändningar mot det. Detsamma gäller rätten att göra invändningar mot övriga ändringar, exempelvis byte av ett underbiträde eller tillägg av ett nytt underbiträde.

Något som är viktigt att känna till, och som ska framgå i personuppgiftsbiträdesavtalet, är följande: Om det anlitade underbiträdet inte fullgör sina skyldigheter i fråga om dataskydd, ska personuppgiftsbiträdet vara fullt ansvarig gentemot den personuppgiftsansvarige för utförandet av underbiträdets skyldigheter.

Avtal mellan personuppgiftsbiträde och personuppgiftsunderbiträde

Till skillnad från personuppgiftsbiträdesavtal som måste vara skriftliga mellan den personuppgiftsansvarige och biträdet, behöver inte avtal mellan personuppgiftsbiträdet och personuppgiftsunderbiträdet vara det. Däremot är det alltid bättre att ha ett skriftligt avtal, eftersom det är enklare att bevisa vid en eventuell tvist. Personuppgiftsbiträdet och personuppgiftsunderbiträdet måste dock ha ett avtal där de båda har samma skyldigheter gentemot den personuppgiftsansvarige.

Det viktigaste är att underbiträdet åtar sig samma skyldigheter avseende dataskydd som har blivit avtalade mellan den ansvarige och det första biträdet.

Dataskyddsombud

Många företag väljer att anlita en extern part såsom en advokatbyrå som sitt dataskyddsombud. Advokatsamfundet har gett information till advokater om hur de ska förhålla sig som dataskyddsombud och därför kan de vara lämpliga att anlita. Dataskyddsombud har en viktig roll i företag som behöver ha ett och dataskyddsombud behöver framförallt ha kunskap om GDPR. Exempelvis tidigare vägledande domstolsavgöranden inom GDPR och ha koll på relevanta lagar. Vi arbetar inte som dataskyddsombud, men kan hjälpa till med att upprätta de GDPR avtal, interna rutiner och övrig dokumentation som företag behöver.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_2LHD5RXEW7	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_3	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.