Det finns nu en publicerad vägledning från Europeiska dataskyddsstyrelsen (EDPB) som handlar om gränsdragningen mellan personuppgiftsansvariga (PUA) och personuppgiftsbiträden (PUB). Vägledningen är avsedd att tydliggöra vilka följderna blir av att ha en av dessa roller. Den svenska Integritetsskyddsmyndigheten har lett den arbetsgrupp som arbetat med att ta fram denna EU-gemensamma vägledningen.
Det har uppmärksammats att det råder viss oklarhet beträffande när en part intar rollen personuppgiftsansvarig respektive personuppgiftsbiträde. I vägledningen finns information som förklarar de olika rollerna och som kan vara till hjälp vid bedömningen. Dessutom innehåller vägledningen beskrivning och förtydligande av så kallat gemensamt personuppgiftsansvar. Exempelvis när minst två eller fler parter är personuppgiftsansvariga tillsammans för en viss behandling. Vägledningen innehåller beskrivningar om hur ansvaret ska bli fördelat mellan flera ansvariga för samma behandling.
Förhoppningen är att denna vägledning från Europeiska dataskyddsstyrelsen (EDPB) ska underlätta för bedömningen av rollerna, som många företag och företagare står inför och måste genomföra. Vägledningen klargör gränser och skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden.
Vägledning från Europeiska dataskyddsstyrelsen (EDPB)
Enligt GDPR kan en fysisk eller juridisk person, myndighet eller annat offentligt organ antingen ha rollen som personuppgiftsansvarig eller personuppgiftsbiträde (eller underbiträde). Det mest centrala som man måste komma fram till är svaret på följande fråga: vem är det som bestämmer ändamål och medel för personuppgiftsbehandlingen? Den som gör det, är personuppgiftsansvarig.
Vägledningen från Europeiska dataskyddsstyrelsen (EDPB) är skriven på engelska. Den innehåller olika avsnitt och förklarande exempel och finns att läsa via Europeiska dataskyddsstyrelsens hemsida.
