Personuppgiftsansvar och personuppgiftsbiträden

Frågor och svar om EU:s dataskyddsreform

Kommer reglerna om personuppgiftsansvarig och personuppgiftsbiträde att finnas kvar?
Kommer de personuppgiftsansvariga att kunna vända sig till Datainspektionen med frågor även i fortsättningen?
Kommer den personuppgiftsansvarige och ett anlitat personuppgiftsbiträde att bli solidariskt skadeståndsansvariga?
Vi har lagt ut vår IT-drift och personuppgiftsbehandling på ett annat företag. Kan det företaget i sin tur anlita någon annan för denna tjänst? Kan ett personuppgiftsbiträde anlita ett underbiträde?
Vad menas med ett biträdesavtal? Vad ska ett sådant avtal innehålla?
Finns skyldigheten att föra förteckning över vilken personuppgiftsbehandling som sker kvar?

Kommer reglerna om personuppgiftsansvarig och personuppgiftsbiträde att finnas kvar?

Ja, förordningen innehåller regler om personuppgiftsansvarig och personuppgiftsbiträde precis som förut. I förordningen finns dessutom många fler regler som uttryckligen riktar sig mot personuppgiftsbiträden. Ett av syftena med dataskyddsreformen har varit att göra det tydligare vilket ansvar och vilka skyldigheter de som behandlar personuppgifter har.

Kommer de personuppgiftsansvariga att kunna vända sig till Datainspektionen med frågor även i fortsättningen?

Ja, det finns en uttrycklig skyldighet för personuppgiftsansvariga att samråda med Datainspektionen i vissa fall. Ett sådant samråd ska begäras om en konsekvensbedömning avseende dataskydd visar att det finns stora risker med den planerade personuppgiftsbehandlingen. Datainspektionen kommer även i övrigt att ha till uppgift att hjälpa, vägleda och informera om reglerna kring personuppgiftsbehandling och dataskydd.

Kommer den personuppgiftsansvarige och ett anlitat personuppgiftsbiträde att bli solidariskt skadeståndsansvariga?

Huvudregeln är att det är den personuppgiftsansvarige som är skadeståndsansvarig för skada som uppstår till följd av att personuppgifter har behandlats i strid med förordningen. Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den ansvariges instruktioner. Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvarige eller personuppgiftsbiträdet. De får sedan i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.

Vi har lagt ut vår IT-drift och personuppgiftsbehandling på ett annat företag. Kan det företaget i sin tur anlita någon annan för denna tjänst? Kan ett personuppgiftsbiträde anlita ett underbiträde?

Ett företag eller myndighet som behandlar personuppgifter för någon annans räkning är att anse som ett personuppgiftsbiträde. En organisation som vill anlita ett sådant biträde (den personuppgiftsansvarige) måste teckna ett skriftligt avtal med biträdet. Avtalet ska bland annat innehålla instruktioner för hur biträdet får behandla personuppgifterna.

Läs mer om vad ett sådant avtal ska innehålla längre ner.

Biträdet kan i sin tur anlita andra biträden, så kallade underbiträden, men endast om den personuppgiftsansvarige i förväg gett ett skriftligt tillstånd till detta. Tillståndet kan gälla anlitande av ett visst underbiträde eller gälla generellt. Om ett biträde har ett generellt tillstånd måste ändå den personuppgiftsansvarige informeras så att denne ges möjlighet att göra invändningar mot planerna att anlita ett nytt biträde.

Även när ett personuppgiftsbiträde anlitar ett underbiträde måste dessa teckna ett avtal sinsemellan. I det avtalet ska slås fast att underbiträdet omfattas av samma skyldigheter som det ursprungliga biträdet har mot den personuppgiftsansvarige enligt deras avtal.

Den personuppgiftsansvarige behöver även få reda på bland annat kontaktuppgifter till underbiträdet för att kunna utföra eventuella kontroller av hur underbiträdet lever upp till avtalet.

Läs mer om personuppgiftsbiträden enligt förordningen

Vad menas med ett biträdesavtal? Vad ska ett sådant avtal innehålla?

Ett företag eller myndighet som behandlar personuppgifter för någon annans räkning är att anse som ett personuppgiftsbiträde. En organisation som vill anlita ett sådant biträde (den personuppgiftsansvarige) måste teckna ett skriftligt avtal med biträdet. Dataskyddsförordningen innehåller detaljerade bestämmelser om vad ett sådant avtal ska innehålla.

I avtalet ska biträdet åta sig att:

  • Bara behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige
  • Se till att personer som har behörighet att behandla personuppgifter hos biträdet har åtagit sig att iaktta tystnadsplikt eller omfattas av lagstadgad sådan
  • Vidta alla tekniska och organisatoriska åtgärder som är nödvändiga för att säkerställa en lämplig säkerhetsnivå i förhållande till riskerna med behandlingen
  • Respektera kraven på förhandstillstånd och avtal vid anlitande av ett annat biträde (ett underbiträde)
  • Vidta lämpliga tekniska och organisatoriska åtgärder så att den personuppgiftsansvarige kan svara på en enskilds begäran om att få utöva sina rättigheter, såsom rätten till information och registerutdrag, rättelse, radering med mera
  • Bistå den personuppgiftsansvarige med att se till att skyldigheterna fullgörs ifråga om säkerhetsåtgärder, anmälan av personuppgiftsincidenter och information om sådana incidenter till de registrerade samt konsekvensbedömning och förhandssamråd
  • Radera eller återlämna alla personuppgifter till den personuppgiftsansvarige (beroende på vad den personuppgiftsansvarige väljer) när uppdraget avslutas och även radera alla kopior
  • Ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att man fullgör alla skyldigheter som man har som biträde samt att möjliggöra och bidra till inspektioner och andra granskningar som den personuppgiftsansvarige vill genomföra.

Finns skyldigheten att föra förteckning över vilken personuppgiftsbehandling som sker kvar?

Ja, enligt en särskild bestämmelse i förordningen ska den personuppgiftsansvarige föra en förteckning över den behandling som man ansvarar för. Dessutom ska ett personuppgiftsbiträde föra en förteckning över den behandling som de utför för någon annans räkning.

EU:s dataskyddsreform

Tillbaka till Frågor och svar

Läs mer om EU:s dataskyddsreform

Här får du veta mer om EU:s dataskyddsreform och när de nya reglerna kan komma att införas i svensk lagstiftning.