Undernavigering

Du är här:Hem → Personuppgiftsombud → Samrådsyttranden → Gränsen mellan personuppgiftsbiträde och tredje man

Gränsen mellan personuppgiftsbiträde och tredje man

Övrigt

Fråga:

Jag är personuppgiftsombud för kommunstyrelsen i kommunen. Jag har följande fråga om personuppgiftsbiträde och gränsdragningen gentemot tredje man.

Följer av lagens definition ("den som behandlar personuppgifter för den personuppgiftsansvariges räkning") att

själva syftet med den personuppgiftsansvariges uppdrag till uppdragstagaren skall vara att behandla personuppgifter (på ett sätt som omfattas av personuppgiftslagen) för att uppdragstagaren skall räknas som ett personuppgiftsbiträde eller
räcker det med att behandlingen är en nödvändig förutsättning för att uppdraget skall kunna utföras eller
att uppdragstagaren väljer att utföra uppdraget medelst behandling av personuppgifter, trots att det inte är en nödvändig förutsättning?
Har det någon betydelse för svaret på vilket medium den personuppgiftsansvarige lämnar personuppgifter till uppdragstagaren (på papper eller elektroniskt)? Krävs i någon mening god tro hos den personuppgiftsansvarige om uppdrags-tagarens sätt att utföra uppdraget för att denne inte skall anses som personuppgiftsbiträde?

Som bakgrund till frågorna kan nämnas att det i viss litteratur talas om personuppgiftsbiträdet som någon som "anlitas för behandling av den personuppgiftsansvariges personuppgifter", vilket åtminstone semantiskt avviker från lagens definition.

Svar:

Du har begärt samråd hos Datainspektionen i en fråga som rör gränsdragningen mellan ett personuppgiftsbiträde och en tredje man.

Personuppgiftsbiträde är någon som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträdet får bara behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Instruktionerna ska vara så tydliga att ingen otillåten behandling utförs. Den personuppgiftsansvarige ska upprätta ett skriftligt avtal med personuppgiftsbiträdet där det ska framgår att biträdet bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige och att biträdet måste vidta de säkerhetsåtgärder som behövs för att skydda uppgifterna.

Det krävs alltså att den personuppgiftsansvarige ger någon i uppdrag att utföra en personuppgiftsbehandling för den ansvariges räkning. Det har ingen betydelse på vilket medium personuppgifterna överlämnas till biträdet.

När ett personuppgiftsbiträde behandlar personuppgifter för helt andra ändamål än de den personuppgiftsansvarige bestämt, har den personuppgiftsansvarige ansvaret för att så kunnat ske. Biträdet kan dock enligt avtal eller allmänna regler bli skadeståndsskyldigt gentemot den personuppgiftsansvarige.

En tredje man kan vara en fysisk eller en juridisk person. Tredje man är någon annan än den registrerade, den personuppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter. Det är den personuppgiftsansvarige respektive personuppgiftsbiträdet som bestämmer vilka som har befogenhet att behandla person-uppgifter.

(Juni 2004)

Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.