Personuppgiftsansvar och personuppgiftsbiträden

Frågor och svar om EU:s dataskyddsreform

Kommer reglerna om personuppgiftsansvarig och personuppgiftsbiträde att finnas kvar?
Kommer de personuppgiftsansvariga att kunna vända sig till Datainspektionen med frågor även i fortsättningen?
Kommer den personuppgiftsansvarige och ett anlitat personuppgiftsbiträde att bli solidariskt skadeståndsansvariga?
Vi har lagt ut vår IT-drift och personuppgiftsbehandling på ett annat företag. Kan det företaget i sin tur anlita någon annan för denna tjänst? Kan ett personuppgiftsbiträde anlita ett underbiträde?
Vad menas med ett biträdesavtal? Vad ska ett sådant avtal innehålla?
Finns skyldigheten att föra förteckning över vilken personuppgiftsbehandling som sker kvar?
Vad är en uppförandekod?
Kan vi redan nu få en uppförandekod godkänd av Datainspektionen?
Vilka certifieringsorgan finns i Sverige för dataskyddsförordningen? Vilka är kriterierna för att bli certifierad?
Behöver vi få ett nytt samtycke från de personer som vi har uppgifter om?

Kommer reglerna om personuppgiftsansvarig och personuppgiftsbiträde att finnas kvar?

Ja, förordningen innehåller regler om personuppgiftsansvarig och personuppgiftsbiträde precis som förut. I förordningen finns dessutom många fler regler som uttryckligen riktar sig mot personuppgiftsbiträden. Ett av syftena med dataskyddsreformen har varit att göra det tydligare vilket ansvar och vilka skyldigheter de som behandlar personuppgifter har.

Kommer de personuppgiftsansvariga att kunna vända sig till Datainspektionen med frågor även i fortsättningen?

Ja, det finns en uttrycklig skyldighet för personuppgiftsansvariga att samråda med Datainspektionen i vissa fall. Ett sådant samråd ska begäras om en konsekvensbedömning avseende dataskydd visar att det finns stora risker med den planerade personuppgiftsbehandlingen. Datainspektionen kommer även i övrigt att ha till uppgift att hjälpa, vägleda och informera om reglerna kring personuppgiftsbehandling och dataskydd.

Kommer den personuppgiftsansvarige och ett anlitat personuppgiftsbiträde att bli solidariskt skadeståndsansvariga?

Huvudregeln är att det är den personuppgiftsansvarige som är skadeståndsansvarig för skada som uppstår till följd av att personuppgifter har behandlats i strid med förordningen. Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den ansvariges instruktioner. Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvarige eller personuppgiftsbiträdet. De får sedan i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.

Vi har lagt ut vår IT-drift och personuppgiftsbehandling på ett annat företag. Kan det företaget i sin tur anlita någon annan för denna tjänst? Kan ett personuppgiftsbiträde anlita ett underbiträde?

Ett företag eller myndighet som behandlar personuppgifter för någon annans räkning är att anse som ett personuppgiftsbiträde. En organisation som vill anlita ett sådant biträde (den personuppgiftsansvarige) måste teckna ett skriftligt avtal med biträdet. Avtalet ska bland annat innehålla instruktioner för hur biträdet får behandla personuppgifterna.

Läs mer om vad ett sådant avtal ska innehålla längre ner.

Biträdet kan i sin tur anlita andra biträden, så kallade underbiträden, men endast om den personuppgiftsansvarige i förväg gett ett skriftligt tillstånd till detta. Tillståndet kan gälla anlitande av ett visst underbiträde eller gälla generellt. Om ett biträde har ett generellt tillstånd måste ändå den personuppgiftsansvarige informeras så att denne ges möjlighet att göra invändningar mot planerna att anlita ett nytt biträde.

Även när ett personuppgiftsbiträde anlitar ett underbiträde måste dessa teckna ett avtal sinsemellan. I det avtalet ska slås fast att underbiträdet omfattas av samma skyldigheter som det ursprungliga biträdet har mot den personuppgiftsansvarige enligt deras avtal.

Den personuppgiftsansvarige behöver även få reda på bland annat kontaktuppgifter till underbiträdet för att kunna utföra eventuella kontroller av hur underbiträdet lever upp till avtalet.

Läs mer om personuppgiftsbiträden enligt förordningen

Vad menas med ett biträdesavtal? Vad ska ett sådant avtal innehålla?

Ett företag eller myndighet som behandlar personuppgifter för någon annans räkning är att anse som ett personuppgiftsbiträde. En organisation som vill anlita ett sådant biträde (den personuppgiftsansvarige) måste teckna ett skriftligt avtal med biträdet. Dataskyddsförordningen innehåller detaljerade bestämmelser om vad ett sådant avtal ska innehålla.

I avtalet ska biträdet åta sig att:

  • Bara behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige
  • Se till att personer som har behörighet att behandla personuppgifter hos biträdet har åtagit sig att iaktta tystnadsplikt eller omfattas av lagstadgad sådan
  • Vidta alla tekniska och organisatoriska åtgärder som är nödvändiga för att säkerställa en lämplig säkerhetsnivå i förhållande till riskerna med behandlingen
  • Respektera kraven på förhandstillstånd och avtal vid anlitande av ett annat biträde (ett underbiträde)
  • Vidta lämpliga tekniska och organisatoriska åtgärder så att den personuppgiftsansvarige kan svara på en enskilds begäran om att få utöva sina rättigheter, såsom rätten till information och registerutdrag, rättelse, radering med mera
  • Bistå den personuppgiftsansvarige med att se till att skyldigheterna fullgörs ifråga om säkerhetsåtgärder, anmälan av personuppgiftsincidenter och information om sådana incidenter till de registrerade samt konsekvensbedömning och förhandssamråd
  • Radera eller återlämna alla personuppgifter till den personuppgiftsansvarige (beroende på vad den personuppgiftsansvarige väljer) när uppdraget avslutas och även radera alla kopior
  • Ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att man fullgör alla skyldigheter som man har som biträde samt att möjliggöra och bidra till inspektioner och andra granskningar som den personuppgiftsansvarige vill genomföra.

Finns skyldigheten att föra förteckning över vilken personuppgiftsbehandling som sker kvar?

Ja, enligt en särskild bestämmelse i förordningen ska den personuppgiftsansvarige föra en förteckning över den behandling som man ansvarar för. Dessutom ska ett personuppgiftsbiträde föra en förteckning över den behandling som de utför för någon annans räkning.

Vad är en uppförandekod?

En uppförandekod kan tas fram av en branschorganisation eller en annan organisation som företräder en viss kategori av personuppgiftsansvariga eller personuppgiftsbiträden för att visa hur man ska hantera personuppgifter i enlighet med bestämmelserna i dataskyddsförordningen. Uppförandekoden ska godkännas av Datainspektionen och bör tas fram i samråd med berörda intressenter, till exempel registrerade.

En uppförandekod kan innehålla riktlinjer som närmare specificerar dataskyddsförordningens bestämmer, till exempel när det gäller:

  • En korrekt och öppen personuppgiftsbehandling
  • Den personuppgiftsansvariges berättigade intressen i olika sammanhang
  • Insamling av personuppgifter
  • Pseudonymisering av personuppgifter
  • Information till allmänheten och till de registrerade
  • Utövande av registrerades rättigheter
  • Information till barn och skydd av uppgifter om barn samt hur samtycke från vårdnadshavare inhämtas i sådana fall
  • Tekniska och organisatoriska åtgärder (bland annat inbyggt dataskydd) för att se till att behandlingen sker i enlighet med förordningen och att en lämplig säkerhetsnivå säkerställs
  • Anmälan av personuppgiftsincidenter och information till registrerade om sådana incidenter
  • Överföring av personuppgifter till länder utanför EU samt
  • Särskilda tvistlösningsförfaranden mellan personuppgiftsansvariga och registrerade

Det är inte obligatoriskt att ta fram, eller att ansluta sig till, en uppförandekod men det kan vara ett bra sätt att visa att man följer förordningens regler såsom de har specificerats för den särskilda branschen. En uppförandekod ska också innehålla bestämmelser om ett organ som ska övervaka att koden följs. Om man anslutit sig till uppförandekoden men bryter mot de riktlinjer som ges där ska man kunna bli avstängd eller utesluten från koden.

Kan vi redan nu få en uppförandekod godkänd av Datainspektionen?

Nej, det går inte att få en uppförandekod godkänd enligt dataskyddsförordningen förrän förordningen har börjat att tillämpas den 25 maj 2018. Men, det går att börja arbetet med att ta fram uppförandekoden redan nu.

EU-ländernas dataskyddsmyndigheter arbetar i den så kallade Artikel 29-gruppen med att se över hur uppförandekoder ska granskas och godkännas och vilka krav som ska ställas på uppförandekoder.
En uppförandekod kan till exempel tas fram av en branschorganisation. Uppförandekoden skickas sedan till den nationella tillsynsmyndigheten (i Sverige Datainspektionen) för granskning och godkännande.
Om det rör sig om en uppförandekod för personuppgiftsbehandling i flera medlemsstater så är godkännandeprocessen mer komplicerad. Då ska uppförandekoden vidarebefordras till den europeiska dataskyddsstyrelsen (EDPB) som ska yttra sig över koden. Därefter ska EDPB lämna sitt yttrande till EU-kommissionen som sedan kan fatta beslut att koden har allmän giltighet i hela unionen.

Läs mer om uppförandekoder

Vilka certifieringsorgan finns i Sverige för dataskyddsförordningen? Vilka är kriterierna för att bli certifierad?

Själva utfärdandet av en certifiering kan göras av tillsynsmyndigheten, i Sverige Datainspektionen, eller ett ackrediterat certifieringsorgan. Vem som ska utfärda ackrediteringar är ännu inte bestämt men det kommer antingen att vara Datainspektionen eller det nationella ackrediteringsorganet Swedac.

De kriterier som en ackreditering ska grunda sig på ska tas fram av den nationella tillsynsmyndigheten, alltså av Datainspektionen. Datainspektionen ska även godkänna de kriterier som ligger till grund för en certifiering.

Hur certifieringar kommer att gå till är ännu inte klart.

EU-ländernas dataskyddsmyndigheter, genom den så kallade Artikel 29-gruppen, håller på att ta fram en vägledning om certifieringar som beräknas vara klar i februari 2018.

Tydligare svenska regler behövs
Datainspektionen anser att det behövs nationella bestämmelser som förtydligar och specificerar förfarandet kring ackreditering och hur den uppgiften ska fördelas mellan Datainspektionen och det nationella ackrediteringsorganet Swedac.
Läs mer om det på sidan 21-22 i Datainspektionens yttrande över betänkande 2017:39 Ny dataskyddslag

Läs mer om uppförandekoder och certifieringar

Det finns mer information och resonemang om certifieringar i betänkandet SOU 2017:39 En ny dataskyddslag (avsnitt 16)

Behöver vi få ett nytt samtycke från de personer som vi har uppgifter om?

Nej, inte om det tidigare inhämtade samtycket lever upp till kraven i dataskyddsförordningen.

Om man idag har personuppgifter som man samlat in via samtycke och samtycket har inhämtats på det sätt som förordningen anger behöver man inte inhämta ett nytt samtycke när dataskyddsförordningen börjar tillämpas.

Dataskyddsförordningen innehåller en del skärpta krav på ett samtycke jämfört med personuppgiftslagen. Till exempel måste den personuppgiftsansvarige kunna visa att man verkligen har fått den registrerades samtycke. Har man inte dokumenterat samtycket eller utgått ifrån att den registrerade samtyckt utan att han eller hon aktivt har uttryckt detta på något sätt, så måste ett nytt samtycke inhämtas.

Andra nya krav i förordningen är kravet på information om att man när som helst ska kunna återkalla sitt samtycke och kravet på samtycke från vårdnadshavare när det gäller personuppgifter som rör barn.

Mer information hittar du i Skäl 171 i dataskyddsförordningen:

Läs Skäl 171 i sin helhet

EU:s dataskyddsreform

Tillbaka till Frågor och svar

Läs mer om EU:s dataskyddsreform

Här får du veta mer om EU:s dataskyddsreform och när de nya reglerna kan komma att införas i svensk lagstiftning.