meny

För dig som är personuppgiftsbiträde

Läs mer om vilka krav som dataskyddsförordningen ställer på er som är personuppgiftsbiträden.

Dataskyddsförordningen innebär stora förändringar för den som behandlar personuppgifter för någon annans räkning. Den här informationen riktar sig därför särskilt till er som är personuppgiftsbiträden.

Dataskyddsförordningen ställer krav på er att kontrollera att personuppgiftsbehandlingen uppfyller de krav som ställs i förordningen. De personuppgiftsansvariga får endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att skyldigheterna i förordningen kommer att uppfyllas och att de registrerades rättigheter skyddas. Hur omfattande åtgärder som behövs beror på hur er verksamhet ser ut och vilka risker som finns med er personuppgiftsbehandling.

Samma definition men en förändrad roll

Den som behandlar personuppgifter för den personuppgiftsansvariges räkning är personuppgiftsbiträde. Med dataskyddsförordningen förändras denna roll. Personuppgiftsbiträdet har fått nya skyldigheter och ett betydligt utökat eget ansvar för personuppgiftsbehandlingen. I ett flertal situationer omfattas personuppgiftsbiträden av samma skyldigheter som gäller för personuppgiftsansvariga.

Här är några viktiga punkter att tänka på för personuppgiftsbiträden:

1. Föra register

Ni ska föra ett register över alla kategorier av behandling som utförs för den personuppgiftsansvariges räkning. Registret ska bland annat omfatta namn och kontaktuppgifter för personuppgiftsbiträdet och den personuppgiftsansvarige, vilka kategorier av behandling som utförs för varje personuppgiftsansvariges räkning samt information om tredjelandsöverföring och säkerhetsåtgärder. Det finns vissa undantag från denna skyldighet för mindre företag.

Läs mer om att föra register och vilka undantag som finns

2. Ansvar vid anlitande av ett underbiträde

Om ni vill anlita ett annat personuppgiftsbiträde måste ni ha ett skriftligt förhandstillstånd från den personuppgiftsansvarige. Har ni fått ett generellt tillstånd att anlita underbiträden måste ni ändå informera den personuppgiftsansvarige om era planer på att anlita ett nytt biträde, så att den ansvarige kan göra invändningar mot detta.

När ni anlitar ett underbiträde måste ni teckna avtal som gör att biträdet omfattas av samma skyldigheter som ni har gentemot den personuppgiftsansvarige. Om det andra biträdet inte fullgör sina skyldigheter kommer ni enligt förordningen att vara fullt ansvarig gentemot den personuppgiftsansvarige för att dessa skyldigheter utförs.

3. Utse dataskyddsombud

Ni är i vissa fall skyldiga att utse ett dataskyddsombud. Skyldigheten att utse dataskyddsombud omfattar bland annat offentliga myndigheter och organisationer vars verksamhet involverar särskilt riskfylld behandling, som exempelvis regelbunden och systematisk övervakning av registrerade i stor skala eller omfattande behandling av känsliga personuppgifter. En särskilt integritetskänslig behandling kan därför komma att kräva att dataskyddsombud utses både hos den personuppgiftsansvarige och hos personuppgiftsbiträdet.

Den person som utses måste ha tillräcklig kunskap om dataskydd och få det stöd och de befogenheter som krävs för att kunna utföra sitt uppdrag på ett effektivt och oberoende sätt.

Läs mer om dataskyddsombud

4. Samarbeta med tillsynsmyndigheten

Ni har en uttrycklig skyldighet att på begäran samarbeta med Datainspektionen, som är tillsynsmyndigheten i Sverige.

5. Ansvar för att vidta säkerhetsåtgärder

Ni har ett eget ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att se till att säkerhetsnivån för er behandling är tillräcklig. Det kan bland annat medföra att ni behöver fundera över frågor som pseudonymisering och kryptering av personuppgifter, hur ni säkerställer att era system är tillräckligt säkra och motståndskraftiga samt hur ni fortlöpande testar och utvärderar systemen.

Vilka åtgärder som är nödvändiga beror på vilka särskilda risker som finns med er behandling. Ni behöver till exempel ha ett starkare skydd om ni behandlar känsliga personuppgifter, såsom uppgifter som rör hälsa eller religiös övertygelse.

Det bör även nämnas att personuppgiftsbiträdets utökade ansvar inte medför att den personuppgiftsansvariges eget ansvar minskar. Ansvaret för att se till att säkerheten kring de personuppgifter som behandlas är tillräcklig kommer att ligga på både den personuppgiftsansvarige och personuppgiftsbiträdet.

Underrätta den personuppgiftsansvarige om personuppgiftsincidenter

Om ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter ni behandlar, en så kallad personuppgiftsincident, måste ni utan onödigt dröjsmål underrätta den personuppgiftsansvarige om detta. Det kan vara bra att bestämma var i er organisation en sådan rapporteringsskyldighet ska ligga eftersom ni, om en personuppgiftsincident inträffar, måste agera skyndsamt.

Läs mer om personuppgiftsincidenter

6. Bistå den personuppgiftsansvarige

Ni har även en mer allmän skyldighet att bistå den personuppgiftsansvarige när denne ska fullgöra sina skyldigheter enligt förordningen. Ni ska bland annat hjälpa till med att svara på begäranden om elektroniska registerutdrag och att bistå den personuppgiftsansvarige för att se till att säkerheten för behandlingen är tillräcklig.

7. Risk för sanktioner

Tillsynsmyndigheten kommer att ges möjlighet att döma ut en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av bolagets globala årsomsättning. Ni kommer, i likhet med vad som gäller för personuppgiftsansvariga, riskera att drabbas av sådana administrativa sanktionsavgifter om ni inte uppfyller de skyldigheter som finns i förordningen.

Läs mer om sanktionsavgifter

  • Vad gäller för personuppgiftsansvariga och personuppgiftsbiträden?

    Dataskyddsförordningen innehåller klara regler om personuppgiftsansvariga och personuppgiftsbiträden. I förordningen finns dessutom många regler som uttryckligen riktar sig mot personuppgiftsbiträden. Förordningen gör det tydligare vilket ansvar och vilka skyldigheter de som behandlar personuppgifter har.

  • Kan de personuppgiftsansvariga vända sig till Datainspektionen med frågor?

    Ja, det finns en uttrycklig skyldighet för personuppgiftsansvariga att samråda med Datainspektionen i vissa fall. Datainspektionen kommer även i övrigt att ha till uppgift att hjälpa, vägleda och informera om reglerna kring personuppgiftsbehandling och dataskydd.

    Läs mer om förhandssamråd

  • Kan den personuppgiftsansvarige och ett anlitat personuppgiftsbiträde bli skadeståndsansvariga?

    Huvudregeln är att det är den personuppgiftsansvarige som är skadeståndsansvarig för skada som uppstår till följd av att personuppgifter har behandlats i strid med förordningen. Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den ansvariges instruktioner. Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvarige eller personuppgiftsbiträdet. De får sedan i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.

  • Vi har lagt ut vår it-drift och personuppgiftsbehandling på ett annat företag. Kan det företaget i sin tur anlita någon annan för denna tjänst? Kan ett personuppgiftsbiträde anlita ett underbiträde?

    Ett företag eller myndighet som behandlar personuppgifter för någon annans räkning är att anse som ett personuppgiftsbiträde. En organisation som vill anlita ett sådant biträde (den personuppgiftsansvarige) måste teckna ett skriftligt avtal med biträdet. Avtalet ska bland annat innehålla instruktioner för hur biträdet får behandla personuppgifterna.

    Biträdet kan i sin tur anlita andra biträden, så kallade underbiträden, men endast om den personuppgiftsansvarige i förväg gett ett skriftligt tillstånd till detta. Tillståndet kan gälla anlitande av ett visst underbiträde eller gälla generellt. Om ett biträde har ett generellt tillstånd måste ändå den personuppgiftsansvarige informeras så att denne ges möjlighet att göra invändningar mot planerna att anlita ett nytt biträde.

    Även när ett personuppgiftsbiträde anlitar ett underbiträde måste dessa teckna ett avtal sinsemellan. I det avtalet ska slås fast att underbiträdet omfattas av samma skyldigheter som det ursprungliga biträdet har mot den personuppgiftsansvarige enligt deras avtal.

    Den personuppgiftsansvarige behöver även få reda på bland annat kontaktuppgifter till underbiträdet för att kunna utföra eventuella kontroller av hur underbiträdet lever upp till avtalet.