Personuppgiftsbiträden
Ett personuppgiftsbiträde är en aktör som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Den personuppgiftsansvarige fastställer syftena och metoderna för behandlingen av personuppgifter.
Med personuppgiftsbiträde avses inte arbetstagare som arbetar under den personuppgiftsansvarige och behandlar personuppgifter som en del av deras arbetsuppgifter.
Ett personuppgiftsbiträde kan utgöras av till exempel ett företag, en enskild näringsidkare, en myndighet eller en förening. En väldigt bred grupp av tjänstetillhandahållare verkar som personuppgiftsbiträden.
Befattningsbeskrivningar för personuppgiftsbiträden
Det är möjligt att befattningen för personuppgiftsbiträden är väldigt noggrant avgränsad, såsom utkontraktering av sändning av post. Uppgifterna kan också vara omfattande och allmänna och de kan vara kopplade till hantering av en viss tjänst för en annan organisations räkning, till exempel uppgifter som relaterar till utbetalning av lön till ett företags arbetstagare.
Den reglering som gäller för personuppgiftsbiträden omfattar till exempel följande tjänstetillhandahållare:
- IT-tjänstetillhandahållare, programvaruintegrerare, cybersäkerhetsföretag och IT-konsultföretag, med tillträde till den personuppgiftsansvariges personuppgifter.
- Ett hälsovårdslaboratorium som behandlar prover för den personuppgiftsansvariges räkning.
- Marknadsförings- och kommunikationsbyråer som behandlar personuppgifter för sina kunders räkning.
- Mer generellt, alla organisationer vars tjänster omfattar behandling av personuppgifter för en annan organisations räkning.
- Också en offentlig myndighet eller organisation kan ses som ett personuppgiftsbiträde.
Programvaruutgivare och apparattillverkare, till exempel tillverkare av apparater för tidsuppföljning, biometriska apparater eller medicinska apparater, ses inte som personuppgiftsbiträden, om de inte har tillgång till personuppgifter, och inte behandlar personuppgifter.
En organisation kan behandla personuppgifter för någon annans räkning som biträde. Den är dock personuppgiftsansvarig vad gäller behandling av personuppgifter för egen räkning, inte för personuppgiftsansvariga som utgör kunder. En organisation är en personuppgiftsansvarig till exempel då den behandlar personuppgifter om organisationens egen personal.
Ett personuppgiftsbiträde kan behandla personuppgifter enbart för de syften som fastställts av den personuppgiftsansvarige. Ett personuppgiftsbiträde kan inte börja behandla uppgifter som det ska behandla för den personuppgiftsansvariges räkning för egna syften genom att fastställa syftena och metoderna för behandlingen av personuppgifter.
Företag A tillhandahåller förmedling av marknadsföringsbrev utifrån företagen B:s och C:s kunduppgiftsregister.
Företag A är ett personuppgiftsbiträde i förhållande till företagen B och C, om det behandlar kunduppgifter som behövs för att för sända brev för företagen B:s och C:s räkning och enligt deras anvisningar.
Företagen B och C är personuppgiftsansvariga vad gäller förvaltningen av sina kunders personuppgifter, inklusive sändning av marknadsföringsbrev.
Företag A är personuppgiftsansvarig i förhållande till behandlingen av personuppgifter om den personal som den sysselsätter och behandlingen av personuppgifter om kontaktpersonerna för dess kunder (B och C).
Mer information:
Anvisningen av Europeiska dataskyddsstyrelsen: Guidelines 07/2020 on the concepts of controller and processor in the GDPR (pdf, på engelska)
Europeiska kommissionens standardavtalsklausuler som gäller behandlingsavtal på kommissionens webbplats: Standard contractual clauses for controllers and processors in the EU/EEA