Personuppgiftsbiträden

Ett personuppgiftsbiträde är en aktör som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Ett personuppgiftsbiträde arbetar enligt den personuppgiftsansvariges anvisningar och under denne.
Den personuppgiftsansvarige fastställer syftena och metoderna för behandlingen av personuppgifter.

Ett personuppgiftsbiträde kan utgöras av till exempel ett företag, en enskild näringsidkare, en myndighet eller en förening. En väldigt bred grupp av tjänstetillhandahållare verkar som personuppgiftsbiträden.

Med personuppgiftsbiträde avses inte arbetstagare som arbetar under den personuppgiftsansvarige och behandlar personuppgifter som en del av deras arbetsuppgifter.

Befattningsbeskrivningar för personuppgiftsbiträden

Det är möjligt att befattningen för personuppgiftsbiträden är väldigt noggrant avgränsad, såsom utkontraktering av sändning av post. Uppgifterna kan också vara omfattande och allmänna och de kan vara kopplade till hantering av en viss tjänst för en annan organisations räkning, till exempel uppgifter som relaterar till utbetalning av lön till ett företags arbetstagare.

Den reglering som gäller för personuppgiftsbiträden omfattar till exempel följande tjänstetillhandahållare:

  • IT-tjänstetillhandahållare, programvaruintegrerare, cybersäkerhetsföretag och IT-konsultföretag, med tillträde till den personuppgiftsansvariges personuppgifter.
  • Ett hälsovårdslaboratorium som behandlar prover för den personuppgiftsansvariges räkning.
  • Marknadsförings- och kommunikationsbyråer som behandlar personuppgifter för sina kunders räkning.
  • Mer generellt, alla organisationer vars tjänster omfattar behandling av personuppgifter för en annan organisations räkning.
  • Också en offentlig myndighet eller organisation kan ses som ett personuppgiftsbiträde.

Programvaruutgivare och apparattillverkare, till exempel tillverkare av apparater för tidsuppföljning, biometriska apparater eller medicinska apparater, ses inte som personuppgiftsbiträden, om de inte har tillgång till personuppgifter, och inte behandlar personuppgifter.

En organisation kan behandla personuppgifter för någon annans räkning som biträde. Den är dock personuppgiftsansvarig vad gäller behandling av personuppgifter för egen räkning, inte för personuppgiftsansvariga som utgör kunder. En organisation är en personuppgiftsansvarig till exempel då den behandlar personuppgifter om organisationens egen personal.

Ett personuppgiftsbiträde kan behandla personuppgifter enbart för de syften som fastställts av den personuppgiftsansvarige. Ett personuppgiftsbiträde kan inte börja behandla uppgifter som det ska behandla för den personuppgiftsansvariges räkning för egna syften genom att fastställa syftena och metoderna för behandlingen av personuppgifter.

Personuppgiftsbiträdets behandling av personuppgifter ska definieras per avtal för behandling av personuppgifter eller i annat juridiskt dokument. Avsaknad av ett avtal är i strid med dataskyddsförordningen.

Mer information:

​​​​​​​​​​​​​​​​​Anvisningen av Europeiska dataskyddsstyrelsen: Guidelines 07/2020 on the concepts of controller and processor in the GDPR

Europeiska kommissionens standardavtalsklausuler som gäller behandlingsavtal på kommissionens webbplats på engelska: ​​​​​​​Standard contractual clauses for controllers and processors in the EU/EEA