Vi som nu arbetat med GDPR under en ganska lång tid har noterat att den största stötestenen verkar vara gränsdragningen mellan de olika rollerna – personuppgiftsansvarig (”Ansvarig”) och personuppgiftsbiträde (”Biträde”) – enligt GDPR. GDPR är (skenbart) tydlig i denna del, det finns klara definitioner på vem som är Ansvarig (dvs. den som bestämmer ändamålen med och medlen för behandling av personuppgifter) och vem som är Biträde (dvs. den som behandlar personuppgifter å den Ansvariges räkning).
Ett enkelt exempel är arbetsgivaren som är Ansvarig för sina anställdas uppgifter. Anlitar arbetsgivare en extern konsult som hanterar löneutbetalningarna så är denne konsult ett Biträde. Långt ifrån alla exempel är lika enkla som detta tyvärr, och vår parafras på Hamlets inledande ord i den berömda monologen passar bra i detta sammanhang.
Vi kan först och främst konstatera att parter inte kan välja vilken roll de har, det bestäms av lag och praxis och ett avtal kan inte påverka rollfördelningen. Däremot medför rollfördelningen behov av olika former av avtal, och då är det av största vikt att rollerna identifieras korrekt. Det är också värt att påpeka att en part kan sitta på båda stolarna samtidigt – man kan alltså vara både Biträde och Ansvarig gentemot sin avtalspart. Det förekommer till och med att båda parter är Ansvarig och Biträde samtidigt. Det är då viktigt att hålla isär de olika behandlingar som sker och de olika ändamål som dessa behandlas för och tydliggöra vem som ska ansvara för vad. Den som har bestämmanderätt över medlen och ändamålet för behandlingen är nämligen att anses som Ansvarig. Detta innebär att du inte kan vara Biträde om du har ett faktiskt inflytande och bestämmande över behandlingen av uppgifter.
Ett typexempel när en leverantör anses vara Ansvarig istället för Biträde är situationen med reseföretag som erbjuder resetjänster till företagskunder. Företagskunden överför i dessa fall uppgifter om sina anställda till reseföretaget för att de anställda ska kunna boka företagsresor genom egen logg in hos reseföretaget. I dessa fall är företagskunden Ansvariga för sina anställdas uppgifter och överföringen av dessa till resebolaget. Eftersom reseföretaget därefter upprättar enskilda kontoregister över de anställda och kan bestämma ”hur och varför” personuppgifterna ska behandlas via en direkt relation med resenärerna (anställda) blir reseföretaget också att ses som Ansvarig för denna efterkommande behandling av resenärernas uppgifter.
Vi har här en situation där två Ansvariga samarbetar och tillsammans bestämmer ändamålen och medlen avseende delar av behandlingen av de anställdas personuppgifter. Parterna är här att ses som gemensamt personuppgiftsansvariga (”joint controllers”). Den situationen regleras särskilt i GDPR och rent praktiskt innebär detta att parterna måste teckna ett avtal med varandra även i denna situation, ett så kallat datadelningsavtal. De ska skriva ett avtal där deras respektive ansvar enligt GDPR, särskilt vad gäller de registrerades rättigheter slås fast. Syftet är att skydda de registrerade, så att risken för att kränkningar av deras integritet minimeras, genom att tydligt dela upp ansvaret mellan parterna. Man ska också ha i åtanke att registrerade i dessa fall får utöva sina rättigheter (rättelse, tillgång till uppgifter, begränsning av behandling och rätt att radera t ex) mot båda parter. Ur ett affärsmässigt perspektiv ska parterna därför vara tydliga med deras respektive roller och den behandling som parterna gemensamt beslutar om.
Svårigheten att identifiera rollfördelningen mellan Biträde och Ansvarig har också uppmärksammats av Datainspektionen, och de har i oktober i år låtit meddela att det – i syfte att skapa vägledningar – ska granska just rollerna Biträde och Ansvarig och gränsdragningen däremellan. Det är ännu oklart när dessa guidelines kommer. Oavsett om parterna som i någon form samarbetar är personuppgiftsansvariga eller om någon är Biträde åt den andra, måste man noga identifiera vilken roll de faktiskt har och utifrån detta tillse att relevanta avtal tecknas där såväl de registrerades som parternas risker minimeras.
Vid frågor kring GDPR – och datadelningsavtal vs personuppgiftsbiträdesavtal – går det bra att kontakta Sara Malmgren i Stockholm, Ansvarig för IT-gruppen hos Foyen Advokatfirma eller Ida M Ulfsdotter i Malmö.
_________________________
Sara Malmgren, advokat vid Foyen Advokatfirma
Ida M Ulfsdotter, biträdande jurist vid Foyen Advokatfirma
