Vi har märkt att i synnerhet en fråga envist har återkommit sedan GDPR trädde i kraft i maj 2018 och det är rollfördelningen. Vem är personuppgiftsansvarig och vem är personuppgiftsbiträde i olika relationer där personuppgifter behandlas? Inte sällan har parterna i samma avtalsförhållande haft olika åsikter i frågan. Orsaken till denna förvirring är att frågan är betydligt mer komplex än vad man kan tro.
Att detta blivit en viktig fråga hör naturligtvis samman med det faktum att den part som är ett personuppgiftsbiträde sedan GDPR trädde i kraft har fått ett ansvar och riskerar påföljder. Så var inte fallet innan GDPR, utan de påföljder som kunde följa på brott mot den tidigare personuppgiftslagstiftningen drabbade bara den som var personuppgiftsansvarig.
GDPR definierar den personuppgiftsansvarige som den som ”bestämmer ändamålen och medlen” för behandlingen av personuppgifter. Personuppgiftsbiträdet definieras som den som ”behandlar personuppgifter för den personuppgiftsansvariges räkning”.
I många fall är detta ganska enkelt – om man som arbetsgivare skickar lönefiler till en extern lönekonsult, så är arbetsgivaren ansvarig för sina anställdas personuppgifter och lönekonsulten behandlar dessa enkom för arbetsgivarens räkning. I andra fall är gränserna betydligt mer diffusa. Till detta kommer att man även kan ha ett delat personuppgiftsansvar och ett personuppgiftsbiträde kan vidare anlita ett underbiträde. Det som verkligen kan förvirra är att en organisation inte sällan har flera hattar på sig samtidigt – man kan alltså vara både ansvarig och biträde, beroende på vilken personuppgiftsbehandling man tittar på.
Två saker är extra viktiga att ha i åtanke. Det ena är att parterna inte själva kan utse sig som varande antingen det ena eller det andra, lika lite som de kan säga att de inte vill vara ansvarig eller biträde om personuppgifter behandlas. GDPR är i detta hänseende tvingande och bestämmer vilken roll man har och det bestäms utifrån den behandling som faktiskt sker och omständigheterna kring detta. Det andra är att man alltid när det gäller att analysera personuppgiftsbehandling måste se helheten utan att för den skull klumpa ihop alla personuppgifter man behandlar i en enda hög. En arbetsgivare behandlar sina anställdas personuppgifter, men man behandlar olika uppgifter för olika ändamål. Kontouppgifter behandlar man för att betala ut löner. Namnen behandlar man av en mängd skäl utöver löneutbetalningar. Man måste ha i åtanke att varje behandling ska ha ett ändamål och att vissa personuppgifter behandlas för just det ändamålet. Hur de behandlas hänger samman med den nya vägledningen – det har betydelse för rollfördelningen.
Juridiskt är rollfördelningen i princip densamma som innan, men detta har inte riktigt behövt ställas på sin spets på samma sätt som nu, då de inblandade parterna blivit mer uppmärksamma på den risk de löper vid brott mot GDPR. Tekniken har också blivit mer komplex idag jämfört med t.ex. 1998, då den gamla svenska personuppgiftslagen trädde i kraft. Komplexiteten i tekniken och IT-systemen gör frågan än mer svår att besvara.
Nu har den europeiska dataskyddsstyrelsen, EDPB, publicerat en efterlängtad vägledning om gränsdragningen mellan dessa olika roller. EDPB uttalar i sin vägledning att det är av väsentlig betydelse att GDPR:s definition av de två rollerna klargörs och att kriterierna för att bestämma dessa roller är tillräckligt tydliga så att tolkningen blir densamma över hela EU.
För att avgöra om en någon (vanligtvis en juridisk person) är personuppgiftsansvarig menar EDPB att man ska ställa sig två frågor för att bestämma vem som beslutar om behandlingen: ”Varför äger denna behandling rum?” och ”Vem har bestämt att behandlingen ska äga rum för ett visst ändamål?”.
Man kan dels se detta ur legal synvinkel, då det kan förekomma nationell eller europeisk lagstiftning som direkt eller indirekt anger vem som är personuppgiftsansvarig. Den svenska patientdatalagen anger t.ex. att vårdgivaren är personuppgiftsansvarig för patienters personuppgifter eller att kommuner är ansvariga för att hantera socialtjänsten.
Man kan även se detta ur en funktionell synvinkel, det vill säga att man måste se till de faktiska (och tekniska) omständigheter som föreligger i varje enskilt fall. Som exempel tar EDPB upp advokatbyråer. En advokatbyrå måste vanligtvis behandla personuppgifter då vi bistår våra klienter (namn på vittnen t.ex.). Denna behandling krävs för att vi ska kunna iaktta våra klienters intressen i tvisten, och behandlingen sker alltså inte huvudsakligen för att vi är tillsagda att behandla personuppgifterna för vår klients räkning. Som ombud i en tvist är vi fria att behandla de nödvändiga uppgifterna på det sätt vi anser lämpligt, det är vi som advokatbyrå som har bestämmanderätten över behandlingen.
Nästa fråga är då att utröna vad som faktiskt bestäms om behandlingen, dvs. ändamål och medel. Varför behandlar man personuppgifter och hur gör man för att utföra den behandlingen? Det räcker inte att besluta om det ena ledet – för att vara personuppgiftsansvariga ska man besluta om båda led. EDPB konstaterar dock att ett biträde i viss mån kan bestämma om behandlingen – den relevanta frågan blir således var denna gräns går.
EDPB konstaterar att man ska skilja mellan nödvändiga medel och icke nödvändiga medel (av EDPB benämnt ”essential means” och ”non-essential means”). Nödvändiga medel är nära förknippade med ändamålet med behandlingen och behandlingens omfattning, såsom vad som behandlas, hur länge ska det behandlas, vilka omfattas av behandlingen och vilka personuppgifter behandlas. Ansvaret för att besluta om detta ligger hos den personuppgiftsansvarige.
Icke nödvändiga medel rör den mer praktiska delen av behandlingen, t.ex. vilken typ av hård- eller mjukvara som ska användas för behandlingen eller detaljerade frågor om säkerhet, som kan överlämnas till personuppgiftsbiträdet att besluta om. Som exempel nämner EDPB hosting, då en part tar emot den personuppgiftsansvariges data för lagring såsom ett biträde.
Intressant i sammanhanget är förekomsten av självständiga personuppgiftsansvariga och gemensamt personuppgiftsansvariga. Skillnaden däremellan är inte alltid glasklar, men principen är att för att vara gemensamt personuppgiftsansvariga ska man gemensamt besluta om samma (eller sammanhängande) ändamål och medel för behandlingen. Ett exempel är en resebyrå som skickar sina kunders personuppgifter till ett hotell. Resebyrån respektive hotellet behandlar personuppgifterna för sitt eget ändamål och på det sätt de själva beslutar och är således självständigt ansvariga. Skulle de däremot samarbeta kring en bokningsplattform, så är de i det sammanhanget sannolikt gemensamt ansvariga.
Vad är då ett personuppgiftsbiträde? De ska vara självständiga i förhållande till den personuppgiftsansvarige och är alltid en extern part i förhållande till den personuppgiftsansvarige. Det innebär att en anställd som hanterar sin arbetsgivares löneutbetalningar inte är att betrakta som ett biträde. Är det en extern konsult kan hen däremot vara det, om de behandlar uppgifter för den personuppgiftsansvariges räkning. Två olika bolag inom en koncern kan ha rollerna som biträde och ansvarige gentemot varandra.
Även om uppdraget som sådant i sig inte huvudsakligen är att behandla personuppgifter åt den personuppgiftsansvarige, kan man vara ett biträde. Ett exempel som EDPB pekar på är företag som lämnar allmän IT-support. Deras huvudsakligen uppgift är inte att behandla personuppgifter, men kommer att göra det i sitt uppdrag (t.ex. genom att läsa personuppgifter när de lämnar support). Därmed är de ändå att bedöma som personuppgiftsbiträden och bör teckna ett personuppgiftsbiträdesavtal.
Vägledningen utvecklar även detaljerat hur personuppgiftsbiträdesavtal ska vara skrivna. Ett sådant avtal är ett lagkrav i de relationer där det finns en part som är personuppgiftsansvarig och en part som är biträde åt denne. Avtalet ska vara skriftligt och EDPB anser att det ska vara undertecknat av behörig individ (en sådan signatur kan naturligtvis även vara elektronisk).
När det gäller gemensamt personuppgiftsansvariga saknas formkrav, men parternas respektive skyldigheter ska regleras. EDPB rekommenderar i dessa fall ett skriftligt avtal.
Vill man läsa hela dokumentet kan man återfinna detta här: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_en. Vägledningen systematiserar hur analysen ska ske, men vår bedömning är att det även fortsättningsvis kommer att uppstå gränsfall där det inte är helt givet hur principen ska se ut. En hjälp framöver kommer även att vara praxis från EU rörande frågan. I vägledningen återfinns även ett flödesschema som kan vara till stor hjälp för att fastställa vilken roll en part har vid behandling av personuppgifter.
Vid frågor kring GDPR, kontakta:
Sara Malmgren, advokat på Foyen advokatfirma
sara.malmgren@foyen.se
