Det föreligger en stor skillnad mellan personuppgiftsansvarig och personuppgiftsbiträde enligt GDPR. När ett företag, organisation eller offentligt organ behandlar personuppgifter, agerar de antingen i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde för en enskild behandling. När du behandlar personuppgifter inom din verksamhet, är det viktigt att veta vilken av dessa roller företaget har. Detta beror på att det föreligger olika skyldigheter enligt GDPR för de respektive rollerna.
Skillnad mellan personuppgiftsansvarig och personuppgiftsbiträde
Vad innebär det att vara ett personuppgiftsbiträde enligt GDPR?
Ett personuppgiftsbiträde behandlar personuppgifter enligt den personuppgiftsansvariges instruktioner och för dennes räkning.
Till exempel sker detta av en redovisningsbyrå i samband med att de utför bokföringstjänster åt sina kunder och i samband med detta behandlar personuppgifter för kundens räkning.
Detsamma gäller företag som bedriver en molntjänst, där andra företag kan lagra sina filer som inkluderar personuppgifter. Det är ett krav att upprätta ett personuppgiftsbiträdesavtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde, samt mellan två personuppgiftsbiträden. Till skillnad från många andra typer avtal som kan vara muntliga, ska ett personuppgiftsbiträdesavtal vara skriftligt för att vara giltigt enligt artikel 28 punkt 9 i GDPR.
Vad innebär det att vara personuppgiftsansvarig enligt GDPR?
Att vara personuppgiftsansvarig enligt GDPR, innebär att man bestämmer hur och varför personuppgifterna ska bli behandlade. I artikel 4 punkten 7 i GDPR framgår definitionen av ”personuppgiftsansvarig. Där är detta uttryckt som att den personuppgiftsansvarige ”bestämmer ändamålen och medlen för behandlingen av personuppgifter”. Det är själva organisationen som innehar rollen enligt GDPR, inte någon enskild person på företaget. Däremot kan en fysisk individ i vissa fall vara personuppgiftsansvarig, till exempel om det är en enskild firma eller en privatperson som har satt upp en kamera på sin fastighet. Det är vidare möjligt att två eller flera parter har ett gemensamt personuppgiftsansvar.
Vad är personuppgifter?
Personuppgifter är uppgifter som ensamt eller i kombination med andra uppgifter, direkt eller indirekt, kan identifiera en fysisk levande individ. Exempelvis efternamn, profilbild, röstinspelning, IP-adress, registreringsnummer av ett fordon, fingeravtryck.
På vår webbplats www.AvtalGDPR finns det mer detaljerad information om olika typer personuppgifter, personuppgiftsansvarig och personuppgiftsbiträde m.m. Webbplatsen är en del av Digitala Juristerna. Där kan du läsa vårt inlägg om att personuppgifter kan vara tydliga eller mindre tydliga. Exempelvis är ett namn en tydlig personuppgift, medan ett nummer på ett busskort som går att använda för att spärra kortet och få ett nytt är en mindre tydlig personuppgifter, eftersom den som hittar busskortet inte direkt kan se vem det tillhör. Dessutom kan personuppgifter vara av subjektiv eller objektiv karaktär. En personuppgift som är av subjektiv karaktär är till exempel en diagnos från en läkare, medan ett personnummer är av objektiv karaktär.
