Bli kund Annonsera
onsdag 23 september 2020
Mitt i juridiken
Mitt i juridiken
Läs direkt!
Publicerad: 9 september 2020,

Klargörande om personuppgifter

Europeiska dataskyddsstyrelsen har tagit fram en vägledning som klargör gränsdragningen mellan personuppgiftsansvariga och personuppgiftsbiträden och som tydliggör vilka följderna blir av att ha en av dessa roller.

Datainspektionen uppger i ett pressmeddelande att dataskyddsförordningen, GDPR, skiljer mellan organisationer som är personuppgiftsansvariga och organisationer som är personuppgiftsbiträden.

Den organisation som har bestämt varför och hur en viss hantering av personuppgifter ska ske är ansvarig. Den organisationen kan dock ta hjälp av någon annan för den faktiska hanteringen och denna organisation är då personuppgiftsbiträde.

Beroende på om en organisation är ansvarig eller biträde följer olika skyldigheter och rättigheter.

- I praktiken, med dagens allt mer komplexa it-system och flöden av personuppgifter, kan det dock vara svårt att bedöma vilken organisation som faktiskt är personuppgiftsansvarig och vilken som är biträde. Det har funnits ett stort behov av vägledning på det här området, säger Elisabeth Jilderyd, jurist och internationell samordnare på Datainspektionen, i pressmeddelandet.

Europeiska dataskyddsstyrelsen, EDPB, har nu publicerat en vägledning med fokus på just gränsdragningen mellan personuppgiftsansvarig och biträde.

Vägledningen beskriver också vilka följderna blir av att ha en viss roll och vad som måste ingå i det personuppgiftsbiträdesavtal som ska tecknas mellan den organisation som är ansvarig för en viss behandling av personuppgifter och det biträde som utför behandlingen på uppdrag av den ansvariga organisationen.

- GDPR innehåller en tydlig och grundläggande ansvarsprincip för de som hanterar personuppgifter. Det åligger i första hand den personuppgiftsansvarige, det vill säga den som bestämmer varför och hur en behandling av personuppgifter ska ske, att se till att GDPR följs. En nyhet i GDPR är att det nu även finns speciella skyldigheter även för personuppgiftsbiträden, alltså den som utför en personuppgiftsbehandling på uppdrag av en personuppgiftsansvarig. Därför är det viktigt att klart och tydligt  definiera dessa roller mellan de aktörer som är involverade i en viss behandling.

Vägledningen innehåller dessutom en närmare beskrivning av gemensamt personuppgiftsansvar, då två eller fler organisationer tillsammans är ansvariga för en viss behandling, och beskriver även hur ansvaret ska fördelas mellan dessa.

- Det är alltid upp till de berörda organisationerna att själva avgöra vem som har vilken roll som ansvarig respektive biträde. Vår förhoppning är att den här vägledningen kommer att vara till konkret hjälp i det arbetet.

Arbetet med att ta fram den här EU-gemensamma vägledningen har gjorts i en arbetsgrupp som letts av svenska Datainspektionen.

Vägledningen har antagits av Europeiska dataskyddstyrelsen och är nu ute för publik konsultation till och med den 19 oktober.

Jag vill ha daglig bevakning av juridiska
nyheter från InfoTorg Juridik.
 
E-post: 
 
 
 
OBS! Om du loggar in kan du lägga upp ett
personligt urval för ditt Nyhetsbrev.
 
Logga in och lägg upp ett Nyhetsbrev.




 
» Logga in automatiskt