GDPR: Har ni koll på era biträdesrelationer? Är de verkligen biträdesrelationer?

I samband med GDPR har många företag varit tvungna att lägga mycket tid och kraft på att både revidera gamla och ta fram nya personuppgiftsbiträdesavtal.

Ett företag som behandlar personuppgifter är antingen personuppgifts­ansvarig eller personuppgiftsbiträde. Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgifts­ansvariges räkning. Om två eller flera företag gemensamt bestämmer varför och hur vissa personuppgifter ska behandlas är de gemensamt personuppgiftsansvariga.

I och med GDPR har biträdesrelationerna – och därmed också bedömningen av vilka relationer som faktiskt utgör biträdesrelationer – fått ett större fokus. Här är de tre vanligaste situationerna.

1. Personuppgiftsansvarig – personuppgiftsbiträde

Det klassiska fallet när ett biträde behandlar personuppgifter för en personuppgifts­ansvarigs räkning, till exempel en hostingleverantör som lagrar uppgifter för en personuppgifts­ansvarigs räkning. Biträdet behandlar personuppgifterna enligt den ansvariges instruktioner och biträdet har inte några egna syften med behandlingen.

I detta fall behövs ett biträdesavtal.

2. Personuppgiftsansvarig – personuppgiftsansvarig (överföring)

I många fall kan samarbetet mellan två företag innebära att ett företag lämnar ut personuppgifter till ett annat företag. Det kan röra sig om samarbeten där Bolag A raggar potentiella kunder åt Bolag B genom att mot en viss ersättning förse Bolag B med kontakt­uppgifter till personer som har uttryckt intresse för Bolag B:s tjänster. Bolagen har olika syften med behandlingen av person­uppgifterna: Bolag A samlar in dem med syftet att sälja dem till Bolag B och Bolag B behandlar dem med syftet att värva nya kunder. Bolag A och Bolag B är därmed båda självständigt personuppgifts­ansvariga eftersom de har olika egna ändamål med behandlingen och ingen part behandlar uppgifterna för den andre partens räkning.

I detta fall behövs inget biträdesavtal.

3. Gemensamt personuppgifts­ansvariga

GDPR förtydligade bestämmelserna kring gemensamt personuppgiftsansvar – en situation som vi ser blir vanligare i samarbeten mellan bolag och vid köp av olika tjänster. Vi ser också att vägledningar på området löpande uppdateras, bland annat från den brittiska tillsyns­myndigheten ICO, vilket föranleder att rättsutvecklingen på området bör noga bevakas framöver.

När två företag tillsammans bestämmer varför och hur personuppgifter ska behandlas är de gemensamt personuppgifts­ansvariga. Exempel på detta kan vara när Bolag A ger i uppdrag åt marknads­undersöknings­företaget Bolag B att genomföra en kundnöjdhets­undersökning bland Bolag A:s kunder. I uppdraget anges att Bolag A vill veta hur nöjda bolagets kunder är med bolagets tjänster i ett visst geografiskt område. Bolag A anger vilket resultat de vill uppnå men lämnar åt Bolag B att bestämma hur de ska uppnå resultatet, det vill säga urvalet av kunder, intervjumetoder och presentation av resultatet.

Bolag B behandlar i och för sig personuppgifter för Bolag A:s räkning men bestämmer själva vilka uppgifter som ska samlas in och hur behandlingen (det vill säga undersökningen) ska genomföras. Eftersom Bolag B har så stort inflytande över vilka uppgifter som ska behandlas och hur de ska behandlas är Bolag B i gemensamt personuppgifts­ansvarig med Bolag A.

I detta fall behövs ett ”inbördes arrangemang”, ofta ett så kallat datadelnings­avtal, där parterna sinsemellan måste bestämma vem som är ansvarig för att fullgöra de olika skyldigheterna i GDPR. I många fall har parterna i en sådan här situation felaktigt tecknat ett biträdesavtal, vilket inte uppfyller kraven som ställs på ett ”inbördes arrangemang”. Sådana avtal och situationer bör därför noga utvärderas och uppdateras framgent.

Läs också:
Efter åtta månader med GDPR – 95 000 anmälningar
GDPR: Här är allt du behöver veta om EU:s dataskyddsregler