Del 1: En guide till situationer med flera personuppgiftsansvariga – Vem är vem?

Written By Fanny Larsson Prager

Affärsjuridik

Databehandling och datadelning blir allt mer komplexa, inte minst i vår digitala tidsålder där företag ofta vänder sig till tredje parter för att leverera eller hjälpa till med AI-baserade lösningar för att underlätta administration, affärsutveckling eller kundengagemang. Företag kan även förlita sig på tredjepartslistor för att förbättra sina marknadsföringsmetoder eller ingå i företagsgrupper, nätverk eller allianser som gemensamt behandlar personuppgifter för att uppnå ökad effektivitet och bättre resultat.

I och med att EU:s dataskyddsförordning (GDPR) trädde i kraft förra året har de olika rollerna i samband med personuppgiftsbehandling klargjorts.

Eftersom det ofta är svårt för våra klienter att förstå dessa roller (och fastställa vilken roll ett företag har i en viss behandling), delar vi här med oss av vår insikt i denna artikelserie i två delar. Denna första del behandlar aktörerna inom databehandling, deras rättigheter och skyldigheter samt varför det är så viktigt att få rollerna rätt. I del två förklarar vi hur du definierar ditt företags roll och ger tips på hur riskerna kan minskas.

Vem är vem? De olika aktörerna vid personuppgiftsbehandling

När man talar om dataskydd enligt GDPR finns det tre centrala aktörer vars roller måste förstås:

·      Registrerade (Data Subjects)

Enligt GDPR är en registrerad en fysisk person som kan identifieras, direkt eller indirekt, genom uppgifter som rör honom eller henne. Om du läser detta, är du en registrerad. När lagen talar om "personuppgifter" avses all information som rör en registrerad.

Personuppgiftsbiträden (Data Processors)

GDPR definierar ett personuppgiftsbiträde som en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning och enligt dennes instruktioner.

Personuppgiftsansvariga (Data Controllers)

Precis som biträden kan personuppgiftsansvariga vara fysiska personer, juridiska personer, myndigheter, institutioner eller andra organ. Enligt GDPR är en personuppgiftsansvarig den som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Det är alltså personuppgiftsansvariga som styr hur och varför personuppgifter behandlas.

När personuppgiftsansvariga agerar tillsammans, uppstår så kallade multi-controller-situationer, där personuppgifter delas mellan flera aktörer. Dessa situationer kräver särskild organisation, noggrannhet och förutseende.

 

Skyldigheter för personuppgiftsansvariga

Innan vi går in på de mer komplexa situationerna med flera ansvariga enligt GDPR, är det viktigt att först förstå de grundläggande skyldigheterna som gäller för en personuppgiftsansvarig.

·      Databehandling

Enligt Artikel 5 i GDPR, ska personuppgifter samlas in för specifika, uttryckliga och berättigade ändamål samt behandlas på ett lagligt, rättvist och transparent sätt. Databehandling måste också vara korrekta och uppdaterade samt inte sparas längre än nödvändigt. Dessutom, för att en behandling ska vara laglig enligt Artikel 6, måste ett av följande kriterier vara uppfyllt:

  • Den registrerade har lämnat samtycke

  • Behandlingen är nödvändig för att fullgöra ett avtal med den registrerade

  • Behandlingen är nödvändig för att uppfylla en rättslig förpliktelse

  • Behandlingen är nödvändig för att skydda livsviktiga intressen

  • Behandlingen sker i allmänt intresse

  • Behandlingen är nödvändig för berättigade intressen


Enligt Artikel 32 ska personuppgiftsansvariga (och biträden) vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter behandlas säkert. Dessa åtgärder måste tas med hänsyn till risker, syften och omständigheter, för att säkerhetsställa att all data förblir konfidentiell och säker.

·      Integritetspolicy

Personuppgiftersansvariga måste informera registrerade om vilken data som blivit insamlad, vad syftet med denna insamling är och de många andra formerna av deras databehadnlingsaktiviterer enligt Artiklarna 12, 13 och 14 av GDPR, från när datan samlas in. Detta görs effektivast via en integritetspolicy eller dataskyddsinformation, som ska vara kortfattad, transparent, begriplig och lättillgänglig med klart och tydligt språk.

I vanliga fall så delas denna information I skrift (digitalt) men även multigt om så efterfrågas (vår rekommendation är att tillhandahålla detta skiftligt också).

·      Personuppgiftsincident

Vid en personuppgiftsincident som sannolikt innebär en risk för registrerades rättigheter och friheter, måste personuppgiftsansvariga enligt Artikel 33 anmäla detta till relevant dataskyddsmyndighet inom 72 timmar.

·      Dokumentation

Enligt Artikel 30 måste personuppgiftsansvariga föra register över sina behandlingar.

 

Gemensamt personuppgiftsansvariga (Joint Controllers)

Som tidigare nämnts, Artikel 4 av GDPR anger att ändamål och medel av databehandling kan bestå av en eller flera aktörer – den sistnämnda kallas gemensamt personuppgiftansvariga (joint controller). Så, gemensamt personuppgiftsansvariga är när två eller fler aktörer beslutar om ändamål och medel tillsammans.
Gemensamt personuppgiftansvriga har samma skuldighet som vilken annan aktör som helst, med tillägg till Artikel 26 av GDPR.

Artikel 26 av GDPR kräver att gemensamma personuppgiftsansvariga ingår ett avtal eller en överenskommelse (till exempel ett avtal mellan gemensamma personuppgiftsansvariga, också kallad Joint Controller Agreement) som ska reglera deras respektive ansvar och skyldigheter enligt GDPR.

Detta avtal eller arrangemang måste inte bara klargöra personuppgiftsansvarigas ansvar gentemot varandra, utan även gentemot de registrerade. Vidare, oberoende av någon klausul i avtalet, kommer de registrerade att kunna utöva sina dataskyddsrättigheter gentemot någon av de personuppgiftsansvariga som är part i avtalet – mer om detta nedan!

  

Controller-till-Controller-relationer

På samma sätt som ett gemensam personuppgiftsansvarig-scenario, vilket innebär relationer mellan personuppgiftsansvariga, så antyder controller-till-controller närvaron av två eller flera personuppgiftsansvariga. I det här fallet delar emellertid separata personuppgiftsansvariga data, men behandlar dem individuellt för sina egna individuella och särskilda ändamål. Även om personuppgiftsansvariga delar samma allmänna skyldigheter som alla andra ansvariga, så har medlemmar i en relation mellan personuppgiftsansvariga inte den lagstadgade skyldigheten att ingå ett avtal eller arrangemang sinsemellan som gemensamma personuppgiftsansvariga gör, även om det ofta är en bra idé att göra det.

Därför bestäms gemensamt ansvar eller controller-till-controller-status i huvudsak av beslutsprocessen. Där medlen och syftena med databehandlingsaktiviteterna beslutas tillsammans är ni gemensamma personuppgiftsansvariga. Där medlen och syftena med databehandlingsaktiviteterna beslutas individuellt, och data endast delas mellan personuppgiftsansvariga, har ni ett controller-till-controller-förhållande.

 

Varför är det viktigt att skilja på dessa roller?

När du är den enda personuppgiftsansvarige för en behandling, är det du och endast du som är ansvarig för att följa reglerna. Detsamma kan inte sägas för scenarier med flera ansvariga. I situationer med gemensamt personuppgiftsansvar, med syftet att stärka de registrerades rättigheter och underlätta deras krav enligt GDPR, tillåter lagen dem att utöva sina rättigheter mot vilken personuppgiftsansvarig som helst. Detta innebär att vid en icke-överensstämmande behandling kan vilken som helst av de gemensamt ansvariga hållas individuellt ansvarig för att betala hela eventuella påföljder eller böter, eftersom de är solidariskt ansvariga. Att vara gemensam personuppgiftsansvarig ökar därför avsevärt riskerna för ansvar eftersom du tekniskt sett kan hållas ansvarig för icke-överensstämmande aktiviteter från någon av dina partners.

Även om denna information kan låta orättvis, är den endast avsedd att underlätta för enskilda registrerades klagomål, som annars skulle behöva gå efter varje enskild personuppgiftsansvarig individuellt. Den personuppgiftsansvarige som blev tvungen att betala hela böter kan i efterhand rikta sig mot de andra personuppgiftsansvariga för att dela på straffet i enlighet med deras respektive roller i dess uppkomst. Det enda sättet för en gemensam personuppgiftsansvarig att friskriva sig från allt ansvar är genom att bevisa att denne inte hade något fel. Som nämnts ovan gäller detta dock endast i efterhand när de andra personuppgiftsansvariga i relationen går in för att dela på straffet – detta argument kan aldrig riktas mot registrerade, eftersom en av huvudfunktionerna i GDPR är att säkerställa ansvarsskyldighet för dem som kontrollerar och/eller behandlar personuppgifter och att säkerställa att registrerade har tillräckliga möjligheter till rättelse.

 

Med det sagt, om du någonsin är osäker på vilken roll du har i databehandlingsområdet är det alltid bäst att söka professionell rådgivning. För mer information om hur du generellt kan definiera din roll och även hur du på bästa sätt minskar risker i aktiviteter med flera personuppgiftsansvariga, håll utkik efter vår Del Två av denna tvådelade artikel.

Om du har ytterligare frågor om scenarier med flera personuppgiftsansvariga, tveka inte att kontakta oss!

Fanny Larsson Prager
Previous

Kinas slag mot influencers: En ny era för immateriella rättigheter

Next

Vad är ett databehandlingsavtal och när behöver jag ett?