Fråga: Är mitt bolag personuppgiftsansvarig eller personuppgiftsbiträde?
Hur vet jag om mitt bolag är personuppgiftsansvarig eller personuppgiftsbiträde? Vissa menar att vi är personuppgiftsansvariga medan andra säger att vi är personuppgiftsbiträde.
Legalbuddy svarar
Rickard
Jurist på LW Advisory

Det är vanligt att bolag genom sin verksamhet överlämnar personuppgifter till andra bolag som tar emot och behandlar personuppgifterna för uppdragsgivarnas räkning. I sådana fall uppstår ett förhållande mellan en s.k. personuppgiftsansvarig (uppdragsgivaren) och personuppgiftsbiträde (mottagaren). 


Så fort ditt bolag behandlar en personuppgift är det antingen som personuppgiftsansvarig eller personuppgiftsbiträde. En personuppgiftsansvarig bestämmer vilka personuppgifter som ska behandlas, ändamålet med behandlingen samt hur behandlingen ska gå till i övrigt. Ett personuppgiftsbiträde är någon (ett bolag, dvs. en juridisk person) som behandlar personuppgifter för en personuppgiftsansvarigs räkning och i enlighet med dennes instruktioner. 


För att ta reda på om ditt bolag är personuppgiftsansvarig eller personuppgiftsbiträde för en specifik behandling av personuppgifter så är en bra utgångspunkt att svara på ifall ditt bolag bestämmer om personuppgiften ska behandlas och för vilket ändamål. Om ditt bolag bestämmer över detta så är bolaget personuppgiftsansvarig. Om bolaget däremot inte bestämmer över detta så är bolaget inte personuppgiftsansvarig utan troligtvis personuppgiftsbiträde. 


Enligt GDPR ska det upprättas ett personuppgiftsbiträdesavtal (PuB-avtal) mellan den personuppgiftsansvarige och personuppgiftsbiträdet. PuB-avtalet reglerar förhållandet mellan parterna och ger instruktioner till personuppgiftsbiträdet om vilka personuppgifter som ska behandlas, hur de ska behandlas och för vilket ändamål. Personuppgiftsbiträdet får endast behandla personuppgifterna i enlighet med de instruktioner som den personuppgiftsansvarige lämnar. Avviker personuppgiftsbiträdet från den personuppgiftsansvariges instruktioner så behandlar personuppgiftsbiträdet uppgifterna med eget personuppgiftsansvar, vilket kan vara olagligt om det inte finns ett korrekt ändamål samt en rättslig grund för behandlingen. 


Ett och samma bolag är sällan endast personuppgiftsansvarig eller personuppgiftsbiträde. En molntjänstleverantör vars affärsverksamhet består i att vara personuppgiftbiträde, är samtidigt personuppgiftsansvarig för behandling av uppgifter om sina anställda och sina kunder. 

Skapa ett biträdesavtal när någon annan processar data för din räkning. OBS gratistjänst

Skapa ett biträdesavtal när du processar data för någon annans räkning. OBS gratistjänst

Kommentarer

Få hjälp med ett GDPR-säkrat biträdesavtal för personuppgifter till fast pris

Friendly image

Finns inte svaret på din fråga?

Skriv till oss så svarar vi inom 5 arbetsdagar.

Ställ en fråga

Ställ en fråga inom alla affärsjuridiska rättsområden.

Du får en utredning från våra jurister inom 5 arbetsdagar, helt gratis!

Skriv frågan