Personuppgiftsansvar, personuppgiftsbiträdesavtal eller gemensamt ansvar inom skolväsendet?

Frågan om personuppgiftsbiträdesrelationer inom regelverket för GDPR väcker ofta osäkerhet. När är en organisation själv personuppgiftsansvarig för en behandling, när är den istället att betrakta som ett personuppgiftsbiträde och när bör flera organisationer dela på personuppgiftsansvaret? En återkommande missuppfattning är att en personuppgiftsbiträdesrelation uppstår så fort personuppgifter överförs från en personuppgiftsansvarig till en annan organisation, men så är inte nödvändigtvis fallet. Nedan följer en kortfattad genomgång av vilka faktorer som påverkar om en organisation är att anse som personuppgiftsansvarig – ensam eller tillsammans med någon annan – eller som ett biträde.

En personuppgiftsansvarig enligt artikel 4.7 i dataskyddsförordningen är ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter…”. Av denna definition följer att det kan finnas flera organisationer som tillsammans är personuppgiftsansvariga för en och samma behandling.

Ett personuppgiftsbiträde å andra sidan är enligt samma förordning, artikel 4.8 ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning”. Grundbulten i denna avvägning är alltså att den personuppgiftsansvarige ansvarar för behandlingen medan biträdet endast hanterar uppgifterna i enlighet med de instruktioner denne mottar av den personuppgiftsansvarige. Ibland är det emellertid inte så enkelt att dra denna gräns i det specifika fall man har att ta ställning till. Det är inte ovanligt att två parter gemensamt eller på varsitt håll kontrollerar ändamål och medel för en personuppgiftsbehandling, vilket då medför att båda blir att anse som individuellt personuppgiftsansvariga, alternativt att ett gemensamt personuppgiftsansvar föreligger. Ändamålen med behandlingen, dvs. varför behandlingen ska utföras, blir ofta den avgörande faktorn.

Eftersom många skyldigheter skiljer sig åt mellan personuppgiftsansvariga och personuppgiftsbiträden (personuppgiftsansvariga har överlag ett mer omfattande ansvar) är det viktigt att reda ut rollfördelningen. De faktiska omständigheterna i varje enskilt fall är avgörande vilket medför att en unik bedömning i varje situation ofta måste göras.

Följande punkter bör tas i beaktande i samband med att personuppgiftsansvaret fastställs:

  • Varför behöver personuppgiftsbehandlingen i fråga göras?
  • Vem är initiativtagare till personuppgiftsbehandlingen/vem har ansvaret för den rättsliga förpliktelse som medför att personuppgiftsbehandling blir nödvändigt?
  • Vem bestämmer behandlingens ändamål?
  • Vem bestämmer över medlen för behandlingen, exempelvis hur behandlingen ska gå till/på vilket sätt behandlingen ska genomföras?
  • Vem har den faktiska kontrollen över personuppgifterna?
  • Vem bestämmer om personuppgifter ska lämnas ut till viss tredje part/vem har ansvaret för den rättsliga förpliktelsen att överlämna personuppgifter till tredje part?

Som framgår av denna punktlista kan det även, inte minst inom skolväsendet, vara en skyldighet som följer av ett lagkrav för de berörda parterna att behandla personuppgifter på ett eller annat sätt. ”Rättslig förpliktelse” är också en av de sex lagliga grunder som GDPR anger för personuppgiftsbehandling (artikel 6.1 c). I dessa fall går personuppgiftsansvaret ofta hand i hand med den rättsliga förpliktelsen att genomföra en viss uppgift som förutsätter behandling av personuppgifter.

Med andra ord kan en organisation som agerar utifrån en rättslig förpliktelse sakna bestämmanderätt över ändamålet med en personuppgiftsbehandling men ändå åläggas rollen som personuppgiftsansvarig (jfr definitionen ovan). Om en sådan förpliktelse även innefattar en skyldighet att överföra personuppgifter till en annan organisation blir den andra organisationen vanligtvis också att anse som personuppgiftsansvarig för den del av behandlingen som denna part genom den rättsliga förpliktelsen ansvarar för. ”Allmänt intresse” (artikel 6.1.e) är annars den vanligast förekommande rättsliga grunden för många av de personuppgiftsbehandlingar som är nödvändiga att göra inom era verksamheter. Flera rättsliga grunder kan också samtidigt vara tillämpliga.

I bilagd Excel-fil finns ett antal exempel på personuppgiftsbehandlingar där personuppgiftsansvaret är definierat och eventuella personuppgiftsbiträdesrelationer är beskrivna. Observera dock att denna lista är avsedd som en vägledning eller ett tankestöd. Det går inte att förutsätta att bedömningarna är giltiga i alla upptänkliga situationer. Även de behandlingssituationer som beskrivs i förteckningen förutsätter egna bedömningar utifrån omständigheterna i varje enskilt fall. När begreppet friskola används avses såväl fristående förskola som skola. Förteckningen är upplagd som en registerförteckning och kan därför också användas som ett exempel på hur en sådan kan utformas utifrån kraven i GDPR. Exempelsamlingen kommer att fyllas på allt eftersom.

Länkar:

Exempel på personuppgiftsbehandlingar (Xlsx)