Hur fastställer man korrekt rollfördelning och personuppgiftsansvar under GDPR?
GDPR trädde i kraft 25 maj 2018. Sedan dess har en stor utmaning för företag varit att identifiera och kartlägga de olika ansvarsrollerna som kan komma att aktualiseras under GDPR. EDPB har nyligen publicerat en vägledning avseende rollfördelningen för publik konsultation. Förhoppningen med vägledningen är att rollfördelningen nu ska klargöras. FCG har tagit del av vägledningen och sammanställt ett antal intressanta utgångspunkter vilka förhoppningsvis kan hjälpa dig när du ska utreda ett ansvarsförhållande.
Rollfördelningen
När flera aktörer är involverade i en personuppgiftsbehandling kan det ibland vara svårt att avgöra om en part är självständigt personuppgiftsansvarig (PuA) alternativt om det föreligger ett gemensamt personuppgiftsansvar eller om ett personuppgiftsbiträdesförhållande (PuB) föreligger. En kartläggning av den eller de personuppgiftsbehandlingar som innefattas behöver därför göras för att kunna fastställa ansvarsfördelningen. Utgångspunkten vid kartläggningen ska vara ändamålet med personuppgiftsbehandlingen dvs. det bakomliggande skälet till varför behandlingen överhuvudtaget sker.
Enligt legaldefinitionen har PuA alltid bestämmanderätt över ändamålen och medlen för personuppgiftsbehandlingen i fråga. Vem eller vilka som bestämmer över en viss behandling avgörs av de faktiska omständigheterna i varje enskilt fall. Detta innebär bl.a. att en aktör som de facto – rätt eller fel – bestämmer över ändamål eller medel för en behandling inte kan vara PuB för den behandlingen.
Med rätten att bestämma över ”ändamål” och ”medel” avses rätten att bestämma över ”varför” respektive ”hur” en behandling ska utföras. Viktiga frågor är ”varför behandlingen utförs” och ”vem som är initiativtagare till behandlingen”.
Omständigheter som tyder på att ditt företag är PuA:
- ditt företag åtnjuter en fördel av och innehar ett intresse i hanteringen av personuppgifter som inte är begränsat till den rena ersättningen för själva behandlingen,
- ditt företag bestämmer varför och hur personuppgifterna ska behandlas,
- ditt företag tar initiativ till att behandlingen utförs,
- ditt företag fattar beslut om de personer som uppgifterna avser,
- ditt företags verksamhet innefattar skyldigheter ur ett dataskyddsperspektiv och behandlingen av personuppgifter har en naturlig koppling till verksamheten,
- behandlingen rör ditt företags relation till de som personuppgifterna avser (exempelvis anställda, kunder eller medlemmar), eller
- ditt företag har fullständig kontroll över behandlingsprocessen.
I EDBP:s vägledning presenteras ett antal typexempel för varje ansvarsroll. Som exempel på företag som ska betraktas som ensamt PuA lyfts bland annat advokatbyråer som företräder bolag i rättsliga tvister. Advokatbyråer har ofta en stor självständighet i beslutsfattandet kring vilken information som ska användas och hur. Andra exempel är inkassoföretag, franchisetagare och banker som används för utbetalning av anställdas löner.
Omständigheter som tyder på att ditt företag är PuB:
- ditt företag behandlar personuppgifter för någon annans ändamål och i enlighet med dennes instruktioner.
- ditt företag har inget eget ändamål för behandlingen,
- någon annan övervakar ditt företags behandling av personuppgifter för att försäkra sig om att företaget efterlever dennes instruktioner och avtalsvillkor,
- ditt företag har inget annat ändamål med behandlingen än att fullgöra den tjänst företaget tillhandahåller,
- behandlingen av personuppgifter är en central del av tjänsten,
- behandlingen av personuppgifter är inte en central del av tjänsten, men beställaren bestämmer fortfarande ändamål och medel för hantering av personuppgifter, eller
- ditt företag skulle inte behandla personuppgifterna on ni inte fått en begäran från annan part att göra så.
Som exempel på en typisk PuB diskuteras i vägledningen Call center-företag som bistår andra bolag med kundservice. Tjänsten kräver tillgång till företagets databaser men åtkomsten är oftast begränsad till den del som är nödvändig för att hjälpa kunder och endast i enlighet med företagets ändamål och medel. Andra exempel är extern IT-support, molntjänstleverantör och redovisningsbyrå eller annan extern löneadministratör som löpande sköter lönehanteringen åt sina kunder.
Omständigheter som tyder på ett gemensamt personuppgiftsansvar föreligger:
- beslut om ändamål och medel för personuppgiftsbehandling fattas gemensamt av flera parter,
- samtliga parter har ett gemensamt intresse av att behandlingen utförs,
- fler än en part har avgörande inflytande över beslut om personuppgiftsbehandlingen i sin helhet,
- fler än en part har avgörande inflytande över beslut om en del av personuppgiftsbehandlingen (gemensamt personuppgiftsansvar gäller just denna del), eller
- behandlingen hade inte varit möjlig utan parternas gemensamma deltagande.
En typisk situation då två företag har ett gemensamt personuppgiftsansvar är när en resebyrå, ett flygbolag och en hotellverksamhet sammanstrålar. Resebyrån förser flygbolaget och hotellet med personuppgifter som till exempel bekräftar att en reservation kan genomföras. Alla parter har ett eget syfte med personuppgiftsbehandlingen och ofta fattas gemensamma beslut om vilken data som är nödvändig, hur den ska användas och för vilket ändamål.
Om rollfördelningen ändå inte är glasklar?
Även om typexempel och indikativa faktorer kan användas för att få klarhet i vilken ansvarsroll som innehas kvarstår en del frågetecken. I EDPB:s vägledning poängteras vikten av att utforma ett avtal som i detalj klargör rollerna, metoden för behandlingen och behandlingens omfattning. GDPR lämnar dock fortfarande ett visst utrymme för PuB att i praktiken fatta beslut om icke-väsentliga medel för behandlingen. Här uppstår därmed en gränsdragningsproblematik. Som exempel på icke-väsentliga medel anges möjligheten att välja vilken hård- eller mjukvara som är bäst lämpad för att genomföra behandlingen. Ett sådant val innefattar en viss bestämmanderätt över hur personuppgifterna behandlas, något som enligt regelverket faller under rollen PuA. Utan en uttömmande lista på icke-väsentliga medel kommer företag alltid få göra en egen bedömning kring de beslut som PuB fattar.
Avslutningsvis är det viktigt att poängtera att bara för att överföring av personuppgifter sker till en annan part är detta inte synonymt med att ett biträdesförhållande föreligger. Vidare är det viktigt att belysa att de olika ansvarsrollerna kan gälla för en viss del av behandlingen och även om avtalet med en part stipulerar en viss rollfördelning kan en annan anses vara gällande beroende på de verkliga omständigheterna. Det är därför viktigt att lägga tid och vikt vid att utreda ansvarsrollerna korrekt redan från start. Kanske är det så att ett avtal innehåller olika ansvarsförhållanden? Kanske föreligger ett gemensamt ansvar i vissa delar och ett eget i andra?
Vill du veta mer om de olika ansvarsrollerna och få hjälp med bedömningar, kartläggningar och avtal? – kontakta oss!