Denna artikel beskriver grundläggande ansvar vid personuppgiftsbehandling mellan två parter som delar personuppgifter som en biprodukt av deras samarbete, t.ex. förhållandet mellan köpare och leverantör.
Lästid: 1,5 minuter.
Vem är ansvarig och för vad?
Personuppgiftsansvarig är organisationer som samlar in personuppgifter och bestämmer vad som händer med dem. Av denna anledning är de också huvudansvariga för att skydda personuppgifter.
Personuppgiftsbiträden är organisationer som behandlar personuppgifter enligt instruktioner från personuppgiftsansvarig, vanligtvis för specifika ändamål och tjänster som är tillgängliga för den personuppgiftsansvarig.
Personuppgiftsansvariga och Personuppgiftsbiträden har samma typer av skyldigheter och principer att följa. Det som är nytt i GDPR är att personuppgiftsbiträden nu också har skyldigheter som är direkt verkställbara. Dessutom är GDPR-efterlevnad numera en delad skyldighet mellan personuppgiftsansvarig och personuppgiftsbiträdet.
Jobba på Sharp Cookie Advisors
Vi letar efter dig med framstående akademiska meriter som är nyutexaminerad till att du har några års relevant arbetslivserfarenhet från bolag eller advokatbyrå. Har du examen i ekonomi, teknik, marknadsföring, utvecklat egna bolag, suttit ting är det till din fördel (förutom ett bevis på att du är nyfiken och har haft roligt).
Många av principerna i GDPR gäller för båda parter. Exempel är principer för behandling, “inbyggt integritetsskydd” och bestämmelser i personuppgiftsbiträdesavtal.
Personuppgiftsbiträden ska bistå den personuppgiftsansvarige på flera sätt. Det inkluderar att hjälpa till med registrerades förfrågningar och utföra konsekvensbedömningar för dataskydd.
Förhållandet mellan personuppgiftsansvarig och personuppgiftsbiträde och deras gemensamma skyldigheter
Den personuppgiftsansvarige har ett ansvar gentemot de personuppgiftsbiträden som den arbetar med. Personuppgiftsansvariga måste se till att personuppgiftsbiträden kan garantera säker behandling. Med andra ord måste personuppgiftsbiträden följa GDPR. Det är upp till personuppgiftsansvarige att se till att så är fallet. Personuppgiftsbiträden kan å sin sida inte anlita ett underbiträde om inte den personuppgiftsansvarige först ger sitt samtycke.
Ett personuppgiftsbiträdesavtal måste finnas mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Detta avtal bör innehålla ämnet och syftet med behandlingen. Personuppgiftsbiträden kan aldrig behandla personuppgifter för en personuppgiftsansvarigs räkning utan tydliga instruktioner.
Både personuppgiftsansvarig och personuppgiftsbiträdet är skyldiga att föra register över sina behandlingsaktiviteter. De måste båda samarbeta med tillsynsmyndigheten när så krävs.
Om du vill läsa mer om vad som ska ingå i ett personuppgiftsbiträdesavtal kan du läsa den här artikeln.