Page contents Page contents Svar Den personuppgiftsansvarige fastställer för vilka ändamål personuppgifter behandlas och genom vilka medel. Så om ert företag/er organisation bestämmer ”varför” och ”hur” personuppgifterna ska behandlas, så är företaget/organisationen personuppgiftsansvarig. Anställda som behandlar personuppgifter inom er organisation gör detta för att uppfylla företagets/organisationens uppgifter som personuppgiftsansvarig. Ert företag/er organisation är gemensamt personuppgiftsansvarig när företaget/organisationen tillsammans med en eller flera andra organisationer gemensamt bestämmer ”varför” och ”hur” personuppgifter ska behandlas. Gemensamt personuppgiftsansvariga måste ingå ett avtal där deras respektive ansvar för att följa reglerna i förordningen fastställs. Huvuddragen i arrangemanget måste förmedlas till de enskilda personer vars uppgifter behandlas. Personuppgiftsbiträdet behandlar personuppgifter endast på den personuppgiftsansvariges vägnar. Personuppgiftsbiträdet är vanligen en tredje part utanför företaget. När det gäller koncerner kan ett företag emellertid fungera som personuppgiftsbiträde åt ett annat företag. Personuppgiftsbiträdets plikter gentemot den personuppgiftsansvarige måste specificeras i ett avtal eller annan rättsakt. Exempelvis måste det anges i avtalet vad som händer med personuppgifterna när avtalet går ut. Personuppgiftsbiträden erbjuder ofta IT-lösningar, däribland molnlagring. Personuppgiftsbiträdet kan endast lägga ut en del av sina uppgifter på entreprenad till ett annat personuppgiftsbiträde eller utse ett gemensamt personuppgiftsbiträde när ett skriftligt förhandstillstånd har mottagits från den personuppgiftsansvarige. Det finns situationer då en enhet kan vara personuppgiftsansvarig eller personuppgiftsbiträde eller båda. Exempel Personuppgiftsansvarig och personuppgiftsbiträde Ett bryggeri har många anställda. Det ingår ett avtal med ett lönehanteringsföretag för betalning av lönerna. Bryggeriet talar om för lönehanteringsföretaget när lönerna ska betalas, när en anställd slutar eller får löneförhöjning, och tillhandahåller alla andra uppgifter för lönebesked och utbetalning. Lönehanteringsföretaget står för IT-systemet och lagrar de anställdas uppgifter. Bryggeriet är den personuppgiftsansvarige och lönehanteringsföretaget är personuppgiftsbiträdet. Gemensamt personuppgiftsansvariga Ert företag/organisation erbjuder barnvaktstjänster via en onlineplattform. Samtidigt har ert företag/er organisation ett avtal med ett annat företag som gör att ni kan erbjuda tilläggstjänster. Dessa tjänster ger exempelvis föräldrar möjlighet att inte bara välja barnvakt utan också hyra spel och DVD:er som barnvakten kan ha med sig. Båda företagen är inblandade i den tekniska uppsättningen av webbplatsen. I detta fall har de två företagen bestämt att använda plattformen för båda syftena (barnvaktstjänster och DVD-/spelhyra) och delar väldigt ofta kundernas namn mellan sig. Därför är de två företagen gemensamt personuppgiftsansvariga. De är nämligen inte bara överens om att erbjuda möjligheten till ”kombinerade tjänster” utan de utformar och använder dessutom en gemensam plattform. Referenser Referenser: Artikel 4.7, 4.8, 24, 26, 28, 29; skäl 74, 79, 81 Artikel 29-arbetsgruppens yttrande 1/2010 om begreppen registeransvarig och registerförare (WP 169) Examples Controller and processor A brewery has many employees. It signs a contract with a payroll company to pay the wages. The brewery tells the payroll company when the wages should be paid, when an employee leaves or has a pay rise, and provides all other details for the salary slip and payment. The payroll company provides the IT system and stores the employees’ data. The brewery is the data controller and the payroll company is the data processor. Joint controllers Your company/organisation offers babysitting services via an online platform. At the same time your company/organisation has a contract with another company allowing you to offer value-added services. Those services include the possibility for parents not only to choose the babysitter but also to rent games and DVDs that the babysitter can bring. Both companies are involved in the technical set-up of the website. In that case, the two companies have decided to use the platform for both purposes (babysitting services and DVD/games rental) and will very often share clients’ names. Therefore, the two companies are joint controllers because not only do they agree to offer the possibility of ‘combined services’ but they also design and use a common platform. References References: Article 4(7) and (8), Articles 24, 26, 28 and 29 and Recitals (74), (79) and (81) of the GDPR Article 29 Working Party Opinion 1/2010 on the concepts of 'controller' and 'processor' (WP 169)
