Viktiga riktlinjer om personuppgiftsansvar

I juli antog Europeiska dataskyddsstyrelsen sin riktlinje om personuppgiftsansvariga och biträden, en mycket viktig riktlinje att bottna i för att komma rätt i dataskyddsarbetet. Utan att ha fastställt sin status korrekt är risken stor att man hamnar fel och de åtgärder man vidtar kan visa sig kontraproduktiva eller felaktiga. Interagerar man med en annan kan det vara fråga om ett gemensamt personuppgiftsansvar, parallella personuppgiftsansvar eller en biträdesrelation. I riktlinjen klargörs att anställda som agerar med egna ändamål kan bli personuppgiftsansvariga, vilket kan vara en risk både för dem och arbetsgivaren. JP Infonets expert Monika Wendleby analyserar riktlinjen.

dataskydd_Viktiga_riktlinjer_om_personuppgiftsansvar_16x9.jpg

VARFÖR ÄR DET VIKTIGT ATT VETA SIN STATUS?

Europeiska dataskyddsstyrelsens (fortsättningsvis EDPB) riktlinje inleds med orden:

"The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice."

När man behandlar personuppgifter har man oftast status som personuppgiftsansvarig (controller) eller personuppgiftsbiträde (processor). I vissa fall kan även ett gemensamt personuppgiftsansvar (joint controllers) uppstå. Om en organisation inte reflekterar över vilken roll de har är det lätt att hamna fel, vilket utredningen efter personuppgiftsincidenten kopplad till 1177 är ett tydligt exempel på. Utredningen i det ärendet visade att parterna, som ansvarat för mycket integritetskänslig behandling, ingått avtal med varandra utan att klargöra sina roller eller ens själva ha landat i begreppen. Jag tror inte detta är ovanligt; utifrån min erfarenhet har många organisationer inte reflekterat över sin status – trots att de kan ha lagt ner en hel del resurser i sitt GDPR-arbete. Detta är ett kostbart och felaktigt arbetssätt. Mer rationellt är att alltid börja med följande tre frågor:

  • Behandlar vi personuppgifter?
  • Vilken är vår status: personuppgiftsansvarig eller biträde?
  • Om vi samarbetar med andra: föreligger ett gemensamt ansvar eller en biträdesrelation? Eller är vi fristående personuppgiftsansvariga (tredje parter)?

I min bok ”Dataskyddsförordningen GDPR: Hantera registrerades rättigheter – En arbetsbok” (Sanoma Utbildning AB, 2020, s. 53–54) beskriver jag metoder för att bena ut de två sista punkterna. Med redskapet ”Fem frågor” kan man analysera om man kan bestämma över ändamål och medel, vilket skiljer de två rollerna personuppgiftsansvarig och biträde åt. I arbetet med att analysera rollerna har man givetvis också stor nytta av den nya riktlinjen från EDPB som ger sin syn på viktiga rättsfrågor och kryddar med exempel. Det är viktigt att begreppen förtydligas eftersom de är så centrala. Som styrelsen själv uttrycker det: 

"It is … of paramount importance that the precise meaning of these concepts and the criteria for their correct use are sufficiently clear and shared throughout the European Union and the EEA."

BEGREPPET PERSONUPPGIFTSANSVARIG 

Begreppet ”personuppgiftsansvarig” definieras i artikel 4.7 GDPR som ”…. en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter”. Att bestämma ändamål innebär att man ska kunna bestämma ”… certain key elements about the processing” vilket man kan göra genom att svara på frågor som varför behandlingen genomförs och vem har bestämt att behandlingen ska äga rum. Kontroll över behandlingar kan uppkomma både från lagkrav (till exempel när lagen ”… impose a duty on someone to collect and process certain data) eller faktiskt inflytande. En tumregel som framhålls i riktlinjen är:

"When an entity engages in processing of personal data as part of its interactions with its own employees, customers or members, it will generally be the one who determines the purpose and means around the processing and is therefore acting as a controller within the meaning of the GDPR."

Den som är personuppgiftsansvarig för en behandling är i den rollen ”ansvarsskyldig”, se artikel 5.2 GDPR, vilket ställer stora krav både att följa bestämmelser och på att dokumentera sin tillämpning. Principen om ansvarsskyldighet utvecklas även i artikel 24 GDPR som fastslår att den personuppgiftsansvarige ska införa lämpliga tekniska och organisatoriska åtgärder. Mot bakgrund av kopplingen mellan personuppgiftsansvar och ansvarsskyldigheten ska, enligt EDPB, begreppet ”personuppgiftsansvarig” tolkas på ett brett sätt så att registrerade får så effektivt och komplett skydd som möjligt.

Begreppet ”fysisk eller juridisk person, offentlig myndighet, institution eller annat organ” innehåller ”… no limitation as to the type of entity that may assume the role of a controller”. Det kan både vara en organisation men även “… an individual or a group of individuals”. Normalt är det enligt EDPB organisationen som har personuppgiftsansvar och inte en CEO, en anställd eller en styrelsemedlem i organisationen. I riktlinjen framhålls även att personer ansvariga för regelefterlevelse av dataskydd inte blir personuppgiftsansvariga, utan detta vilar på organisationen. Inte heller ska, enligt EDPB, enskilda enheter eller avdelningar i en organisation kunna anses personuppgiftsansvariga. Ett exempel ges: en marknadsavdelning i ett företag som självständigt väljer kanaler (mejl, sociala medier etcetera) blir inte personuppgiftsansvarigt utan att det är företaget som sådant som får den rollen.

I UNDANTAGSFALL KAN ANSTÄLLDA ANSES VARA PERSONUPPGIFTSANSVARIGA

Det finns situationer när anställda som arbetar i en personuppgiftsansvarig organisation kan få ett eget personuppgiftsansvar:

"In exceptional circumstances, however, it may occur that an employee decides to use personal data for his or her own purposes, thereby unlawfully exceeding the authority that he or she was given. (e.g. to set up his own company or similar)."

Gör en anställd något med egna ändamål kan hen alltså bli personuppgiftsansvarig, vilket stämmer bra överens med exemplen som EDPB ger i sin riktlinje om incidenthantering. Organisationen behöver enligt EDPB dock arbeta förebyggande så att något sådant inte kan ske för att följa ansvarsprincipen. Min egen reflektion är att bristfälligt GDPR-arbete och otydlig struktur i värsta fall kan leda till att anställda blir personuppgiftsansvariga med allt vad det innebär.

BESTÄMMA ÄNDAMÅL OCH MEDEL

EDPB definierar begreppen ändamål och medel utifrån en ordbok:

"Dictionaries define “purpose” as “an anticipated outcome that is intended or that guides your planned actions” and “means” as “how a result is obtained or an end is achieved”."

När jag arbetar med verktyget Fem frågor leder frågan ”Varför?” till ändamålet och ”Vad? När?, Var?, Hur?” till ”medel”. Den som kontrollerar svaren på frågorna är personuppgiftsansvarig. EDPB är inne på ett liknande tänk:

"Determining the purposes and the means amounts to deciding respectively the "why" and the "how" of the processing: given a particular processing operation, the controller is the actor who has determined why the processing is taking place (i.e., “to what end”; or “what for”) and how this objective shall be reached (i.e. which means shall be employed to attain the objective). A natural or legal person who exerts such influence over the processing of personal data, thereby participates in the determination of the purposes and means of that processing in accordance with the definition in Article 4(7) GDPR.

The controller must decide on both purpose and means of the processing as described below. As a result, the controller cannot settle with only determining the purpose. It must also make decisions about the means of the processing. Conversely, the party acting as processor can never determine the purpose of the processing."

BEGREPPET PERSONUPPGIFTSBITRÄDE

Ett ”personuppgiftsbiträde” anges i artikel 4.8 GDPR vara ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning”. För att kunna vara biträde krävs en fristående aktör i förhållande till den personuppgiftsansvarige (i en koncern kan den fristående aktören vara ett annat koncernbolag), vilket innebär att en enhet eller avdelning i en organisation inte kan vara biträde till organisationen. För att vara biträde i en relation krävs vidare att all behandling görs för den personuppgiftsansvariges räkning:

"Acting “on behalf of” also means that the processor may not carry out processing for its own purpose(s). As provided in Article 28(10), a processor infringes the GDPR by going beyond the controller’s instructions and starting to determine its own purposes and means of processing. The processor will be considered a controller in respect of that processing and may be subject to sanctions for going beyond the controller’s instructions."

Även medel ska kontrolleras av den personuppgiftsansvarige. EDPB anger i riktlinjen att det dock finns ett visst utrymme för biträden att bestämma över medel (detta utan tydligt stöd i GDPR) och menar att det avgörande är nivån av inflytande över medlen: man behöver enligt styrelsen här skilja på ”essential means” (som alltid bestäms av den personuppgiftsansvarige) och ”non-essential means” (där biträdet kan ha visst inflytande):

"“Essential means” are means that are closely linked to the purpose and the scope of the processing, such as the type of personal data which are processed (“which data shall be processed?”), the duration of the processing (“for how long shall they be processed?”), the categories of recipients (“who shall have access to them?”) and the categories of data subjects (“whose personal data are being processed?”). Together with the purpose of processing, the essential means are also closely linked to the question of whether the processing is lawful, necessary and proportionate. “Non-essential means” concern more practical aspects of implementation, such as the choice for a particular type of hard- or software or the detailed security measures which may be left to the processor to decide on."

Rätten för biträdet att kunna välja ”non-essential means” påverkar inte enligt riktlinjen den personuppgiftsansvariges skyldighet att ge instruktioner i ett biträdesavtal till exempel de som rör säkerhet (se artikel 32 GDPR). Numera har EU-kommissionen fastställt standardavtalsklausuler, se Kommissionens genomförandebeslut (EU) 2021/915 av den 4 juni 2021 om standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden enligt artikel 28.7 i Europaparlamentets och rådets förordning (EU) 2016/679 och artikel 29.7 i Europaparlamentets och rådets förordning (EU) 2018/1725. Dessa kan användas till att skapa biträdesavtal som fullt ut uppfyller artikel 28 GDPR. Standardavtalsklausulerna innehåller instruktioner, vilket kan underlätta tillämpningen av EDPB:s riktlinje, eftersom de tydliggör hur kravet på instruktioner ska tolkas och hur de kan formuleras.

FAKTISKT AGERANDE STYR

Begreppen ”personuppgiftsansvarig” och ”personuppgiftsbiträden” är vida. I riktlinjen klargörs att det inte finns några begränsningar kring vem som kan anta den rollen. Begreppet (liksom begreppet ”personuppgiftsbiträde”) är funktionellt och styrs av hur parterna agerar:

"This implies that the legal status of an actor as either a “controller” or a “processor” must in principle be determined by its actual activities in a specific situation, rather than upon the formal designation of an actor as being either a “controller” or “processor” (e.g. in a contract).This means that the allocation of the roles usually should stem from an analysis of the factual elements or circumstances of the case and as such is not negotiable.

The concepts of controller and processor are also autonomous concepts in the sense that, although external legal sources can help identifying who is a controller, it should be interpreted mainly according to EU data protection law. The concept of controller should not be prejudiced by other – sometimes colliding or overlapping - concepts in other fields of law, such as the creator or the right holder in intellectual property rights o
r competition law"

När jag arbetar med dataskydd ser jag inte sällan att parter i en relation tror de kan avtala fritt om vilken roll de ska ha, vilket alltså är ett stort misstag som kan leda till stora felslut. Det finns inga sådana genvägar utan man måste förstå hur personuppgiftsbehandlingen ser ut för att hamna rätt. Som framgår av citatet ska statusen tolkas utifrån GDPR:s bestämmelser där annan typ av lagstiftning inte ska påverka vem som får viss roll. Av Integritetsskyddsmyndighetens praxis, senast beslutet rörande 1177, framgår dock att en legal status från annan lagstiftning kan få genomslag (i det fallet begreppet vårdgivare, som ansågs vara personuppgiftsansvariga vilket inte är konstigt då vårdgivare styr över ändamål och medel). 

I rekommendationen framhålls även att kontraktuella förhållanden kan vara tolkningsdata då de kan beskriva parternas relationer med varandra men det är alltid faktiska agerandet som i slutänden styr:

"If there is no reason to doubt that this accurately reflects the reality, there is nothing against following the terms of the contract. However, the terms of a contract are not decisive in all circumstances, as this would simply allow parties to allocate responsibility as they see fit. It is not possible either to become a controller or to escape controller obligations simply by shaping the contract in a certain way where the factual circumstances say something else."

Riktlinjen framhåller även att en och samma organisation ibland kan vara personuppgiftsansvarig och andra gånger biträde. Rollerna är därför inte en etikett man kan sätta på en organisation utan de kan variera beroende på omständigheter. Analysen måste alltid göras utifrån den personuppgiftsbehandling som utförs. Av riktlinjen framgår vidare att det är viktigt att klargöra rollerna inom en koncern (eller annan hierarkiskt styrd organisation). Även här är det faktiskt agerande som styr, inte organiseringen, vilket jag tror är lätt att missa.

TAKE IT OR LEAVE IT-KLAUSULER

I riktlinjen ges ett exempel på en vanlig situation, nämligen att en organisation träffar avtal med en molnleverantör som har färdiga standardavtal som gäller i alla relationer som ingås. Vill kunderna inte godta det (och ge egna instruktioner som GDPR kräver att personuppgiftsansvariga gör) blir det ingen affär: det är ”take it or leave it” som gäller. EDPB menar att detta kan vara en biträdesrelation så länge molnleverantören”… does not process the personal data for its own purposes and stores the data solely on behalf of its customers and in accordance with instructions”. Uttalandet är intressant eftersom instruktionerna lär vara standardiserade utan möjlighet att påverka. Det ska bli intressant att följa hur rättspraxis ser på denna fråga. I sammanhanget kan även noteras att personuppgiftsansvariga, enligt EDPB, behöver göra en djupare analys:

"When considering whether or not to entrust the processing of personal data to a particular service provider, controllers should carefully assess whether the service provider in question allows them to exercise a sufficient degree of control, taking into account the nature, scope, context and purposes of processing as well as the potential risks for data subjects."

GEMENSAMT PERSONUPPGIFTSANSVAR

Innebörden av att ha gemensamt ansvar har förtydligats av EU-domstolen i flera domar. Skyldigheter som inträder vid gemensamt ansvar regleras i artikel 26 GDPR, som är en nyhet i förhållande till äldre rätt. EDPB slår fast att begreppet ”tillsammans med andra” (”jointly” på engelska) ”… must be interpreted as meaning ‘together with’ or ‘not alone’, in different forms and combinations …”. Begreppet kan härledas både till fall av ett gemensamt beslut (a common decision) och konvergerande beslut (converging decisions). Gemensamma beslut kräver att det finns en gemensam intention och ligger nära ordalydelsen i artikel 4.7 GDPR, medan begreppet konvergerande beslut (som introduceras av EDPB i riktlinjen) ska täcka de fall som EU-domstolen ansett omfattas av begreppet ”tillsammans med andra”, nämligen sådana där de personuppgiftsansvarigas ändamål är nära sammankopplade eller kompletterande till varandra (se min tidigare analys). Det gemensamma ansvaret omfattar enligt riktlinjen inte behandlingar som skett före eller efter det gemensamma ansvaret inträtt. Olika personuppgiftsansvariga kan även ha olika ansvar, vilket får bedömas efter omständigheterna i det enskilda fallet.

HUR UPPSTÅR ETT GEMENSAMT PERSONUPPGIFTSANSVAR

I riktlinjen slås fast att flera personuppgiftsansvariga kan vara inblandande i samma personuppgiftsbehandling. Varje organisation behöver i en sådan relation inte ha inflytande över alla ändamål eller medel, men måste förstås ha inflytande över några sådana. Ett tecken på att gemensamt ansvar uppstått kan enligt riktlinjen vara att en fördel uppstår för de inblandade om båda inblandade kan påverka ändamål och medel (behöver inte vara samma ändamål eller likadant inflytande över medel). Saknas koppling helt till ändamål och medel uppstår inte ett gemensamt ansvar:

"In this respect, it is important to highlight that the mere existence of a mutual benefit (for ex. commercial) arising from a processing activity does not give rise to joint controllership. If the entity involved in the processing does not pursue any purpose(s) of its own in relation to the processing activity, but is merely being paid for services rendered, it is acting as a processor rather than as a joint controller."

När man ska bedöma om gemensamt personuppgiftsansvar har uppstått kan man behöva göra relativt djupa analyser. EDPB framhåller att man kan behöva höja blicken och skaffa sig ett makro-perspektiv (vilket stämmer överens med det sätt som EU-domstolen närmat sig frågan):

"--- On the other hand, a sequence or set of processing operations involving several actors may also take place for the same purpose(s), in which case it is possible that the processing involves one or more joint controllers. In other words, it is possible that at “micro-level” the different processing operations of the chain appear as disconnected, as each of them may have a different purpose. However, it is necessary to double check whether at “macro-level” these processing operations should not be considered as a “set of operations” pursuing a joint purpose using jointly defined means.

Anyone who decides to process data must consider whether this includes personal data and, if so, what the obligations are according to the GDPR. An actor will be considered a “controller” even if it does not deliberately target personal data as such or has wrongfully assessed that it does not process personal data."

FRISTÅENDE PERSONUPPGIFTSANSVARIGA

Ibland kan två fristående personuppgiftsansvariga utbyta personuppgifter utan att ett gemensamt ansvar uppstår. Varje personuppgiftsansvarig är ansvarig för sina behandlingar men inget gemensamt ansvar uppstår (man kan säga att de agerar parallellt) trots att man utbyter personuppgifter. I riktlinjen finns exemplen att ett företag lämnar skatteuppgifter till Skatteverket. Ett annat är att olika företag använder sig av en gemensam databas där varje inblandat företag själv bestämmer över ändamål och medel och endast hanterar personuppgifter man själv lagt in i systemet. I det här sammanhanget är även begreppet tredje part intressant (definieras i artikel 4.10 GDPR). I riktlinjen anges följande:

"A third party thus refers to someone who, in the specific situation at hand, is not a data subject, a controller, a processor or an employee. For example, the controller may hire a processor and instruct it to transfer personal data to a third party. This third party will then be considered a controller in its own right for the processing that it carries out for its own purposes. It should be noted that, within a group of companies, a company other than the controller or the processor is a third party, even though it belongs to the same group as the company who acts as controller or processor."

VAD BEHÖVER ORGANISATIONER GÖRA

Efter att ha gjort en analys av sin och andras roller i olika samarbeten och landat i den behöver organisationen fundera över hur den ska uppfylla de krav som GDPR ställer. Är det en biträdesrelation ska det finnas biträdesavtal: i riktlinjen och i de nya standardklausulerna finns tydliga krav på vad som ska ingå. Formen måste vara skriftlig och innehållet måste uppfylla kraven i artikel 28 GDPR. I riktlinjen framhåller EDPB att avtalsinnehållet måste baseras på en riskanalys och förhållanden i det enskilda fallet:

"Generally speaking, the contract between the parties should be drafted in light of the specific data processing activity. For instance, there is no need to impose particularly stringent protections and procedures on a processor entrusted with a processing activity from which only minor risks arise: while each processor must comply with the requirements set out by the Regulation, the measures and procedures should be tailored to the specific situation. In any event, all elements of Article 28(3) must be covered by the contract. At the same time, the contract should include some elements that may help the processor in understanding the risks to the rights and freedoms of data subjects arising from the processing: because the activity is performed on behalf of the controller, often the controller has a deeper understanding of the risks that the processing entails since the controller is aware of the circumstances in which the processing is embedded."

Min erfarenhet är att biträdesavtal ofta kan leda till besvärliga diskussioner och man kan hamna i avtalslösa lägen, vilket är ett brott mot GDPR (framhålls i riktlinjen). Det är därför viktigt att tidigt ta tag i frågan. Jag hoppas att användande av standardavtalsklausulerna kommer att leda till färre tolkningsdiskussioner, eftersom dessa direkt följer av en rättsakt. Det är viktigt att utbilda anställda som arbetar med inköp/upphandling så man kan jobba framtungt med frågorna.

Föreligger ett gemensamt personuppgiftsansvar kan man behöva ta fram ett inbördes arrangemang, se artikel 26 GDPR, om behandlingen inte styrs av lagstiftning. I detta behöver roller och kontaktpunkter för registrerade klargöras. Detta är inte alltid en enkel övning, vilket även noteras av EDPB:

"The EDPB observes that there are situations occurring in which the influence of one joint controller and its factual influence complicate the achievement of an agreement. However, those circumstances do not negate the joint controllership and cannot serve to exempt either party from its obligations under the GDPR."

Riktlinjen kräver hårt arbete, det finns inga genvägar. Analyser som ska göras är ofta svåra. Läser man exemplen i riktlinjen är det många villkor som anges i inskjutna bisatser; en liten variation av förutsättningar kan leda till helt annat utfall. 

En intressant och enligt min mening öppen fråga är om EDPB i sin riktlinje och exempel alla gånger hamnat rätt i förhållande till EU-domstolens praxis om gemensamt personuppgiftsansvar. Det finns tendenser att EDPB ibland mildrar, ibland utvidgar den tolkning som domstolen gjort, så det lär bli intressant att följa den fortsatta utvecklingen. I många fall gör EDPB tolkningar som inte har stöd i vare sig förordningstext eller rättsfall. När det gäller inbördes arrangemang listar EDPB flera punkter som bör regleras, vilket inte har direkt stöd av ordalydelsen i artikel 26 GDPR. EDPB vill genom detta sannolikt säkra att alla parter ska tillse att GDPR följs, vilket förstås är bra, men det rimmar illa med skrivningar i riktlinjen (som stöds av rättsfall) att personuppgiftsansvariga inte har ansvar för det som sker före och efter det gemensamma ansvaret och att ansvaret kan se olika ut. Oklarheterna gör att rättsområdet behöver fortsätta bevakas eftersom nya rättsfall kan ändra förutsättningarna. Det är även viktigt att dokumentera sina bedömningar (se artikel 5.2 GDPR).

Av Monika Wendleby, jurist, managementkonsult, föreläsare och författare till GDPR-böcker.
Ursprungligen publicerad i JP ITnet.

Publicerad 27 sep 2021

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

  • JP ITnet

    Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.
  • Rådgivning inom dataskydd

    Behöver du vägledning i frågor som rör GDPR och dataskydd? Våra specialiserade jurister hjälper gärna till.
  • JP Registerförteckning

    Ett enkelt och användarvänligt verktyg för att uppfylla krav på dokumentation av personuppgiftsbehandling.

Nyheter

Monika Wendleby har analyserat en intressant dom från kammarrätten som öppnar upp för att besluten ska kunna överklagas.

22 nov 2021

Regeringen har överlämnat en proposition till riksdagen med förslag på ändringar i mediegrundlagarna.

22 nov 2021

Integritetsskyddsmyndigheten har beslutat att inleda en granskning av Sveriges Kommuner och Regioners nationella väntetidsdatabas.

22 nov 2021