Den 2 september antog Europeiska Dataskyddsstyrelsen (”EDPB”) en ny vägledning för personuppgiftsansvariga och personuppgiftsbiträden inom ramen för GDPR.
I vägledningen redogör EDPB för gränsdragningen mellan personuppgiftsansvariga, personuppgiftsbiträden och gemensamt personuppgiftsansvariga samt för konsekvenserna av dessa roller. Det beskrivs bl.a. vad ett personuppgiftsbiträdesavtal ska innehålla i enlighet med artikel 28.3 GDPR, hur ansvar bör fördelas mellan gemensamt personuppgiftsansvariga och vad som utgör en tredje part.
Med anledning av ansvarsprincipen i artikel 5 GDPR och transparens gentemot registrerade är det viktigt att utreda vem som har vilken roll inom en personuppgiftsbehandling. I praktiken kan dock sådana gränsdragningar vara svåra att avgöra. Den ansvarige är den som bestämmer ändamål och medel för behandlingen och biträdet behandlar personuppgifter på uppdrag av den ansvarige, i enlighet med definitionerna i artikel 4 GDPR. Ett sätt att avgöra dessa roller är att besvara frågorna (i) varför behandlingen utförs (ändamål) och (ii) hur behandlingen utförs (medel). EDPB tydliggör att en personuppgiftsansvarig inte behöver ha faktiskt tillgång till personuppgifterna för att anses vara ansvarig.
I vägledningen förtydligar EDPB bl.a. begreppet ”medel” genom att dela upp det i ”essential means” och ”non-essential means”. Medel som är ”essential” är sådant som är nära kopplat till behandlingens ändamål så som vilken typ av data som behandlas och hur länge datan behandlas. Medel som är ”non-essential” är av mer praktisk karaktär, dvs. val av mjukvara som används vid behandlingen eller detaljerade säkerhetsåtgärder. För ”non-essential” medel är utrymmet större för biträdet att fatta egna beslut, även om den ansvarige alltid bör vara informerad om besluten.
En del av vägledningen behandlar ansvarsfördelningen mellan gemensamt personuppgiftsansvar och det arrangemang som GDPR föreskriver parterna att fastställa. Även om GDPR inte definierar ett sådant arrangemang rekommenderar EDPB att arrangemanget utformas till ett bindande dokument mellan de gemensamt ansvariga. Det ges även exempel på vad arrangemanget bör reglera, t.ex. skyldigheten för respektive ansvarig att ha en rättslig grund för behandlingen och implementationen av tekniska säkerhetsåtgärder.
EDPB:s vägledning hittar du här. Vägledningen ligger ute för publik konsultation fram tills den 19 oktober.
Om ni vill veta mer om EDPB:s vägledningar eller har övriga frågor om dataskydd är ni välkomna att kontakta Alexander Berger, partner och ansvarig för Compliance, eller Caroline Lorentzen, associate, på TIME DANOWSKY Advokatbyrå.
