Ansvar för behandling

Många företag, om inte nästintill samtliga, är idag beroende av olika tjänster som tillhandahålls av mjukvaruföretagen. Google, Amazon och Microsoft tillhandahåller molntjänster vilka används av företag som behöver lagra data. Facebook tillhandahåller sociala medie-plattformar vilka används av företag för att marknadsföra sig. Microsoft och Google tillhandahåller mail och andra kommunikationstjänster som används av företag för att kommunicera internt och externt. Google ger företag användarstatistik för deras hemsidor genom Google Analytics.

Samtliga företag för över personuppgifter till USA.¹⁶⁰

En aktör som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde, enligt artikel 4 i dataskyddsförordningen. I följande kapitel kommer begreppen redogöras för.

3.5.1 Personuppgiftsbiträde

Ett personuppgiftsbiträde är någon som behandlar personuppgifter för personuppgiftsansvarigas räkning, enligt artikel 4.8. Ett personuppgiftsbiträde kan utgöras av en fysisk- eller juridisk person, en offentlig myndighet, institution eller någon annan (”other body”). Ett personuppgiftsbiträde saknar bestämmanderätt över behandlingen av personuppgifterna och har heller inte samma ansvar över behandlingen som den

157 Mål C-311/18, Schrems II, § 83 f.

158 Jfr mål C-311/18, Schrems II, § 84 ff.

159 Mål C-311/18, Schrems II, § 89.

160 Se Facebook, [https://m.facebook.com/privacy/explanation?locale=sv_SE#], 2020-12-31; Google, [https://policies.google.com/privacy/frameworks?hl=sv], 2020-12-31; Amazon,

[https://www.amazon.com/gp/help/customer/display.html?nodeId=GX7NJQ4ZB8MHFRNJ#GUID-8966E75F-9B92-4A2B-BFD5-967D57513A40__SECTION_A110DAC3F6BC4D5D9DDD59797104B1E5]; Microsoft, [https://privacy.microsoft.com/sv-se/privacystatement], 2020-12-31.

35 personuppgiftsansvarige har. Det är snarare den senare som ska se till att personuppgiftsbiträdet agerar inom ramen för sitt uppdrag, enligt artikel 28.¹⁶¹ Ett personuppgiftsbiträde som går utöver sina befogenheter och bestämmer ändamål och medel med en behandling bedöms vara personuppgiftsansvarig för den behandlingen, enligt artikel 28.10. I praktiken ses ofta mjukvaruföretagen ofta som personuppgiftsbiträden genom att de endast tillhandahåller en plattform och behandlar personuppgifter på uppdrag av företagen som använder deras tjänster, exempelvis Googles, Amazons och Microsofts molntjänster.¹⁶²

3.5.2 Personuppgiftsansvarig

Den personuppgiftsansvarige bär huvudansvaret för behandlingen av personuppgifter.¹⁶³ En personuppgiftsansvarig är den som ensamt eller tillsammans med andra bestämmer ändamålen och medlen med behandlingen av personuppgifterna, enligt artikel 4.7. En personuppgiftsansvarig kan, precis som ett personuppgiftsbiträde, utgöras av en fysisk- eller juridisk person, en offentlig myndighet, institution eller någon annan, enligt nämnda artiklar.

Definitionen av personuppgiftsansvarig syftar inte till att omfatta fysiska personers behandling av personuppgifter som sker i en helt och hållen privat verksamhet eller har samband med en persons hushåll. Dock syftar begreppet till att omfatta den som tillhandahåller hushållsutrustning för behandling av personuppgifter av privat verksamhet eller hushållsverksamhet, exempelvis Google och Amazon genom sina smarta hemassistenter Google Home och Alexa.¹⁶⁴ I praktiken är det ofta företag och inte dess VD som blir personuppgiftsansvariga.¹⁶⁵ På grund av avsaknad av mål rörande definitionen av begreppen i dataskyddsförordningen kan vägledning i ansvarsfrågan hämtas från Dataskyddsdirektivet.¹⁶⁶

161 Personuppgiftsbiträdet har i sin tur en skyldighet att samarbete med personuppgiftsansvarige enligt samma artikel samt att behandla personuppgifterna i enlighet med de allmänna principerna i artikel 5

dataskyddsförordningen.

162 Kahn och Gustafsson, 2017, s. 181.

163 Jfr. mål C-210/16, Fashion ID, § 29; Voigit och von dem Bussche, 2017, s. 19; EDPB, Guidelines 7/2020, s.

9. Se t.ex. artikel 6, 12, 15 och 24 i dataskyddsförordningen för exempel på personuppgiftsansvarigas ansvar.

164 Skäl 18 i dataskyddsförordningen.

165 EDPB, Guidelines 7/2020, s. 10.

166 Jfr. artikel 2 d och e i dataskyddsdirektivet med artikel 4.7 och 4.8 i dataskyddsförordningen. Se EDPB, Guidelines 7/2020, s. 9; Se också generaladvokatens förslag till avgörande i mål C-40/17, Fashion ID, § 87.

36 Begreppet personuppgiftsansvarig ska tolkas vitt för att säkerställa ett effektivt skydd för de registrerade.¹⁶⁷ En grupp av individer kan innefattas av begreppet.¹⁶⁸

För att anses bestämma ändamål och medel över en behandling krävs för det första att en behandling sker. Antingen kan inflytandet över behandlingen bestämmas genom faktiska omständigheter, eller genom lagstiftning. Vidare krävs någon form av beslutsfattandemakt.

Aktören ska bestämma hur och varför behandlingen sker.¹⁶⁹

3.5.3 Delat ansvar och gränsdragning

Det är sällan en ensam aktör som behandlar en viss typ av personuppgifter på internet, utan ofta sker behandlingen i olika lager och många steg i internets tekniskt komplexa miljö. Därför är det inte en lätt uppgift att fastställa personuppgiftansvaret för samma eller närliggande behandlingar.¹⁷⁰ När fler aktörer är involverade i att bestämma ändamål och medel för behandlingen uppkommer ett gemensamt personuppgiftansvar. ¹⁷¹ Det gemensamma personuppgiftsansvaret regleras i artikel 26. Det krävs dock inte att båda aktörerna har tillgång till samma typ av personuppgifter för att det ska röra sig om ett gemensamt ansvar.¹⁷² Den omständighet att det finns ett gemensamt personuppgiftansvar innebär i sin tur inte nödvändigtvis ett likvärdigt ansvar över all den behandling som sker. Tvärtom kan aktörerna vara involverade i olika skeden av behandlingen och i olika utsträckning. Ansvarsbedömningen ska därvid göras med beaktande av alla relevanta omständigheter i det enskilda fallet.¹⁷³

Som inledningsvis nämnts uppfattas ofta mjukvaruföretagen som personuppgiftsbiträden, vilket gör att företag som använder sig av tjänsten blir personuppgiftsansvarig. Exempelvis bestämmer företag som använder en molnlagringstjänst ändamål och medel för behandlingen, vilket gör dem personuppgiftsansvariga. I de fall mjukvaruföretagen går utöver sina

167 Mål C-131/12, Google Spain, § 34; Mål C-210/16, Wirtschaftsakademie, § 28; Mål C-40/17, Fashion ID, § 65.

168Mål C-272/19, Hessen, § 65; Mål C-25/17; Jehovas vittnen, § 75; EDPB, Guidelines 7/2020, s. 9. I den svenska ordalydelsen av artikeln där ”other body” är översatt till ”annat organ”, vilket inte ska begränsa räckvidden.

169 Se Artikel 29-gruppen, WP 169, s. 13. Jfr. mål C-40/17, Fashion ID, § 77 ff.; Frydlinger m.fl., 2018, s. 51;

Voigi och von dem Bussche, 2017, s. 17; Generaladvokatens förslag till avgörande i mål C-25/17, Jehovas vittnen, § 68.

170 Kahn och Gustafsson, 2017, s. 279; Se generaladvokatens förslag till avgörande i mål C-210/16, Wirtschaftsakademie, § 62.

171 Mål C-210/16, Wirtschaftsakademie, § 44; Mål C-40/17, Fashion ID, § 85.

172 Mål C-210/16, Wirtschaftsakademie, § 37.

173 Mål C-210/16, Wirtschaftsakademie, § 43.

37 befogenheter som personuppgiftsbiträden kan de dock också bedömas vara personuppgiftsansvariga.¹⁷⁴

Gränsdragningen mellan personuppgiftsansvarig och personuppgiftsbiträde är viktig för att klargöra ansvarsfrågan för de flesta typer av behandling. Gränsdragningen är exempelvis viktigt för att fastställa vem som är personuppgiftsansvarig och därmed ansvarar för att visa att principerna för skydd av personuppgifter i artikel 5 är uppfyllda.¹⁷⁵ När det gäller behandling av typen överföring till tredje land finns det specialregler som aktörerna ska förhålla sig till, utöver principerna i artikel 5. Dessa är de så kallade exportbegränsningsreglerna och finns i kapitel V (artikel 44–49). Ansvaret att uppfylla dessa specialregler ligger hos den som utför överföringen och kan utgöras av antingen personuppgiftsansvarige eller personuppgiftsbiträdet eller båda två, enligt artikel 44. Eftersom den som behandlar personuppgifter antingen blir personuppgiftsansvarig eller personuppgiftsbiträde, har både mjukvaruföretaget och företaget som använder dennes tjänst, ansvar över att tredjelandsöverföringen sker i enlighet med exportbegränsningsreglerna. Det saknas således betydelse vid en tredjelandsöverföring om en aktör saknar bestämmanderätt över personuppgifterna.¹⁷⁶ Det annars komplexa förfarandet att undersöka behandling i olika lager och olika steg för att möjliggöra gränsdragning mellan personuppgiftsansvarig och personuppgiftsbiträde behöver således inte göras. Som utgångspunkt kan antas att mjukvaruföretagen och företagen som använder deras tjänster ansvarar att den tredjelandsöverföringen som sker uppfyller exportbegräsningsreglerna.

Ansvarsfrågan påverkar både den registrerade och företagen, vilket kommer vidareutvecklas i det avslutande kapitlet.