P ERSONUPPGIFTSANSVAR - DATASKYDDSFÖRORDNINGENS HUVUDDELAR

3. DATASKYDDSFÖRORDNINGENS HUVUDDELAR

3.5 P ERSONUPPGIFTSANSVAR

3.5.1 Ansvarets innebörd

Den personuppgiftsansvariges ansvar har sin utgångspunkt i att den bestämmer ändamålen med samt medlen för behandlingen av personuppgifter i organisationen. Den har vidare ett övergripande ansvar över de personuppgifter som behandlas i organisationen, i detta ansvar ingår bl.a. att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med förordningen. Implicit ska den personuppgiftsansvarige säkerställa de registrerades rättigheter och friheter genom att vidta nämnda samt ytterligare åtgärder. För att kunna upprätthålla ett tillräckligt starkt skydd för personuppgifterna ingår det i ansvaret att löpande bedöma riskerna med behandlingar som pågår samt implementera strategier för dataskydd.¹⁰⁶ Vidare föreligger även ett ansvar att upprätta behandlingsregister vilket utgörs av register över vilka kategorier av personuppgifter som behandlas, för vilka ändamål, hur länge uppgifterna lagras m.m. Denna skyldighet har, liksom tidigare åtgärder, till syfte att underlätta samt säkerställa att de registrerades uppgifter

104 Art. 17 dataskyddsförordningen.

105 Art. 18-21 dataskyddsförordningen.

106 Art. 24 och skäl 74-87 i dataskyddsförordningen samt Öman s. 379.

skyddas samt att den registrerade smidigt ska kunna erhålla information om behandlingen av uppgifterna.¹⁰⁷ De ovan uppräknade åtgärderna som den personuppgiftsansvarige ska vidta är inte uttömmande utan ger en indikation på hur omfattande ansvaret är samt att åtgärderna i sig åsyftar till att stärka skyddet för personuppgifterna, underlätta övervakningen av hur organisationer följer dataskyddsförordningen samt säkerställa de registrerades rättigheter.

Personuppgiftsansvarets olika delar kommer behandlas närmare i det följande när det är aktuellt för besvarandet av respektive frågeställning.

3.5.2 Personuppgiftsansvarig

Majoriteten av bestämmelserna i dataskyddsförordningen riktar sig till den personuppgiftsansvarige. Definitionen av begreppet personuppgiftsansvarig anges i art. 4.7 i dataskyddsförordningen och avser ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt”. Den personuppgiftsansvarige är således vanligen en organisation eller ett bolag men kan i vissa fall åligga en enskild person. I doktrin beskrivs begreppet, på ett enklare sätt, som den som bestämmer hur och varför personuppgifter behandlas.¹⁰⁸ Begreppet personuppgiftsansvarig motsvarar nästan helt det tidigare begreppet registeransvarig¹⁰⁹ från dataskyddsdirektivet varpå det går att hämta vägledning rörande begreppet från rättskällor före dataskyddsförordningens tid. Artikel 29-gruppen har i en äldre vägledning angett att den som fattar beslut om ändamålet för uppgiftsbehandling är registeransvarig, dvs. personuppgiftsansvarig, och denne kan därefter delegera beslut om

”medel” för behandlingen till ett personuppgiftsbiträde¹¹⁰.¹¹¹

Vi kommer att återkomma till gränsdragningsfrågan rörande personuppgiftsansvaret i avsnitt 5 och då i synnerhet vem som är personuppgiftsansvarig då en tjänsteleverantör tillhandahåller

107 Art. 30 dataskyddsförordningen samt Öman s. 404 f.

108 Frydlinger m.fl., s. 51.

109 Frydlinger m.fl., s. 52, här hänvisar författaren till Artikel 29-gruppens äldre yttranden avseende

gränsdragningsfrågan kring vem som är personuppgiftsansvarig samt anger att det inte föreligger något som tyder på att de centrala begreppen, personuppgiftsansvarig respektive registeransvarig, ska tolkas annorlunda i detta avseende.

110 Se avsnitt 3.5.3 om personuppgiftsbiträde.

111 Artikel 29-gruppen, WP 169, s. 15.

en värdtjänst. Frågan rör emellertid inte enbart vem som är personuppgiftsansvarig utan även om det finns flera personuppgiftsansvariga, som på så sätt har ett gemensamt personuppgiftsansvar, eller om en part är att betrakta som personuppgiftsbiträde¹¹². I art. 26 i förordningen nämns företeelsen gemensamt personuppgiftsansvariga och definieras som ” om två eller flera personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandling”. Vi återkommer här till den avgörande frågan för personuppgiftsansvarets vara eller icke vara, dvs. den som beslutar om ändamål med och medlen för behandlingen. Frågan är avgörande i syfte att fastställa vem som bär ansvaret enligt förordningen men även om den kan förefalla enkel att tillämpa har den föranlett ett flertal fall där gränsdragningen inte är självklar.¹¹³ EU-domstolen har nyligen lämnat två avgöranden rörande frågan om gemensamt personuppgiftsansvar vilka kommer behandlas vid utredande av tjänsteleverantörers, och i synnerhet sådana som tillhandahåller onlineplattformars, enskilda respektive gemensamma personuppgiftsansvar i avsnitt 5.2 och 5.4.

3.5.3 Personuppgiftsbiträde

Begreppet personuppgiftsbiträde definieras i art. 4.8 i dataskyddsförordningen som ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning”. Även om ett personuppgiftsbiträde kan vara en fysisk person så är definitionen inte tänkt att träffa personer som är anställd eller som på annat sätt arbetar inom den personuppgiftsansvariges organisation.¹¹⁴ Artikel 29-gruppen¹¹⁵ har i ett klargörande angett att det krävs att personen uppfyller två kriterier för att kunna betraktas som ett personuppgiftsbiträde, dels att denne är en separat fysisk eller juridisk person i förhållande till den personuppgiftsansvarige samt dels att denne behandlar personuppgifter för den personuppgiftsansvariges räkning.¹¹⁶

Om ett företag tillhandahåller en tjänst som den personuppgiftsansvarige väljer att använda vid sin personuppgiftsbehandling utgör företaget ett personuppgiftsbiträde. Det kan exempelvis vara lagringstjänster, utvecklingstjänster eller andra leverantörer som anlitas i syfte att utföra

112 Se angående begreppet personuppgiftsbiträde i avsnitt 3.5.3.

113 Jfr. skäl 79 dataskyddsförordningen.

114 Frydlinger m.fl., s. 56.

115 Artikel 29-gruppen heter numera EDPB, Europeiska dataskyddstyrelsen, och är ett oberoende europeiskt organ som bidrar till en enhetlig tillämpning av dataskyddsreglerna i hela EU samt främjar samarbete mellan EU:s dataskyddsmyndigheter.

116 Artikel 29-gruppen, WP 169, ”Yttrande 1/2010 om begreppen registeransvarig och registerförare”, antaget den 16 februari 2010.

tjänster där personuppgifterna ska behandlas.¹¹⁷ Om en tjänsteleverantör anlitar ett externt företag som får i uppdrag att tillhandahålla lagringsmöjligheter för de uppgifter som användarna skickar eller publicerar i tjänsten så behandlar det externa företaget personuppgifter för tjänsteleverantörens räkning och blir då personuppgiftsbiträde. Personuppgiftsbiträdet får i sin tur inte själv bestämma för vilka ändamål som personuppgifterna behandlas utan får enbart behandla uppgifterna enligt de riktlinjer och instruktioner som lämnas av den personuppgiftsansvariga, i exempelfallet får det externa företaget således enbart lagra personuppgifterna.¹¹⁸

3.5.4 Tekniska och organisatoriska åtgärder

I personuppgiftsansvaret ingår det att vidta lämpliga tekniska och organisatoriska åtgärder i syfte att skydda de personuppgifter som behandlas. Genom art. 32 i dataskyddsförordningen åläggs den personuppgiftsansvarige samt i förekommande fall personuppgiftsbiträdet att ansvara för att vidta sådana åtgärder. Den tekniska och organisatoriska datasäkerheten kräver att åtgärder vidtas löpande i verksamheten och innefattar en skyldighet för den personuppgiftsansvariga att säkerställa att alla personer i organisationen följer de instruktioner som upprättats.¹¹⁹

I art. 32.1 anges ett antal åtgärder som ska vidtas när det är lämpligt med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för de registrerades rättigheter. Dessa åtgärder är pseudonymisering och kryptering av uppgifterna, säkerställning av konfidentialitet, integritet, tillgänglighet och motståndskraft i behandlingsystemen, återställning av tillgången och tillgängligheten till personuppgifterna vid en personuppgiftsincident samt regelbunden testning och utvärdering av effektiviteten hos de åtgärder som vidtagits. Kravet på att vidta tekniska och organisatoriska åtgärder är en grundläggande skyldighet inom personuppgiftsansvaret, samtidigt tycks den ansvarige kunna motivera färre åtgärder med hänvisning till de beaktandesatser som anges i bestämmelsen. Det kan således diskuteras hur omfattande de åtgärder som bör vidtas faktiskt är.

I de organisatoriska åtgärderna innefattas ett ansvar att löpande bedöma vilka samt i vilken omfattning det föreligger risker i förhållande till datasäkerheten. Den personuppgiftsansvariga

117 Edmar, s. 144.

118 A.a.s. 144.

119 Voigt och von dem Bussche, s. 38.

ska därför löpande utvärdera potentiella risker, i första hand i förhållande till de registrerade men också i relation till tredje part och personuppgiftsbiträden.¹²⁰

In document Tjänsteleverantörers personuppgiftsansvar: Tjänsteleverantörers ansvar för personuppgifter utifrån dataskyddsförordningen respektive e-handelsdirektivet (Page 35-39)