3 Centrala regler i dataskyddsförordningen
3.6 Personuppgiftsansvarig och personuppgiftsbiträde
3.6 Personuppgiftsansvarig och personuppgiftsbiträde
3.6.1 Personuppgiftsansvarig
Enligt artikel 4.7 dataskyddsförordningen är en personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Den personuppgiftsansvarige ska enligt artikel 24.1 genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandling av personuppgifter utförs i enlighet med förordningen. Sådana åtgärder ska, om det står i proportion till behandlingen, omfatta genomförande av lämpliga strategier för dataskydd.243 Den personuppgiftsansvarige får även tillämpa godkända uppförandekoder enligt artikel 40 eller godkända certifieringsmekanismer enligt artikel 42 för att visa att dataskyddsreglerna följs.
Den personuppgiftsansvarige ska vidare vidta lämpliga åtgärder för att säkerställa ett effektivt genomförande av de principer som föreskrivs i artikel 5 samt för att integrera nödvändiga skyddsåtgärder i behandlingen av personuppgifter.244 Detta brukar kallas inbyggt dataskydd, eller privacy by design.245 Vilka skyddsåtgärder som är lämpliga ska avgöras med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter.246 Åtgärderna måste implementeras både vid den tidpunkt då medlen för behandlingen bestäms och vid tidpunkten för själva behandlingen. Det är vid den förstnämnda tidpunkten som personuppgiftsansvariga ska införa åtgärder som på ett effektivt sätt genomför principerna i artikel 5.247 För att säkerställa effektivt dataskydd vid tidpunkten för behandlingen måste den personuppgiftsansvariga regelbundet kontrollera de valda åtgärdernas effektivitet.248
I artikel 25.2 regleras en skyldighet att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter i standardfallet endast behandlas i den utsträckning som är nödvändig för varje specifikt ändamål med behandlingen. Det innebär att åtgärderna i allmänhet ska utformas med dataskyddsreglerna i åtanke.249 Filosofin bakom denna regel är vad
243 Artikel 24.2.
244 Artikel 25.1. Artikel 25.1 är en precisering av de allmänna skyldigheterna enligt artikel 24.1, se Öman s. 383.
245 Öman, s. 382.
246 A. a. s. 383.
247 EDPB Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, s. 4.
248 A. st.
39
som ibland kallas privacy by default, och den är särskilt relevant när det gäller kravet på uppgiftsminimering.250
3.6.2 Personuppgiftsbiträde
Ett personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.251 Dessa regleras närmare i artikel 28. Av artikel 28.1 framgår allmänna kvalitetskrav som gäller för personuppgiftsbiträden. Personuppgiftsbiträden måste även uppfylla krav som följer av andra artiklar i förordningen, som exempelvis att föra ett register över behandlingar av personuppgifter enligt artikel 30.2 och att i vissa fall utse en företrädare i EU enligt artikel 27.
Den personuppgiftsansvarige är ansvarig för all behandling av personuppgifter som utförs å dennes vägnar. Denne är därmed ansvarig både i förhållande till tillsynsmyndigheten och i förhållande till registrerade för att förordningen följs vid behandling av personuppgifter hos ett personuppgiftsbiträde.252 Den personuppgiftsansvarige kan uppdra åt personuppgiftsbiträdet att utföra viss behandling av personuppgifter, men kan inte avsäga sig personuppgiftsansvaret och medföljande skyldigheter.253
Det är inte alltid helt självklart var gränsen går mellan personuppgiftsansvariga och personuppgiftsbiträden. Personuppgiftsansvariga bestämmer över centrala moment i behandlingen, som för vilka ändamål och med vilka medel behandlingen ska ske.254 Beslut rörande vissa praktiska aspekter av implementeringen kan dock fattas av ett biträde.255 Ett biträde måste vidare ha en oberoende ställning i förhållande till den personuppgiftsansvarige.256
Biträdet kan alltså inte vara en osjälvständig del av den ansvariges organisation.257
Personuppgiftsbiträdet får inte behandla personuppgifter på något annat sätt än i enlighet med den ansvariges instruktioner. Biträdet har dock visst skönsmässigt utrymme att besluta hur den ansvarigas intressen lämpligen bör tillvaratas, så länge det inte innebär att biträdet bestämmer egna ändamål och medel för behandlingen.258
250 Öman, s. 384 och Ledendal m.fl., s. 303.
251 Artikel 4.8.
252 Öman, s. 394.
253 A. st.
254 EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR, s. 3.
255 A. st.
256 Ledendal m.fl., s. 290.
257 A. st.
40
Om någon som utför behandling av personuppgifter för någon annans räkning tillsammans med denne bestämmer ändamålen och medlen för behandlingen ska dessa räknas som gemensamt personuppgiftsansvariga enligt artikel 26.
3.7
Sammanfattning
Dataskyddsförordningen har två huvudsakliga syften. Det ena är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, som bland annat regleras i artikel 8.1 i stadgan och artikel 16.1 FEUF. Det andra är att säkerställa ett fritt flöde av personuppgifter inom EU. Dataskyddsförordningen är tillämplig på behandling av personuppgifter, och gäller i första hand för en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i EU/EES. Förordningen är däremot också tillämplig på en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i tredjeland och behandlar personuppgifter, om denne riktar erbjudanden om varor eller tjänster till registrerade i EU eller övervakar deras beteende. När en personuppgiftsansvarig eller ett personuppgiftsbiträde behandlar personuppgifter måste samtliga principer i artikel 5.1 i dataskyddsförordningen följas, och det måste dessutom finnas åtminstone en tillämplig laglig grund i artikel 6 för att behandlingen ska vara tillåten.
I detta kapitel har vissa grundläggande regler i dataskyddsförordningen undersökts närmare, i syfte att klargöra under vilka förutsättningar förordningen är tillämplig och vilka krav den ställer på personuppgiftsbehandling. I det följande kapitlet behandlas de för Schrems I och II relevanta artiklarna i stadgan för att klargöra vad som krävs för att personuppgiftsbehandling ska vara förenlig med grundläggande fri- och rättigheter. Kapitlet ligger även till grund för en utförlig analys av Schrems-domarnas efterspel i kapitel 6, och främjar därigenom uppsatsens övergripande syfte att utreda och analysera under vilka förutsättningar personuppgifter numera kan överföras från EU till USA.