Kan någon annan behandla uppgifterna på min organisations vägnar?

Svar

Någon annan (en fysisk eller juridisk person eller något annat organ) kan behandla personuppgifter på era vägnar förutsatt att det finns ett avtal eller annan rättsakt. Det är viktigt att det personuppgiftsbiträde ni utser ger tillräckliga garantier om att införa lämpliga tekniska och organisatoriska åtgärder för att säkerställa att behandlingen uppfyller standarderna i den allmänna dataskyddsförordningen och för att garantera att enskilda personers rättigheter skyddas.

Det utsedda personuppgiftsbiträdet får inte därefter utse ett annat personuppgiftsbiträde utan att först ha fått ett specifikt eller allmänt skriftligt tillstånd från er. Avtalet eller rättsakten mellan ert företag/er organisation och personuppgiftsbiträdet ska innehålla följande element:

• behandlingen får endast äga rum enligt dokumenterade instruktioner från den personuppgiftsansvarige,
• personuppgiftsbiträdet säkerställer att personer som har tillstånd att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller står under lämpliga lagstadgade sekretessförpliktelser,
• personuppgiftsbiträdet måste erbjuda en minimisäkerhetsnivå som definieras av den personuppgiftsansvarige,
• personuppgiftsbiträdet måste assistera med att säkerställa efterlevnad av förordningen.

Exempel

Ett byggföretag använder en underentreprenör för särskilda byggnadsarbeten, och ger underentreprenören kontaktuppgifterna till kunderna där byggnadsarbetena behöver göras. Underentreprenören använder sig i sin tur av uppgifterna för att skicka kunderna marknadsföringsmaterial. Underentreprenören räknas i detta fall inte bara som ”personuppgiftsbiträde” enligt förordningen, då underentreprenören inte bara behandlar personuppgifter på byggföretagets vägnar utan även behandlar dem ytterligare för sina egna syften. Underentreprenören agerar därför som ”personuppgiftsansvarig”.

Ert företag är ett detaljhandelsföretag som har beslutat att lagra en säkerhetskopierad version av er kunddatabas på en molnserver. För detta ändamål ingår ni ett kontrakt med en molnleverantör som är känd för sina dataskyddsstandarder och som också har ett certifierat datakrypteringssystem. Molnleverantören är ert personuppgiftsbiträde, eftersom den genom att lagra era kunders personuppgifter på sina servrar behandlar personuppgifter på era vägnar.

Referenser

• Artikel 28; skäl 81

A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’.

You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf.

• Article 28 and Recital (81) of the GDPR