Personuppgiftsbiträdets roll förändras

Personuppgiftsbiträde kallas den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträdet finns alltid utanför den personuppgiftsansvariges organisation och relationen dem emellan styrs genom avtal – ett så kallat personuppgiftsbiträdesavtal.

Regleringen kring anlitande av personuppgiftsbiträde i Kommissionens förslag till ny dataskyddsförordning (”förslaget”) innehåller en rad förändringar jämfört med vår nuvarande svenska lagstiftning. De legala skillnaderna kommer att innebära förändringar för rollen som personuppgiftsbiträde och utöka kraven på vad ett personuppgiftsbiträdesavtal ska innehålla. Sannolikt kommer detta även påverka användningen av externa aktörer för personuppgiftsbehandling och priserna för sådana tjänster.

Under den nuvarande svenska lagstiftningen kan personuppgiftsbiträdet inte bli föremål för några direkta sanktioner från Datainspektionen. Ansvaret för personuppgiftsbehandlingen ligger på den personuppgiftsansvarige, som i sin tur har att utkräva eventuellt ansvar av personuppgiftsbiträdet med stöd av personuppgiftsbiträdesavtalet. Om förslaget antas i sin nuvarande form kommer sanktioner att kunna aktualiseras för i princip ”vem som helst” som behandlar personuppgifter i strid med förordningen – dvs. sanktionerna träffar även ett personuppgiftsbiträde som inte efterlever förordningens bestämmelser. Det är alltså motiverat för företag och andra organisationer att se över på vilket sätt de träffas av regleringen och vilka förändringar och nya rutiner som i så fall är nödvändiga för att uppnå efterlevnad med den nya regleringen. Inte minst med beaktande av de stränga sanktioner som förslaget innehåller, främst i form av möjligheten för tillsynsmyndigheten att utfärda höga administrativa böter.

Den skyldighet som uppställs för personuppgiftsansvariga i vår nuvarande svenska reglering om att ett personuppgiftsbiträdesavtal ska ingås vid anlitande av ett personuppgiftsbiträde finns med även i Kommissionens förslag. Likt den nuvarande regleringen ställs krav på att personuppgiftsbiträdesavtalet ska föreskriva en skyldighet för personuppgiftsbiträdet att upprätthålla en adekvat skyddsnivå för de personuppgifter som behandlas och att biträdet endast får behandla personuppgifter i enlighet med den personuppgiftsansvariges instruktioner.

Förslaget innehåller även ett antal utökade krav på personuppgiftsbiträdesavtalet. Bland nyheterna i förslaget kan nämnas att personuppgiftsbiträdesavtalen föreslås innefatta en skyldighet för personuppgiftsbiträdet att ingå sekretessavtal med sina anställda, tillhandahålla viss dokumentation till den personuppgiftsansvarige och till tillsynsmyndigheten, samt att endast anlita egna personuppgiftsbiträden om den personuppgiftsansvarige lämnat sitt samtycke till det på förhand.

Utöver de utökade kraven på personuppgiftsbiträdesavtalet innehåller förslaget en viktig nyhet som sannolikt kommer att få ingripande konsekvenser för personuppgiftsbiträdens verksamhet i stort. Enligt förslaget kommer ett personuppgiftsbiträde som behandlar personuppgifter utan eller i strid med instruktioner från den personuppgiftsansvarige att underkastas reglerna för så kallat gemensamt personuppgiftsansvar. Det kommer därför att vara mycket viktigt för varje organisation som agerar personuppgiftsbiträde att ha goda rutiner på plats såväl för att dokumentera instruktioner som ges från den personuppgiftsansvarige som för att säkerställa att ingen personuppgiftsbehandling sker utan sådana instruktioner.

Vidare föreslås att personuppgiftsbiträden ska åläggas en skyldighet att föra dokumentation över personuppgiftsbehandlingen, vilket givetvis också förutsätter att vissa rutiner finns på plats. Dokumentationen föreslås omfatta dels en beskrivning av vilka kategorier av individer som finns registrerade, vilka olika kategorier av personuppgifter som behandlas om dessa individer och till vilka mottagare eller kategorier av mottagare som personuppgifterna överförs. Vidare föreslås dokumentationen omfatta en allmän angivelse om tidsbegränsning för gallring av olika kategorier av personuppgifter och dokumentationen ska på begäran överlämnas till tillsynsmyndigheten.

På flera sätt får förslaget sägas skapa större möjligheter än tidigare för tillsynsmyndigheten att kontrollera om personuppgiftsbiträden faktiskt uppfyller de skyldigheter som förordningen ålägger dem. Förutom vad som redan tagits upp ovan innehåller förslaget även en allmän skyldighet att samarbeta med tillsynsmyndigheten i myndighetens utredande verksamhet och tillsyn. Skyldigheten träffar personuppgiftsbiträdet eftersom den exempelvis innebär att tillsynsmyndigheten ska ges viss insyn i personuppgiftsbehandlingen och få tillgång till lokaler där utrustning för personuppgiftsbehandling finns.

Ännu ett viktigt exempel på personuppgiftsbiträdets förändrade roll utifrån förslaget är att det uppställs en skyldighet att anlita ett personuppgiftsombud för de personuppgiftsbiträden som antingen (i) är en myndighet eller liknande, (ii) är ett företag med mer än 250 anställda eller (iii) har som kärnverksamhet att behandla personuppgifter som på grund av sin karaktär, omfattning och/eller ändamål kräver regelbunden och systematisk övervakning av den registrerade. Särskilt kravet i (iii) ovan lämnar ett visst tolkningsutrymme. Med hänsyn till de stränga sanktioner som kan aktualiseras om regeln feltolkas är det viktigt att personuppgiftsbiträdet noggrant utreder om det träffas av skyldigheten att anlita personuppgiftsombud eller inte.

Det återstår att se vad de legala förändringarna för rollen som personuppgiftsbiträde kommer att innebära i praktiken. Större krav kommer att ställas på kunskapen och medvetenheten om personuppgiftsbehandling inom hela IT-sektorn. Särskilt för de företag och organisationer som är beroende av att anlita olika personuppgiftsbiträden i samband med exempelvis outsourcing och vid användningen av molntjänster. Personuppgiftsbiträdesavtalen kommer att behöva ses över så att de är förenliga med den nya regleringen och personuppgiftsbiträden kommer att vara tvungna att implementera nya rutiner för dokumentation och rapportering.

De utökade kraven kommer med all sannolikhet även att innebära att priset påverkas för de tjänster som personuppgiftsbiträden tillhandahåller. Att bibehålla molntjänster och andra IT-tjänsters standardiserade natur – och de prisfördelar dessa ofta kan medföra för kunden – samtidigt som skyldigheterna gällande dokumentation, kategorisering och implementation av rutiner för gallring av personuppgifter ska uppfyllas, kommer sannolikt att innebära stora utmaningar för IT-sektorn.