Som tidigare rapporterats av IT-advokaterna publicerade den Europeiska dataskyddsstyrelsen (”EDPB”) den 2 september 2020 nya riktlinjer avseende bedömningen av personuppgiftsansvar respektive biträde under GDPR. Riktlinjerna syftar till att förtydliga de kriterier som kan användas vid bedömningen av när det föreligger ett personuppgiftsansvar samt när en part agerar som ett personuppgiftsbiträde. IT-advokaterna sammanfattar här nedan de viktigaste delarna i riktlinjerna, och vad det kan få för betydelse för aktörer som omfattas av GDPR.
Ansvar för personuppgifter
Det är den personuppgiftsansvarige som ansvarar för att principerna för personuppgiftsbehandling enligt GDPR (Artikel 5) är uppfyllda, samt att lämpliga och effektiva åtgärder införs avseende densamma. I vissa fall är det tydligt vem som har rollen som personuppgiftsansvarig. Det kan exempelvis följa av lag, såsom när en myndighet i sitt myndighetsutövande har att behandla personuppgifter. Andra gånger är personuppgiftsbehandlingen naturligt knuten till en parts funktion. Exempelvis advokatbyrån som inhämtar och behandlar personuppgifter i syfte att företräda sin klient, eller en arbetsgivare som ansvarar för behandlingen av sina anställdas personuppgifter.
I de allra flesta fall krävs emellertid en analys av de faktiska omständigheterna för att identifiera vem eller vilka som bär personuppgiftsansvaret för vilken behandling. Personuppgiftsansvaret kan avse en enskild behandling eller en serie behandlingar. Samma part kan även samtidigt fungera som ett personuppgiftsbiträde för andra behandlingar. Varje enskild behandling måste därför övervägas noga. Villkoren i ett avtal kan vara vägvisande, men det är i slutändan parternas faktiska aktiviteter och förhållande till varandra som avgör rollfördelningen, och således inte hur de har valt att definiera sin roll.
EDPB fastställer i sina riktlinjer att det inte är nödvändigt för en personuppgiftsansvarig att ha tillgång till personuppgifterna för att kvalificeras som personuppgiftsansvarig. Avgörande är att den personuppgiftsansvarige bestämmer ändamålet (varför) och medlen (hur) vad avser behandlingen av personuppgifterna.
För att avgöra vem som beslutar om personuppgiftsbehandlingen måste de väsentliga medlen, (vilka och vems uppgifter ska behandlas, under hur lång tid och vem som ska ha tillgång, vilka är reserverat för den personuppgiftsansvarige, separeras från medlen för praktiska aspekter av genomförandet (t.ex. valet av en viss typ av hårdvara eller programvara eller säkerhetsåtgärder). De senare är nämligen exempel på icke-väsentliga medel och kan lämnas åt ett personuppgiftsbiträde att besluta. Ett personuppgiftsbiträde kan således erbjuda en standardiserad tjänst såsom en molntjänst, men den personuppgiftsansvarige måste godkänna personuppgiftsbehandlingens utförande samt kunna begära ändringar avseende de väsentliga medlen.
Gemensamt personuppgiftsansvar
Det huvudsakliga kriteriet för att ett gemensamt personuppgiftsansvar ska föreligga är att två eller flera parter gemensamt deltar i besluten om ändamål och medel för personuppgiftsbehandlingen. Detta sker vanligen genom ett gemensamt beslutsförfarande, dvs. att parterna tillsammans fattar beslut för ett gemensamt ändamål. Ett gemensamt personuppgiftsansvar kan emellertid även uppstå genom konvergerande beslut. Detta sker när parternas beslut kompletterar varandra och är nödvändiga för att personuppgiftsbehandlingen ska äga rum, d.v.s. behandlingen skulle inte vara möjlig utan båda parternas deltagande. Parternas gemensamma personuppgiftsbehandling är således odelbar eller oupplösligt sammankopplad.
Som ett exempel på ett nära sammankopplat/kompletterande ändamål hänvisar EDPB i sina riktlinjer till praxis från EU-domstolen. I fallet Wirtschaftsakademie drog Facebook, samt en administratör av en ”fanpage” på Facebooks plattform, en ömsesidig fördel genom samma personuppgiftsbehandling. Personuppgiftsbehandlingen, som bestod i att statistik fördes över besökarna av sidan, möjliggjorde för Facebook att förbättra sitt system för reklam som sändes via nätverket. Administratören använde för sin del statistiken i marknadsföringssyfte av sin verksamhet. Parterna i detta fall agerade efter egna intressen men deltog båda i besluten om ändamål (och medel) för personuppgiftsbehandlingen av besökare på sidan.[1] Det ska emellertid tilläggas att endast förekomsten av en ömsesidig nytta till följd av en personuppgiftsbehandling inte ger upphov till ett gemensamt personuppgiftsansvar. Om ena parten inte har egna ändamål med personuppgiftsbehandlingen utan endast tillhandahåller en tjänst är denne att ses som ett personuppgiftsbiträde snarare än en gemensam personuppgiftsansvarig.
EDPB rekommenderar avtal för att fastställa ansvar
Såvida det inte följer av unionsrätten eller tillämplig medlemsstats nationella rätt ska gemensamt personuppgiftsansvariga under öppna former fastställa respektive parts ansvar för att fullgöra skyldigheterna enligt GDPR. EDPBs rekommendation är att använda sig av ett bindande dokument (exv. avtal) för att uppnå detta krav. De gemensamt personuppgiftsansvariga ska i ett sådant avtal särskilt reglera vardera parts ansvar med avseende på utövandet av de registrerades rättigheter och tillhandahållandet information till registrerade, men även exempelvis vem som ska anmäla personuppgiftsincidenter till tillsynsmyndigheten och registrerade, utföra konsekvensbedömningar samt villkor för överföring av uppgifter till tredje land. Även relevanta faktorer som ligger till grund för ansvarsfördelningen mellan parterna bör dokumenteras.
Samtliga gemensamt personuppgiftsansvariga måste ha en rättslig grund för att behandla personuppgifterna och personuppgifterna får endast behandlas på ett sätt som är förenligt med de ändamål för vilka de ursprungligen samlades in. I vissa fall kan det därför finnas fog för gemensamt personuppgiftsansvariga att sinsemellan begränsa användning av personuppgifter för andra ändamål. Riktlinjerna betonar särskilt att gemensamt ansvar inte motsvarar lika ansvar. Ansvarsnivån bedöms med hänsyn till samtliga relevanta omständigheter i det enskilda fallet och med hänsyn till varje genomförd personuppgiftsbehandling.
Personuppgiftsbiträde
Ett personuppgiftsbiträde är en part som behandlar personuppgifter å den personuppgiftsansvariges vägnar. Personuppgiftsbiträdet får endast behandla personuppgifter enligt instruktioner från den personuppgiftsansvarige och inte får inte behandla personuppgifterna för egna ändamål eller besluta om medlen. Överträdelser kommer innebära att personuppgiftsbiträdet istället anses agera som personuppgiftsansvarig avseende sådan behandling och kan bli föremål för sanktioner under GDPR. Samtidigt ankommer det på personuppgiftsbiträdet att anmäla till den personuppgiftsansvarige om dennes instruktion skulle strida mot GDPR. För att hantera motstridigheter mellan personuppgiftsbiträdets ansvar att å ena sidan agera på personuppgiftsansvarigs instruktioner och å andra sidan anmäla om en sådan instruktion är olovlig, föreslår EDPB att parterna i förväg kommer överens om konsekvenserna av en sådan anmälan. En lösning kan exempelvis vara en klausul om avtalets upphörande om en personuppgiftsansvarig trots anmälan förhåller sig passiv, eller om denne fortsatt insisterar att den olovliga instruktionen ska följas.
Det är som nämnt parternas faktiska aktiviteter för den enskilda behandlingen som avgör vilken ställning de har under GDPR. Exempelvis är det inte per automatik så att en tjänsteleverantör är att ses som ett personuppgiftsbiträde endast på den grund att denne behandlar personuppgifter vid leverans av tjänsten. EDPB menar att för att det ska vara fråga om ett biträdesförhållande i detta fall, ska tjänsten specifikt inrikta sig på personuppgiftsbehandlingen eller så ska personuppgiftsbehandlingen vara en väsentlig del av tjänsten. Därtill ska leverantören inte själv fritt ta beslut om ändamål eller medlen för personuppgiftsbehandlingen. Om det sistnämnda sker kommer leverantören, likt ovan, att ses som en personuppgiftsansvarig och inte som ett biträde.
Personuppgiftsbiträdeavtal (”DPA”)
I de fall en personuppgiftsansvarig använder sig av ett personuppgiftsbiträde (härefter ”DPA”) för behandling av personuppgifter ställer GDPR krav på ett skriftligt avtal mellan parterna. Riktlinjerna betonar särskilt att ett DPA som endast återger bestämmelserna i Artikel 28 inte är tillräckligt utan avtalet måste även innehålla konkreta bestämmelser kring hur kraven för personuppgiftsbehandlingen kommer att uppfyllas. Exempelvis bör avtalet innehålla en detaljerad process för hur personuppgiftsbiträdet ska bistå den personuppgiftsansvarige med anmälan av personuppgiftsincidenter, konsekvensbedömning av dataskydd, etc. EDPB rekommenderar att en specifik tidsram för meddelande från ett personuppgiftsbiträde till en personuppgiftsansvarig angående personuppgiftsincidenter samt att en specifik kontaktperson finns.
Inte heller är det tillräckligt att personuppgiftsbiträdet lämnar garantier för att lämpliga tekniska och organisatoriska säkerhetsåtgärder. Den personuppgiftsansvariga som har att säkerställa att nödvändiga åtgärder vidtas för respektive behandling måste också bedöma de faktiska åtgärder som kommer att vidtas. Ett DPA bör därför särskilt redogöra för de specifika och minst nödvändiga tekniska och organisatoriska åtgärder som personuppgiftsbiträdet som minimum ska genomföra, och inte endast upprepa artikel 32.
Om ett personuppgiftsbiträde anlitar andra personuppgiftsbiträden (underbiträden) måste ett specifikt eller allmänt skriftligt tillstånd erhållas från den personuppgiftsansvarige. Det specifika tillståndet måste hänvisa till ett specifikt underbiträde för en specifik behandlingsaktivitet och från när underbiträdet ska börja användas. Om ett generellt tillstånd har beviljats för användning av underbiträden måste personuppgiftsbiträdet informera den personuppgiftsansvarige om alla avsedda ändringar avseende tillägg eller utbyte av underbiträden samt ge den personuppgiftsvarige möjligheten att invända. I båda scenarierna bör ett DPA innehålla detaljer om tidsramen för den personuppgiftsvariges godkännande eller invändning och den avsedda kommunikationsmetoden för detta. När tidsramen fastställs bör parterna överväga typen av behandling, behandlingens komplexitet och parternas relation.
I väntan på den slutliga versionen
Det är tydligt att de nya riktlinjerna kräver noggrannhet vad avser bedömningen av varje specifik personuppgiftsbehandling. Höga krav ställs på de inblandade parterna att reda ut respektive parts roll för respektive behandling. Inte minst vad gäller situationer där det ev. föreligger ett gemensamt personuppgiftsansvar. Exempelvis kan EDPBs förtydligande om ”konvergerande beslut” innebära en omvärdering av avtal där man tidigare förutsatt ett personuppgiftsbiträdesförhållande. Även förtydligandet om DPAer torde medföra en granskning av allt för ”tunna” avtal. Parterna förväntas att på ett tydligt och specifikt sätt redogöra för både ansvarsfördelning samt vilka operativa åtgärder som krävs för att nå upp till GDPRs krav. Denna linje lär, enligt IT-advokaterna, inte ändras i den slutgiltiga versionen av EDPBs riktlinjer. Trots att riktlinjerna ännu inte antagits i sin slutgiltiga form, finns det alltså skäl att redan nu börja se över befintliga avtal.
Om du vill veta mer om hur just Ditt företag ska hantera ovanstående, tveka inte att kontakta en IT-advokat.
______________________
[1] Judgment in Wirtschaftsakademie, C-210/16, ECLI:EU:C:2018:388,
