Har ditt företag bestämt varför vissa personuppgifter ska behandlas och hur de ska behandlas? Eller beslutar ni det tillsammans med någon annan aktör? Kanske behandlar ni personuppgifter begränsat enligt instruktioner?
Sedan dataskyddsförordningen, GDPR, trädde ikraft har många företag vittnat om långa och krångliga personuppgiftsbiträdesavtal, så kallade PUB-avtal. För att göra rätt enligt dataskyddsreglerna är det viktigt att ansvaret för personuppgifterna reds ut innan avtal sluts mellan företag eller med offentlig aktör. Vem är självständig eller gemensam personuppgiftsansvarig och vem är personuppgiftsbiträde? Ska ett PUB-avtal skrivas eller ett datadelningsavtal? Eller är det en instruktion som ska skrivas till en medhjälpare?
I den här skriften presenteras en metod för att reda ut ansvaret för personuppgifter i komplicerade behandlingssituationer. Syftet är att ge en vägledning till företag och andra aktörer för att motverka att felaktiga avtal sluts.
Rollfördelningen mellan personuppgiftsansvarig och personuppgiftsbiträde kommer granskas enligt Datainspektionens tillsynsplan för 2019-2020. För företag som deltar i offentlig upphandling är det av största vikt att analysera vilken roll och ansvar som följer av uppdraget, så att rätt personuppgiftsavtal tecknas.