Den Europeiska dataskyddsstyrelsen (EDPB) har i samarbete med svenska Datainspektionen nu tagit fram en vägledning som klargör gränsdragningen mellan personuppgiftsansvariga och personuppgiftsbiträden samt tydliggör respektive rolls rättigheter och skyldigheter enligt GDPR. Vägledningen ligger öppen för allmän konsultation till och med den 19 oktober 2020 och kommer därefter att bearbetas ytterligare inför slutligt beslut av EDPB.
När personuppgifter behandlas måste organisationer som är involverade i behandlingen bedöma vem eller vilka som är personuppgiftsansvarig respektive personuppgiftsbiträde för behandlingen. Vid bedömningen av rollerna ska den organisation som bestämt varför och hur behandlingen ska ske anses vara personuppgiftsansvarig. Den organisation som behandlar personuppgifter för den ansvariges räkning anses vara ett personuppgiftsbiträde. Beroende av vilken roll organisationen har följer olika skyldigheter enligt GDPR. Praktiska svårigheter att avgöra vilken roll respektive organisation har enligt GDPR har förekommit, exempelvis när personuppgifter flödar genom komplexa IT-system, varvid ett behov av ytterligare vägledning på området funnits.
Vägledningen klargör gränsdragningen mellan rollerna och vad som gäller när två eller flera organisationer är gemensamt personuppgiftsansvariga för behandling. Vidare innehåller den även ytterligare vägledning om vilket innehåll de avtal som personuppgiftsansvarig och personuppgiftsbiträdet måste ingå, samt det avtal som ska upprättas mellan gemensamt ansvariga, ska ha. Vägledningen finns publicerad på EDPB:s hemsida och är öppen för allmän konsultation till och med den 19 oktober 2020. Det finns ännu inget satt datum för när den slutliga vägledningen kommer att antas då detta beror på omfattningen av inkomna synpunkter. IT-advokaterna återkommer med nytt pressmeddelande när vägledningen är slutligt antagen.
Vill du veta mer om den föreslagna vägledningen, tveka inte att kontakta en IT-advokat.