Vad är ett gemensamt personuppgiftsansvar – och när gäller det?

Gemensamt personuppgiftsansvar är ett av de mest diskuterade och svårtolkade begreppen i GDPR. Många organisationer samarbetar med andra aktörer och delar på system, data eller tjänster – men var går egentligen gränsen mellan att vara personuppgiftsbiträde och att vara gemensamt ansvariga?

Frågan är avgörande. En felaktig bedömning kan leda till otydlig ansvarsfördelning, svårigheter att hantera registrerades rättigheter och i värsta fall sanktionsavgifter. Här går vi igenom vad gemensamt personuppgiftsansvar innebär, när det gäller och hur du kan avgöra vad som krävs i din organisation.

Vad menas med gemensamt personuppgiftsansvar enligt GDPR?

Enligt artikel 26 i GDPR uppstår ett gemensamt personuppgiftsansvar när två eller flera aktörer tillsammans bestämmer ändamålen och medlen för en behandling av personuppgifter.

Det centrala är alltså:

• Ändamålen – varför behandlingen sker.
  
  
• Medlen – hur behandlingen ska gå till.

Om båda parter har ett reellt inflytande över dessa beslut är de gemensamt ansvariga.

Det är viktigt att understryka att ansvarsfördelningen inte alltid är helt jämn. En part kan ha mer praktiskt ansvar i en viss del, men båda har det yttersta ansvaret inför tillsynsmyndighet och registrerade.

Gemensamt ansvar är inte samma sak som biträdesrelation

Det är viktigt att skilja på rollerna:

• Personuppgiftsansvarig bestämmer självständigt syfte och medel.
  
  
• Personuppgiftsbiträde behandlar personuppgifter för den ansvariges räkning och enligt instruktioner.
  
  
• Gemensamt ansvariga har tillsammans beslutat om syfte och/eller medel för behandlingen.

Ett vanligt misstag är att parter kallar ett samarbete för en biträdesrelation när det i själva verket finns ett gemensamt ansvar. Det kan leda till att man upprättar fel typ av avtal, vilket i sin tur kan leda till bristande efterlevnad av GDPR.

Exempel på situationer där gemensamt ansvar kan uppstå

• Offentlig sektor: En kommun och en region utvecklar en gemensam e-tjänst för vårdärenden. Båda parterna bestämmer tillsammans vilka patientuppgifter som ska samlas in och hur systemet ska fungera, vilket gör dem gemensamt ansvariga.
  
  
• Koncerninterna system: Flera bolag i samma koncern delar ett HR-system. Eftersom de gemensamt bestämmer syftet (t.ex. medarbetaradministration) och hur uppgifterna ska behandlas, anses de ha ett gemensamt ansvar
  
  
• Sociala medier: Ett företag har en Facebook-sida och använder sidstatistik. EU-domstolen har fastslagit att företaget och plattformen är gemensamt ansvariga för insamlingen av vissa uppgifter.
  
  
• Forskningsprojekt: Universitet och forskningsinstitut som gemensamt bestämmer syfte och metod för insamling av känsliga uppgifter.

Hur hanterar man gemensamt personuppgiftsansvar i praktiken?

Gemensamt personuppgiftsansvar regleras i artikel 26 GDPR. Den reglerar bland annat de personuppgiftsansvariga organisationernas inbördes arrangemang, registrerades rättigheter och säkerhetsaspekter för personuppgifter:

När det finns ett gemensamt personuppgiftsansvar måste parterna:

1. Ingå en skriftlig överenskommelse som reglerar ansvarsfördelningen.
   
   
2. Tydliggöra vem som gör vad – särskilt vem som ansvarar för att informera de registrerade och hantera deras rättigheter.
   
   
3. Göra överenskommelsen tillgänglig för de registrerade, så att transparensen säkras.
   
   
4. Dokumentera och följa upp att avtalet efterlevs över tid.

Observera att överenskommelsen inte får användas för att avtala bort ansvar. Båda parter är ytterst ansvariga inför tillsynsmyndigheten.

Vad händer om man missbedömer ansvaret?

Att behandla ett gemensamt ansvar som en biträdesrelation (eller tvärtom) kan få stora konsekvenser:

• Bristande transparens gentemot registrerade.
  
  
• Felhantering av begäran om radering, rättelse eller tillgång.
  
  
• Risk för sanktionsavgifter från IMY eller andra tillsynsmyndigheter.
  
  
• Förtroendeskador i samarbetet mellan aktörerna.

Ett välkänt exempel är EU-domstolens dom i Wirtschaftsakademie-fallet (Facebook Insights, C-210/16). Där betonades att båda parter ansvarade för insamlingen av data – även om deras inflytande såg olika ut.

Hur skiljer man gemensamt ansvar från självständigt ansvar?

I vissa situationer är det inte ett biträdesförhållande men heller inte ett gemensamt ansvar – utan två självständiga personuppgiftsansvariga som behandlar samma uppgifter för olika syften. Det är en avgörande skillnad mot gemensamt ansvar.

Exempel:

• Två vårdgivare som båda sparar patientdata, men för sina egna verksamheter.
  
  
• Två myndigheter som får samma uppgifter men för skilda rättsliga uppdrag.

Här gäller att varje aktör ansvarar självständigt för sin behandling. Detta kan vara en gråzon, och det är därför viktigt att analysera både syften och metoder noggrant.

Så avgör du om det är gemensamt ansvar eller inte

Följande frågor är vägledande i GDPR:

• Bestämmer båda parter syftet med behandlingen?
  
  
• Har båda inflytande över hur behandlingen utförs?
  
  
• Är parterna ömsesidigt beroende av varandra för att genomföra behandlingen?
  
  
• Har de gemensamma rutiner eller system för insamling och lagring?
  
  
• Har de separata syften (pekar snarare mot självständigt ansvar)?

Ju fler ”ja” på de första frågorna, desto större sannolikhet att det är gemensamt ansvar.

IMY:s och EDPB:s syn på gemensamt ansvar

Både IMY och Europeiska dataskyddsstyrelsen (EDPB) har betonat att gemensamt ansvar är ett materiellt ansvar. Det betyder att myndigheterna ser till den faktiska situationen – inte bara till vad som står i ett avtal.

Det är alltså inte tillräckligt att kalla en part för ”biträde” om den i praktiken är gemensamt ansvarig. Tillsynsmyndigheten kommer att bedöma rollerna utifrån faktiskt inflytande och inte enbart utifrån etiketter i avtalen.

Vanliga fallgropar att undvika

• Att anta att alla koncernbolag automatiskt är gemensamt ansvariga.
  
  
• Att tro att ett biträdesavtal löser situationen även när båda parter har inflytande.
  
  
• Att inte reglera ansvarsfördelningen skriftligt.
  
  
• Att underlåta att informera de registrerade om den gemensamma överenskommelsen.
  
  
• Att inte uppdatera överenskommelsen när samarbetet förändras.

Strategiskt perspektiv: Varför tydlighet är avgörande

Gemensamt personuppgiftsansvar handlar inte bara om juridisk formalia. Ett tydligt avtal stärker:

• Transparensen mot registrerade.
  
  
• Effektiviteten i hanteringen av rättigheter.
  
  
• Förtroendet mellan samarbetspartners.
  
  
• Möjligheten att stå stark vid en granskning.

Klarhet i ansvarsfördelningen minskar risker och skapar trygghet för alla inblandade.

Så bygger ni en robust struktur för gemensamt ansvar

För att gemensamt personuppgiftsansvar inte ska bli en svag länk i dataskyddsarbetet kan ni:

• Införa interna rutiner för att identifiera gemensamma behandlingar tidigt.
  
  
• Involvera dataskyddsombud och jurister i samarbeten redan vid upphandling eller projektstart.
  
  
• Använda mallar och standardavtal som uppfyller artikel 26.
  
  
• Schemalägga regelbunden uppföljning för att kontrollera att ansvarsfördelningen fortfarande är aktuell.

Med en tydlig struktur blir det lättare att undvika missförstånd och säkra att registrerades rättigheter alltid tillgodoses.

Säkra ert dataskydd med metodik, verktyg och experthjälp

Att avgöra när gemensamt ansvar gäller och hur det ska regleras är inte alltid enkelt. Många organisationer upplever att de hamnar i gråzoner och saknar tydliga rutiner för att dokumentera och kommunicera överenskommelsen.

Med Privacy as a Service får ni:

• Rådgivning från jurister och erfarna dataskyddsombud.
  
  
• Stöd i att identifiera när gemensamt ansvar gäller.
  
  
• Mallar och verktyg för att dokumentera ansvarsfördelningen.
  
  
• Metodik för att hantera gråzoner och uppdatera överenskommelser över tid.
  
  

  Boka en demo redan idag och se hur vi kan hjälpa er att hantera gemensamt personuppgiftsansvar – tryggt, effektivt och i enlighet med lagen.