Hjälp med GDPR vid bedömning av personuppgiftsansvar och biträdesroll

3 minuter läsning • Vilgot Sahlholm • DATASKYDDSFöRORDNINGEN • 26 juni 2025
  1. Personuppgiftsansvarig vs. personuppgiftsbiträde
  2. Gemensamt personuppgiftsansvar
  3. Avtalsmässiga och praktiska konsekvenser

Att avgöra vem som är personuppgiftsansvarig och vem som är personuppgiftsbiträde är centralt för att uppfylla kraven i dataskyddsförordningen (GDPR). Felaktig bedömning kan få juridiska konsekvenser. Många organisationer vänder sig till oss för hjälp med GDPR när rollerna är oklara eller nya samarbeten ska regleras. Vi erbjuder stöd i GDPR i praktiken – från rollanalys till biträdesavtal och konsekvensbedömningar.

Personuppgiftsansvarig vs. personuppgiftsbiträde

Den som bestämmer ändamål och medel för behandlingen av personuppgifter är personuppgiftsansvarig. Ett personuppgiftsbiträde behandlar däremot uppgifter för den personuppgiftsansvariges räkning och får inte agera självständigt i fråga om syfte eller metod. Bedömningen måste göras i varje enskilt fall och baseras på de faktiska omständigheterna, inte bara avtalets formuleringar.

I praktiken innebär detta att en personuppgiftsansvarig har det fulla ansvaret för att behandlingen sker enligt GDPR – inklusive att informera de registrerade, dokumentera ändamål och säkerställa laglig grund. Ett personuppgiftsbiträde får endast agera enligt instruktioner och har inget eget ansvar för exempelvis insamlingens syfte eller lagringstid. Om biträdet börjar fatta egna beslut om behandlingen, övergår rollen i praktiken till ett separat personuppgiftsansvar. Därför är det viktigt att inte bara skriva avtal utan också säkerställa att rollerna följs i det faktiska arbetet.

Gemensamt personuppgiftsansvar

Om två eller flera parter gemensamt bestämmer ändamål och medel är de gemensamt personuppgiftsansvariga. Då krävs ett tydligt avtal som reglerar ansvarsområden enligt artikel 26 i GDPR. Detta är vanligt vid samarbeten där båda parterna har inflytande över ändamål och medel med behandlingen.

I praktiken uppstår gemensamt ansvar exempelvis när ett företag tillsammans med en samarbetspartner driver en gemensam kundportal, ett rekryteringssystem eller ett lojalitetsprogram. Båda parter använder samma data för egna syften och har tillsammans beslutat vad som ska samlas in och hur det ska användas. I dessa fall måste det finnas ett gemensamt arrangemang där roller, ansvar och kommunikation med de registrerade är tydligt definierade – även om en part hanterar mer av den operativa behandlingen.

Avtalsmässiga och praktiska konsekvenser

Skillnaden mellan rollerna påverkar både avtalets innehåll och ansvaret vid incidenter. Ett personbiträdesavtal ska innehålla vissa obligatoriska punkter enligt artikel 28. Samtidigt måste verksamheten säkerställa att rollfördelningen motsvarar den faktiska behandlingen i praktiken. För många verksamheter innebär det ett behov av hjälp med GDPR i både analys och dokumentation.

Behöver ni hjälp med GDPR-frågor kopplade till ansvarsfördelning? Morling Consulting bistår med analys, avtal och rådgivning – våra erfarna GDPR-jurister ser till att rätt roller och rutiner finns på plats.

Senaste inlägg

En man som håller i en dator och en kamerasymbol, bredvid en kvinna och ett streck som symboliserar den nya gränsdragningen som inlägget beskriver

11 juli 2025

Publicering av brottmålsdomar online – ska GDPR eller yttrandefriheten styra?
Läs mer

10 juli 2025

Mallar räcker inte – därför måste biträdesavtalet anpassas
Läs mer
Tre personer sitter vid ett bord och diskuterar gdpr-revision.

9 juli 2025

Kunders krav på GDPR – revision som konkurrensfördel
Läs mer