Personuppgiftsansvarig eller biträde – varför det spelar roll

3 minuter läsning • Vilgot Sahlholm • DATASKYDDSFöRORDNINGEN • 8 oktober 2025
  1. Vad händer vid felaktig rollfördelning?

Att avgöra om en aktör är personuppgiftsansvarig eller personuppgiftsbiträde är en grundläggande juridisk bedömning enligt dataskyddsförordningen (GDPR) och avgör hur ett personuppgiftsbiträdesavtal ska utformas. Rollen avgör vilka skyldigheter som gäller och vilket ansvar respektive part bär för att personuppgiftsbehandlingen är laglig.

En personuppgiftsansvarig bestämmer ändamål och medel för behandlingen. Ett biträde agerar på instruktion från den ansvarige, utan egen beslutanderätt över syftet eller hur uppgifternabehandlas. Felaktig rollfördelning kan få rättsliga konsekvenser, särskilt om ett avtal saknas eller inte speglar verkligheten. Det spelar roll eftersom:

  • Den personuppgiftsansvarige bär huvudansvaret för laglig behandling och ska ge biträdet instruktioner för behandlingens utförande.
  • Biträdet får inte agera utanför givna instruktioner – då blir det själv ansvarigt.
  • Rollfördelningen avgör behovet av  avtal enligt artikel 28 GDPR (personuppgiftsbiträdesavtal).

Vad händer vid felaktig rollfördelning?

Om ett företag felaktigt bedömer att en leverantör är separat personuppgiftsansvarig när den i själva verket agerar som ett personuppgiftsbiträde innebär det i praktiken att företaget kan missa viktiga avtalskrav och skyldigheter enligt GDPR. En felaktig rollfördelning kan leda till böter från Integritetsskyddsmyndigheten och försämrat skydd för de registrerade. Därför är det viktigt att granska varje samarbete och dokumentera ansvarsfördelningen. Det ger tydlighet både internt och mot tillsynsmyndigheter.

I många verksamheter är det vanligt att gränsen mellan ansvarig och biträde är otydlig, särskilt vid användning av molntjänster eller avancerade systemleverantörer. I dessa fall krävs ofta en juridisk analys av avtalet och tjänstens faktiska funktion. För att undvika missförstånd bör företaget regelbundet göra en översyn av sina samarbeten. Om rollfördelningen ändras, exempelvis om en leverantör börjar använda data för egna syften, ska detta regleras skriftligt. Det är också klokt att utbilda nyckelpersoner internt i hur rollerna skiljer sig åt.

För att tydliggöra ansvaret kan följande punkter fungera som en checklista vid bedömning:

  • Vem bestämmer ändamål och medel för personuppgiftsbehandlingen?
  • Har leverantören rätt att använda uppgifterna för egna syften?
  • Finns det tydliga instruktioner för hur uppgifterna får behandlas?
  • Regleras rättigheter och skyldigheter i ett komplett personuppgiftsbiträdesavtal?

På Morling Consulting hjälper våra GDPR-konsulter organisationer att fastställa rätt rollfördelning och säkerställa att ansvar och avtal är korrekt reglerade.

Senaste inlägg

Bilden visar en jurist som analyserar ett avtal.

6 november 2025

Vad gör en GDPR-advokat?
Läs mer
Bilden visar en man som står brerdvid ett när som representerar gdpr.

5 november 2025

GDPR-audit i praktiken – så testar du din efterlevnad innan IMY gör det
Läs mer
En illustration i Material Design-stil som visar en server där binärkod rinner ut som ett digitalt läckage. Runt servern finns en transparent sköld med ett vitt paragraftecken (§), som symboliserar juridiskt skydd mot dataläckage. Bilden går i ljusa blå toner med inslag av turkos och små orangea detaljer.

4 november 2025

IMY inleder granskning efter Miljödata-läckan
Läs mer