Gemensamt personuppgiftsansvar

Gemensamt personuppgiftsansvar

Om flera aktörer är inblandade i en och samma eller närliggande behandlingar av personuppgifter måste det utredas vilken eller vilka av dessa aktörer som är personuppgiftsansvariga för behandlingen så att de skyldigheter som åligger den som har personuppgiftsansvar enligt GDPR kan uppfyllas.

Den som i praktiken bestämmer över ändamålen och medlen för personuppgiftsbehandlingen är personuppgiftsansvarig. Detta innebär att en aktör som de facto bestämmer över ändamål och medel inte kan vara personuppgiftsbiträde. Vem eller vilka som har rätt att bestämma över en viss personuppgiftsbehandling avgörs av de faktiska omständigheterna i varje enskilt fall.

Med rätten att bestämma över ändamål och medel avses rätten att bestämma över varför respektive hur en behandling ska utföras. För att avgöra vem eller vilka som är personuppgiftsansvarig/-a behöver man därför ställa sig frågan varför behandlingen utförs och vem som är initiativtagare till behandlingen.

Krav på inbördes arrangemang

Av artikel 26 i GDPR framgår att gemensamt personuppgiftsansvariga, under öppna former, genom ett ”inbördes arrangemang” ska fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt GDPR. Kravet på inbördes arrangemang är belagt med en administrativ sanktionsavgift. Ett sådant inbördes arrangemang ska särskilt avse former och ansvar för utövande av den registrerades rättigheter och skyldigheter att lämna information till registrerade. Det inbördes arrangemanget ska också återspegla de gemensamt personuppgiftsansvarigas respektive roller gentemot de registrerade och ska i väsentliga delar göras tillgängligt för de registrerade. Kravet på inbördes arrangemang innebär inte något krav på att de gemensamt personuppgiftsansvariga aktörerna träffar avtal med varandra men arrangemanget bör dokumenteras och regleras på något sätt.

Saco-S och medlemsförbunden - gemensamt personuppgiftsansvar

Saco-S består av ett antal självständiga medlemsförbund som styr Saco-S genom representantskapet och Saco-S styrelse. Det är dessa organ som beslutar om Saco-S verksamhet och organisation. Kontaktförbunden och lokalföreningarna har de roller i organisationen som beslutas av de styrande organen.

Varje medlemsförbund förser Saco-S med personuppgifter avseende sina medlemmars namn, personnummer och uppgift om förbundsmedlemskap. Dessa uppgifter använder Saco-S för att fullgöra organisationens uppgifter enligt de regler som beslutsorganen bestämmer.

Rätten att bestämma över ändamålen och medlen för den personuppgiftsbehandling som sker inom Saco-S får med hänvisning till ovanstående anses ligga på såväl medlemsförbunden som på Saco-S. Det innebär att medlemsförbunden och Saco-S är att betrakta som gemensamt personuppgiftsansvariga för den personuppgiftsbehandling som sker inom Saco-S. Saco-S centralt och Saco-S lokalt utgör en enhet och kontaktförbunden är en del av denna enhet när kontaktförbundet agerar som Saco-S.

Förbunden och Saco-S har kommit överens om ett gemensamt arrangemang, där det redogörs för hur organisationerna delar på ansvaret för utövande av den registrerades rättigheter samt skyldigheterna att lämna information till de registrerade. Dokumentet finns här.