GDPR: Ansvarsrollerna ni behöver – guide till Controller och Processor

Dataskyddsförordningen som gäller som lag från och med 25 maj 2018 innehåller en hel del direktiv för att försöka skapa en säkrare och mer transparant datahantering inom hela EU. Det handlar kort sagt om hur organisationer och företag ska tillåtas samla in, lagra och hantera data från privatpersoner på ett säkert sätt. (Här kan du läsa vår överskådliga guide till GDPR i Sverige.)

Med dessa nya lagar kommer också två nya roller: controller och processor. De två personerna (eller organisationerna, som vi ska se) har lite olika uppgifter på sitt bord, men också några gemensamma. Vi kommer att gå igenom båda rollerna och gräva djupare i vem det egentligen är som är ansvarig för vad när det gäller säker datahantering.

Vi börjar med controller, eller som rollen heter på svenska: personuppgiftsansvarig.

Vad gör en controller?

Controllern är enkelt förklarat den juridiska eller fysiska person som tar besluten om hur datahanteringen ska gå till inom organisationen eller företaget. Controllern har det övergripande ansvaret för att all datahantering är säker och följer riktlinjerna i GDPR-direktivet, men den faktiska hanteringen av datan kan överlåtas till processorn (som vi kommer till nedan).

Datainspektionens tips: Inför riktlinjer med bra strategier för dataskydd, upprätta uppförandekoder och certifieringar för alla som hanterar data.

Det är också controllern som ansvarar för att företaget kan visa för Datainspektionen hur det går till när ni samlar in data från kunderna. Det går bra att ha två eller fler personuppgiftsansvariga, men då måste de bestämma sinsemellan vem som har huvudansvar för vad.

För att kunna visa upp hur säkerhetsarbetet går till tipsar Datainspektionen om att exempelvis införa och följa policyer med bra strategier för dataskydd, och att upprätta uppförandekoder och certifieringar för alla som hanterar data.

Juridisk eller fysisk person som controller?

Som nämnt kan både en fysisk eller juridisk person vara controller. En juridisk person är som du säkert vet ett företag, en verksamhet eller en organisation men som kan få ungefär samma rättigheter och skyldigheter som en fysisk person. En juridisk person – som svenska staten, en kommun, ett aktiebolag – kan till exempel ha rätt att ingå avtal, ha anställd personal, bli stämd i domstol samt nu också vara controller eller processor enligt GDPR.

För t.ex. enskilda firmor är controllern en fysisk person, medan det i större organisationer nästan alltid handlar om en juridisk person. En fördel med att låta sitt företag vara controller är att det är företaget istället för en enskild person som är ansvarig för företagets åtaganden, till exempel datahanteringen. Men det betyder inte att de verkliga personerna i företaget är helt skyddade – en juridisk person kan nämligen inte begå brott, utan det är den fysiska person som faktiskt begått brottet som blir åtalad. Alltså: den juridiska personen kan ha ansvaret för att alla som hanterar data inom företaget gör det på ett säkert sätt, men om något sker på ett brottsligt sätt kan inte den juridiska personen ta smällen åt den som faktiskt är skyldig. Sedan kommer företag också att kunna dömas till böter enligt GDPR, vilket då drabbar den juridiska personen. En av controllerns viktigaste uppgifter: att bestämma vem eller vilka i organisationen som får hantera datan åt hen.

Privacy by design är controllerns ansvar

I vår tidigare artikel om GDPR pratade vi om privacy by design, eller inbyggt dataskydd, vilket betyder att IT-system och rutiner utformas med datasäkerheten i åtanke, till exempel genom kryptering. Det är den personuppgiftsansvariges (controllerns) uppdrag att se till att organisationen har vidtagit sådana tekniska åtgärder och att de är tillräckliga. Slutligen har den personuppgiftsansvarige ytterligare en viktig uppgift: att bestämma vem eller vilka i organisationen som får hantera datan åt dem. Dessa personer är processors, eller personuppgiftsbiträden.

Vad gör en processor?

Eftersom det inte alltid är samma person/personer som fattar beslut som faktiskt utför jobbet  finns rollen processor, eller personuppgiftsbiträde. Det är den eller de personer som hanterar data på uppdrag av controllern, och även här kan det handla om både fysiska och juridiska personer.

Det är controllern som beslutar om vem eller vilka som är lämpliga som processors, och i det beslutet ingår till exempel att överväga processorns kompetens för att hantera data på ett säkert sätt. Ett exempel på en processor är till exempel underleverantörer som av någon anledning behöver få ta del av kundernas personuppgifter.

En processor kan lämna förslag till controllern på att ytterligare en processor ska utses, men får inte själv utse en utan skriftligt tillstånd från controllern.

Alla processors ska ha ett avtal med den personuppgiftsansvariga. Vad som ska vara med i avtalet beskrivs i detalj i den svenska dataskyddsförordningen, men några exempel är att avtalet ska se till att biträdena:

• behandlar personuppgifter på det sätt som man kommit överens om med controllern, och informerar denne om man behöver frångå det
• vidtar alla nödvändiga tekniska och organisatoriska åtgärder för att hantera datan säkert
• ber om skriftligt tillstånd från controllern för att involvera fler processors
• ger controllern tillgång till all information kring organisationens datahantering som kan behövas vid en inspektion
• vet hur de ska radera eller lämna ifrån sig kunddata om controllern kräver det.

Controllerns och processorns gemensamma ansvar

Det finns några saker som både controller och processor måste tänka på. Det är till exempel controllern som är ansvarig för att fatta beslut för hur företaget ska hantera data säkert, men eftersom det är processorn som faktiskt hanterar datan har även processorn ett ansvar att se till att datahanteringen verkligen utförs på ett sätt som är godkänt.

Ytterligare en gemensam nämnare för controller och processor är att bägge kan bli kontrollerade av Datainspektionen. Om dessa kontroller visar att företagets datahantering inte följer riktlinjerna i GDPR kan både controllers och processors bli skadeståndsskyldiga, oavsett om de består av fysiska eller juridiska personer. Vem som blir skadeståndsskyldig för vad och hur mycket pengar det handlar om skiljer sig från fall till fall, men ibland kan skadeståndet delas mellan processor och controller.

Vill du läsa mer om vilka ansvar som personuppgiftsansvariga och personuppgiftsombud har? På Datainspektionens hemsida finns mycket bra information, och om du verkligen vill gräva ner dig i detaljerna kan du läsa hela dataskyddsdirektivet här.