Personuppgiftsansvarig och personuppgiftsbiträden

Personuppgiftsansvarig

Personuppgiftsansvarig är den organisation, till exempel myndighet eller aktiebolag, som bestämmer för vilket ändamål personuppgifterna ska behandlas och hur behandlingen ska gå till.

Den som är personuppgiftsansvarig ansvarar för att behandlingen av personuppgifter uppfyller kraven i dataskyddsförordningen och annan lagstiftning. Den personuppgiftsansvarige svarar normalt också ensam för eventuella administrativa sanktionsavgifter ("böter") och/eller skadestånd till följd av att personuppgifter behandlas felaktigt.

Den personuppgiftsansvarige kan helt eller delvis överlåta den faktiska behandlingen av personuppgifter till någon annan, till exempel en leverantör, ett annat lärosäte eller en samarbetspartner, men aldrig personuppgiftsansvaret.

Personuppgiftsbiträde

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning, det vill säga på uppdrag av och åt den personuppgiftsansvarige. Personuppgiftsbiträden har ett begränsat ansvar för personuppgiftsbehandlingen.

Ett vanligt exempel på personuppgiftsbiträden är leverantörer av it-tjänster som lagrar eller på annat sätt behandlar information som innehåller personuppgifter.

Högskolan i Borås är personuppgiftsansvarig

Normalt är högskolan personuppgiftsansvarig för medarbetares och studenters behandling av personuppgifter inom ramen för arbetet respektive utbildningen, inklusive den behandling som sker av leverantörer av de it-tjänster som används och eventuellt andra som behandlar personuppgifter för högskolans räkning.

I vissa fall kan högskolan vara gemensamt personuppgiftsansvariga tillsammans med andra, eller i undantagsfall, personuppgiftsbiträde åt någon annan. Så kan vara fallet i till exempel projekt som genomförs tillsammans med andra lärosäten eller samarbetspartners beroende på projektets styrning och organisation.

Om ansvarsförhållandena är otydliga är det viktigt att sinsemellan klargöra vem som är ansvarig för olika behandlingar inom projektet och att fullgöra de olika skyldigheterna i dataskyddsförordningen.

Det krävs avtal när personuppgiftsbiträden anlitas

Kom ihåg att högskolan inte har avtal med leverantörer av vanliga molntjänster som Google Drive, Google Survey, Dropbox, iCloud, Skype, SurveyMonkey, MailChimp, Doodle eller Vimeo, etc. vilket innebär att dessa tjänster inte får användas!

När en leverantör av it-tjänster, eller annat personuppgiftsbiträde, anlitas eller används, ska behandlingen av personuppgifter regleras i ett så kallat personuppgiftsbiträdesavtal.Syftet med avtalet är bland annat att ge garantier för att biträdet uppfyller kraven i dataskyddsförordningen och säkerställer att de registrerades fri- och rättigheter skyddas. Biträden som inte lämnar sådana garantier får inte användas. De registrerade ska alltså inte riskera att få ett sämre skydd för att högskolan väljer att inte sköta hela personuppgiftsbehandlingen själv.