Vem är personuppgiftsansvarig när man gör bakgrundskontroller?

Vem är personuppgiftsansvarig när man gör bakgrundskontroller?

En ny och avsevärd skillnad med GDPR, jämfört med tidigare Personuppgiftslagen, är att ansvaret för behandling av personuppgifter utförd av samarbetspartners är lika tung hos båda parter. Alla har lika ansvar för rätt som felaktig behandling av personuppgifter. Man kan helt enkelt inte outsourca bort ansvar. Då företag även innehar ansvaret för sina samarbetspartners (även kallad tredje part) behandling av personuppgifter så vill man reglera detta genom ett så kallat biträdesavtal. Nästan dagligen får vi nu in dessa till oss på ToFindOut som er leverantör av bakgrundskontrollprocessen. Det är därför på sin plats att ToFindOut klargör i denna fråga.

 

ToFindOut är som leverantör av bakgrundskontrolltjänster, där personuppgifter behandlas, personuppgiftsansvariga. Detta helt till skillnad från de flesta andra samarbetspartners ett företag har. Affärsavtalet mellan parterna är de juridiska underlagen och som reglerar hur bakgrundskontrollföretaget hanterar personuppgifter för sina kunders räkning. Kort sagt, exakt det som utgör Personuppgiftsbiträdesavtalet/DPA (Data Process Agreement) juridiskt. Ett separat biträdesavtal som utgår från en bolagsmall kan istället skada då tolkningsföreträdet mellan olika avtal riskerar bli oklart. ToFindOuts avtal och leveransvillkor är specifikt anpassade till just en bakgrundskontrollprocess och därmed råder inga tveksamheter vem som är ansvarig och för vad. Keep it simple!


Detta tydliga ansvar har fastställts i ett domstolsavgörande  (HFD 2015 ref 3). Här kommer en styltig men korrekt juridisk förklaring saxat från Högsta Förvaltningsdomstolen:
 
Det är bakgrundskontrollföretaget som har utarbetat metoden för vilka uppgifter som ska samlas in för bakgrundskontrollen och varifrån de ska hämtas samt hur det ska ske. Den av den bakgrundskontrollföretaget utarbetade processen bör rimligen utgöra skälet till att uppdragsgivarna anlitar bolaget för utförande av uppdraget (och inte gör det själva). Ett bakgrundskontrollföretag har en sådan självständig ställning och kan själv bestämma ändamålen med och medlen för behandlingen av personuppgifter på ett sådant sätt att det är att betrakta som personuppgiftsansvarigt för sina tjänster.

Det innebär att vi tar fullt ansvar för all behandling av personuppgifter, och med det även eventuell olovlig sådan. I klartext betyder det att ett biträdesavtal inte behöver tecknas då ToFindOut är direkt personuppgiftsansvarig. Klart som korvspad, eller hur!

Jesper Larsson, dataskyddsombud på ToFindOut

Det är bättre att veta,

 kontakta oss.