På ToFindOut tar vi alltid vårt uppdrag på största allvar. Vi ser därför ständigt till nya och uppdaterade regelverk och anpassar oss därefter. Den svenska dataskyddsmyndigheten gick för en tid sedan ut med ett förtydligande om vem som anses vara personuppgiftsansvarig, detta utefter direktiv från The European Data Protection Board. Och man kunde lätt tolka förtydligandet som att ToFindOut i en bakgrundskontrollprocess endast skulle agera som biträden och därför behövde ni som bakgrundskontrollskunder upprätta biträdesavtal etc. Men så är inte fallet.
The European Data Protection Board, som i grunden syftar till att säkerställa konsekvent tillämpning av den allmänna dataskyddsförordningen, utkom nyligen med en ny vägledning gällande hur olika parter ska betraktas vid en personuppgiftshantering. Denna har vi aktivt tagit del av, analyserat och vidare utvärderat för att fortsatt kunna upprätthålla och leverera lika säkra som trygga tjänster ur ett legalt perspektiv.
Utifrån tidigare vägledningar har det konstaterats att ToFindOut bör anses agera i egenskap av separat personuppgiftsansvarig när det gäller den behandling av personuppgifter som krävs för att genomföra en bakgrundskontroll. Men i samband med den nya vägledningen finns det anledning att återkomma till frågan. Framförallt för att undersöka om så fortfarande är fallet. Den tidigare analysen framtogs av advokatfirman Mannheimer Swartling, vilka också står bakom den analys som ska leda oss fram till huruvida ToFindOut fortsatt kan betraktas erhålla denna position.
Vem är ansvarig?
Den tidigare analysen argumenterar att eftersom bakgrundskontroller typiskt sett har en mer självständig ställning lämnar det också utrymme till ToFindOut att självständigt bestämma både ändamål och medel för själva behandlingen av personuppgifter – vilket enligt Dataskyddsförordningen, mer känd som GDPR, krävs för att få anses vara separat personuppgiftsansvarig. För att flera parter tillsammans ska anses ansvariga menar GDPR att måste behandlingen vara av sådan karaktär att båda parternas involverande är nödvändigt för att kunna genomföra behandlingen.
Nyckelkriteriet för gemensamt ansvar är alltså att behandlingen inte hade varit möjlig utan både parternas inblandning. Med bakgrund av detta är det relevant att undersöka huruvida ToFindOut ensamt kan anses personuppgiftsansvarig – eller om det är ett gemensamt ansvar tillsammans med kund.
Det skall också poängteras att det i den nya vägledningen tydligt framkommer att faktiska omständigheter i behandlingen av personuppgifter måste beaktas på ett adekvat sätt för att kunna fatta rimliga beslut om vilken eller vilka parter som utövar bestämmandet över personuppgiftsbehandlingen. En aspekt väl värd att komma ihåg – inte minst då bakgrundskontroller inte specifikt nämns i vägledningen. Däremot exemplifierar vägledningen med headhuntingbolag, vilka kan anses närliggande bakgrundskontrollbolag. Här menar EDPB att eftersom headhuntingföretagets beslut rörande personuppgifter är beroende av kundens beslut och sedermera deras databaser med CVn måste de två parterna betraktas som gemensamt ansvariga.
Självständighet och oberoende
Till skillnad från headhuntingföretag tillför dock ToFindOuts kunder typiskt sett inte information som ToFindOut nyttjar i behandlingen, vilket ger ToFindOut en betydligt mer oberoende ställning. ToFindOut avgör alltså själva vilken information som ska inhämtas, hur och varifrån informationen hämtas liksom vilka tekniska och organisatoriska säkerhetsåtgärder som vidtas i hanterandet. Vidare sammanställer ToFindOut informationen på det sätt de själva anser föredömligt och levererar till kunden.
Kunden är således inte med i processen på annat sätt än som uppdragsgivare – och har därmed inget inflytande över personuppgifterna; förutsatt att kund inte aktivt bidrar med uppgifter som är avgörande för bakgrundskontrollen. I ett sådant fall måste det enskilda fallet analyseras och bedömas utifrån de förutsättningar och kriterier som sätts upp mellan kund och ToFindOut.
ToFindOut har med andra ord i normalfallet en självständig ställning och måste därmed fortsatt anses vara den enskilda part som har inflytande över behandlingen och därmed också fortsatt betraktas som separat personuppgiftsansvarig för de behandlingar som tillämpas i bakgrundskontroller.
Kontakta oss gärna så berättar vi mera.