Skillnaden mellan personuppgiftsansvarig och personuppgiftsbiträde avgörs av en enda fråga: vem bestämmer ändamålen och medlen för behandlingen? Den som beslutar varför och hur uppgifter behandlas är personuppgiftsansvarig; den som bara behandlar uppgifter för den ansvariges räkning enligt dennes instruktioner är personuppgiftsbiträde. Rollerna definieras i artikel 4.7 och 4.8 i dataskyddsförordningen. Den här guiden förklarar hur du avgör rollen, vad gemensamt personuppgiftsansvar innebär och vilka felklassificeringar som är vanligast bland svenska företag.
Viktigaste punkterna
- Den personuppgiftsansvarige bestämmer ändamål och medel; biträdet behandlar bara enligt instruktion.
- Rollen avgörs av faktiskt inflytande över behandlingen – inte av vad avtalet kallar parterna.
- Gemensamt personuppgiftsansvar (art. 26) uppstår när två parter tillsammans bestämmer ändamål och medel.
- Ett biträde som bestämmer egna ändamål blir självständigt ansvarigt och tar över hela ansvaret (art. 28.10).
Den avgörande frågan: vem bestämmer ändamål och medel?
Rollen bestäms funktionellt, utifrån vem som har det verkliga inflytandet:
- Ändamålet = varför behandlas uppgifterna? Den som sätter syftet är ansvarig.
- Medlen = hur och med vilka verktyg? Den som bestämmer de väsentliga medlen är ansvarig.
Biträdet får bestämma icke-väsentliga medel – som vilken teknisk metod eller vilket serverval som används – men aldrig ändamålet. Så snart en leverantör börjar använda kundens uppgifter för egna syften, exempelvis produktförbättring eller egen marknadsföring, är den inte längre bara biträde för den behandlingen utan blir självständigt ansvarig. Denna dubbelroll är särskilt vanlig hos SaaS- och techbolag.
Ett typiskt exempel: ett företag anlitar en lönebyrå. Företaget bestämmer att lönerna ska hanteras och vilka anställda det gäller – det är ansvarigt. Lönebyrån utför behandlingen enligt uppdraget – den är biträde. Men om lönebyrån använder uppgifterna för att marknadsföra egna tjänster, är den ansvarig för just den behandlingen.
Rollen styrs av verkligheten, inte av avtalet
En vanlig missuppfattning är att parterna fritt kan välja roll i avtalet. Det stämmer inte. Rollen avgörs av det faktiska förhållandet – vem som i praktiken bestämmer över behandlingen. Ett avtal som kallar en part “biträde” hjälper inte om parten i verkligheten fattar egna beslut om ändamålen. IMY och EU-domstolen ser till substansen, inte etiketten. Det innebär att en felaktig rollklassificering i ett personuppgiftsbiträdesavtal inte skyddar någon – den skapar bara oklarhet om vem som bär ansvaret.
Gemensamt personuppgiftsansvar (artikel 26)
När två eller flera parter tillsammans bestämmer ändamål och medel är de gemensamt personuppgiftsansvariga. EU-domstolen har tolkat begreppet brett i flera avgöranden:
- I Wirtschaftsakademie-domen (C-210/16, 2018) slog domstolen fast att den som driver en Facebook-sida är gemensamt ansvarig med Facebook för behandlingen av besökarnas uppgifter, eftersom sidägaren bidrar till att bestämma ändamålen genom att beställa besöksstatistik.
- I Fashion ID-domen (C-40/17, 2019) ansågs en webbplats som bäddar in en Facebook “gilla”-knapp vara gemensamt ansvarig med Facebook för insamlingen och överföringen av besökarnas uppgifter – men inte för den efterföljande behandling som Facebook gör ensamt.
Vid gemensamt ansvar kräver artikel 26 att parterna i ett arrangemang klargör vem som ansvarar för vad, särskilt de registrerades rättigheter och informationsplikten. De registrerade kan dock utöva sina rättigheter mot vilken som helst av de gemensamt ansvariga. Europeiska dataskyddsstyrelsens riktlinjer 07/2020 om begreppen personuppgiftsansvarig och personuppgiftsbiträde ger den mest utförliga vägledningen om hur rollerna ska avgränsas och innehåller en rad konkreta exempel.
Det är värt att notera att gemensamt ansvar inte betyder lika ansvar. Parterna kan ansvara för olika delar av behandlingskedjan, och arrangemanget ska spegla det verkliga inflytandet var och en har. Fashion ID-domen illustrerar detta: webbplatsen var medansvarig för insamlingen och överföringen, men inte för Facebooks efterföljande behandling. En vanlig fälla är att kopiera in en standardklausul om gemensamt ansvar utan att faktiskt fördela uppgifterna – då uppfyller man formen men inte kravet, och lämnar de registrerade utan en tydlig motpart.
Vanliga svenska felklassificeringar
I praktiken misstas rollerna ofta. Vanliga fall:
| Aktör | Vanligt antagande | Ofta korrekt roll |
|---|---|---|
| IT-/molnleverantör | “De är ansvariga för sina system” | Biträde för kundens data |
| Lönebyrå | “De bestämmer över lönehanteringen” | Biträde (ansvarig för egen behandling) |
| Redovisningskonsult | “Biträde eftersom de bokför åt oss” | Ofta självständigt ansvarig – de har egna rättsliga skyldigheter enligt bokföringslagen |
| Bemanningsföretag | “Kunden är ansvarig” | Ofta självständigt ansvarig för sina anställda |
Redovisningskonsulten är det svåraste fallet. Eftersom en auktoriserad redovisningskonsult har egna lagstadgade skyldigheter – bland annat enligt bokföringslagen och penningtvättslagstiftningen – bestämmer den delvis själv över behandlingen och är då snarare självständigt personuppgiftsansvarig än biträde. Att kalla en sådan relation för ett biträdesförhållande och teckna ett vanligt biträdesavtal är en klassisk felklassificering.
Konsekvenserna av rollen
Rollen avgör vilka skyldigheter som gäller:
- Den ansvarige bär huvudansvaret: rättslig grund, information till registrerade, hantering av rättigheter, registerförteckning enligt artikel 30.1.
- Biträdet ska följa instruktioner, hjälpa den ansvarige, föra en egen förteckning enligt artikel 30.2 och får inte anlita underbiträden utan tillstånd (art. 28).
- Relationen ska regleras i ett personuppgiftsbiträdesavtal enligt artikel 28.3.
Fel roll ger fel dokumentation, fel avtal och oklart ansvar vid en incident. Att kartlägga varje relation korrekt är därför grunden för hela dokumentationen. Behöver din organisation ett dataskyddsombud för att hålla ihop detta, se guiden om när ett dataskyddsombud krävs. En plattform som Legiscope märker upp varje relation som ansvarig, biträde eller gemensamt ansvarig och kopplar rätt avtal och förteckning till den.
Vanliga frågor
Kan vi själva bestämma om vi är ansvariga eller biträde i avtalet?
Nej. Rollen avgörs av det faktiska förhållandet – vem som bestämmer ändamål och medel – inte av vad avtalet kallar parterna. Ett avtal som felaktigt betecknar en part som biträde saknar verkan om parten i praktiken fattar egna beslut om behandlingen.
Vad är gemensamt personuppgiftsansvar?
Gemensamt personuppgiftsansvar (art. 26) uppstår när två eller flera parter tillsammans bestämmer ändamål och medel. De ska då i ett arrangemang klargöra sina respektive ansvar, särskilt för de registrerades rättigheter. EU-domstolen har tillämpat begreppet brett, bland annat på Facebook-sidor och inbäddade sociala plugin-knappar.
Är en molnleverantör personuppgiftsansvarig eller biträde?
Normalt biträde för de personuppgifter kunden lagrar i tjänsten, eftersom kunden bestämmer ändamålen. Men om leverantören använder uppgifterna för egna syften – som att förbättra sina produkter eller för egen marknadsföring – blir den självständigt ansvarig för just den behandlingen. Läs alltid villkoren för sådan sekundär användning.
Kan ett biträde bli ansvarigt?
Ja. Enligt artikel 28.10 blir ett biträde som behandlar uppgifter för egna ändamål, i strid med den ansvariges instruktioner, självständigt personuppgiftsansvarigt för den behandlingen – med hela det ansvar som följer. Att gå utanför instruktionerna flyttar alltså ansvaret.
Slutsats
Rollfrågan avgörs av vem som bestämmer ändamål och medel, och rollen styrs av verkligheten – inte av avtalets rubrik. Personuppgiftsansvarig bär huvudansvaret; biträdet handlar på instruktion; gemensamt ansvar uppstår när parterna beslutar tillsammans. De vanligaste felen i Sverige gäller IT-leverantörer, lönebyråer och särskilt redovisningskonsulter, som ofta är självständigt ansvariga. Klassificera varje relation korrekt från början – det avgör vilken dokumentation, vilket avtal och vilket ansvar som gäller när något går fel.
I praktiken lönar det sig att göra en enkel inventering: lista alla externa parter som får tillgång till personuppgifter, och ställ för var och en frågan om vem som bestämmer ändamål och medel. De flesta hamnar tydligt i en av kategorierna, men just gränsfallen – redovisningskonsulten, revisorn, bemanningsföretaget, marknadsföringsbyrån – kräver ett medvetet ställningstagande snarare än en slentrianmässig biträdesbeteckning. Ett par timmars analys här sparar mycket besvär den dag en incident inträffar eller en registrerad utövar sina rättigheter, eftersom det då redan är klart vem som svarar för vad. Fel roll upptäcks nästan alltid vid fel tillfälle: mitt i en pågående incident eller under en tillsyn, när det är för sent att reda ut i lugn och ro.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial