2. Personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvarigas räkning
Den personuppgiftsansvariga behandlar nödvändigtvis inte alla personuppgifter själv trots att den fastställer ändamålen med och medlen för behandlingen av personuppgifter. En person eller en organisation som behandlar personuppgifter för den personuppgiftsansvarigas räkning enligt den personuppgiftsansvarigas anvisningar kallas för personuppgiftsbiträde. Till exempel den som tillhandahåller programvaran för medlemsregister agerar i egenskap av ett personuppgiftsbiträde för anordnaren av hobbyverksamhet.
Till exempel ett företag, en enskild näringsidkare, en myndighet eller en förening kan vara personuppgiftsbiträden. Med personuppgiftsbiträde avses inte anställda för en personuppgiftsansvarig som behandlar personuppgifter som en del av sina arbetsuppgifter.
Till exempel tillhandahållare av IT-tjänster som har åtkomst till den personuppgiftsansvarigas personuppgifter kan vara personuppgiftsbiträden. Uppgifterna av ett personuppgiftsbiträde kan vara noga begränsade till exempel till postleveranser. Uppgifterna kan också vara omfattande och förknippas med administrering av en viss tjänst för en annan organisation eller till exempel betalning av löner till de anställda.
Ett personuppgiftsbiträde kan behandla personuppgifter endast för de syften som fastställts av den personuppgiftsansvariga. Ett personuppgiftsbiträde kan inte behandla uppgifterna för sina egna ändamål.
Det är viktigt att anordnare av hobbyverksamhet identifierar de aktörer som är dess personuppgiftsbiträden och ser till att ett avtal om behandling av personuppgifter har ingåtts med dem. Närmare information om innehållet av ett avtal om behandling av personuppgifter finns längre fram i guiden.
