Sammanfattning

...

Därför behöver en överföring betraktas ur tre perspektiv för att reda ut hur överföringen skall betraktas och om det är tillåtet i enlighet med GDPR. Dessa tre perspektiv är:

1. Vem äger infrastrukturen som utför behandlingen

2. Vilken rättslig grund har behandlingen

3. Vem är personuppgiftsansvarig för behandlingen

Ett försök att förtydliga de olika perspektiven syns färgkoden återkommande i diagrammen nedan.

...

Tjänsten skickar ut ALLA uppgifter. Extern part behöver oftast göra behandling i form av någon filtrering. Denna behandling görs på uppdrag och regleras i PUBA. Anledningen till att den görs på uppdrag är att den externa aktören saknar rättslig grund för filtreringen. Denna har dock Personuppgiftsansvarig.

Följande bild visar infrastruktur och logiska ansvarsgränser för personuppgiftsbehandling vid asynkron överföring (push) från GU till en extern part:

...