Hallå där, Carin Wenner! Hur är det? Kan redovisningskonsulter bli personuppgiftsansvariga?

– Ja, IMY (Integritetsskyddsmyndigheten) har nyligen publicerat vägledning där de tydliggör att redovisningsbyråer i vissa fall själva är personuppgiftsansvariga – och inte bara personuppgiftsbiträden till sina kunder. Det är en viktig skillnad som påverkar både ansvar och arbetssätt.

Vad innebär det här för redovisningskonsultens roll i relation till GDPR?

– Det innebär att konsulter i vissa uppdrag själva bär det fulla ansvaret för hur personuppgifter behandlas. Man agerar alltså inte som ett biträde, vilket annars är en vanlig föreställning. Den som är personuppgiftsansvarig har flera juridiska skyldigheter, som informationsplikt, säkerhetsåtgärder och rapportering vid incidenter. Det ställer krav på att man har rätt rutiner på plats.

Är IMY:s nya vägledning en regeländring?

– Nej, det här ett förtydligande. Det här har egentligen alltid gällt, men det nya är att IMY uttryckligen visar att redovisningskonsulter kan vara personuppgiftsansvariga. Det här måste branschen fånga upp – för det påverkar både avtal, ansvarsfördelning och relationen till kunderna.

Varför är det viktigt att hålla koll på vilken roll man har?

– För att kunna följa GDPR korrekt måste du förstå vilken roll du har i varje enskilt uppdrag. Det påverkar allt – från hur du skriver avtal till vilka krav du behöver uppfylla. Missar du det riskerar du att ha fel rutiner och det kan leda till juridiska och ekonomiska konsekvenser, särskilt vid granskning från IMY eller i samband med en personuppgiftsincident.

Vilka delar i regelverket brukar skapa mest osäkerhet?

– Rollfördelningen är absolut det som flest missuppfattar. Många tror att man alltid är biträde bara för att man behandlar personuppgifter för kundens räkning. Men så är det inte. Även frågor om hur personuppgifter lagras och skyddas samt vad som krävs av ett personuppgiftsbiträdesavtal skapar ofta osäkerhet.

Varför är det viktigt att få kunskap i regelverket?

– Om du känner dig osäker kring GDPR är viktigt att få klarhet i vad som faktiskt gäller. Kunder uppskattar när man inte bara levererar enligt uppdrag – utan också har koll på regelverket och kan agera som ett kompetent bollplank i dataskyddsfrågor. Det kan till och med bli en konkurrensfördel.

Vem tycker du bör kunna detta regelverk?

– Alla som arbetar med redovisning, bokföring eller ekonomisk rådgivning – oavsett om man är ensamkonsult eller arbetar i en större byrå. Det gäller särskilt den som vill kunna tala om GDPR med kunder på ett tryggt och professionellt sätt. Även ledningsgrupper och dataskyddsombud har nytta av att förstå den praktiska tillämpningen i redovisningssammanhang.

Du håller en mikrokurs för Srf konsulterna på det här temat – vad får deltagarna med sig?

– Syftet är att ge praktisk förståelse. Du lär dig avgöra vilken roll du har i olika situationer, vilka skyldigheter som följer av det, och hur du kan arbeta proaktivt med dataskyddsfrågor. Vi går också igenom vanliga missuppfattningar och ger konkreta exempel från redovisningsbranschen.