Dataskyddsförordningen – GDPR En översikt

Personuppgiftsansvarig

Bild: AdobeStock

Personuppgiftsansvarig är den organisation (till exempel aktiebolag, stiftelse, förening eller myndighet) som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Även en fysisk person kan vara personuppgiftsansvarig vilket till exempel är fallet för enskilda firmor.

Om två eller flera gemensamt bestämmer över en viss behandling, så är de personuppgiftsansvariga tillsammans och måste sinsemellan bestämma vem som är ansvarig för att fullgöra de olika skyldigheterna i dataskyddsförordningen.

Vem som är personuppgiftsansvarig kan också anges i lag eller förordning, till exempel i särskilda registerlagar.

Den som är personuppgiftsansvarig kan överlåta den faktiska behandlingen av personuppgifter men personuppgiftsansvaret kan aldrig överlåtas.

Den personuppgiftsansvarige måste se till att behandlingen sker i enlighet med dataskyddsförordningens samtliga bestämmelser. Dess personal får enbart behandla personuppgifter enligt de instruktioner som getts av den personuppgiftsansvarige.

Den personuppgiftsansvarige har ett generellt ansvar att, utifrån de integritetsrisker som finns med behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Detta kan innebära att exempelvis anta en policy med lämpliga strategier för dataskydd och se till att genomföra den i organisationen. Uppförandekoder och certifieringar kan vara ett annat sätt att visa att verksamheten uppfyller dataskyddsförordningens bestämmelser.