Det är den som är personuppgiftsansvarige som har ansvar för personuppgiftsbehandling i företaget. Det kan vara både en juridisk person (exempelvis ett aktiebolag) eller fysisk person (exempelvis ägaren av en enskild firma). Dessutom kan en myndighet eller institution vara personuppgiftsansvarig. Om företaget är en juridisk person, är det den juridiska personen i sig som är personuppgiftsansvarig. Det är alltså inte en anställd, chef eller VD som är det.
I vissa fall behöver den ansvarige anmäla en personuppgiftsincident till IMY,som är tillsynsmyndighet över ärenden om GDPR i Sverige. En personuppgiftsincident innebär en säkerhetsincident som berör personuppgifter. Exempelvis om personuppgifter läcker ut till obehöriga personer. Då är det den personuppgiftsansvarige som ska göra anmälan till IMY inom 72 timmar, när det krävs enligt GDPR.
Ansvar för personuppgiftsbehandling i företaget
Det medför skyldigheter att vara personuppgiftsansvarig. Personuppgifter måste bli behandlade på korrekt sätt och annars kan den personuppgiftsansvarige få sanktionsavgift. Stoleken på sanktionsavgiften beror bland annat på vilken överträdelse det avser, konsekvenserna, hur stor verksamheten är och vilka åtgärder man har vidtagit. Dessutom måste det i vissa fall finnas ett dataskyddsombud och i andra fall ska man göra en konsekvensbedömning innan en behandling av personuppgifter sker.
Den som är personuppgiftsansvarig behöver tillämpa olika tekniska och organisatoriska säkerhetsåtgärder, för att uppfylla villkoren i GDPR. Många företag har fått sanktionsavgifter tilldelade till sig, eftersom de inte hade vidtagit tillräckliga säkerhetsåtgärder för att motverka inträffad personuppgiftsincident. Exempel på en organisatorisk åtgärd är när ett företag anlitar ett personuppgiftsbiträde och då behöver de ha ett personuppgiftsbiträdesavtal, eller när ett företag inför interna rutiner för datasäkerhet. Ett personuppgiftsbiträdesavtal behöver vara skriftligt för att vara giltigt enligt formkrav i GDPR.
Överföring av personuppgifter till tredjeland, sker när ett företag överför personuppgifter till ett land utanför EU/EES-länderna. Det är striktare regler som gäller då och därför är det bra att analysera om det är nödvändigt med överföringen eller om det finns andra alternativ. Vid en överföring av personuppgifter till ett tredjeland, måste en så kallad TIA blu utförd. TIA står för Transfer Impact Assesment och innebär en form av konsekvensbedömning för överföringar till tredje land. Detta framgår även av klausul 14 i de nya SCC (standardavtalsklausuler) som EU Kommissionen publicerade år 2021, som är anpassade efter GDPR.