ANSVARIGA ENLIGT GDPR

Företag och individer kan enligt dataskyddsförordningen (GDPR) ha olika roller som innebär olika ansvar gällande behandling av personuppgifter. Nedan följer en beskrivning av vanliga roller och vilket ansvar som medföljer.

Personuppgiftsansvarig enligt GDPR

Personuppgiftsansvarig

Om ett företag behandlar personuppgifter måste de följa GDPR. Ett företag är personuppgiftsansvarig för en behandling om det är företaget som bestämmer syftet och medel för behandlingen. Denna roll medför vissa skyldigheter. En personuppgiftsansvarig kan vara både en fysisk eller juridisk person. Det kan även vara en myndighet eller något annat organ.

Den personuppgiftsansvarige bestämmer bland annat vilka ändamål som ska föreligga för varje enskild behandling av personuppgifter. Det vill säga vad syftet med behandlingen av uppgifterna är. Detsamma gäller hur länge personuppgifterna ska bli behandlade och hur de ska bli behandlade. Det inte möjligt för ett företag att avtala bort sitt ansvar i egenskap av en personuppgiftsansvarig.

Flera personuppgiftsansvariga

Det kan finnas flera personuppgiftsansvariga för samma behandling, och vid sådana fall kan de ha ett gemensamt ansvar. Det faktiska förhållandet är det väsentliga och vad de har avtalat med varandra om ansvaret kommer i andra hand.

Vem som har vilken roll och hur de ska förhålla sig till de registrerade är också något som parterna behöver komma överens om. Dessutom har de registrerade rätt att kontakta en personuppgiftsansvarig vid frågor avseende behandlingen av dennes personuppgifter. Därför är det viktigt tillhandahålla information som är nödvändig enligt GDPR för att den registrerade ska kunna ta vara på sina rättigheter.

Personuppgiftsbiträde enligt GDPR

I vissa fall behöver en personuppgiftsansvarig anlita ett personuppgiftsbiträde. Exempelvis när en personuppgiftsansvarig köper eller använder ett CRM-system som en annan part tillhandahåller. Vid sådana fall är det den ansvarige som bestämmer hur och varför personuppgifterna får bli behandlade av företaget som tillhandahåller systemet, och därmed blir de ett personuppgiftsbiträde. Dessutom finns det situationer där biträdet i sin tur anlitar ett underbiträde.

Det är viktigt att upprätta ett personuppgiftsbiträdesavtal som måste vara skriftligt för att gälla, när en personuppgiftsansvarig anlitar ett personuppgiftsbiträde.

Precis som en personuppgiftsansvarig, kan ett personuppgiftsbiträde vara både en fysisk eller juridisk person m.m. Om en personuppgiftsansvarig har ett biträde, måste det framgå till den registrerade personen som personuppgifterna ifråga tillhör. Detta brukar stå i integritetspolicyn/dataskyddspolicyn. Parterna behöver också analysera riskerna med behandlingen.

Dataskyddsombud enligt GDPR

Sedan GDPR började gälla i Sverige och EU, är kravet på dataskyddsombud för vissa företag något nytt i Sverige till skillnad från vissa andra länder. Det är den personuppgiftsansvarige som utser dataskyddsombudet som dessutom ska bli registrerat hos IMY. Både registrerade och medarbetare har rätt att kontakta dataskyddsombudet gällande frågor om behandling av personuppgifter tillhörande dem. Därför behöver kontaktuppgifterna till dataskyddsombudet vara publicerade. Det brukar stå med i integritetspolicyn som företag ofta har på sin webbplats.

Dataskyddsmbud har en oberoende ställning som innebär att de ska övervaka behandlingen av personuppgifter oberoende. Advokater brukar vara dataskyddsombud och de har även fått information om arbetet från Advokatsamfundet, där alla advokater är medlemmar.

De företag som behöver ha ett dataskyddsombud är sådana som behandlar personuppgifter:

Systematiskt och regelbundet i stor omfattning där det är en del av kärnverksamheten. Exempelvis ett företag som tillhandahåller och säljer ett CRM-system.
Som en del av kärnverksamheten där personuppgifterna består av vissa särskilda kategorier, såsom brottmål. Dessutom ska det också ske i stor omfattning.

Definitionen av stor omfattning är inte direkt reglerad i dataskyddsförordningen. Det handlar om företag vars syfte är att systematiskt behandla personuppgifter av en betydande mängd och behandlingen påverkar många personer. Om ett företag som behöver ha ett dataskyddsombud inte har det, kan de få konsekvenser. IMY har redan gett ut reprimander till företag som inte har registrerat sitt dataskyddsombud i tid eller inte alls.

Vi skriver och granskar avtal till fasta priser

MER INFORMATION OM GDPR

Om du vill lära dig mer om GDPR och GDPR avtal/dokument, vänligen besök vår hemsida: www.AvtalGDPR.se. Till exempel att den personuppgiftsansvarige behöver föra register över behandlingar av personuppgifter i vissa fall, vad principen om lagringsminimering innebär och att samtycken måste vara frivilliga.

Gratis juridikskolor

Vi driver olika gratis juridikskolor på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.

På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_CND1TJSVVT	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_1	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.