Olika roller och ansvariga enligt GDPR
Denna artikel kommer att belysa de olika roller och ansvariga enligt GDPR som varje företag bör känna till. Till exempel personuppgiftsansvariga och personuppgiftsbiträden.
Personuppgiftsansvarig
För att förstå dataskydd fullt ut, måste man känna till olika roller och ansvariga enligt GDPR. Att inte känna till de olika rollerna och ansvariga enligt GDPR kan leda till betydande böter och sanktioner. Vi börjar med att gå igenom rollen Personuppgiftsansvarig.
Det är den personuppgiftsansvarige som bestämmer medel och ändamålen med en behandling, inte personuppgiftsbiträden. Företag, organisationer och offentliga organ kan vara personuppgiftsansvariga. Det spelar därmed ingen roll om företaget är en juridisk eller fysisk person.
Observera att det är företaget i sig som är personuppgiftsansvarig och inte en anställd eller VD på företaget. Däremot är den fysiska person som bedriver en enskild firma som är personuppgiftsansvarig.
Det är inte möjligt att överlåta ansvaret som den personuppgiftsansvarige har, exempelvis genom ett avtal. Däremot är det möjligt att överlåta behandlingen av personuppgifterna till någon annan.
Skydda personuppgifterna
Den personupgiftsansvarige har ett ansvar att skydda de personuppgifter som blir behandlade. Detsamma gäller även för personuppgiftsbiträden. Företagen ska därför vidta både lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Till exempel upprätta lämpliga avtal och dokument, installera antivirus program och backup-filer m.m.
Gemensamt personuppgiftsansvariga
Personuppgiftsbiträde
Om ett företag behandlar personuppgifter för någon annans räkning och enligt angivna instruktioner, är företaget ett personuppgiftsbiträde. Det är vanligt att anlita företag som är personuppgiftsbiträden. Det kan vara företag i egenskap av juridiska personer eller enskilda näringsidkare Dessutom kan det vara en organisationer eller ett offentligt organ.
Exempel på personuppgiftsbiträde
Om ett företag bedriver en molntjänst som gör det möjligt för kunderna att lagra personuppgifter via tjänsten, är företaget ett personuppgiftsbiträde. Detta beror på att företaget i fråga får tillgång till personuppgifterna som kunderna laddar upp och enbart får behandla dessa i enlighet med kundernas instruktioner och för kundernas räkning. Företaget i fråga fåt därmed inte behandla de uppladdade personuppgifterna för egna ändamål.
Ytterligare ett exempel på ett företag som agerar i egenskap av personuppgiftsbiträde är en redovisningsbyrå. En redovisningsbyrå får tillgång till personuppgifter från sina kunder, i syfte att hantera kundernas bokföring. Personuppgifter förekommer bland annat i fakturor och lönespecifikationer. Dessa uppgifter får enbart bli behandlade av redovisningsbyrån för att de ska kunna fullgöra sitt uppdrag som de blivit anlitade för. Dessutom får behandlingen enbart bli genomförd i enlighet med kundens instruktioner och för kundens räkning. Kunden är den personuppgiftsansvariga över personuppgifterna.
Upprätta personuppgiftsbiträdesavtal
När ett företag som är personuppgiftsansvarig anlitar ett annat företag som är personuppgiftsbiträde, ska de ingå ett personnuppgiftsbiträdesavtal. Observera att det måste vara ett skriftligt avtal. Även när ett personuppgiftsbiträde anlitar ett underbiträde, ska de ingå ett motsvarande avtal.
Dataskyddsombud
Ett företag kan behöva utse ett dataskyddsombud, men det gäller inte för alla företag. Dataskyddsombud har en viktig roll inom företag och behöver bland annat ha kunskap om GDPR. Dessutom kan dataskyddsombudet behöva andra egenskaper för att kunna utföra sitt arbete.
Tillgänglig för registrerade och anställda
Ett dataskyddsombud ska vara tillgänglig för både anställda och registrerade som har frågor gällande behandlingen av personuppgifterna. Därför är det vanligt att publicera kontaktuppgifterna till dataskyddsombudet i integritetspolicyn, även kallad för dataskydds-, sekretess- eller personuppgiftspolicy. Dessutom ska dataskyddsombudet vara företagets kontaktpunkt i relation till IMY och samarbeta med både IMY och företaget vid eventuella granskningar.
Konsekvensbedömningar
Företag kan behöva göra konsekvensbedömningar innan eller under tiden en behandling av personuppgifter sker. Vid sådana fall ska dataskyddsombudet vara involverad vid bedömningen. Detsamma gäller om företaget planerar på att göra det. Det finns olika typer av konsekvensbedömningar och du kan läsa mer information om dem på vår webbplats www.AvtalGDPR.se. Där finns det mycket information om GDPR samlat på ett ställe. Informationen fokuserar specifikt på olika roller och ansvariga enligt GDPR, vilket gör det enklare för team att förstå sina skyldigheter.
Inte personligt ansvarig
Det är företaget som dataskyddsombudet arbetar för, antingen genom att vara anställd eller som extern part, som bär ansvaret för att följa GDPR. Det har ingen betydelse om företaget är personuppgiftsansvarig eller personuppgiftsbiträde. Med andra ord har dataskyddsombud inte något personligt ansvar.
Myndigheter som är ansvariga
Integritetsskyddsmyndigheten
IMY är den svenska tillsyns- och dataskyddsmyndigheten. IMY är en förkortning av Integritetsskyddsmyndigheten. Tidigare hette myndigheten Datainspektionen men bytte namn 2020.
Om ett företag eller en registrerad ska rapportera en personuppgiftsincent, ska det ske till IMY. Dessutom utför myndigheten olika tillsyner av företag. Om ett företag i ett annat land behandlar personuppgifter felaktigt och en person i Sverige vill lämna in ett klagomål, kan man göra det till dataskyddsmyndigheten i det landet eller till IMY.
Europeiska datatillsynsmannen och europeiska dataskyddsstyrelsen
Om en EU-institution inte behandlar personuppgifter i enlighet med GDPR, är det den europeiska datatillsynsmannen som hanterar klagomålen. Observera att EU-institutioner inte får behandla känsliga personuppgifter. Exempel på känsliga personuppgifter enligt GDPR är uppgifter om sexuell läggning, hälsa och politiska åsikter.
Den europeiska dataskyddsstyrelsen ger bland annat råd till Europeiska kommissionen och ser till att GDPR tillämpas i hela EU på ett enhetligt sätt.
Mer information om europeiska datatillsynsmannen och europeiska dataskyddsstyrelsen kan du läsa på www.AvtalGDPR.se.
Vi skriver och granskar avtal till fasta priser
Gratis juridikskolor
Ett av våra bästa tips är att regelbundet uppdatera sin kunskap om olika roller och ansvariga enligt GDPR samt se till att alla i teamet är informerade. För den som vill fördjupa sig närmare på området GDPR, tipsar vi om att besöka hemsidan www.AvtalGDPR.se som är en del av Digitala Juristerna. Där har vi samlat information specifikt om GDPR.
Vi driver dessutom olika gratis juridikskolor på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.
På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.