Roller och ansvar enligt GDPR
Personuppgiftsansvarig
Ett företag kan vara ett personuppgiftsbiträde, personuppgiftsansvarig eller gemensamt personuppgiftsansvariga. Här kan du läsa information om när ett företag är personuppgiftsansvarig eller gemensamt personuppgiftsansvariga:

Viktiga regler i GDPR
Personuppgiftsansvarig eller gemensamt personuppgiftsansvariga
Det som avgör om ett företag är personuppgiftsansvarig eller inte, är huruvida det är företaget som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
Innehåll
Bestämma "ändamålen"
Att bestämma ”ändamålen” innebär att bestämma de specifika syftena med behandlingen av personuppgifterna i fråga. Exempelvis kan syftet med behandlingen, och därmed ändamålet med behandlingen, vara att leverera avtalade tjänster, genomföra direktmarknadsföring eller ta betalt för utförd tjänst. Företag måste alltid ha ett specifikt ändamål med varje behandling av personuppgifter, som dessutom är ett berättigat ändamål.
Att bestämma ”medlen” för behandlingen, innebär att bestämma hur personuppgifterna blir behandlade och genom vilka medel, tekniker och processer det sker.
Ansvar för personuppgiftsan
Något som är viktigt att betona, är att varje part har ett separat ansvar för att följa tillämplig dataskyddslagstiftning, oavsett om det föreligger ett gemensamt personuppgiftsansvar eller inte. Dessutom har registrerade rätt att utöva sina rättigheter enligt GDPR med avseende på och emot var och en av de personuppgiftsansvariga.
Överlåta ansvar
Det är inte möjligt att överlåta personuppgiftsansvaret, oavsett om det blir avtalat skriftligen eller inte. Det är de faktiska omständigheterna i varje enskilt fall som är avgörande för rollfördelningen, oavsett vad som blivit skriftligen eller muntligt avtalat. Däremot är det möjligt att överlåta behandlingen av personuppgifterna.
Vem kan vara personuppgiftsansvarig
Definitionen av personuppgiftsansvarig framgår i artikel 4 punkt 7 GDPR. Där framgår att en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ kan vara personuppgiftsansvarig.
Fysiska personer
En fysisk person kan alltså vara personuppgiftsansvarig. Till exempel en enskild näringsidkare, men även privatpersoner. En privatperson kan exempelvis ha monterat en övervakningskamera på sin tomt och därmed behandla personuppgifter, vilket innebär att privatpersonen i fråga är personuppgiftsansvarig.
Juridiska personer
Även juridiska personer såsom aktiebolag eller handelsbolag kan vara personuppgiftsansvariga. Dessutom kan offentliga myndigheter eller andra organ vara det. Det är vid sådana fall den juridiska personen i sig som är personuppgiftsansvarig, och därmed inte chefen, VD eller styrelseordföranden på företaget.
Exempel på när företag är personuppgiftsansvarig
Ett exempel på när ett företag är personuppgiftsansvarig, är när företaget behandlar personuppgifter tillhörande de anställda i samband med utbetalning av lön.
Ytterligare ett exempel är när företag behandlar personuppgifter tillhörande sina kunder, i samband med fullgörande av leveransen eller fakturering till kunden.
Gemensamt personuppgiftsansvariga
Det kan uppstå situationer som innebär att två eller flera parter har ett delat ansvar för behandlingen av personuppgifter. Vid dessa fall är parterna gemensamt personuppgiftsansvariga, om de tillsammans bestämmer ändamålen och medlen för behandlingen av personuppgifterna. Vid sådana fall är det viktigt att reglera vem som är ansvarig att fullgöra de olika delarna av GDPR som personuppgiftsansvariga har en skyldighet att göra. Regler om gemensamt personuppgiftsansvariga framgår i artikel 26 GDPR.
När det gemensamma personuppgiftsansvaret uppstår
Ett gemensamt personuppgiftsansvar kan uppstå på olika sätt. Exempelvis om parterna tillsammans utför gemensamma affärsverksamheten, samarbetar inom ett projekt eller har ett delat ansvar beträffande försäljning av en tjänst eller produkt.
I de fall ett gemensamt personuppgiftsansvar uppstår, är det viktigt att de involverade parterna tydligt kommer överens om sina respektive skyldigheter och olika ansvarsområden. Parterna måste kommunicera och samarbeta för att säkerställa en korrekt behandling av personuppgifter och se till att de registrerades rättigheter kan tillgodoses. Dessutom bör överenskommelserna formuleras i ett skriftligt avtal mellan parterna som är gemensamt personuppgiftsansvariga.
Det gemensamma personuppgiftsansvaret kan innebära att parterna fördelar ansvaret sinsemellan gällande informationen som ska bli tillhandahållen till de registrerade individerna. Detsamma gäller ansvaret för att hantera begäranden om registrerades rättigheter och implementering av olika tekniska och organisatoriska säkerhetsåtgärder.
Lär dig mer
Gratis juridikskola
På Linkedin och Instagram har vi skapat juridikskolor som är riktade till företagare. Syftet är att vi vill lära ut juridik på ett roligt sätt.
På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.
Mer information
Personuppgiftsbiträde
När ett företag behandlar personuppgifter åt ett annat företags räkning, är det ett personuppgiftsbiträde. Till exempel när ett företag anlitar en redovisningskonsult och därför behöver skicka fakturor och liknande som innehåller personuppgifter för att byrån ska kunna sköta sina arbetsuppgifter. Observera att personuppgiftsansvariga och personuppgiftsbiträden måste ingå ett avtal med varandra. Dessutom ska det vara skriftligt.
Vill du veta mer?
Vill ni ha vår hjälp?
Beställ uppdrag
Välkommen att kontakta oss via telefon, eller skicka ett meddelande via formuläret eller till vår mail så hör vi av oss så snart vi kan.
E-post
kontakt@digitalajuristerna.se
Telefon
08-81 66 33