Personuppgiftsansvarig eller gemensamt personuppgiftsansvariga

Ett företag kan vara ett personuppgiftsbiträde, personuppgiftsansvarig eller gemensamt personuppgiftsansvariga. Här kan du läsa information om när ett företag är personuppgiftsansvarig eller gemensamt personuppgiftsansvariga:

Personuppgiftsansvarig

Det som avgör om ett företag är personuppgiftsansvarig eller inte, är huruvida det är företaget som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

Att bestämma ”ändamålen” innebär att bestämma de specifika syftena med behandlingen av personuppgifterna i fråga. Exempelvis kan syftet med behandlingen, och därmed ändamålet med behandlingen, vara att leverera avtalade tjänster, genomföra direktmarknadsföring eller ta betalt för utförd tjänst. Företag måste alltid ha ett specifikt ändamål med varje behandling av personuppgifter, som dessutom är ett berättigat ändamål.

Att bestämma ”medlen” för behandlingen, innebär att bestämma hur personuppgifterna blir behandlade och genom vilka medel, tekniker och processer det sker.

Det är inte möjligt att överlåta personuppgiftsansvaret, oavsett om det blir avtalat skriftligen eller inte. Det är de faktiska omständigheterna i varje enskilt fall som är avgörande för rollfördelningen, oavsett vad som blivit skriftligen eller muntligt avtalat. Däremot är det möjligt att överlåta behandlingen av personuppgifterna.

Vem kan vara personuppgiftsansvarig

Definitionen av personuppgiftsansvarig framgår i artikel 4 punkt 7 GDPR. Där framgår att en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ kan vara personuppgiftsansvarig.

En fysisk person kan alltså vara personuppgiftsansvarig. Till exempel en enskild näringsidkare, men även privatpersoner. En privatperson kan exempelvis ha monterat en övervakningskamera på sin tomt och därmed behandla personuppgifter, vilket innebär att privatpersonen i fråga är personuppgiftsansvarig.

Även juridiska personer såsom aktiebolag eller handelsbolag kan vara personuppgiftsansvariga. Dessutom kan offentliga myndigheter eller andra organ vara det. Det är vid sådana fall den juridiska personen i sig som är personuppgiftsansvarig, och därmed inte chefen, VD eller styrelseordföranden på företaget.

Exempel på när företag är personuppgiftsansvarig

Ett exempel på när ett företag är personuppgiftsansvarig, är när företaget behandlar personuppgifter tillhörande de anställda i samband med utbetalning av lön.

Ytterligare ett exempel är när företag behandlar personuppgifter tillhörande sina kunder, i samband med fullgörande av leveransen eller fakturering till kunden.

Gemensamt personuppgiftsansvariga

Det kan uppstå situationer som innebär att två eller flera parter har ett delat ansvar för behandlingen av personuppgifter. Vid dessa fall är parterna gemensamt personuppgiftsansvariga, om de tillsammans bestämmer ändamålen och medlen för behandlingen av personuppgifterna. Vid sådana fall är det viktigt att reglera vem som är ansvarig att fullgöra de olika delarna av GDPR som personuppgiftsansvariga har en skyldighet att göra. Regler om gemensamt personuppgiftsansvariga framgår i artikel 26 GDPR.

När det gemensamma personuppgiftsansvaret uppstår

Ett gemensamt personuppgiftsansvar kan uppstå på olika sätt. Exempelvis om parterna tillsammans utför gemensamma affärsverksamheten, samarbetar inom ett projekt eller har ett delat ansvar beträffande försäljning av en tjänst eller produkt.

I de fall ett gemensamt personuppgiftsansvar uppstår, är det viktigt att de involverade parterna tydligt kommer överens om sina respektive skyldigheter och olika ansvarsområden. Parterna måste kommunicera och samarbeta för att säkerställa en korrekt behandling av personuppgifter och se till att de registrerades rättigheter kan tillgodoses. Dessutom bör överenskommelserna formuleras i ett skriftligt avtal mellan parterna som är gemensamt personuppgiftsansvariga.

Det gemensamma personuppgiftsansvaret kan innebära att parterna fördelar ansvaret sinsemellan gällande informationen som ska bli tillhandahållen till de registrerade individerna. Detsamma gäller ansvaret för att hantera begäranden om registrerades rättigheter och implementering av olika tekniska och organisatoriska säkerhetsåtgärder.

Ansvar

Något som är viktigt att betona, är att varje part har ett separat ansvar för att följa tillämplig dataskyddslagstiftning, oavsett om det föreligger ett gemensamt personuppgiftsansvar eller inte. Dessutom har registrerade rätt att utöva sina rättigheter enligt GDPR med avseende på och emot var och en av de personuppgiftsansvariga.

Vi skriver och granskar avtal till fasta priser

Gratis juridikskolor

Vi driver olika gratis juridikskolor på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.

På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_CND1TJSVVT	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_1	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.