Verksamhet
Dataskydd Det här gäller enligt dataskyddsförordningen Personuppgiftsansvariga och personuppgiftsbiträdenPersonuppgiftsansvariga och personuppgiftsbiträden
En personuppgiftsansvarig eller ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.
Dataskyddsförordningen innehåller särskilda skyldigheter för de som behandlar personuppgifter. De som behandlar personuppgifter måste se till att behandlingen sker i enlighet med dataskyddsförordningen. Notera särskilt att dataskyddsförordningens bestämmelser om de registrerades rättigheter också innebär skyldigheter för de som behandlar personuppgifter.
Personuppgiftsansvarig
Personuppgiftsansvarig är den organisation, till exempel aktiebolag, stiftelse, förening eller myndighet, som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Även en fysisk person kan vara personuppgiftsansvarig vilket till exempel är fallet för enskilda firmor.
Om två eller flera gemensamt bestämmer över en viss behandling är de personuppgiftsansvariga tillsammans och måste sinsemellan bestämma vem som är ansvarig för att fullgöra de olika skyldigheterna i dataskyddsförordningen.
Vem som är personuppgiftsansvarig kan också anges i lag eller förordning, till exempel i särskilda registerlagar.
Ett företag är till exempel personuppgiftsansvarigt för behandlingen av personuppgifter om sina anställda, kunder eller leverantörer. En myndighet är personuppgiftsansvarig för behandlingen av uppgifter om personer som förekommer i ärenden hos myndigheten.
Den som är personuppgiftsansvarig kan överlåta den faktiska behandlingen av personuppgifter men personuppgiftsansvaret kan aldrig överlåtas.
Den personuppgiftsansvariga måste se till att behandlingen sker i enlighet med dataskyddsförordningen. Dess personal får enbart behandla personuppgifter enligt de instruktioner som getts av den personuppgiftsansvariga.
Den personuppgiftsansvariga har ett generellt ansvar att, utifrån de integritetsrisker som finns med behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Detta kan innebära att man har antagit en policy med lämpliga strategier för dataskydd och ser till att genomföra den i organisationen. Uppförandekoder och certifieringar kan vara ett sätt att visa att man uppfyller dataskyddsförordningens bestämmelser.
Personuppgiftsbiträde
Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvarigas organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.
Ett företag som anlitas för att lagra uppgifter åt ett annat eller för att ta hand om utskick av marknadsföring för uppdragsgivarens räkning är exempel på personuppgiftsbiträden. Molntjänstföretag som anlitas för att hantera och lagra personuppgifter är att anse som personuppgiftsbiträden åt uppdragsgivaren.
De biträden som den personuppgiftsansvariga anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas.
Ett personuppgiftsbiträde och dess personal får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvariga. Biträdet får inte anlita ett annat biträde utan att i förhand få ett skriftligt tillstånd av den personuppgiftsansvariga.
Personuppgiftsbiträdet har ett eget ansvar för att se till att personuppgiftsbehandlingen sker enligt den ansvarigas instruktioner och inte går utöver dessa. I ett flertal situationer omfattas dessutom personuppgiftsbiträden av samma skyldigheter som gäller för personuppgiftsansvariga, till exempel kraven på att föra register över behandlingar, att säkerställa en lämplig säkerhetsnivå och att i vissa fall utse ett dataskyddsombud.