MyFondia VirtuellaJuristen

Personuppgiftsansvarig, personuppgiftsbiträde och dataskyddsombud

Utöver djungeln av dataskyddsterminologi, finns också en tydlig fördelning av ansvar och uppgifter. För att uppfylla dina skyldigheter enligt dataskyddsförordningen (GDPR) behöver du ha koll på din roll och ditt ansvar.

Personuppgiftsansvarig (the Controller)

Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Personuppgiftsansvarig är i regel en juridisk person och är den som samlar in personuppgifterna för att behandla dem för egen räkning. Det är även personuppgiftsansvarig som har kontakt med de registrerade och ansvarar för att informera sådana om behandlingen av personuppgifter. Detta kan till exempel göras via en integritetspolicy (även kallad ” Privacy policy ”). Det är även personuppgiftsansvarig som ska informera den registrerade om var personuppgifterna behandlas – läs mer om tredjelandsöverföringar .

Personuppgiftsombud (the Processor)

Personuppgiftsbiträdet är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför det egna företaget/personuppgiftsansvarig och är i regel en juridisk person. En anställd som behandlar personuppgifter på arbetsgivarens instruktioner är alltså inte personuppgiftsbiträde.

Den yttersta ramen för vilka personuppgifter som får behandlas samt hur behandlingen ska gå till bestämmer den personuppgiftsansvarige. Enligt dataskyddslagstiftningen (inklusive GDPR) uppställs krav på att villkoren för personuppgiftsbiträdets behandling ska regleras i ett personuppgiftsbiträdesavtal . Ett sådant avtal ska finnas mellan varje personuppgiftsansvarig och personuppgiftsbiträde. Personuppgiftsbiträdesavtalet ska innehålla vissa specifika villkor som anges i personuppgiftslagen respektive dataskyddsförordningen (GDPR).

Dataskyddsombud (Data Protection Officer – DPO)

Dataskyddsombud är i sig ingen nyhet jämfört med PUL. Dataskyddsombudet är ett nytt namn på personuppgiftsombudet, och det inför krav på att vissa typer av verksamheter utser ett dataskyddsombud.

Dataskyddsombudet är den person som har särskilt ansvar för att se till att dataskyddslagstiftningen efterföljs och som bistår den som behandlar personuppgifter att bevaka dataskyddsfrågor. Dataskyddsombudet kan jämföras med en internrevisor som påpekar fel och brister i behandlingen av personuppgifter till den som är personuppgiftsansvarig. Dataskyddsombudet är en fysisk person, till skillnad från personuppgiftsansvarig- och biträdet. Personuppgiftsombudet kan vara en anställd som har särskild kunskap och insikt i personuppgiftsbehandling och dataskyddsförordningen (GDPR) eller en extern person som anlitats som dataskyddsombud för personuppgiftsansvarigs räkning. Det är viktigt att den som utses som dataskyddsombud är väl bevandrad med personuppgiftslagstiftningen och dataskyddsförordningen (GDPR).

Vissa verksamheter är skyldiga att utse ett dataskyddsombud, t.ex myndigheter eller verksamheter som behandlar särskilt känsliga personuppgifter eller om behandlingen innebär en kartläggning av enskilda personers beteende i stor omfattning. Sådana företag är skyldiga att anmäla vem de utsett till dataskyddsombud till Datainspektionen.

De verksamheter som kräver ett dataskyddsombud är inte helt självklar i alla lägen och det kan finnas juridiska gränsdragning som avgör om en viss verksamhet kräver ett dataskyddsombud.

Ställ en fråga till våra jurister
Våra 110 experter är redo för din juridiska utmaning.

Ställ en fråga till oss?

1. Vem är du?
2. Hur kan vi hjälpa dig?
Tack för kontakt!

Ställ en fråga till våra jurister

1. Vem är du?
2. Hur kan vi hjälpa dig?
Tack för kontakt!