GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

Roller i GDPR

Roller

Alla företag som behandlar personuppgifter och omfattas av GDPR utgör behandlingen antingen i egenskap av personuppgiftsbiträde eller personuppgiftsansvarig.

Olika roller i GDPR

Exempel på personuppgifter är namn, telefonnummer och andra uppgifter som går att koppla till en fysiskt levande person. Med andra ord behandlar de flesta företagen personuppgifter tillhörande till exempel kunder och/eller anställda. Det är dock inte någon individ på företaget som är personuppgiftsansvarig eller personuppgiftsbiträde, utan det är företaget i sig som innehar rollen. Däremot kan en enskild person vara ansvarig, om denne bedriver exempelvis en enskild firma. Dessutom behöver vissa företag ha ett dataskyddsombud. Nedan kan du läsa en sammanfattning av de olika rollerna enligt GDPR.

Personuppgiftsansvarig

Det är den personuppgiftsansvarige som bestämmer syftet med behandlingen och metoden för behandlingen. Det vill säga, hur och varför personuppgifter ska bli behandlade. Det är inte möjligt att överlåta ansvaret som personuppgiftsansvarig till någon annan. Däremot är det möjligt att överlåta självaste utförandet av behandlingen av personuppgifterna. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Två andra EU-förordningar

  • AI-Förordningen
  • Data-förordningar

Gemensamt personuppgiftsansvariga

Det är möjligt för flera aktörer att vara personuppgiftsansvariga tillsammans enligt artikel 26 i GDPR. Däremot är det viktigt att vid sådana fall reglera förhållandet mellan de gemensamt personuppgiftsansvariga, för att säkerställa att de följer alla bestämmelser i GDPR, såsom att tillgodose de registrerades rättigheter. Enligt GDPR ska de olika personuppgiftsansvarigas ansvar i en sådan situation framgå av ett ”gemensamt arrangemang”. Detta bör regleras skriftligen, för att kunna bevisas.

Personuppgiftsbiträde

Ett personuppgiftsbiträde behandlar personuppgifter åt en annan aktör som är personuppgiftsansvarig. Den som är personuppgiftsbiträde får bara behandla personuppgifterna enligt den personuppgiftsansvariges instruktioner. Exempel på företag som brukar vara personuppgiftsbiträden:

  • Leverantör av molntjänster, såsom molnlagring
  • Redovisningsbyråer och leverantör av bokföringsystem
  • Programmeringsföretag och andra typer av konsulter

Personuppgiftsbiträden och personuppgiftsansvariga behöver föra ett register över sina behandlingar i vissa fall

Både personuppgiftsbiträden och personuppgiftsansvariga behöver föra ett register över sina behandlingar i vissa fall enligt artikel 30 i GDPR. Om ett företag har över 249 anställda, måste de föra ett register. Det gäller oavsett om det är ett personuppgiftsbiträde eller personuppgiftsansvarig. Däremot kan mindre företag också behöva göra det, såsom ifall de de behandlar känsliga personuppgifter och det inte är tillfälligt. Till exempel om ett företag har anställda och därmed behandlar sjukfrånvaro, vilket är en känslig personuppgift.

Observera att företaget inte behöver föra ett register över alla behandlar vid sådana fall. Det räcker med att föra ett register över de behandlingar som skyldigheter gäller för. Men om man är osäker på vilka behandlingar som GDPR kräver framgår i en registerförteckning, är det bättre att registrera fler behandlingar än för få. 

Skillnaden mellan personuppgiftsansvariga och personuppgiftsbiträden

Personuppgiftsbiträden får anvisningar från den personuppgiftsansvarige för hur denne ska behandla personuppgifterna. Personuppgiftsbiträdet behandlar alltså personuppgifter åt någon annan aktör som är personuppgiftsansvarig. Det är den personuppgiftsansvarige som bestämmer till exempel ändamålen med behandlingen. Detta innebär i sin tur att personuppgiftsbiträdet inte får behandla personuppgifterna i strid med instruktionerna.

Den personuppgiftsansvarige och personuppgiftsbiträdet ska ingå ett skriftligt personuppgiftsbiträdetsavtal där de reglerar reglerna kring behandlingen, enligt artikel 28 i GDPR. Muntliga personuppgiftsbiträdesavtal är inte giltiga enligt GDPR. 

Förhållandet avgör om en aktör är personuppgiftsansvarig eller personuppgiftsbiträde

An administrative fine

Det är inte formuleringen eller innehållert i ett personuppgiftsbiträdesavtal som avgör huruvida en aktör är en personuppgiftsansvarig eller inte. Detsamma gäller huruvida aktören är personuppgiftsbiträde. Det är nämligen det verkliga förhållandet mellan parterna som avgör vilken roll företaget har. Detta innebär att det inte går att avtala om vem som ska ha vilken roll.

Periodic penalty payments

Ett företag kan vara personuppgiftsansvarig vid vissa behandlingar och personuppgiftsbiträde vid andra behandlingar. Till exempel om ett företag har anställda och tillhandahåller en molntjänst, där deras kunder kan lagra backup-filer innehållande personuppgifter. När molntjänstleverantören behandlar personuppgifter tillhörande sina egna anställda är de personuppgiftsansvariga, men vid behandling av de uppladdade backupfilerna från kunderna är de personuppgiftsbiträde.

Dataskyddsombud

En del företag behöver ha ett dataskyddsombud. Dataskyddsombudet övervakar hur företaget följer GDPR. Till exempel genom att ge råd till ledningen inom dataskydd, vara kontaktperson och samarbeta med dataskyddsmyndigheten vid en eventuell tillsyn. Dessutom måste företaget involvera dataskyddsombudet när de utför en konsekvensbedömning. Detsamma gäller om de överväger att göra en sådan bedömning inför en ny behandling av personuppgifter. Om företaget utser ett dataskyddsombud, ska detta anmälas till tillsynsmyndigheten och registreras där.  

Personligt ansvar

Det är den personuppgiftsansvariga eller personuppgiftsbiträdet som ansvarar för att de följer GDPR. Dataskyddsombudet har inget personligt ansvar för detta. Dessutom är det förbjudet för företaget att bestraffa dataskyddsombudet för att denne utför sina uppgifter, när det leder till något som till exempel företaget inte gillar. Det kan nämligen vara så att dataskyddsombudet avråder företaget från att utföra en viss behandling som de verkligen vill göra.

Kunskap

Ett dataskyddsombud behöver ha vissa kunskaper för att kunna sköta sina arbetsuppgifter i sin roll som dataskyddsombud. Till exempel kunskap om GDPR, känna till kärnverksamheten i företaget och kunna skapa en dataskyddskultur inom verksamheten. Dessutom kan personliga egenskaper spela en viktig roll också. Det är fördelaktigt ifall dataskyddsombudet är en god ledare, som vågar tala inför stora grupper och är tydlig i sin kommunikation.

Dataskyddsombud ska vara oberoende

Ett dataskyddsombud ska ha en oberoende ställning i företaget. Däremot innebär det inte att personen inte får ha andra arbetsuppgifter inom företaget. Det är tillåtet, förutsatt att det inte råder en intressekonflikt. Till exempel kan det vara en intressekonflikt om en person i ledningen är dataskyddsombud. Ett annat exempel kan vara om en person fattar beslut i företaget som handlar om kärnverksamheten och det rör en behandling av personuppgifter.

Mer info om GDPR

XXX

XXX

Vill du lära dig mer?

Klicka här
Rulla till toppen