GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

Roller i GDPR

Personuppgiftsansvarig är en central roll enligt GDPR

Personuppgiftsansvarig är en central roll enligt GDPR. Både juridiska och fysiska personer vara personuppgiftsansvariga. Detsamma gäller myndigheter och institutioner. Nedan kan du läsa mer om vad det innebär att vara personuppgiftsansvarig vilket är en central roll enligt GDPR.

Personuppgiftsansvarig eller personuppgiftsbiträde

När ett företag behandlar personuppgifter, sker det antingen i rollen personuppgiftsbiträde eller personuppgiftsansvarig. Det är inte en enskild person på företaget som innehar rollen, utan det gör istället företaget som sådant. Däremot kan enskilda personer inneha en sådan roll i vissa fall. Till exempel individer som driver en enskild firma.

Vad som avgör vem som är den personuppgiftsansvariga

Det som avgör vem som innehar rollen som personuppgiftsansvarig, bedöms utifrån bestämmandet kring behandlingen. Den som bestämmer medel och ändamål med behandlingen, är den personuppgiftsansvariga. Det vill säga, den som bestämmer hur och varför personuppgifterna ska bli behandlade. Det handlar alltså om vem som bestämmer syftet med behandlingen av personuppgifterna och hur det ska ske. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Gemensamt personuppgiftsansvariga

Det är möjligt för två eller flera företag att vara gemensamt personuppgiftsansvariga. Observera att det är viktigt att reglera förhållandet mellan dem, för att se till att kunna fullgöra de skyldigheter som personuppgiftsansvariga har enligt GDPR. Till exempel tillgodose de registrerades rättigheter. 

Enligt artikel 26 i GDPR ska de gemensamt personuppgiftsansvariga reglera sitt inbördes arrangemang. För att kunna bevisa att artikel 26 i GDPR uppfylls, bör de gemensamt personuppgiftsansvarige ingå ett skriftligt avtal mellan varandra. I avtalet kan de reglera hur de ska uppfylla sitt ansvar som personuppgiftsansvariga och hur behandlingen ska gå till.

Överlåta ansvaret

Det är inte möjligt för en personuppgiftsansvarig att överlåta ansvaret gällande behandlingen av personuppgifter. Däremot är det möjligt att överlåta utförandet av behandlingen till en annan aktör. Med andra ord har en personuppgiftsansvarig alltid den rollen enligt GDPR. 

En personuppgiftsansvarig kan dock anlita ett personuppgiftsbiträde enligt artikel 28 i GDPR, och instruera biträdet att behandla personuppgifterna på ett visst sätt. Då sker behandlingen av biträdet, men för den personuppgiftsansvariges räkning. Behandlingen är därmed möjlig att överlåta till någon annan att utföra, men det är fortfarande den personuppgiftsansvarige som har bestämt hur och varför personuppgifterna ska bli behandlade.

Vidta lämpliga tekniska och organisatoriska åtgärder

En personuppgiftsansvarig måste säkerställa att de behandlar personuppgifterna på ett säkert sätt. Personuppgifterna ska bli skyddade mot oavsiktlig eller olaglig förstöring, förlust eller ändring. Åtgärder ska även tas för att skydda mot obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Detta ska ske genom att implementera olika lämpliga tekniska och organisatoriska åtgärder. Ju känsligare personuppgifterna är, desto högre är säkerhetskraven. 

Exempel på tekniska och organisatoriska åtgärder 

Order the company to comply with GDPR within a certain period of time

Multifaktorautentisering för inloggning 

Kryptering av filer 

Restrict or ban processing

Användarbehörigheter 

Backup-lagring 

Personuppgiftsansvariga måste ha en registerförteckning i vissa fall

Vissa företag som är personuppgiftsansvariga behöver föra ett register över sina personuppgiftsbehandlingar. Detsamma gäller personuppgiftsbiträden. Enligt artikel 30 i GDPR måste det vara skriftligt och tillgängligt i elektronisk form. Vid en eventuell begäran från den nationella tillsynsmyndigheten, ska detta göras tillgängligt till myndigheten. 

Om företaget har 250 eller fler anställda, ska företaget upprätta en registerförteckning. Dessutom behöver mindre företag göra detta, om de behandlar känsliga personuppgifter eller att behandlingen kan innebära en risk för de rättigheter och friheter som registrerade har. Detta gäller under förutsättning att det inte avser en tillfällig behandling. Däremot innebär det inte att mindre företag behöver föra ett register över alla behandlingar, bara för att någon behandling uppfyller kravet. Istället behöver de bara föra register över de behandlingar som uppfyller kravet. 

Om ett företag har anställda och därför behandlar personuppgifter såsom sjukfrånvaro, behandlar företaget känsliga personuppgifter. I och med att denna behandling sker regelbundet och inte är tillfällig, behöver företaget föra ett register över denna specifika behandling.

Privatpersoner kan vara personuppgiftsansvariga och personuppgiftsbiträden

Det kan vara en privatperson som är personuppgiftsansvarig eller personuppgiftsbiträde. Exempelvis om denne bedriver en enskild firma. Detsamma gäller om en person har satt upp en kamera på sin fastighet eller lägenhet, som filmar en allmän plats. Vid sådana fall kan det också vara ett krav på att personen först behöver få tillstånd för sin kameraövervakning från behörig myndighet. Många privatpersoner gör nämligen misstaget att ha en ringklocka med en kamera som är riktad mot en allmän väg. Observera att det är extra känsligt om kameran pekar mot någon annans ytterdörr, eftersom det innebär att det går att bevaka när någon går hemifrån eller kommer hem. 

Mer om roller i GDPR

XXX

XXX

Vill du lära dig mer?

Klicka här
Rulla till toppen