ANSVARIGA ENLIGT GDPR

Här kan du läsa om vilka som är ansvariga för personuppgifter enligt GDPR samt deras rättigheter och skyldigheter.

ansvariga för personuppgifter enligt GDPR samt deras rättigheter och skyldigheter avtalgdpr

ANSVARIGA ENLIGT GDPR

GDPR (dataskyddsförordningen) har bestämmelser om rättigheter och särskilda skyldigheter för de ansvariga enligt GDPR. Både fysiska och juridiska personer kan behandla personuppgifter. All behandling av personuppgifter, som sker helt eller delvis på automatisk väg (exempelvis digitalt) eller om uppgifterna ingår i ett register, måste ske i enlighet med GDPR. Den som behandlar personuppgifter på detta sätt kan vara en personuppgiftsansvarig, ett personuppgiftsbiträde eller ett personuppgiftsunderbiträde. Nedan följer mer information om dessa olika ansvariga personerna.

Personuppgiftsansvarig

En personuppgiftsansvarig är den part som bestämmer hur behandlingen av personuppgifterna ska gå till och vilka ändamål personuppgifter ska bli behandlade för. Den ansvarige har både rättigheter och skyldigheter enligt GDPR. Normalt är det företaget som sådant som är ”PUA”, om det är företaget som bestämmer ändamålet med behandlingen ifråga. Det vill säga, om företaget bestämmer varför personuppgifterna ska bli behandlade och för vilket syfte. 

Personuppgiftbiträde

Den som behandlar personuppgifter för den personuppgiftsansvariges räkning, är kallad för personuppgiftsbiträde. Exempelvis är det vanligt att ett företag är personuppgiftsansvarig, som anlitar en redovisningskonsult för att sköta företagets bokföring. I sådana fall blir redovisningskonsulten ett  personuppgiftsbiträde till företaget, eftersom företaget kommer att dela personuppgifter till konsulten. Därefter kommer personuppgifterna att bli behandlade av redovisningskonsulten, för företagets räkning.

Underbiträde

Ett personuppgiftbiträde kan i vissa fall anlita ett så kallat personuppgiftsunderbiträde, för att underbiträdet ska kunna behandla personuppgifter på uppdrag av biträdet. Sådana underbiträden måste alltid bli godkända av den ansvariga (PUA) innan de kan bli anlitade. För att ett biträde ska kunna anlita ett underbiträde, måste de också enligt GDPR ingå ett så kallat personuppgiftsbiträdesavtal med varandra. Dessutom måste det framgå i avtalet mellan den ansvarige och biträdet, att biträdet får anlita underbiträden (eller så kan det framgå att biträdet inte får anlita underbiträden).

Ett underbiträde behandlar därmed personuppgifter för biträdets räkning, som i sin tur behandlar uppgifterna för den ansvariges räkning.

Syftet med de olika biträdesavtalen är att samtliga aktörer som är delaktiga vid behandlingen av personuppgifterna ska säkerställa till varandra att de följer GDPR vid behandlingen.