Rapportering efter personuppgiftsincidenter hos ett biträde
Det är bra att känna till hur rapportering efter personuppgiftincidenter hos ett biträde går till om ett företag anlitar ett.
Både fysiska och juridiska personer kan vara ansvariga enligt dataskyddsförordningen. Företag kan vara en personuppgiftsansvarig eller ett personuppgiftsbiträde avseende en viss behandling av personuppgifter. Dessutom kan vissa företag behöva anlita ett dataskyddsombud. Det är den personuppgiftsansvarige som bestämmer ändamål och medel med behandlingen av personuppgifter. Till skillnad från ett personuppgiftsbiträde, som behandlar personuppgifter åt den personuppgiftsansvariges räkning och enligt dennes instruktioner.
Fysiska och juridiska personer samt myndigheter kan vara personuppgiftsansvariga eller personuppgiftsbitäden. Exempel på juridiska personer är aktiebolag, handelsbolag och ekonomiska föreningar m.m. Det är dock inte någon anställd på företaget som är personuppgiftsansvarig eller personuppgiftsbiträde, utan det är företaget i sig som är det. Däremot kan en fysisk person vara personuppgiftsansvarig. Exempelvis ägaren av en enskild firma. Det är även möjligt att två företag är gemensamt personuppgiftsansvariga.
Ett företag som bedriver en molntjänst och blir anlitad av ett annat företag för att lagra personuppgifter i molnet, är personuppgiftsbiträde. Företaget som anlitar molnföretaget är personuppgiftsansvarig. Observera att det aldrig är möjligt att överlåta ansvaret som den personuppgiftsansvarige har. Ett personuppgiftsbiträde kan i sin tur anlita ett annat personuppgiftsunderbiträde, men då måste det första biträdet få ett skriftligt tillstånd från den personuppgiftsansvarige.
Dataskyddsombud har en viktig roll i företaget. Däremot är det inte alla företag som behöver ha ett dataskyddsombud. Dataskyddsombudet ska vara tillgänglig för de registrerade, anställda och organisationen, samt för Integritetsskyddsmyndigheten (IMY). Dataskyddsombudet behöver inte vara anställd på företaget, utan kan vara en extern part. Dessutom kan dataskyddsombudet ha flera arbetsuppgifter, förutsatt att det inte krockar med rollen som dataskyddsombud. De har en oberoende ställning i företaget och företaget ska förse ombudet med rätt resurser för att denne ska kunna sköta sitt arbete.
Det är bra att känna till hur rapportering efter personuppgiftincidenter hos ett biträde går till om ett företag anlitar ett.
Dataskyddsambassadörer är bra att ha på större företag eftersom det blir effektivare att sprida information om GDPR och dataskydd.
En personuppgiftsansvarig kan ha skyldighet att föra register över behandling av personuppgifter. Detta gäller även personuppgiftsbiträden.
Det är vanligt för företag att publicera dataskyddsombud i integritetspolicyn. Företag med dataskyddsombud behöver offentliggöra uppgifterna.
Registrerade har rätt att kontakta dataskyddsombud om frågor som gäller behandling av deras personuppgifter. Detsamma gäller de anställda.