Företag kan vara personuppgiftsansvariga eller biträden
Företag kan vara personuppgiftsansvariga eller biträden enligt GDPR. Det företag som bestämmer medel och ändamål med behandlingen av personuppgifterna är personuppgiftsansvarig. Det vill säga, den som bestämmer hur och varför personuppgifterna blir behandlade.
information om personuppgiftsansvariga
Företag kan vara personuppgiftsansvariga eller biträden. Det är inte en chef eller anställd på ett företag som är personuppgiftsansvarig, utan det är istället företaget som sådant som är den ansvarige. Däremot kan det i vissa fall vara en fysisk person som är personuppgiftsansvarig, exempelvis en person som bedriver en enskild firma.
Ett företag som bedriver till exempel en e-handel är personuppgiftsansvarig när företaget behandlar personuppgifter tillhörande sina kunder, i syfte att kunna leverera de beställda produkterna till kunderna. Vid sådana fall är det företaget som bestämmer ändamålet med behandlingen och hur behandlingen ska gå till. Det är detta som avgör ifall företaget behandlar personuppgifterna i egenskap av personuppgiftsansvarig eller inte.
Bestämmer ändamål med en behandling av personuppgifter
Ett företag som behandlar personuppgifter måste ha ett ändamål med behandlingen, vilket den personuppgiftsansvarige ska bestämma. Ändamålet måste vara specifikt och tydligt. Att “förbättra användarupplevelsen” eller för “marknadsföringsändamål” är inte tillräckligt specifikt för att vara giltiga ändamål med en behandling av personuppgifter. De registrerade måste kunna förstå på vilket sätt deras personuppgifter kommer att bli behandlade. Ändamålet får inte vara för brett eller otydligt formulerat.
Personuppgiftsansvaret går inte att överlåta
Det är inte möjligt för en personuppgiftsansvarig att avtala bort eller överlåta ansvaret gällande personuppgiftsbehandlingen till någon annan. Däremot är det möjligt att överlåta den faktiska behandlingen till någon annan. Men detta förändrar inte fördelningen mellan ansvaret som gäller enligt bestämmelserna i GDPR. Om ett företag är personuppgiftsansvarig, är det ett faktum som inte kan avtalas bort.
När personal behandlar personuppgifter
Företaget (den personuppgiftsansvarige) ska ge information och instruktioner till de anställda om hur de ska behandla personuppgifter i enlighet med GDPR, för att behandlingen ska ske på korrekt sätt. De anställda får bara behandla personuppgifterna i enlighet med de givna instruktionerna. Det är även bra att se till att ingå sekretessavtal med medarbetarna avseende personuppgifter som de behandlar inom ramen för verksamheten.
Personuppgiftsansvariga ska anmäla personuppgiftsincidenter
Det är den personuppgiftsansvariga som ska anmäla personuppgiftsincidenter till den nationella dataskyddsmyndigheten, inte personuppgiftsbiträdet. Om en personuppgiftsincident inträffar i personuppgiftsbiträdets led, som avser personuppgifter som den personuppgiftsansvarige är ansvarig för, ska incidenten bli rapporterad till den personuppgiftsansvarige. Om incidenten ska bli anmäld till dataskyddsmyndigheten enligt reglerna i GDPR, är det den personuppgiftsansvariges som ska göra det. Detsamma gäller om de registrerade som blivit påverkade av incidenten ska bli informerade om det inträffade.
Tekniska och organisatoriska åtgärder
Det är den personuppgiftsansvarige som måste se till att implementera lämpliga tekniska och organisatoriska åtgärder för att kunna följa GDPR. Till exempel genom att skydda personuppgifterna genom att ha ett virusskydd och backup filer, instruktioner och program som gör det enkelt för de anställda att följa regelverket.
Gemensamt personuppgiftsansvar
Det är möjligt att flera företag har ett gemensamt personuppgiftsansvar. Däremot är det viktigt att det finns en kontaktperson samt att varje behandling av personuppgifter alltid har minst en personuppgiftsansvarig. Det är inte ett avtal som bestämmer vem som är personuppgiftsansvarig. Istället är det de faktiska förhållandena mellan parterna som avgör vilken roll respektive part har. På så sätt går det inte att undkomma ansvaret genom att försöka avtala bort sin roll som personuppgiftsansvarig.
Personuppgiftsansvar i koncerner
Det är vanligt med företagskoncerner där ett moderbolag äger ett eller flera dotterbolag. Vid sådana fall kan moderbolaget vilja införa ett verktyg som ska underlätta för alla dotterbolag inom HR-området. Det är viktigt att komma fram till vem som har personuppgiftsansvar vid sådana fall och analysera varje enskilt fall, eftersom det kan se olika ut beroende på de rådande omständigheterna. Det är den personuppgiftsansvarige som bestämmer medel och ändamålet med behandlingen, och därför är det viktigt att veta vem som är det.
Personuppgiftsansvariga har flera skyldigheter, bland annat följande:
– Se till att företaget har de dokument och avtal som är nödvändiga för att följa GDPR och visa att företaget följer regelverket,
– Ha tillräckliga organisatoriska och tekniska säkerhetsåtgärder för att skydda de behandlade personuppgifterna,
– Utföra en konsekvensbedömning vid de behandlingar av personuppgifter där GDPR kräver att sådan bedömning blir utförd,
– Anmäla vissa typer av inträffade personuppgiftsincidenter till dataskyddsmyndigheten,
– Utse ett dataskyddsombud, om det är ett krav enligt GDPR för verksamheten ifråga.
Personuppgiftsbiträden
Den som behandlar personuppgifter för en personuppgiftsansvarigs räkning, är ett personuppgiftsbiträde enligt GDPR. Ett personuppgiftsbiträde finns alltid utanför den ansvariges egna organisation och kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.
Den personuppgiftsansvariga, exempelvis ett företag, kan anlita ett personuppgiftsbiträde, för att biträdet ska behandla personuppgifter för företagets räkning. Exempelvis är en redovisningskonsult, ekonomisystem, e-postleverantör, hostingleverantör, molnlagringsplats, CRM-system eller liknande ett personuppgiftsbiträde till sina kunder. Detta gäller då kunden delar personuppgifter som de är ansvariga för till ett sådant annat företag/system, som behandlar personuppgifterna för kundens räkning.