Både en fysisk och juridisk person kan vara personuppgiftsansvarig enligt GDPR. Dessutom kan det vara en offentlig myndighet eller institution. I vissa fall kan det också vara två parter som är personuppgiftsansvariga gemensamt, vilket innebär att villkoren för behandlingen bestäms av båda parter.
Den som bestämmer för vilka ändamål personuppgifter ska bli behandlade, och hur behandlingen ska gå till, är den personuppgiftsansvarige. Den som är personuppgiftsansvarig ansvarar för att behandlingen sker i enlighet med alla bestämmelser i GDPR.
Ett exempel på när en fysisk person är personuppgiftsansvarig, är om en fysisk person driver en enskild firma.
En personuppgiftsansvarig har vissa rättigheter och skyldigheter. I vissa fall behöver en personuppgiftsansvarig utse ett dataskyddsombud. Det är också vanligt att ett företag behöver göra en konsekvensbedömning samt samråda med Integritetsskyddsmyndigheten innan en viss typ av behandling av personuppgifter sker.
I Sverige är det Integritetsskyddsmyndigheten som är tillsynsmyndighet. Tidigare hette myndigheten Datainspektionen.
Fysisk och juridisk person kan vara personuppgiftsansvarig
När det gäller aktiebolag, är det aktiebolaget som sådant som är personuppgiftsansvarig. Dessutom har styrelsen det yttersta ansvaret och ska se till företaget följer GDPR. Bolag kan välja att utse en viss person som ska se till att företaget har exempelvis policyer och interna rutiner avseende GDPR, för att säkerställa en korrekt behandling av personuppgifter.
Konsekvenserna för företag som inte följer GDPR kan bli stora. Om ett företag inte följer GDPR, kan Integritetsskyddsmyndigheten tilldela en administrativ sanktionsavgift som kan uppgå till mångmiljonbelopp. Beloppet kan uppgå till 20 miljoner euro eller 4 % av årsomsättningen om det är allvarligt. Storleken på sanktionsavgiften beror bland annat på storleken på företaget, hur företaget har brutit mot GDPR och agerat.
Personlig integritet
I Sverige är personlig integritet en viktig del av svensk lagstiftning och finns reglerad i såväl lagar som grundlagar och i olika konventioner. GDPR gäller inom samtliga EU/EES-länderna och kompletterar lagar i de olika länderna. I Sverige ersatte GDPR personuppgiftslagen (PUL) och ställer idag högre krav på företag när det gäller behandling av personuppgifter.