Information om tillsynsmyndigheter och ansvariga enligt GDPR

Det bra att känna till information om tillsynsmyndigheter och ansvariga enligt GDPR eftersom det är en viktig del av området och därför har vi sammanfattat det här.

Information om tillsynsmyndigheter och ansvariga enligt GDPR

tillsynsmyndigheter och ansvariga

GDPR (dataskyddsförordningen) har bestämmelser om rättigheter och särskilda skyldigheter för de ansvariga enligt GDPR. Både fysiska och juridiska personer kan behandla personuppgifter. All behandling av personuppgifter, som sker helt eller delvis på automatisk väg (exempelvis digitalt) eller om uppgifterna ingår i ett register, måste ske i enlighet med GDPR. Den som behandlar personuppgifter på detta sätt kan vara en personuppgiftsansvarig, ett personuppgiftsbiträde eller ett personuppgiftsunderbiträde. Nedan följer mer information om tillsynsmyndigheter och ansvariga enligt GDPR.

Personuppgiftsansvariga

En personuppgiftsansvarig är den part som bestämmer hur behandlingen av personuppgifterna ska gå till och vilka ändamål personuppgifter ska bli behandlade för. Den ansvarige har både rättigheter och skyldigheter enligt GDPR. Normalt är det företaget som sådant som är den ansvarige, om det är företaget som bestämmer medel och ändamålet med behandlingen ifråga. Det vill säga, om företaget bestämmer varför personuppgifterna ska bli behandlade och för vilket syfte. 

Vem som kan vara personuppgiftsansvarig

Både juridiska personer och fysiska personer kan vara personuppgiftsansvarig. Detsamma gäller offentliga myndigheter och andra organ. Däremot är det inte en chef eller anställd som är det utan företaget. Exempel på juridiska personer är aktiebolag, handelsbolag och ekonomiska föreningar, medan exempel på fysiska personer är ägare av enskilda firmor. Dessutom är det möjligt att två parter är gemensamt personuppgiftsansvariga. 

Allmän information om ansvariga och tillsynsmyndigheter enligt GDPR

Personuppgiftsbiträde

Den som behandlar personuppgifter för den personuppgiftsansvariges räkning, är kallad för personuppgiftsbiträde. Både fysiska och juridiska personer kan vara personuppgiftsbiträde, precis som personuppgiftsansvarige. Personuppgiftsbiträde är alltid en annan organisation och finns inte i samma organisation som den personuppgiftsansvarige. 

Praktiska exempel

Exempelvis är det vanligt att ett företag är personuppgiftsansvarig, som anlitar en redovisningskonsult för att sköta företagets bokföring. I sådana fall blir redovisningskonsulten ett  personuppgiftsbiträde till företaget, eftersom företaget kommer att dela personuppgifter till konsulten. Därefter kommer personuppgifterna att bli behandlade av redovisningskonsulten, för företagets räkning. När ett företag anlitar ett molnföretag för att spara personuppgifter i en backup-fil är är ett annat exempel på ett personuppgiftsbiträde. 

Upprätta personuppgiftsbiträdesavtal

Det är vanligt att anlita ett personuppgiftsbiträde och att upprätta ett personuppgiftsbiträdesavtal. Ett personuppgiftsbiträdesavtal ska vara skriftligt. Det reglerar förhållandet mellan personuppgiftsbiträdet och den personuppgiftsansvarige. Dessutom ska ett personuppgiftsbiträde som anlitar ett annat personuppgiftsbiträde upprätta ett avtal. Däremot är det inget krav på ett skriftligt avtal vid sådana fall. 

Dataskyddsombud

Företag kan i vissa fall behöva anlita ett dataskyddsombud. Detsamma gäller organisationer och offentliga organ. Dataskyddsombudet kan vara en anställd eller en extern part. Dessutom kan personen ha andra roller i företaget. Dataskyddsombud ska övervaka att företaget följer GDPR. Till exempel genom att ge råd inom företaget såsom när de gör en konsekvensbedömning. De ska vara tillgängliga för anställda, registrerade och IMY. Om IMY utför en tillsyn, ska dataskyddsombudet samarbeta med myndigheten. 

Ansvar

Det är den personuppgitftsansvarige och personuppgiftsbiträdet som är ansvariga för behandlingen av personuppgifter medan dataskyddsombudet inte ansvarar för att företaget följer GDPR. Däremot har de en viktig roll i företaget. De är också oberoende oavsett om de är anställda eller inte. Om det är en anställd på företaget, får arbetsuppgifterna inte krocka med uppdraget som dataskyddsombud. 

Bli dataskyddsombud

För att kunna bli ett dataskyddsombud, behöver personen ha kunskap om GDPR. De behöver också ha kunskap om kärnverksamheten och hur företaget hanterar personuppgifter. Dessutom behöver de kunna sprida information inom företaget. Det är svårt att säga exakt vad ett dataskyddsombud behöver kunna. Däremot behöver personen mer kunskap om GDPR, ju mer komplex behandlingen är. 

Företaget måste förse rätt resurser

Företaget måste förse dataskyddsombudet med rätt resurser för att denne ska kunna sköta sitt arbete. Det handlar exempelvis om att inte ge arbetsuppgifter i sista sekund så att det inte finns tillräckligt med tid. Dessutom behöver ombudet få tillfång till relevant information för att kunna sköta arbetet. 

Personuppgiftsunderbiträde

Ett personuppgiftbiträde kan i vissa fall anlita ett annat personuppgiftsbitäde, som även är kallat för personuppgiftsunderbiträde, för att underbiträdet ska kunna behandla personuppgifter på uppdrag av biträdet. Sådana underbiträden måste alltid bli godkända av den personuppgiftsansvariga innan de kan bli anlitade. 

För att ett biträde ska kunna anlita ett underbiträde, måste de också enligt GDPR ingå ett så kallat personuppgiftsbiträdesavtal med varandra. Dessutom måste det framgå i avtalet mellan den ansvarige och biträdet, att biträdet får anlita underbiträden (eller så kan det framgå att biträdet inte får anlita underbiträden).

Ett underbiträde behandlar därmed personuppgifter för biträdets räkning, som i sin tur behandlar uppgifterna för den ansvariges räkning. Syftet med de olika biträdesavtalen är att samtliga aktörer som är delaktiga vid behandlingen av personuppgifterna ska säkerställa till varandra att de följer GDPR vid behandlingen.

Vilka som kan vara personuppgiftsansvariga och personuppgiftsbiträden

Myndigheter, institutioner, andra offentliga organ samt fysiska eller juridiska personer kan vara personuppgiftsansvariga eller personuppgiftsbiträden. En sådan roll ska inte bli registrerad hos någon myndighet, men det är viktigt att parterna vet om vilken roll de har. Särskilt när det finns både en personuppgiftsansvarig och ett personuppgiftsbiträde avseende en viss behandling av personuppgifter. Det är viktigt att företag känner till information om tillsynsmyndigheter och ansvariga enligt GDPR.

Om verksamheten behöver ett dataskyddsombud, som vissa behöver enligt krav i GDPR, ska det bli registrerat hos den nationella dataskyddsmyndigheten. I Sverige är det Integritetskyddsmyndigheten (IMY) som är tillsynsmyndigheten/dataskyddsmyndigheten. 

En skillnad mellan personuppgiftsbiträden och personuppgiftsansvariga är att biträden behandlar personuppgifter för den personupppgiftsansvariges räkning. Behandlingen ska då enbart ske enligt den personuppgiftsansvariges instruktioner. Det är den personuppgiftsansvarige som bestämmer ändamålet (syftet) med behandlingen och bär det största ansvaret. 

Anmälan till dataskyddsmyndighet vid personuppgiftsincidenter

Det är den personuppgiftsansvarige som ska anmäla inträffade personuppgiftsincidenter till den nationella dataskyddsmyndigheten, inte personuppgiftsbiträdet. Däremot ska biträdet rapportera till den personuppgiftsansvarige om det sker en incident i biträdets led, som omfattar de personuppgifter som den personuppgiftsansvarige ansvarar för. Det är viktigt att vara tydlig i personupgiftsbiträdesavtalet om hur en sådan rapportering ska gå till. Med andra ord ska personuppgiftsbiträdet rapportera till den personuppgiftsansvarige, som i sin tur rapporterar till dataskyddsmyndigheten. 

Observera att inte alla incidenter ska bli anmäla till en dataskyddsmyndighet. Men om en incident ska bli anmäld enligt bestämmelserna i GDPR, måste det ske inom 72 timmar från det att incidenten blev upptäckt. Däremot måste alla inträffade incidenter bli dokumenterade internt hos företaget. Därför är det viktigt att upprätta en loggbok för personuppgiftsincidenter. 

Gemensamt personuppgiftsansvar

Det är möjligt för två eller flera företag att ha ett gemensamt personuppgiftsansvar. Det är i sådana fall viktigt att vara tydlig med vem som ska utföra de skyldigheter som det innebär att vara personuppgiftsansvarig, när det är flera som är det gemensamt. Dessutom går det inte att avtala bort rollen som personuppgiftsansvarig, utan det är det faktiska förhållandet som avgör vem som är det och inte. Det spelar alltså ingen roll vad som blivit avtalat. 

Dom om gemensamt personuppgiftsansvar

Ett företag hade en “gilla-knapp” på sin webbplats som innebar att personuppgifter blev överförda till det sociala nätverket genom ett insticksprogram. Båda företagen behandlade personuppgifterna, även fast de registrerade aldrig tryckte på knappen eller var medlemmar i det sociala nätverket ifråga. Dessutom hade företaget inte informerat de registrerade om behandlingen. Enligt förhandsavgörandet från EU-domstolen, som den tyska domstolen hade begärt, kan detta innebära ett gemensamt personuppgiftsansvar även om företaget som bedrev webbplatsen med gilla-knappen inte fick tillgång till de personuppgifter som blev överförda till det sociala närverket. 

Företag kan vara personuppgiftsansvariga eller biträden 

Tillsynsmyndigheter i Sverige och EU

Alla länder i EU/EES-området där GDPR gäller har en tillsynsmyndighet. Dessutom finns det en europeisk tillsynsman (EDBP) och den europeiska dataskyddsstyrelsen (EDPB, European Data Protection Board). 

IMY

I Sverige är det IMY, även kallat Integritetsskyddsmyndigheten som är tillsynsmyndighet och hette tidigare Dataskyddsmyndigheten. De arbetar inte bara med GDPR utan ger även tillstånd för kameraövervakning och inkassoverksamhet. IMY arbetar bland annat med att skydds personuppgifter och ser till så att företag, organisationer och offentliga organ följer regelverket. GDPR är en EU-förordning vilket går att likställa med en nationell lagstiftning. 

Huvuduppgifter för IMY

IMY är en svensk myndighet som har som huvuduppgift att framförallt:

– Granska och verkställa tillämpningen av reglerna i GDPR.

– Vägleda myndigheter, organisationer och företag som omfattas av GDPR. Dessutom ger de vägledning till allmänheten. 

– Ge tillstånd för kamerabevakning, inkassoverksamhet och kreditupplysning. Dessutom utför de tillsyner inom det och ser till att inkassoföretag och kreditupplysningsföretag följer god sed i sin verksamhet. 

Anmäla personuppgiftsincidenter till IMY

En personuppgiftsincident är en säkerhetsincident som innebär att någon obehörig kommer åt uppgifterna, personuppgifterna blir förstörda, kommer bort eller blir ändrade. I vissa fall ska företag rapportera personuppgiftsincidenter till IMY. Enligt huvudregeln ska den personuppgiftsansvarige anmäla personuppgiftsincidenten inom 72 timmar från och med upptäckten. Det är möjligt att komplettera anmälan i efterhand om någon information saknas. 

Lämna klagomål till IMY

En personuppgift är när det går att koppla en uppgift till en privatperson som lever. Med andra ord inte för avlidna personer eller juridiska personer. Privatpersoner kan lämna in klagomål till IMY om de anser att någon som behandlar personuppgifter som tillhör dem gör det i i strid mot GDPR. Däremot är det bra att börja med att kontakta den som behandlar personuppgifterna och informera dem att du anser att det är fel. Därefter kan de utreda om det är i strid mot GDPR och vid sådana fall kan de förhoppningsvis rätta felet. 

Förhandssamråd

I vissa fall behöver företag begära ett förhandssamråd med IMY för att diskutera den eventuella behandlingen. Observera att företag måste göra en konsekvensbedömning innan de begär samtalet. Om konsekvensbedömningen visar att det fortfarande är en hög risk för de enskildas fri- och rättigheter och riskerna kvarstår efter åtgärder om de utför behandlingen, ska företaget begära ett förhandssamråd

Internationella uppdrag

IMY deltar i flera olika internationella samarbeten. Till exempel det nordiska samarbetet där dataskyddsmyndigheterna i Norden träffar varandra en gång per år och bland annat delar erfarenheter och utmaningar. Dessutom har de företrädare i Europeiska dataskyddsstyrelsen. 

Den Europeiska dataskyddsstyrelsen

Den Europeiska dataskyddsstyrelsen (European Data Protection Board) arbetar med att bidra en enhetlig tillämpning a GDPR i hela unionen. Det är ett oberoende organ och är en juridisk person. Det är företrädare från tillsynsmyndigheter i alla länder där GDPR gäller som styr den Europeiska Dataskyddsstyrelsen. 

Uppdrag för den Europeiska dataskyddsstyrelsen

Deras uppdrag är att försöka säkerställa att det sker en enhetlig tillämpning i hela unionen. Dessutom kan de ge vägledning för att bland annat klargöra olika begrepp och ge råd inom GDPR. De främjar också samarbetet mellan olika nationella dataskyddsmyndigheter. 

Grundläggande principer som den Europeiska Dataskyddsstyrelsen utgår från

Här är tre grundläggande principer som den Europeiska Dataskyddsstyrelsen utgår från vid sitt arbete: 

– Det är en oberoende organ 

– Samarbete och öppenhet 

– Modernisering 

Europeiska datatillsynsmannen

Europeiska datatillsynsmannen med förkortningen EDPS är en stor arbetsgivare och har över 40 000 anställda. De är ser till att EU:institutioner, organ och byråer behandlar personuppgifter på ett korrekt sätt i enlighet med GDPR. EU behandlar dagligen personuppgifter såsom personuppgifter som tillhör anställda. Europeiska datatillsynsmannen bland annat ger råd, riktlinjer, skapar praxis och ger rekommendationer inom GDPR. 

Arbetsuppgifter

Här är några arbetsuppgifter som Europeiska datatillsynsmannen har: 

– EU-institutionerna har dataskyddsombud och via dem, samråder de med Europeiska datatillsynsmannen. Det kan vara frivilligt i vissa fall och i andra fall är det en skyldighet. 

– På deras hemsida framgår relevanta avgöranden om GDPR från domstolar. 

– Europeiska datatillsynsmannen har också befogenhet att utföra inspektioner vilket de gör och tar emot klagomål från enskilda. 

– Om en EU:institution bryter mot GDPR, kan Europeiska datatillsynsmannen tilldela en reprimand (tillrättavisning), en varning eller sanktionsavgifter. 

– När en EU:institution behandlar personuppgifter i strid mot GDPR, kan Europeiska datatillsynsmannen besluta om förbud mot behandlingen. 

Lämna klagomål till Europeiska datatillsynsmannen

Det är enbart möjligt att lämna ett klagomål till Europeiska datatillsynsmannen om de behandlar dina personuppgifter felaktigt. Med andra ord om någon EU:institution behandlar personuppgifter i strid med GDPR, kan personen lämna ett klagomål till Europeiska datatillsynsmannen. Det är alltså inte möjligt att lämna ett klagomål om något företag eller myndighet i ett land där GDPR gäller bryter mot GDPR. Vid sådana fall ska klagomålet bli lämnat till en nationell tillsynsmyndighet. 

Genom att företag känner till information om tillsynsmyndigheter och ansvariga enligt GDPR, kan de tillvarata sina rättigheter och skyldigheter på ett bättre sätt.

Europeiska dataskyddsstyrelsen (EDPB) ger vägledning om GDPR