PERSONUPPGIFTSANSVARIG

Den som bestämmer ändamålet med behandlingen av personuppgifterna.

personuppgiftsansvarig personuppgiftsbiträde GDPR avtalgdpr

Personuppgiftsansvarig (PUA)

Enligt GDPR är den part som bestämmer ändamålet med behandlingen av personuppgifter personuppgiftsansvarig.

Personuppgiftsansvarig är normalt den organisation (till exempel aktiebolag, stiftelse, förening eller myndighet) som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Det är alltså inte chefen på en arbetsplats, en anställd eller någon annan person som är personuppgiftsansvarig. Men även en fysisk person kan vara personuppgiftsansvarig enligt GDPR, vilket exempelvis är fallet för enskilda firmor.

Om två eller flera gemensamt bestämmer över en viss behandling är dessa ansvariga över uppgifterna tillsammans och måste sinsemellan bestämma vem som är ansvarig för att fullgöra de olika skyldigheterna som framgår i GDPR. Vem som är personuppgiftsansvarig kan också anges i lag eller förordning, till exempel i särskilda registerlagar.

Den personuppgiftsansvarige ska se till att behandlingen sker i enlighet med bestämmelserna i GDPR. Exempelvis får ett anlitat personuppgiftsbiträde enbart behandla uppgifter enligt lämnade instruktioner av den personuppgiftsansvariga.

Den personuppgiftsansvariga har ett generellt ansvar att, utifrån de integritetsrisker som finns med behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen blir utförd i enlighet med GDPR. Detta kan ske bland annat genom att den personuppgiftsansvariga skapar en dataskyddspolicy med lämpliga strategier för dataskydd och ser till att genomföra den inom organisationen. 

Den personuppgiftsansvariga har skyldigheter att redovisa att denne följer bestämmelserna i GDPR till IMY. Uppförandekoder och certifieringar kan vara ett sätt att visa att företaget följer och uppfyller bestämmelserna i GDPR. Det kan även ske genom att upprätta interna rutiner för personalen kring hanteringen av personuppgifter, samt upprättande av olika loggböcker för att notera gallringar av personuppgifter och incidenter m.m. Detta är exempel på dokumentation och underlag som Integritetsskyddsmyndigheten kan komma att efterfråga vid en eventuell kontroll.

Vi skriver och granskar GDPR-avtal

Vi kan skriva och granska olika GDPR-avtal och dokument som företag behöver till fasta priser. I våra priser igår alltid samtal och genomgång med en jurist via dator och telefon.  

Personuppgiftsbiträde

Här kan du läsa mer information om personuppgiftsbiträden

sammanfattning av GDPR för företag

Om du är intresserad av att lära dig mer om GDPR och vad det innebär för företag, kan du läsa vår sammanfattning nedan. Där har vi skrivit om de centrala delarna som GDPR omfattar och det som är viktigt för företag att känna till.