Personuppgiftsansvar och personuppgiftsbiträden

Frågor och svar om EU:s dataskyddsreform

Kommer reglerna om personuppgiftsansvarig och personuppgiftsbiträde att finnas kvar?
Kommer de personuppgiftsansvariga att kunna vända sig till Datainspektionen med frågor även i fortsättningen?
Kommer den personuppgiftsansvarige och ett anlitat personuppgiftsbiträde att bli solidariskt skadeståndsansvariga?
Finns skyldigheten att föra förteckning över vilken personuppgiftsbehandling som sker kvar?

Kommer reglerna om personuppgiftsansvarig och personuppgiftsbiträde att finnas kvar?

Ja, förordningen innehåller regler om personuppgiftsansvarig och personuppgiftsbiträde precis som förut. I förordningen finns dessutom många fler regler som uttryckligen riktar sig mot personuppgiftsbiträden. Ett av syftena med dataskyddsreformen har varit att göra det tydligare vilket ansvar och vilka skyldigheter de som behandlar personuppgifter har.

Kommer de personuppgiftsansvariga att kunna vända sig till Datainspektionen med frågor även i fortsättningen?

Ja, det finns en uttrycklig skyldighet för personuppgiftsansvariga att samråda med Datainspektionen i vissa fall. Ett sådant samråd ska begäras om en konsekvensbedömning avseende dataskydd visar att det finns stora risker med den planerade personuppgiftsbehandlingen. Datainspektionen kommer även i övrigt att ha till uppgift att hjälpa, vägleda och informera om reglerna kring personuppgiftsbehandling och dataskydd.

Kommer den personuppgiftsansvarige och ett anlitat personuppgiftsbiträde att bli solidariskt skadeståndsansvariga?

Huvudregeln är att det är den personuppgiftsansvarige som är skadeståndsansvarig för skada som uppstår till följd av att personuppgifter har behandlats i strid med förordningen. Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den ansvariges instruktioner. Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvarige eller personuppgiftsbiträdet. De får sedan i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.

Finns skyldigheten att föra förteckning över vilken personuppgiftsbehandling som sker kvar?

Ja, enligt en särskild bestämmelse i förordningen ska den personuppgiftsansvarige föra en förteckning över den behandling som man ansvarar för. Dessutom ska ett personuppgiftsbiträde föra en förteckning över den behandling som de utför för någon annans räkning.

Denna skyldighet gäller enbart företag med fler än 250 anställda.

Företag som hanterar känsliga personuppgifter, uppgifter om lagöverträdelser eller vars behandling av personuppgifter sannolikt kommer att medföra en risk för de registrerades rättigheter och friheter är dock skyldiga att ha en förteckning oavsett storlek.

EU:s dataskyddsreform

Tillbaka till Frågor och svar

Läs mer om EU:s dataskyddsreform

Här får du veta mer om EU:s dataskyddsreform och när de nya reglerna kan komma att införas i svensk lagstiftning.