Personuppgiftsansvarig

Ett centralt begrepp när det gäller personuppgifter är personuppgiftsansvar. Personuppgiftsansvarig är den som behandlar personuppgifter i sin verksamhet, det vill säga ofta ett företag eller myndighet. Här får du veta mer.

Vem är personuppgiftsansvarig?

Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (enligt 3 § personuppgiftslagen).

Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Undantagsvis kan en fysisk person vara personuppgiftsansvarig, till exempel en enskild företagare.

Det är de faktiska omständigheterna i det enskilda fallet som avgör vem som är personuppgiftsansvarig, det vill säga vem som faktiskt bestämmer över behandlingen. Avtal där ansvaret preciseras kan ge vägledning vid bedömningen. Om två eller flera gemensamt bestämmer över en viss behandling är de personuppgiftsansvariga tillsammans.

Vem som är personuppgiftsansvarig för en viss behandling kan också särskilt anges i en lag eller förordning, till exempel i särskilda registerlagar.

En användare som enbart har rätt att komma åt personuppgifter genom att läsa och söka bland dem, men som inte självständigt får ändra, komplettera eller radera uppgifterna är inte personuppgiftsansvarig.

Filialer
En juridisk person eller en myndighet är personuppgiftsansvarig även om verksamheten bedrivs i filialer eller andra organisatoriska enheter.

Om flera juridiska personer i en organisation behöver behandla samma personuppgifter (till exempel föra ett register över alla anställda i en koncern), kan ansvarsfördelningen se ut på olika sätt:

  • En möjlighet är att låta moderbolaget ensamt bestämma över behandlingen. Moder­bolaget blir därmed personuppgiftsansvarig för registret.
  • En annan möjlighet är att alla bolag inom koncernen gemensamt bestämmer över behandlingen och därmed tillsammans blir ansvariga för det aktuella registret.

De olika koncernbolagen kan naturligtvis samtidigt var för sig vara personuppgiftsansvariga för andra register som de självständigt bestämmer över.

Kommuner
I en kommun är normalt både kommunstyrelsen och de kommunala nämnderna - om de är så självständiga att de är förvaltningsmyndigheter - personuppgiftsansvariga, var och en i sin verksamhet. Vilket organ i kommunen som är personuppgiftsansvarig kan inte anges generellt; de faktiska omständigheterna måste prövas i varje enskilt fall, till exempel om nämnden självständigt förfogar över de personuppgifter som behandlas.

Vem är personuppgiftsbiträde?

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning (enligt 3 § personuppgiftslagen).

Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. En anställd eller någon annan som behandlar personuppgifter under den personuppgiftsansvariges direkta ansvar är inte personuppgiftsbiträde.

Ett personuppgiftsbiträde kan vara antingen en fysisk eller en juridisk person. Om en personuppgiftsansvarig anlitar till exempel en servicebyrå, blir denna ett personuppgiftsbiträde som får behandla personuppgifter enligt den personuppgiftsansvariges instruktioner. Ett skriftligt avtal måste upprättas. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som behövs för att skydda uppgifterna.

Vem är ansvarig?

Den personuppgiftsansvarige kan överlåta den faktiska behandlingen av personuppgifter, men personuppgiftsansvaret kan aldrig överlåtas. Det är alltid den personuppgiftsansvarige som ytterst svarar för att personuppgiftslagen följs och att de registrerade behandlas korrekt.

Ansvaret är straff- och skadeståndssanktionerat. Den personuppgiftsansvarige är skadeståndsskyldig gentemot den registrerade, även för åtgärder som en medhjälpare eller ett personuppgiftsbiträde har utfört. Ett biträde kan enligt avtal eller allmänna regler bli skadeståndsskyldigt gentemot den personuppgiftsansvarige.

Personuppgiftslagen

Mer information

Aktuella fall

Bland våra samrådsyttranden hittar du många exempel på frågeställningar kring personuppgiftsansvaret.

Dokument

Ladda ner som pdf

Informationen på denna sida finns även i pdf-format.

Beställ som faktablad

Ladda ner faktabladet PersonuppgiftsansvarigDu kan också beställa sidan som ett tryckt faktablad. Besök vår beställningstjänst.