Vem är personuppgiftsansvarig?

Fråga:

Vem är personuppgiftsansvarig?

Svar:

Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till.

Exempel om ett aktiebolag för ett kundregister är det bolaget som är personuppgiftsansvarigt för behandlingen. Det är bolaget som har bestämt att ett kundregister skall inrättas och för vilka ändamål det ska föras, därmed blir bolaget ansvarig för det. Att en anställd inom bolaget har beslutat att det skall inrättas ett kundregister kan aldrig göra personen i fråga till personuppgiftsansvarig. En person som är systemansvarig inom ett bolag eller en myndighet blir inte heller personuppgiftsansvarig.

Om flera juridiska personer bestämmer över en viss behandling kan de vara gemensamt personuppgiftsansvariga. Detsamma gäller för databaser som myndigheter använder gemensamt (om inte något annat anges i lag eller förordning).

Den som behandlar personuppgifter för egen räkning (utanför en eventuell anställning) blir däremot själv personuppgiftsansvarig för den behandlingen. Ett exempel på personer som själva blir personuppgiftsansvariga för behandlingar av personuppgifter är enskilda näringsidkare (kallas ibland enskild firma). Ett företag som drivs på detta sätt är inte en juridisk person och näringsidkaren är personligt ansvarig för att personuppgifter behandlas enligt personuppgiftslagen.

Personuppgiftsansvaret i en kommun ligger normalt hos de kommunala nämnder som är så självständiga att de är förvaltningsmyndigheter. En kommunal nämnd som är förvaltningsmyndighet är således personuppgiftsansvarig för de behandlingar av personuppgifter som nämnden har att utföra.

Vem som är personuppgiftsansvarig för en viss behandling kan också särskilt anges i lag eller förordning, till exempel i särskilda registerlagar.