Personuppgiftsansvarig

Den 25 maj 2018 ersättas personuppgiftslagen med dataskyddsförordningen (GDPR). På en annan plats på Datainspektionens webbplats får du veta mer om vad den nya lagstiftningen innebär:
Läs mer om dataskyddsförordningen

Ett centralt begrepp när det gäller personuppgifter är personuppgiftsansvar. Personuppgiftsansvarig är den som behandlar personuppgifter i sin verksamhet, det vill säga ofta ett företag eller myndighet. Här får du veta mer.

Vem är personuppgiftsansvarig?

Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. (3 § personuppgiftslagen)

Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Undantagsvis kan en fysisk person vara personuppgiftsansvarig, till exempel en enskild företagare.

Det är de faktiska omständigheterna i det enskilda fallet som avgör vem som är personuppgiftsansvarig. Avtal där ansvaret preciseras kan ge vägledning vid bedömningen. Om två eller flera gemensamt bestämmer över en viss behandling är de personuppgiftsansvariga tillsammans. Vem som är personuppgiftsansvarig kan också särskilt anges i lag eller förordning, till exempel i särskilda registerlagar.

Personuppgiftsansvar

En användare som enbart har rätt att komma åt personuppgifter genom att läsa dem och söka bland dem men som inte självständigt får ändra, komplettera eller radera uppgifterna är inte personuppgiftsansvarig.

En juridisk person eller en myndighet är personuppgiftsansvarig även om verksamheten bedrivs i filialer eller andra organisatoriska enheter. Om flera juridiska personer i en organisation (till exempel i en koncern) behöver behandla samma personuppgifter kan ansvarsfördelningen se ut på olika sätt.

  • Om moderbolaget ensamt bestämmer över behandlingen blir moderbolaget personuppgiftsansvarig.
  • Om alla bolag inom en koncern gemensamt bestämmer över behandlingen blir de tillsammans ansvariga för det aktuella registret.

De olika koncernbolagen kan naturligtvis samtidigt var för sig vara personuppgiftsansvariga för andra register som de självständigt bestämmer över.

I en kommun är normalt både kommunstyrelsen och de kommunala nämnderna om de är så självständiga att de är förvaltningsmyndigheter – personuppgiftsansvariga, var och en i sin verksamhet. Vilket organ i kommunen som är personuppgiftsansvarig kan variera; de faktiska omständigheterna måste prövas i varje enskilt fall, till exempel om nämnden självständigt förfogar över de personuppgifter som behandlas.

Vid publiceringar på internet kan både organisationer och enskilda fysiska personer ha ett ansvar för vad de publicerar. Om en organisation har möjlighet att bestämma över ändamål och medel för en publicering gjord av andra besökare är organisationen ansvarig även för denna. Organisationens ansvar utesluter inte att även besökarna är ansvariga för det de publicerar.

Personuppgiftsbiträde

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. (3 § personuppgiftslagen)

Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. En anställd eller någon annan som behandlar personuppgifter under den personuppgiftsansvariges direkta ansvar är inte personuppgiftsbiträde.

Ett personuppgiftsbiträde kan vara antingen en fysisk eller en juridisk person. Om en personuppgiftsansvarig till exempel anlitar en servicebyrå blir denna ett personuppgiftsbiträde som får behandla personuppgifter enligt den personuppgiftsansvariges instruktioner. Ett skriftligt avtal måste upprättas. Det är den personuppgiftsansvarige som ansvarar för att avtalet finns. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som den personuppgiftsansvarige ska vidta.

Ansvaret kan inte överlåtas

Den personuppgiftsansvarige kan överlåta den faktiska behandlingen av personuppgifter men personuppgiftsansvaret kan aldrig överlåtas. Det är alltid den personuppgiftsansvarige som ytterst svarar för att personuppgiftslagen följs och att de registrerade behandlas korrekt.

Ansvaret är straff- och skadeståndssanktionerat. Den personuppgiftsansvarige är skadeståndsskyldig gentemot den registrerade, även för åtgärder som en medhjälpare eller ett personuppgiftsbiträde har utfört. Ett biträde kan enligt avtal eller allmänna regler bli skadeståndsskyldigt gentemot den personuppgiftsansvarige.

Personuppgiftslagen

Mer information

Aktuella fall

Bland våra samrådsyttranden hittar du många exempel på frågeställningar kring personuppgiftsansvaret.

Dokument

Ladda ner som pdf

Informationen på denna sida finns även i pdf-format.