meny

Arbetsgivarens personuppgiftsansvar

Här kan du läsa om vem som är personuppgiftsansvarig och vad ansvaret innebär.

Personuppgiftsansvarig

Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse, förening eller myndighet) som bestämmer vilka personuppgifter som ska behandlas i verksamheten och vad uppgifterna ska användas till.

Det är alltså inte chefen eller en anställd som är personuppgiftsansvarig, utan själva organisationen som arbetsgivare. Även en enskild person kan vara personuppgiftsansvarig, till exempel en företagare med enskild firma.

Arbetsgivaren ansvarar som personuppgiftsansvarig för att anställda inte behandlar personuppgifter på ett otillåtet sätt i tjänsten och kan bli ansvarig för skador som de orsakar. Arbetsgivaren måste se till att all behandling av personuppgifter som utförs i tjänsten uppfyller dataskyddsförordningens krav, till exempel i fråga om ändamål med behandlingen, gallring och säkerhet. Det gäller oavsett om behandlingen sker på arbetsplatsen, i hemmet eller på en tjänsteresa. Arbetsgivaren behöver därför lämna tydliga instruktioner som beskriver hur de anställda får behandla personuppgifter.

Ibland kan flera juridiska personer, till exempel inom en företagskoncern, vara inblandade i behandlingen av samma personuppgifter. Det är då viktigt att ta ställning till ansvarsfrågan så att det från början står klart för varje part vilket ansvar den har.

Det är de faktiska omständigheterna i det enskilda fallet som avgör vem som är personuppgiftsansvarig.

Personuppgiftsbiträde

Arbetsgivaren kan låta någon annan utföra den faktiska behandlingen av personuppgifter genom att anlita ett personuppgiftsbiträde, till exempel för hanteringen av de anställdas löner. Personuppgiftsansvaret kan däremot aldrig överlåtas. Arbetsgivaren är fortsatt ansvarig för behandling som utförs av ett personuppgiftsbiträde, till exempel en molntjänstleverantör. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. Anställda är inte personuppgiftsbiträden.

Det ska finnas ett skriftligt avtal mellan arbetsgivaren som personuppgiftsansvarig och personuppgiftsbiträdet. Dataskyddsförordningen räknar upp vad avtalet ska innehålla. Där ska bland annat framgå att personuppgiftsbiträdet, inklusive dess anställda, bara får behandla personuppgifter i enlighet med dokumenterade instruktioner från den personuppgiftsansvariga och att biträdet ska bistå den personuppgiftsansvariga på olika sätt. Det är alltså arbetsgivaren som bestämmer för vilka ändamål personuppgifterna får behandlas. Personuppgiftsbiträdet är skyldig att föra register över behandlingar och att vidta lämpliga säkerhetsåtgärder för att skydda de uppgifter som behandlas.