Personuppgiftsansvar
Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter
(3 § personuppgiftslagen)
Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Undantagsvis kan en fysisk person vara personuppgifts- ansvarig, till exempel en enskild företagare.
Det är de faktiska omständigheterna i det enskilda fallet som avgör vem som är personuppgiftsansvarig. Avtal där ansvaret preciseras kan ge vägledning vid
bedömningen. Om två eller flera gemensamt bestämmer över en viss behandling är de personuppgiftsansvariga tillsammans. Vem som är personuppgiftsansvarig kan också särskilt anges i lag eller förordning, till exempel i särskilda registerlagar.
En användare som enbart har rätt att komma åt personuppgifter genom att läsa dem och söka bland dem men som inte självständigt får ändra, komplettera eller radera uppgifterna är inte personuppgiftsansvarig.
En juridisk person eller en myndighet är personuppgiftsansvarig även om verksamheten bedrivs i filialer eller andra organisatoriska enheter. Om flera juridiska personer i en organisation (till exempel i en koncern) behöver behandla samma personuppgifter kan ansvarsfördelningen se ut på olika sätt.
◼ Om moderbolaget ensamt bestämmer över behandlingen blir moderbolaget personuppgiftsansvarig.
◼ Om alla bolag inom en koncern gemensamt bestämmer över behandlingen blir de tillsammans ansvariga för det aktuella registret.
December 2010
De olika koncernbolagen kan naturligtvis samtidigt var för sig vara personuppgifts- ansvariga för andra register som de självständigt bestämmer över.
I en kommun är normalt både kommunstyrelsen och de kommunala nämnderna
– om de är så självständiga att de är förvaltningsmyndigheter – personuppgifts- ansvariga, var och en i sin verksamhet. Vilket organ i kommunen som är person- uppgiftsansvarig kan variera; de faktiska omständigheterna måste prövas i varje enskilt fall, till exempel om nämnden självständigt förfogar över de personuppgifter som behandlas.
Vid publiceringar på Internet kan både organisationer och enskilda fysiska personer ha ett ansvar för vad de publicerar. Om en organisation har möjlighet att bestämma över ändamål och medel för en publicering gjord av andra besökare är organi- sationen ansvarig även för denna. Organisationens ansvar utesluter inte att även besökarna är ansvariga för det de publicerar.
Personuppgiftsbiträde
Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning
(3 § personuppgiftslagen)
Ett personuppgiftsbiträde finns alltid utanför den egna organisationen. En anställd eller någon annan som behandlar personuppgifter under den personuppgiftsan- svariges direkta ansvar är inte personuppgiftsbiträde.
Miljömärkt trycksak 341 077.
Ett personuppgiftsbiträde kan vara antingen en fysisk eller en juridisk person. Om en personuppgiftsansvarig till exempel anlitar en servicebyrå blir denna ett personupp- giftsbiträde som får behandla personuppgifter enligt den personuppgiftsansvariges instruktioner. Ett skriftligt avtal måste upprättas. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet bara får behandla personuppgifterna i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som behövs för att skydda uppgifterna.
Ansvaret kan inte överlåtas
Den personuppgiftsansvarige kan överlåta den faktiska behandlingen av person- uppgifter men personuppgiftsansvaret kan aldrig överlåtas. Det är alltid den person- uppgiftsansvarige som ytterst svarar för att personuppgiftslagen följs och att de registrerade behandlas korrekt.
Ansvaret är straff- och skadeståndssanktionerat. Den personuppgiftsansvarige är skadeståndsskyldig gentemot den registrerade, även för åtgärder som en
medhjälpare eller ett personuppgiftsbiträde har utfört. Ett biträde kan enligt avtal eller allmänna regler bli skadeståndsskyldigt gentemot den personuppgiftsansvarige.
Tryckt hos Intellecta infolog på Arctic Volume White papper.
Kontakta Datainspektionen
E-post: xxxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxx.xx Xxxx: xxx.xxxxxxxxxxxxxxxx.xx Tfn 00-000 00 00. Postadress: Datainspektionen, Box 8114, 104 20 Stockholm.