Hoppa till innehåll på sidan
Vi guidar dig

Vem är ansvarig för att GDPR följs när flera aktörer är inblandade?

När flera olika aktörer är inblandade, till exempel i ett innovationsprojekt, är det viktigt att alla aktörer är medvetna om vilket ansvar de har för de personuppgiftsbehandlingar som pågår. Flera parter kan vara ansvariga samtidigt. I samma stund som ni har tillgång till personuppgifter måste ni ställa er frågan: vilket ansvar har vi för behandlingen av personuppgifterna?

Det är viktigt att ni utreder om ni bär ansvar som personuppgiftsansvarig och om det finns flera gemensamt ansvariga eller om ni har skyldigheter som personuppgiftsbiträde. Om två eller flera gemensamt bestämmer över en viss behandling är de personuppgiftsansvariga tillsammans och måste sinsemellan bestämma vem som är ansvarig för att fullgöra de olika skyldigheterna i GDPR.

Checklista

Personuppgiftsansvarig

Som personuppgiftsansvarig verksamhet, tänk på att:
  • 1

    Ni har ansvaret

    Ni har ansvar för att behandlingen sker i enlighet med GDPR:s samtliga bestämmelser enligt principen om ansvarsskyldighet.

  • 2

    Ni kan bara överlåta behandlingen

    Ni kan överlåta den faktiska behandlingen av personuppgifter till ett personuppgiftsbiträde (till exempel hela det praktiska arbetet med en tjänst, hanteringen av ert kundregister och så vidare), men personuppgiftsansvaret kvarstår. Det kan aldrig lämnas över eller avtalas bort.

  • 3

    Upprätta personuppgiftsbiträdesavtal

    Ni måste upprätta ett så kallat personuppgiftsbiträdesavtal mellan er och ett eventuellt personuppgiftsbiträde.

Checklista

Personuppgiftsbiträde

Har ni rollen som personuppgiftsbiträde, tänk på att:
  • 1

    Avvik inte från instruktionen

    Ni får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvarige och ni får inte anlita ett annat biträde utan att i förhand få ett skriftligt tillstånd av den personuppgiftsansvarige.

  • 2

    Ni har också skyldigheter

    En del skyldigheter som den personuppgiftsansvarige har gäller även er, som att föra register över behandlingar, säkerställa en lämplig säkerhetsnivå och i vissa fall att utse ett dataskyddsombud.

 

Både den personuppgiftsansvarige och personuppgiftsbiträdet kan bli föremål för tillsyn eller administrativa sanktionsavgifter och bli skadeståndsansvarig.

Senast uppdaterad: 18 november 2022