Ansvar

De organisationer, i fallet kommuner är det oftast nämnder/styrelser, som behandlar personuppgifter är antingen personuppgiftsansvariga eller personuppgiftsbiträden med avseende på behandlingen. Personuppgiftsansvarig är den nämnd/styrelse som bestämmer medel och ändamål för personuppgiftsbehandlingen.

Ett personuppgiftsbiträde behandlar personuppgifter på uppdrag av personuppgiftsansvarig. Även personuppgiftsbiträden har en skyldighet att följa GDPR enligt de bestämmelserna som berör dem i föreskriften. Detta regleras i  Personuppgiftsbiträdesavtal (PUB-avtal). 

Enligt GDPR är personuppgiftsansvarig  ansvarig för behandlingar av personuppgifter som utförs inom sin verksamhet. Även om det inte är den personuppgiftsansvarige som i praktiken utför det dagliga arbetet med GDPR, har den personuppgiftsansvarige skyldighet att tillse att verksamheterna har resurser till att arbeta med GDPR, och ska också ta till sig rapportering från både verksamhet och dataskyddsombud för att hålla sig underrättade om verksamheternas efterlevnad av förordningen. Enligt GDPR har personuppgiftsansvariga en skyldighet att se till att behandlingarna sker enligt GDPR och att visa att GDPR efterlevs på olika sätt .

Gemensamt personuppgiftsansvar

I vissa fall där flera aktörer är involverade i en personuppgiftsbehandling kan det handla om ett gemensamt personuppgiftsansvar. Om gemensamt personuppgiftsansvar ska gälla ska alla de inblandade personuppgiftsansvariga delta aktivt i fastställandet av ändamål och medel för behandlingen. Ett arrangemang ska finnas, i vilket det tydliggörs för varje personuppgiftsansvarig vilket ansvar denne har i behandlingen, särskilt gentemot de registrerade, för att de registrerades rättigheter ska kunna tillgodogöras enligt GDPR.