Vem gör vad?

Roller och ansvar inom GDPR

Bra att ha koll på

Inom GDPR har man definierat tre olika roller och ansvarsområden:

Personuppgiftsansvarig

  • Personuppgiftsansvarig är den som bestämmer ändamålen och medlen för personuppgiftshanteringen. Det kan vara en fysisk eller en juridisk person. I ett företag är det inte VD:n eller de anställda som är personuppgiftsansvariga, och inte de som behöver betala 4% av globala årsomsättningen om företaget skulle bryta mot förordningen.

Personuppgiftsbiträde

  • Personuppgiftsbiträde (DPA) Behandlar för personuppgiftsansvariges räkning. Det kan t ex vara en extern leverantör som kanske trycker dina fakturor. De får bara göra det som avtalet kräver för en tjänst ska utföras, och får bara utföra det som den personuppgiftsansvariga säger att de får göra. De får heller inte göra något eget med personuppgifterna och kan aldrig bestämma själva hur de ska behandlas. Detta ska regleras via ett avtal, Personuppgiftsbiträdesavtal.



Så se över dina avtal med dina externa partners och se till att de håller för GDPR. Det gäller även avtal med parters utanför EU. I GDPR finns en lista på länder vars säkerhet är godkänd av EU.

Dataskyddsombud

  • I och med GDPR så införs rollen som dataskyddsombud (DPO). Dataskyddsombudet (DPO) får en utökad roll jämfört med dagens personuppgiftsombud. Men rollen är enbart rådgivande och ska kontaktas när man påbörjar en ny behandling samt vara kontaktpunkt för Datainspektionen, men det är ingen man kan skylla på och DPO:n är inte personligen ansvarig.


    GDPR kräver inte att alla personuppgiftsansvariga måste ha ett dataskyddsombud, men det kan ses som en kvalitetsstämpel att utse en. Så det du behöver fråga dig är:

  1. Behöver du ett dataskyddsombud?
  2. Även om du inte behöver det, vill du ha ett?