Personuppgiftsansvarig

    Förenklat är den personuppgiftsansvarige den fysiska eller juridiska person som bestämmer syftet och medlen för behandlingen av personuppgifter.

    Enligt legaldefinitonen i artikel 4 (7) GDPR, är en personuppgiftsansvarig:

    “en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.”

    Ansvaret att följa GDPR utgår från den personuppgiftsansvarige. Där den ansvarige anlitar leverantörer ska detta regleras i ett personuppgiftsbiträdesavtal där den ansvarige ger instruktioner.

    Tänk på att flera organisationer kan vara gemensamt personuppgiftsansvariga tillsammans för samma behandling. Här krävs då att ett avtal om gemensamt ansvar sätts upp där skyldigheterna mot de registrerade fördelas.