Dataskyddsförordningen och olika roller

GDPRGuide
Skrivet av Crona Software

Supportdokument nr: LON0155 Programvara: Crona Lön, Modell: Alla

Den som behandlar personuppgifter är antingen personuppgiftsansvarig, personuppgiftsbiträde eller underbiträde.

Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Personuppgiftsbiträde och underbiträdet är de som behandlar personuppgifter för den personuppgiftsansvariges räkning.

En personuppgiftsansvarig eller ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.

Personuppgiftsansvarig

Personuppgiftsansvarig är den organisation som bestämmer för vilket ändamål uppgifterna ska behandlas och hur den ska gå till. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Även en fysisk person kan vara personuppgiftsansvarig som för en enskild firma.

Den som är personuppgiftsansvarig kan överlåta den behandlingen av personuppgifter men ansvaret kan aldrig överlåtas.
Den personuppgiftsansvarige måste se till att behandlingen sker i enlighet med dataskyddsförordningens samtliga bestämmelser. Dess personal får enbart behandla personuppgifter enligt de instruktioner som getts av den personuppgiftsansvarige.

Den personuppgiftsansvarige har ett generellt ansvar att, utifrån de integritetsrisker som finns med behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen.

Detta kan vara att man har antagit en policy med strategier för dataskydd och ser till att genomföra den. Uppförandekoder och certifieringar kan vara ett annat sätt att visa att man uppfyller dataskyddsförordningens bestämmelser.

Personuppgiftsbiträde

Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person. De biträden som den personuppgiftsansvarige anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas.

Ett personuppgiftsbiträde och dess personal får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvarige. Biträdet får inte anlita ett annat biträde utan att på förhand få ett skriftligt tillstånd av den ansvarige.

Vissa skyldigheter som tidigare har gällt för den personuppgiftsansvarige gäller nu även för biträdet, som kraven på att föra register över behandlingar, att säkerställa en lämplig säkerhetsnivå och att i vissa fall utse ett dataskyddsombud.

Även personuppgiftsbiträdet kan bli föremål för tillsyn eller administrativa sanktionsavgifter och bli skadeståndsansvarig. Den personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så kallat biträdesavtal. Avtalet ska bland annat innehålla instruktioner för hur personuppgiftsbiträdet får behandla personuppgifterna.

Underbiträde

Personuppgiftsbiträdet kan i sin tur anlita andra biträden, så kallade underbiträden, men endast om den personuppgiftsansvarige i förväg gett ett skriftligt tillstånd till detta.

Tillståndet kan gälla anlitande av ett visst underbiträde eller gälla generellt. Om ett biträde har ett generellt tillstånd måste ändå den personuppgiftsansvarige informeras.

Ett underbiträde omfattas av samma skyldigheter som det ursprungliga personuppgiftsbiträdet har mot den personuppgiftsansvarige enligt deras avtal.

Den personuppgiftsansvarige behöver även få reda på bland annat kontaktuppgifter till underbiträdet för att kunna utföra eventuella kontroller av hur underbiträdet lever upp till avtalet.

Använder ni Crona Lön som är en molntjänst, är ni som företag personuppgiftsansvarig, vi som förmedlare biträde och vår operatör som driftar tjänsten underbiträde.

Dataskyddsombud

Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud.

Ombudets roll är att kontrollera att dataskyddsförordningen följs genom att t.ex. utföra kontroller och informationsinsatser.

Ett Dataskyddsombud behöver endast utses i speciella fall och detta gäller inte för att man har ett personregister i Crona Lön.

Crona Software
Föregående

Arbetsmarknadskostnadens nivå och struktur
Nästa

Crona Lön och medarbetarens rättigheter