Hjälp! Går det att delegera personuppgiftsansvaret till någon annan än vårt bolag?

Tyvärr är det inte möjligt att flytta ansvaret för behandlingen av personuppgifter till någon annan. Personuppgiftsansvaret och medföljande sanktionsansvar enligt art 83 ligger alltid på den personuppgiftsansvarige. Den personuppgiftsansvarige är normalt en juridisk person. Vem som är personuppgiftsansvarig avgörs av vem som bestämmer över ändamålen och medlen med behandlingen, se definitionen i art 4. Det kan ibland vara svårt att avgöra vem som ansvarar för behandlingen när flera företag och organisationer samarbetar om en behandling och ibland kan det vara lämpligt att ta hjälp för att reda ut förhållandena mellan dessa.

Med personuppgiftsansvaret följer även ett ansvar gentemot de registrerade, dvs. de personer som personuppgifterna tillhör.

Själva arbetsuppgifterna och därmed det interna ansvaret inom en organisation eller ett företag kan däremot delegeras till en fysisk person, t.ex. en system- eller informationsägare.


Vad händer med personuppgiftslagen när GDPR träder ikraft?

GDPR är en förordning vilket innebär att den gäller direkt i Sverige, se art 1. Detta brukar ibland kallas att förordningen har direkt effekt (till skillnad från ett EU-direktiv). GDPR behöver alltså inte införlivas särskilt i svensk lag utan gäller iallafall. Det fina med det är att alla EU-länder kommer att ha och tillämpa exakt samma förordningstext vilket underlättar för företag med verksamhet i flera EU-länder eftersom de då bara behöver förhålla sig till ett regelverk.

Samtidigt som GDPR träder i kraft 25 maj 2018 upphör personuppgiftslagen (PuL) att gälla i Sverige.


Det här med privacy by design

Två nya principer som introducerats i GDPR är privacy by design och privacy by default (på svenska kallade inbyggt dataskydd och dataskydd som standard). Principerna återfinns i art 25 och vad dessa principer innebär i praktiken avser vi att återkomma till vid ett annat tillfälle.

En av de vanligaste frågorna beträffade privacy by design och privacy by default är huruvida dessa principer endast gäller vid nyutveckling av system eller om de även ska tillämpas på befintliga systemlösningar.

Vår bedömning är att eftersom GDPR inte innehåller några övergångsregler så ska alla regler efterlevas från och med 25 maj 2018, dvs. även principerna om privacy by design och privacy by default. Principerna ska därför gälla även för de system som ni redan har i er organisation eller företag.


Varför ska vi bry oss om GDPR?

Många företag och organisationer börjar nu uppmärksamma EUs nya förordning om dataskydd, GDPR. Men varför ska vi bry oss? Svaret är enkelt. Från 25 maj 2018 riskerar nämligen de företag som inte följer GDPR böter på upp till 2 procent av sina globala intäkter (art 83). För allvarliga brott mot förordningen kan upp mot 4 procent i böter utkrävas. De finns därför all anledning att ta EUs dataskyddsförordning på allvar!