Om två eller flera gemensamt bestämmer över en viss behandling är de personuppgiftsansvariga tillsammans och måste sinsemellan bestämma vem som är ansvarig för att fullgöra de olika skyldigheterna i dataskyddsförordningen.
Vem som är personuppgiftsansvarig kan också anges i lag eller förordning, till exempel i särskilda registerlagar.
Den som är personuppgiftsansvarig kan överlåta den faktiska behandlingen av personuppgifter men personuppgiftsansvaret kan aldrig överlåtas.
Den personuppgiftsansvarige måste se till att behandlingen sker i enlighet med dataskyddsförordningens samtliga bestämmelser. Dess personal får enbart behandla personuppgifter enligt de instruktioner som getts av den personuppgiftsansvarige.
Den personuppgiftsansvarige har ett generellt ansvar att, utifrån de integritetsrisker som finns med behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Detta kan innebära att man har antagit en policy med lämpliga strategier för dataskydd och ser till att genomföra den i organisationen. Uppförandekoder och certifieringar kan vara ett sätt att visa att man uppfyller dataskyddsförordningens bestämmelser.
Svensk version av dataskyddsförordningen (webbversion)
Svensk version av dataskyddsförordningen (pdf-version)
Engelsk version av dataskyddsförordningen (pdf-version)
Läs mer om:
Personuppgiftsbiträde
Inbyggt dataskydd och dataskydd som standard
Register över behandling
Säkerhet för personuppgifter
Anmäla personuppgiftsincident
Konsekvensbedömningar och förhandssamråd
Dataskyddsombud
Uppförandekod och certifiering
Källa: