Ansvarsfördelning vid hanteringen av personuppgifter


Personuppgifter och hanteringen kring dessa är en känslig fråga, speciellt i fråga om ansvarsfördelning. En viss individ inom ett företag eller på en myndighet kan utses som ombud för att sköta och överse hanteringen av uppgifterna, men det bör ses som självklart att det yttersta ansvaret alltid kommer att hänga på den personuppgiftsansvarige. Ansvaret hänger därmed helt och hållet på den personuppgiftsansvarige, behandlingen/hanteringen av uppgifter kan dock överlåtas på ett personuppgiftsombud eller ett personuppgiftsbiträde (någon utanför organisationen som har hand om personuppgifterna), men den personuppgiftsansvarige kan aldrig komma ifrån själva ansvaret. Ansvaret är straff- och skadeståndssanktionerat, men den personuppgiftsansvarige kan komma ifrån detta genom att avtala om att personuppgiftsbiträdet betalar skadestånd till den personuppgiftsansvarige. Detta om det skulle visa sig att biträdets oförmåga att fullfölja sina uppgifter enligt avta harl varit anledning till att den personuppgiftsansvarige fått betala skadestånd till någon i sitt personuppgiftsregister, ifall det skulle uppstå en situation där hanteringen av viss känslig information kommer i fråga.

Antingen kan en hel koncern vara personuppgiftsansvarig, dvs. moderbolaget är den personuppgiftsansvarige, eller så kan alla filialer och dotterbolag etc. ha ett delat ansvar. Enligt datainspektionen är det dock fullt tillåtet att varje filial eller bolag inom koncernen räknas som en egen personuppgiftsansvarig som sköter sitt eget register. Vid det fallet, och då inget personuppgiftsombud har valts ut för att underlätta arbetet, faller ansvaret ganska naturligt på VD:n. Den personuppgiftsansvarige väljer ut ett ombud för att underlätta sitt eget arbete, men samtidigt för att inkorporera detta i någons arbete, så att någon har som arbetsuppgift att sköta personuppgiftsregistret. Den personuppgiftsansvarige kan som sagt aldrig komma ifrån sitt ansvar, men den kan skapa ett skydd i form av att ”outsourca” själva hanteringen av personuppgifterna till ett så kallat personuppgiftsbiträde. Biträdet har sedan ett ansvar gentemot företaget, men inte gentemot personerna som finns i registret eller mot datainspektionen. Därav är det viktigt att den personuppgiftsansvarige, vid val av personuppgiftsbiträde, avtalar om skadestånd vid felaktig hantering av personuppgifter.

Har företaget ett personuppgiftsombud, underlättas den personuppgiftsansvariges roll, men inte dennes ansvar. Den juridiska personen kommer alltid bära ansvaret, men vid val av ett ombud i ett företag som tidigare inte haft något personuppgiftsombud skulle det innebära att VD:n inte blir den personen som måste bära allt ansvar inom företaget. Med andra ord, företaget slipper aldrig sitt ansvar, men med ett personuppgiftsombud slipper VD:n stå till svars för felaktigheter (inför styrelsen). Med ett personuppgiftsbiträde slipper en enskild person på företaget stå till svars för all hantering. Det blir istället någon utanför företaget, exempelvis en servicebyrå, som bär detta ansvar. Fördelen med detta är först och främst det självklara, väldigt få personer vill axla rollen som personuppgiftsombud, även om ombudet inte behöver stå till svars inför myndigheter och registrerade individer vid eventuella felaktigheter måste denne stå till svars inför den personuppgiftsansvarige. Personuppgiftsbiträdet kostar självfallet pengar, men då slipper någon väljas ut för att axla en relativt otacksam post inom företaget. En rekommendation är dock att alltid först och främst försöka annonsera ut det inom de egna leden. Om företaget väl väljer ett personuppgiftsbiträde skall man ha ett klart reglerat avtal innehållande klausuler om skadestånd vid felaktigheter som i sin tur drabbat företaget.

Liknande artiklar

Bläddra bland juridiska artiklar