Virksomhedsleder der bærer ansvaret som dataansvarlig
GDPR RolleArtikel 4(7)

Dataansvarlig

Den dataansvarlige er den fysiske eller juridiske person, offentlige myndighed, institution eller andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger. Det er den dataansvarlige, der bærer det primære ansvar for GDPR-compliance.

Hvem er dataansvarlig?

Den dataansvarlige er den, der reelt bestemmer 'hvorfor' og 'hvordan' personoplysninger behandles. Det er typisk virksomheden selv, ikke en enkelt medarbejder. Når en webshop indsamler kundedata til ordrebehandling, er webshoppen (virksomheden) den dataansvarlige. Når en arbejdsgiver behandler medarbejderdata, er arbejdsgiveren den dataansvarlige. Det afgørende er, hvem der træffer beslutningerne om behandlingens formål og midler.

Forpligtelser som dataansvarlig

Den dataansvarlige har omfattende forpligtelser under GDPR: at sikre et lovligt grundlag for behandling; at informere de registrerede om behandlingen (privatlivspolitik); at respektere de registreredes rettigheder (indsigt, sletning, berigtigelse mv.); at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger; at føre fortegnelse over behandlingsaktiviteter; at anmelde brud på persondatasikkerheden til Datatilsynet inden 72 timer; og at gennemføre konsekvensanalyser ved høj risiko.

Fælles dataansvarlige

To eller flere dataansvarlige kan i fællesskab afgøre formål og midler for behandling. I det tilfælde er de fælles dataansvarlige og skal indgå en aftale, der fastlægger deres respektive ansvar for overholdelse af GDPR. Aftalen skal særligt fastlægge, hvem der har ansvaret for at opfylde informationspligten, og hvordan de registrerede kan udøve deres rettigheder. De registrerede kan dog udøve deres rettigheder over for enhver af de fælles dataansvarlige.

Vigtigste punkter

  • Bestemmer formål og midler for behandling af personoplysninger
  • Bærer det overordnede ansvar for GDPR-compliance
  • Skal implementere tekniske og organisatoriske sikkerhedsforanstaltninger
  • Skal anmelde databrud til Datatilsynet inden 72 timer
  • Kan være fælles dataansvarlig med andre organisationer

Læs også

DPO-rollenDatabehandlerSamtykkeDatabrud: Hvad gør du?
Tilbage til alle roller