I varje organisation (så som förening, bolag, myndighet) måste det finnas en personaluppgiftansvarig som bestämmer vilka uppgifter som organisationen behöver men också hur dessa ska behandlas och hanteras.
Denna ansvarig är inte alltid en fysisk person så som chef utan anställd utan kan även vara en juridisk person (t.ex. ett aktiebolag). I de fall det handlar om enskilda firmor är det istället en fysisk person då det inte finns några juridiska personer.
Uppdelningen ser ut så att det finns en personuppgiftsansvarig (som bär huvudansvaret) och sedan personaluppgiftsbiträde (som utför hanteringen av uppgifterna i enlighet med de riktlinjer som personuppgiftsansvarig satt upp).
Det finns även de fall då flera personer går ihop som personaluppgifts ansvarig och dessa delar då på ansvaret.
Den ansvarige kan alltid ge över behandlingen av uppgifterna, men själva ansvaret ligg
er alltid kvar på huvudansvarig.
Alltså innebär det att även om någon annan faktiskt utför själva hanteringen av uppgifterna så är det ändå samma huvudansvarig som tidigare – och också den som ska följa upp och de till att reglerna följs.
En viktig del i detta är att upprätta ett biträdesavtal de gånger någon behandlar personuppgifter för någon annans räkning (t.ex. i konsultbolag). Detta avtal beskriver då vad biträdet åtar sig:
- Behandla personuppgifter enligt riktlinjer från den personuppgiftsansvarige.
- Se till att de som behandlar personuppgifter har tystnadsplikt.
- Hålla en stark säkerhetsnivå på behandlingen,
- Se till så att personuppgiftsansvarige kan hjälpa en enskilds förfrågan (ex. ändra, radera),
- Rapportera vid risk för intrång,
- Radera alla uppgifter vid avslut på uppdraget,
- Rapportera till personuppgiftsansvarige om hur arbetet utförts och hur uppgifterna blivit hanterade så att huvudansvarig vet att lagen följs enligt de regler som finns.