Så avgör du vem som är personuppgiftsansvarig

3 minuter läsning • Vilgot Sahlholm • DATASKYDDSFöRORDNINGEN • 3 november 2025
  1. Flera aktörer i samma behandling – hur delar ni ansvaret?
  2. Vanliga fel i ansvarsfördelningen enligt GDPR

En personuppgiftsansvarig är den aktör som bestämmer ändamålen och medlen för behandlingen av personuppgifter. Det handlar alltså inte om vem som praktiskt hanterar uppgifterna, utan om vem som har det faktiska inflytandet över syftet och tillvägagångssättet och därmed hur det legala ansvaret fördelas.

I praktiken innebär detta att man behöver analysera både organisationens roll i sammanhanget och dess handlingsutrymme. Det är händer att ett personuppgiftsbiträde misstas för en personuppgiftsansvarig – särskilt när uppdraget är omfattande eller tekniskt komplext. Det kan också vara så att ett biträde ser kommersiella fördelar av att kunna behandla personuppgifterna för egna syften såsom produktutveckling och analys, vilket i så fall indikerar ett eget personuppgiftsansvar och båda parter måste säkerställa rättslig grund.

Flera aktörer i samma behandling – hur delar ni ansvaret?

När flera organisationer tillsammans behandlar personuppgifter är det avgörande att reda ut om ni är gemensamt personuppgiftsansvariga enligt artikel 26 GDPR. Det är vid ett gemensamt personuppgiftsansvar inte tillräckligt att hänvisa till interna bedömningar – ni måste ha ett dokumenterat samarbete där ni tillsammans bestämmer syfte och medel.
För att dokumentera det gemensamma personuppgiftsansvaret bör ni särskilt titta på:

    • Syftesformulering: Hur båda aktörer har inflytande över varför uppgifterna behandlas.
    • Val av medel: Om tekniska eller organisatoriska säkerhetsåtgärder bestäms gemensamt.
    • Relationens karaktär: Om det finns ett ömsesidigt beroende i behandlingen.

Om personuppgiftsansvaret inte klargörs riskerar ni både rättsliga sanktioner och otydlig kommunikation gentemot registrerade. Det kan också skapa problem vid incidenter, där ingen part vet vem som ska agera eller kommunicera med tillsynsmyndigheten. Ett korrekt definierat gemensamt ansvar, inklusive rutiner för utövande av rättigheter och informationsskyldighet, minskar dessa risker väsentligt.

Vanliga fel i ansvarsfördelningen enligt GDPR

Ett vanligt misstag är att förlita sig på traditionella avtalsstrukturer som inte reflekterar den faktiska kontrollen över personuppgifterna. Det händer också att organisationer omedvetet agerar som gemensamt personuppgiftsansvariga utan att formalisera detta – vilket bryter mot artikel 26 GDPR och försvårar efterlevnaden vid en granskning.

En annan fallgrop är att överlåta beslut om ändamål och medel till biträdet, som därmed i praktiken bestämmer över behandlingens genomförande vilket riskerar att flytta det juridiska ansvaret. Bristande ansvarsfördelning syns ofta vid dataintrång, där osäkerhet kring ansvar för incidenthantering fördröjer reaktion och rapportering.

På Morling Consulting hjälper vi er att fastställa och dokumentera roller enligt GDPR, oavsett om ni är ensam eller gemensam personuppgiftsansvarig. Våra GDPR-jurister säkerställer att ansvarsfördelningen är rättssäker, tydlig och anpassad till både verksamheten och GDPR:s krav.

Senaste inlägg

Bilden visar en jurist som analyserar ett avtal.

6 november 2025

Vad gör en GDPR-advokat?
Läs mer
Bilden visar en man som står brerdvid ett när som representerar gdpr.

5 november 2025

GDPR-audit i praktiken – så testar du din efterlevnad innan IMY gör det
Läs mer
En illustration i Material Design-stil som visar en server där binärkod rinner ut som ett digitalt läckage. Runt servern finns en transparent sköld med ett vitt paragraftecken (§), som symboliserar juridiskt skydd mot dataläckage. Bilden går i ljusa blå toner med inslag av turkos och små orangea detaljer.

4 november 2025

IMY inleder granskning efter Miljödata-läckan
Läs mer