Vem är personuppgiftsansvarig enligt EU:s allmänna dataskyddsförordning? - En studie i räckvidden för definitionen av (gemensamt) personuppgiftsansvarig.

Sammanfattning: Sammanfattning För ganska exakt ett år sedan, den 25 maj 2018, började dataskyddsförordningen, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016, om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), allmänt känd som GDPR efter engelskans General Data Protection Regulation, tillämpas i hela EU. Förordningen kom inte som någon överraskning utan har varit i kraft sedan den 25 maj 2016 och är baserad på det äldre dataskyddsdirektivet, Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, som varit gällande från 1995 och implementerad i svensk lagstiftning sedan 1998 genom personuppgiftslagen (1998:204). Ändå finns det en relativt stor oklarhet kring tolkningen av många grundläggande begrepp, inte minst det mest centrala – personuppgiftsansvarig. Uppsatsen visar att begreppen personuppgiftsansvarig och det motsvarande registeransvarig, från det äldre dataskyddsdirektivet, är närmast identiska och att praxis, soft law och doktrin kring direktivet därmed kan nyttjas i analysen av begreppet. Syftet med denna uppsats är att tydliggöra vad som avses med dataskyddsförordningens begrepp personuppgiftsansvarig. Begreppet är centralt eftersom det bestämmer vem som har det huvudsakliga ansvaret för behandling av personuppgifter. För att nå syftet ställs frågorna: • Vem är personuppgiftsansvarig enligt dataskyddsförordningen? • När uppstår gemensamt personuppgiftsansvar? Uppsatsen inleds med en redovisning av dataskyddets ursprung och tillkomst ur både ett internationellt och europeiskt perspektiv men även ur ett svenskt perspektiv. Härpå följer en kort genomgång av dataskyddsförordningens struktur och en analys av de grundläggande begreppen personuppgifter, behandling och register. Därefter görs den nödvändiga fördjupning i begreppet personuppgiftsansvarig som krävs för att kunna besvara frågeställningarna. Sist nämns, lite kort, några av de personuppgiftshanterare som inte är personuppgiftsansvarig, innan sammanfattning, diskussion och slutsatser. Uppsatsen kommer att visa min tolkning av svaret på frågeställningarna: att den som bestämmer vad, varför och väsentliga element av hur personuppgifter samlas in och behandlas kan, generellt sett, komma att anses vara ensamt personuppgiftsansvarig. Likaså visas att den som är delaktig i bestämmandet av vad, varför eller väsentliga element av hur personuppgifter samlas in och behandlas kan, generellt sett, komma att anses vara gemensamt personuppgiftsansvarig. Men uppsatsen visar också på de svårigheter som finns att dra några exakta gränser för ansvar. Enskilda och verksamheters innovationsförmågor sätter rättskiparen på prov, vilket kan leda till oanade konsekvenser och otydliga gränsdragningar – trots relativt detaljerade definitioner. Det enda som kan sägas med säkerhet är att all personuppgiftsbehandling som omfattas av dataskyddsförordningen kräver att någon tar ansvar för densamma. Vem denna någon är kan, i slutändan, behöva tolkas i ljuset av EU:s grundläggande fördrag, stadgor och allmänna rättsprinciper i kombination med syftet för dataskyddsförordningen, befintlig praxis och med beaktande av internationella avtal.