En vanlig fråga inom GDPR är vem som kan vara personuppgiftsansvarig. Det kan vara en juridisk person, fysisk person, myndighet eller något annat organ. Med andra ord är personuppgiftsansvarig den som bestämmer syftet med behandlingen samt metoderna som ska bli använda vid personuppgiftsbehandlingen. Dessutom är det möjligt att två (2) stycken är gemensamt personuppgiftsansvariga, vilket innebär att båda parterna är personuppgiftsansvariga. På engelska är det kallat för Joint Controllers. Dessutom ska vissa personuppgiftsansvariga utse ett dataskyddsombud enligt bestämmelser i GDPR.
Vem som kan vara personuppgiftsansvarig
Inom ett företag, exempelvis ett aktiebolag, är det aktiebolaget som sådant som är persouppgiftsansvarig enligt GDPR. Det är alltså inte en enskild anställd person inom företaget, exempelvis VD, som är personuppgiftsansvarig.
Den som driver enskild firma är däremot personuppgiftsansvarig i egenskap av fysisk person och ägare av firman. Detta innebär att fysiska personer också kan vara personuppgiftsansvariga enligt GDPR, i vissa fall.
Ett personuppgiftsansvar innebär skyldigheter enligt GDPR och det är IMY som är tillsynsmyndighet i Sverige avseende frågor om GDPR. Myndigheten hette tidigare Datainspektionen och arbetar dessutom med bland annat inkassoverksamheter och tillstånd för kameraövervakning.
Personuppgiftsansvarig ansvarar för behandling av personuppgifter
Inför en del behandlingar av personuppgifter, ska en konsekvensbedömning bli utförd före behandlingen. På engelska är det kallat för Privacy Impact Assesment (PIA). Dessutom kan ett företag, myndighet eller organisation i vissa särskilda fall behöva samråda med IMY innan behandlingen av personuppgifter sker.
Styrelsen i ett aktiebolag bär det yttersta ansvaret gällande GDPR, precis som i de flesta andra frågorna. När ett aktiebolag blir stiftat på Bolagsverket, utser företaget styrelsen, vilket också kan bli ändrat i efterhand. Däremot är det den personuppgiftsansvarige som ska se till att den enskildes rättigheter enligt GDPR ska tillgodoses. Styrelsen kan därför komma att behöva anpassa företaget efter GDPR och tillhörande regleringar avseende dataskydd. Exempelvis genom att upprätta och anta olika interna rutiner avseende behandlingen av personuppgifter och de registrerades rättigheter. Dessutom är det viktigt att ett företag kan visa att de följer GDPR, exempelvis genom att upprätta de avtal och dokument som företag behöver.