Definition

Personuppgiftsansvar är ett skadestånds- och straffsankti- onerat ansvar för personuppgifter enligt EU:s dataskyddsförordning som trädde ikraft den 25 maj 2018 (allmänt kallad GDPR General data protection regulation). Förordningen gäller direkt i alla medlemsstater och ersätter nationella regler. Syftet med förordningen är att samordna dataskyddet inom EU och att organisationer som hanterar personuppgifter på ett aktivt sätt ska ta ansvar för hanteringen och kunna visa att detta görs, bland annat genom dataskyddspolicy och integritetsvänliga system. Personuppgiftsansvaret gäller bland annat bolag för de personuppgifter som man för in i aktieboken, i det fall den förs med automatiserad databehandling.

Personuppgifter innefattar sådan information som direkt eller indirekt kan hänföras till en levande fysisk person. Informationen kan vara alla typer av uppgifter och omfattar bland annat text, ljud eller bild. Enligt dataskyddsförordningen är en personuppgift varje upplysning som avser en identifierad eller identifierbar fysisk person. Personuppgiften ska alltså vara kopplad till någon identitetsbärande datapunkt som ett namn, id-nummer eller användarnamn (online-identifikator) eller till faktorer som är specifika för personens fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.

I aktiebolagslagen pekas bolaget ut som personuppgiftsansvarig för den behandling av personuppgifter som sker i samband med förandet av aktieboken. I avstämningsbolag är det värdepapperscentralen som är personuppgiftsansvarig för det avstämningsregister som upprättats, om det är en svensk värdepapperscentral. Enligt dataskyddsförordningen krävs att en behandling av personuppgifter måste vila på laglig grund och grunden i det här fallet är alltså att den personuppgiftsansvariga är rättslig skyldig att fullgöra denna arbetsuppgift.

Det behövs alltså inget samtycke eller avtal mellan bolaget och aktieägarna för att behandla personuppgifter i aktieboken. Bolaget behöver därför inte heller anmäla personuppgifter till Datainspektionen. Databehandlingen får dock inte överskrida de upplysningar som en aktiebok ska och får innehålla ( Aktiebok). Dataskyddsförordningen begränsar registrering som är oförenlig med den lagliga grunden för databehandlingen.

Lagar och regler

5 kap. 2 §, 4 § aktiebolagslagen (2005:551)

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)