The concepts of controller, joint controller and processor play a crucial role in the application of the General Data Protection Regulation 2016/679 (GDPR), since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice. The precise meaning of these concepts and the criteria for their correct interpretation must be sufficiently clear and consistent throughout the European Economic Area (EEA). The concepts of controller, joint controller and processor are functional concepts in that they aim to allocate responsibilities according to the actual roles of the parties and autonomous concepts in the sense that they should be interpreted mainly according to EU data protection law. Controller In principle, there is no limitation as to the type of entity that may assume the role of a controller but in practice it is usually the organisation as such, and not an individual within the organisation (such as the CEO, an employee or a member of the board), that acts as a controller. A controller is a body that decides certain key elements of the processing. Controllership may be defined by law or may stem from an analysis of the factual elements or circumstances of the case. Certain processing activities can be seen as naturally attached to the role of an entity (an employer to employees, a publisher to subscribers or an association to its members). In many cases, the terms of a contract can help identify the controller, although they are not decisive in all circumstances. A controller determines the purposes and means of the processing, i.e. the why and how of the processing. The controller must decide on both purposes and means. However, some more practical aspects of implementation (“non-essential means”) can be left to the processor. It is not necessary that the controller actually has access to the data that is being processed to be qualified as a controller. Joint controllers The qualification as joint controllers may arise where more than one actor is involved in the processing. The GDPR introduces specific rules for joint controllers and sets a framework to govern their relationship. The overarching criterion for joint controllership to exist is the joint participation of two or more entities in the determination of the purposes and means of a processing operation. Joint participation can take the form of a common decision taken by two or more entities or result from converging decisions by two or more entities, where the decisions complement each other and are necessary for the processing to take place in such a manner that they have a tangible impact on the determination of the purposes and means of the processing. An important criterion is that the processing would not be possible without both parties’ participation in the sense that the processing by each party is inseparable, i.e. inextricably linked. The joint participation needs to include the determination of purposes on the one hand and the determination of means on the other hand. Processor A processor is a natural or legal person, public authority, agency or another body, which processes personal data on behalf of the controller. Two basic conditions for qualifying as processor exist: that it is a separate entity in relation to the controller and that it processes personal data on the controller’s behalf. The processor must not process the data otherwise than according to the controller’s instructions. The controller’s instructions may still leave a certain degree of discretion about how to best serve the

Begreppen styrenhet, gemensam styrenhet och processor spelar en avgörande roll i tillämpningen av Allmän dataskyddsförordning 2016/679 (GDPR), eftersom de avgör vem som ska vara ansvarig för efterlevnad av olika dataskyddsregler och hur registrerade kan utöva sina rättigheter i öva. Den exakta innebörden av dessa begrepp och kriterierna för deras korrekta tolkning måste vara tillräckligt tydliga och konsekventa i hela Europeiska ekonomiska samarbetsområdet (EES). Begreppen styrenhet, gemensam styrenhet och processor är funktionella begrepp genom att de syftar till fördela ansvar enligt parternas faktiska roller och autonoma begrepp i känner att de bör tolkas huvudsakligen enligt EU: s dataskyddslag. Kontroller I princip finns det ingen begränsning för vilken typ av enhet som kan ta rollen som en controller men i praktiken är det vanligtvis organisationen som sådan, och inte en individ inom organisationen (t.ex. verkställande direktören, en anställd eller en styrelseledamot), som fungerar som en personuppgiftsansvarig. En styrenhet är ett organ som bestämmer vissa viktiga delar av behandlingen. Kontroller kan vara definieras i lag eller kan härröra från en analys av de faktiska omständigheterna eller omständigheterna i ärendet.Vissa bearbetningsaktiviteter kan ses som naturligt knutna till en enhets roll (en arbetsgivare till anställda, ett förlag till abonnenter eller en förening till dess medlemmar). I många fall gäller villkoren för ett kontrakt kan hjälpa till att identifiera den registeransvarige, även om de inte är avgörande under alla omständigheter. En registeransvarig bestämmer ändamålen och medlen för behandlingen, dvs varför och hur bearbetning. Den registeransvarige måste besluta om både syften och medel. Men några mer praktiska aspekter av implementering ("icke-väsentliga medel") kan lämnas åt processorn. Det är inte nödvändigt att den registeransvarige faktiskt har tillgång till de uppgifter som bearbetas för att kvalificeras som en registeransvarig. Gemensamma styrenheter Kvalificeringen som gemensamma kontroller kan uppstå om mer än en aktör är inblandad i behandlingen. GDPR introducerar specifika regler för gemensamma kontrollerare och sätter en ram för att styra deras relation. Det övergripande kriteriet för att gemensamt styrande ska existera är gemensamt deltagande av två eller fler enheter vid bestämning av syften och medel för en bearbetningsoperation.Gemensam deltagande kan ha formen av ett gemensamt beslut som fattas av två eller flera enheter eller är resultatet av konvergerande beslut av två eller flera enheter, där besluten kompletterar varandra och är nödvändigt för att behandlingen ska ske på ett sådant sätt att de har en konkret inverkan på bestämning av syften och medel för behandlingen. Ett viktigt kriterium är att bearbetning inte skulle vara möjligt utan båda parters deltagande i den meningen att behandlingen av varje part är oskiljaktig, dvs oupplösligt kopplad. Det gemensamma deltagandet måste inkludera bestämning av syften å ena sidan och bestämning av medel å andra sidan. Processor En databehandlare är en fysisk eller juridisk person, offentlig myndighet, byrå eller annat organ som behandlar personuppgifter på den registeransvariges vägnar. Två grundläggande villkor för att kvalificera sig som processor finns: att det är en separat enhet i förhållande till den registeransvarige och att den behandlar personuppgifter om den registeransvarige uppdrag. Processorn får inte behandla uppgifterna på annat sätt än enligt den registeransvariges anvisningar. De kontrollerens instruktioner kan fortfarande lämna ett visst utrymme för skönsmässig bedömning av hur man bäst tjänar