Vid kvalitetsregisterrapporteringen är varje myndighet inom hälso- och sjukvården eller privat vårdgivare personuppgiftsansvarig för den personuppgiftsbehandling som den utför till exempel vid insamling och inrapportering av personuppgifter till ett Nationellt Kvalitetsregister. Det innebär att inrapporterande vårdgivare alltid har personuppgiftsansvar för sin egen hantering av personuppgifter.

Relationen mellan CPUA och LPUA

Fördelningen mellan lokalt och centralt personuppgiftsansvar innebär att när till exempel en privatpraktiserande vårdgivare fyller i elektroniska blanketter för rapportering till ett kvalitetsregister är det denne vårdgivare som bär det lokala personuppgiftsansvaret för att personuppgifterna hanteras korrekt och i enlighet med patientdatalagens och offentlighets- och sekretesslagens krav på den lokala nivån. Detta innebär att vårdgivarna, som är skyldiga att kvalitetssäkra sin verksamhet, bär det formella ansvaret för den personuppgiftsbehandling som de själva utför i samband med registerhanteringen. För den fortsatta centrala behandlingen av inrapporterade personuppgifter ligger personuppgiftsansvaret hos centralt personuppgiftsansvarig. Till den centrala behandlingen hör till exempel ansvaret för säkerhetsfrågor och ansvaret för att felaktiga uppgifter i registret rättas.

Man kan uttrycka det så att när en enhet har rapporterat in uppgifter så har man lämnat över dem till CPUA. Men som vårdgivare har man sedan möjlighet att ha direktåtkomst till de uppgifter man själv har matat in på individnivå, alltså kan man titta på uppgifterna för att använda dem för kvalitetssäkring.