Vi är ett kreditvärdigt företag enligt Bisnodes värderingssystem som baserar sig på en mängd olika beslutsregler. Denna uppgift är alltid aktuell, informationen uppdateras dagligen via Bisnodes databas. Trygg e-handel
Laddar

Varukorgen är tom

  • GDPR? Informationssäkerhet? Brandskydd?
    GDPR? Informationssäkerhet? Brandskydd?
    Jobba förebyggande och ta hjälp av proffs inom säkerhet
  • Behöver ni dokument anpassade för era krav?
    Behöver ni dokument anpassade för era krav?
    Vi kan hjälpa er med produktion, drift och programmering.
  • Behöver du HR-stöd inom 24 arbetstimmar?
    Behöver du HR-stöd inom 24 arbetstimmar?
    Din personalchef på nätet. Snabba och professionella råd och svar.
  • Behöver du få svar inom 24 arbetstimmar?
    Behöver du få svar inom 24 arbetstimmar?
    Basjuridisk rådgivning. Korrekt och kostnadseffektivt.
  • Alltid uppdaterade och tillgängliga överallt
    Alltid uppdaterade och tillgängliga överallt
    Över 2000 dokument och mallar som är kontrollerade av proffs.

Organisation och ansvar

Nedan beskrivs de befattningar, roller eller funktioner som bär utökat ansvar för behandling av personuppgifter.

De olika befattningarna, rollerna eller funktionerna är:

  • Personuppgiftsansvarig
  • Personuppgiftsbiträde
  • Dataskyddsombud
  • Dataskyddssamordnare

Personuppgiftsansvarig

Den som är personuppgiftsansvarig äger allt ansvar för behandlingen av personuppgifter inom sin organisation och dess verksamheter och har flera skyldigheter gentemot den registrerade. Sammantaget ska den personuppgiftsansvarige vidta säkerhets- och skyddsåtgärder för att leva upp till dataskyddslagstiftningens krav samt motverka personuppgiftsincidenter och i anslutning till dessa utöva kontroll över behandling av personuppgifter i organisationens verksamheter över tiden.

Personuppgiftsansvarig är en organisations (företag, myndighet eller andra intresseorganisationer) högsta ledning, under förutsättning att organisationen behandlar personuppgifter.

Den personuppgiftsansvarige kan ej avtala bort sitt ansvar som personuppgiftsansvarig.

Personuppgiftsbiträde

Ett personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Har personuppgiftsansvariges outsourcat processer, exempelvis molntjänster eller på annat sätt tillhandahållit/överfört personuppgifter till extern part, så är den externa parten att betrakta som ett personuppgiftsbiträde. Den personuppgiftsansvarige har skyldighet att ställa krav och villkor på hur personuppgiftsbiträdet får eller ska behandla personuppgiftsansvarigs tillhandahållna/överförda personuppgifter i ett personuppgiftsbiträdesavtal.

Den som är personuppgiftsbiträde ska agera och verka utifrån den personuppgiftsansvariges instruktioner, uppdrag och i förenlighet med ett personuppgiftsbiträdesavtal. Det är den personuppgiftsansvarige som ansvarar för att avtalet upprättas och finns.

Personuppgiftsansvarigs ansvar är breddat och omfattar bland annat att:

  • Införa strategi och fastställd styrning för behandling av personuppgifter inom organisationen och i tillämpliga fall ingå avtal med personuppgiftsbiträden
  • Dokumentera arbetet och det som berör behandling av personuppgifter för att möjliggöra kontroll och revision av efterlevnad
  • Tilldela de resurser som är nödvändiga för att säkerställa att behandling av personuppgifter hanteras utefter dataskyddslagstiftningens krav
  • Omvärldsbevaka området personuppgifter och integritet samt de informationssystem som används eller kan komma att användas för behandling av personuppgifter
  • Kontinuerligt, periodiskt eller vid behov genomföra riskanalys och riskhantering
  • Under den tid personuppgifter behandlas, alltid tillvarata den registrerades rättigheter
  • Kontrollera, införa eller förbättra skyddsåtgärder för att förebygga eller motverka personuppgiftsincidenter
  • Utreda, kartlägga och dokumentera vilken personuppgiftsbehandling som sker i organisationen (enligt artikel 30 EUs dataskyddsförordning)
  • Införa och vidmakthålla kompetens som krävs inom organisationen för att behandla personuppgifter på ett korrekt och säkert sätt över tiden
  • Tillämpa egenkontroller och extern revision
  • I tillämpa fall utse dataskyddsombud
  • Periodiskt och kontinuerligt bedriva uppföljnings-, utvärderings- och förbättringsarbete

Se även rubriceringar Privacy by design och by default.

För att visa på utmaningar som finns ges nedan några exempel på frågor som många organisationer kämpar för att besvara i relation till dataskyddslagstiftningens krav:

  • Vart i våra system behandlas personuppgifter (inneboende rekvisit för: var, hur, varför, när, vem/eller vad)
  • Hur identifierar, definierar och hanterar en organisation alla relevanta informationsresurser för att säkerställa att alla nödvändiga riktlinjer och procedurer tillämpas, mäts, kontrolleras, följs upp?
  • Hur inhämtar och hanterar en organisation det samtycke som ges av den registrerade till den personuppgiftsansvarige?
  • Vad har vi för IT-system idag, hur är de konfigurerade?
  • Hur kan organisationen på ett effektivt sätt svara på förfrågningar om åtkomst, rätt till radering och portabilitet inom de tidsramar som krävs?
  • Är hela eller delar av IT-system skyddade, behöver vi andra system som klarar av att vidmakthålla specifika skyddsnivåer?
  • Hur kontrollerar organisationen tillträde och eller åtkomst till information- och informationsbehandlingsresurser?
  • Hur övervakar organisationen informationsbehandlingsresurser?
  • Ta organisationen bort personuppgifter eller sekretess när det inte krävs för organisationens affärsmål eller motsvarande?
  • Vilka typer av olika data- eller digitala format behöver skyddas?
  • Vilka rutiner ska organisationen tillämpa vid personuppgiftsincidenter?

Dataskyddsombud

Den personuppgiftsansvarige i en organisation bör utse ett dataskyddsombud. Om den personuppgiftsansvarige behandlar känsliga personuppgifter så ska ett dataskyddsombud utses.

Dataskyddsombud är en person som bland annat utövar kontroll och tillsyn över behandling av personuppgifter. Dataskyddsombudet är bunden av sekretess och tystnadsplikt i sin tjänsteutövning. Ansvaret för att dataskyddslagstiftningen och interna regler följs har alltid den personuppgiftsansvarige.

Ett dataskyddsombud får ha andra arbetsuppgifter utöver sitt uppdrag som dataskyddsombud. Dock ska risker för intressekonflikter utredas och dokumenteras innan uppdraget påbörjas. Dataskyddsombuds ställning regleras i dataskyddslagstiftningen.

Personuppgiftsansvarig ska säkerställa att dataskyddsombudet involveras på ett korrekt sätt och i god tid deltar i samtliga frågor som berör skyddet av personuppgifter.

Dataskyddsombudet ska:

  • Tilldelas tillräckliga resurser för att utföra sina arbetsuppgifter och kunna göra detta på ett självständigt och oberoende sätt
  • Inte ta emot instruktioner omkring hur dennes uppdrag ska utföras och ska inte utsättas eller belastas för repressalier på grund av utförandet av sina arbetsuppgifter
  • Rapportera sitt arbete direkt till personuppgiftsansvarig.

Dataskyddsombudets arbetsuppgifter inom organisationen och dess verksamheter är bland annat att:

  • Medverka i konsekvensbedömningar, riskanalys och riskhanteringsprocesser som har fokus på eller emot behandling av personuppgifter, data- och integritetsskydd
  • Vara intern företrädare, föredragande rådgivare, informatör, utbildare, vägledande eller kontaktperson inom organisationen med fokus på rättigheter och skyldigheter som gäller enligt Dataskyddslagstiftning och annan dataskyddslagstiftning
  • Övervaka att reglerna i Dataskyddslagstiftning och annan dataskyddslagstiftning följs
  • Övervaka att organisationens strategier och policyer för behandling av personuppgifter följs
  • Övervaka att införda säkerhets- och skyddsmekanismer för skydd av personuppgifter har rätt funktion och prestanda
  • Genomföra och/eller medverka i planering, stöd eller genomförande av revision, externrevision och annat som berör behandling och skydd av personuppgifter
  • Vara samarbets- och kontaktperson till Datainspektionen (eller utsedd tillsynsmyndighet inom EU)
  • Fungera som kontaktpunkt för de registrerade

Dokument
Befattningsbeskrivning - Dataskyddsombud

Dataskyddssamordnare

Dataskyddssamordnare kan utses för att bistå i dataskyddsarbetet. Denna funktion är inte lagstadgad men kan vara en resurs för organisationen. Dataskyddssamordnare kan kartlägga organisationens arbete med personuppgifter och vägleda organisationen i dessa frågor. I dataskyddssamordnarens uppgifter kan det ingå att organisera, utbilda och stödja organisationen i dess regelefterlevnad inom dataskydd.

Dokument
Befattningsbeskrivning - Dataskyddssamordnare

Personuppgiftsbiträdesavtal

Dataskyddslagstiftning ställer krav på att personuppgiftsansvariga ska ingå ett skriftligt avtal med aktörer som ska behandla personuppgifter för deras räkning. Avtalshandlingarna består av:

  • Personuppgiftsbiträdesavtalet
  • Instruktion för behandling av personuppgifter
  • Bilaga som inrymmer underbiträden

I avtalet ska det särskilt framgå att personuppgiftsbiträdet endast får behandla personuppgifter utifrån den personuppgiftsansvariges instruktioner.

Personuppgiftbiträdesavtal ska omfatta, men inte begränsas till:

  • Styrning från den personuppgiftsansvarige i form av en instruktion, personuppgiftsbiträdet ska agera utifrån denna instruktion
  • Sekretess och eller tystnadsplikt förbindelse
  • Hur parterna ska förhålla sig till de registrerade
  • Befogenheter och skyldigheter för att vidta alla åtgärder (organisatoriska och tekniska) som är nödvändiga för att säkerställa adekvat skyddsnivå för personuppgifter
  • Bestämmelser om hantering av personuppgifter när personuppgiftbiträdets uppdrag avslutas

Dokument
Personuppgiftsbiträdesavtal

Sanktioner

Om personuppgiftsansvarig ej lever upp till dataskyddslagstiftningens krav eller i de fall personuppgiftsincidenter sker, kan sanktioner utdömas i form av böter, vite eller skadeståndsanspråk.

Dataskyddslagstiftningens bestämmelser innebär att organisationer som behandlar personuppgifter kan komma att påföras administrativa sanktionsavgifter på upp till 20 000 000 EUR eller upp till 4 % av den totala globala årsomsättningen under föregående budgetår, om efterlevnad om Dataskyddslagstiftningens krav ej uppnås. Datainspektionen är det organ som utdömer sanktionsavgifter.

Skadeståndsanspråk kan ställas av den registrerade och detta kan riktas direkt mot den personuppgiftsansvarige eller personuppgiftsbiträde. Skadestånd fastställs av det allmänna domstolsväsendet för civilrättsliga mål.

Konsekvensbedömning

Den som är personuppgiftsansvarig ska innan behandling av personuppgifter sker, låta genomföra konsekvensbedömning innan behandling av personuppgifter påbörjas. Detta för att identifiera och motverka hot och risker som kan medföra att registrerades grundläggande fri- och rättigheter och rätt till integritet skadas. Dessa processer ska vara kontinuerliga och genomföras vid behov.

Personuppgiftsansvarig är skyldig att rådfråga dataskyddsombud om skydd av personuppgifter i sin konsekvensbedömning.