Vi är ett kreditvärdigt företag enligt Bisnodes värderingssystem som baserar sig på en mängd olika beslutsregler. Denna uppgift är alltid aktuell, informationen uppdateras dagligen via Bisnodes databas. Trygg e-handel
Laddar

Varukorgen är tom

  • GDPR? Informationssäkerhet? Brandskydd?
    GDPR? Informationssäkerhet? Brandskydd?
    Jobba förebyggande och ta hjälp av proffs inom säkerhet
  • Behöver ni dokument anpassade för era krav?
    Behöver ni dokument anpassade för era krav?
    Vi kan hjälpa er med produktion, drift och programmering.
  • Behöver du HR-stöd inom 24 arbetstimmar?
    Behöver du HR-stöd inom 24 arbetstimmar?
    Din personalchef på nätet. Snabba och professionella råd och svar.
  • Behöver du få svar inom 24 arbetstimmar?
    Behöver du få svar inom 24 arbetstimmar?
    Basjuridisk rådgivning. Korrekt och kostnadseffektivt.
  • Alltid uppdaterade och tillgängliga överallt
    Alltid uppdaterade och tillgängliga överallt
    Över 2000 dokument och mallar som är kontrollerade av proffs.

Organisation och ansvar

Enligt Dataskyddsförordningen ska man utkräva ansvar för att den personuppgiftsansvarige till fullo förstår och grundligt utvärderar, planerar och dokumenterar nuvarande och framtida behandling av personuppgifter. Efterlevnaden av dataskyddsförordningen innebär styrning och kontroll av behandling och personuppgifter oavsett var i organisationen personuppgifterna befinner sig och eller vilken form eller gränssnitt de har.

Detta inkluderar att informationssystem av olika slag blir föremål för förordningens krav. Behandling av personuppgifter och relaterad data/digitaliserade uppgifter kan göra hanteringen komplex, då flödet av personuppgifter tenderar att finnas i större omfattning i en organisations informationsteknologier och andra system.

Personuppgiftsansvarigs ansvar är breddat och omfattar bland annat att:

  • Införa strategi och fastställd styrning för behandling av personuppgifter inom organisationens verksamheter och processer som omfattas av dataskyddsförordningens krav
  • Dokumentera arbetet och det som berör behandling av personuppgifter för att möjliggöra kontroll och revision av efterlevnad
  • Tilldela de resurser som är nödvändiga för att säkerställa att behandling av personuppgifter hanteras utefter dataskyddsförordningens krav
  • Omvärldsbevaka området personuppgifter och integritet samt de informationssystem som används eller kan komma att användas för behandling av personuppgifter
  • Kontinuerligt, periodiskt eller vid behov genomföra riskanalys och riskhantering
  • Under den tid personuppgifter behandlas, alltid tillvarata den registrerades rättigheter
  • Införande av säkerhets och skyddsåtgärder för att förebygga eller motverka personuppgiftsincidenter
  • Utreda vilken personuppgiftsbehandling som äger rum
  • Utreda vart och i vilka former eller gränssnitt personuppgifter behandlas
  • Utreda hur personuppgifter behandlas
  • Utreda när personuppgifter behandlas
  • Utreda vem, vilka eller vad som behandlar personuppgifter
  • Utreda på vilka rättsliga grunder personuppgifter behandlas
  • Delge information
  • Införa och vidmakthålla kompetens som krävs inom organisationen för att behandla personuppgifter på ett korrekt och säkert sätt över tiden
  • Tillämpa egenkontroller, bjuda in för externrevision
  • Periodiskt och kontinuerligt bedriva uppföljnings-, utvärderings- och förbättringsarbete

Enligt dataskyddsförordningen ska den personuppgiftsansvarige utöva kontroll på sina informations- och informationsbehandlingsresurser för att kunna bli förenlig med dataskyddsförordningens krav. Den personuppgiftsansvarige har även till uppgift, enligt Dataskyddsförordningen, att fortlöpande bevaka metoder och funktioner inom data- och integritetsskydd, för att överväga om personuppgiftsbehandlingen som bedrivs ständigt kan förbättras.

För att visa på utmaningar som finns har vi gett några frågor som många organisationer kämpar för att besvara i relation till dataskyddsförordningens krav:

  • Vart i våra system behandlas personuppgifter (inneboende rekvisit för: var, hur, varför, när, vem/eller vad)
  • Hur identifierar, definierar och hanterar en organisation alla relevanta informationsresurser för att säkerställa att alla nödvändiga riktlinjer och procedurer tillämpas, mäts, kontrolleras, följs upp?
  • Hur inhämtar och hanterar en organisation det samtycke som ges av den registrerade till den personuppgiftsansvarige?
  • Vad har vi för IT-system idag, hur är de konfigurerade?
  • Hur kan organisationen på ett effektivt sätt svara på förfrågningar om åtkomst, rätt till radering och portabilitet inom de tidsramar som krävs?
  • Är hela eller delar av IT-system skyddade, behöver vi andra system som klarar av att vidmakthålla specifika skyddsnivåer?
  • Hur kontrollerar organisationen tillträde och eller åtkomst till information- och informationsbehandlingsresurser?
  • Hur övervakar organisationen informationsbehandlingsresurser?
  • Ta organisationen bort personuppgifter eller sekretess när det inte krävs för organisationens affärsmål eller motsvarande?
  • Vilka typer av olika data- eller digitala format behöver skyddas?
  • Vilka rutiner ska organisationen tillämpa vid personuppgiftsincidenter?

Befattningar, roller och funktioner

Dataskyddsförordningen ger strikt styrning för olika befattningar, roller och funktioner som bär utökat ansvar för behandling av personuppgifter.

De olika befattningarna, rollerna eller funktionerna är:

  • Personuppgiftsansvarig
  • Personuppgiftsbiträde
  • Dataskyddsombud

Personuppgiftsansvarig

Den som är personuppgiftsansvarig äger allt ansvar för behandlingen av personuppgifter inom sin organisation och dess verksamheter och har flera skyldigheter gentemot den registrerade. Sammantaget ska den personuppgiftsansvarige vidta säkerhets- och skyddsåtgärder för att leva upp till dataskyddsförordningens krav samt motverka personuppgiftsincidenter och i anslutning till dessa utöva kontroll över behandling av personuppgifter i organisationens verksamheter över tiden.

Personuppgiftsansvarig är en organisations (företag, myndighet eller andra intresseorganisationer) högsta ledning, under förutsättning att organisationen behandlar personuppgifter.

Den personuppgiftsansvarige kan ej avtala bort sitt ansvar som personuppgiftsansvarig, även om den personuppgiftsansvarige utsett ett personuppgiftsbiträde med ett dit hörande personuppgiftsbiträdesavtal.

Personuppgiftsbiträde
Ett personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Det är upp till den personuppgiftsansvarige att införa ett personuppgiftsbiträde.

Ett införande av ett personuppgiftsbiträde kan bli betydande beroende på hur den personuppgiftsansvariges organisation och dess verksamhet är uppbyggd. Har den personuppgiftsansvariges organisation outsourcat processer, exempelvis molntjänster, innebär det att underleverantörer behandlar registrerades personuppgifter som den personuppgiftsansvarige äger ansvar för. I detta läge ska den personuppgiftsansvarige införa ett personuppgiftsbiträde och ett personuppgiftsbiträdesavtal ska upprättas och ingås. Då personuppgiftsbiträdet (vilket kan vara en underleverantör) införts, utför denne personuppgiftsbehandling för den personuppgiftsansvariges räkning.

Den som är personuppgiftsbiträde ska agera och verka utifrån den personuppgiftsansvariges instruktioner, uppdrag och i förenlighet med ett personuppgiftsbiträdesavtal. Ett personuppgiftsbiträdesavtal ska alltid ingås då ett personuppgiftsbiträde införs. Det är den personuppgiftsansvarige som ansvarar för att avtalet upprättas och finns.

Då den personuppgiftsansvarige väljer att anlita ett personuppgiftsbiträde är det alltid den personuppgiftsansvarige som har ansvaret gentemot de registrerade. Den personuppgiftsansvarige kan inte överlåta detta ansvar till ett personuppgiftsbiträde.

Personuppgiftsbiträdet kan dock komma att åläggas sanktioner vid åsidosättande av sitt uppdrag.

Personuppgiftsbiträdesavtal
Dataskyddsförordningen ställer krav på att personuppgiftsbiträden ska ingå ett skriftligt avtal innan personen får agera såsom ett personuppgiftsbiträde.

I avtalet ska det särskilt framgå att personuppgiftsbiträdet endast får behandla personuppgifter utifrån den personuppgiftsansvariges instruktioner och att personuppgiftsbiträdet måste vidta de säkerhets- och skyddsåtgärder som åvilas den personuppgiftsansvarige enligt Dataskyddsförordningen.

Personuppgiftsbiträdesavtal och dit hörande instruktioner ska dokumenteras och bevaras. Hur länge och på vilket sätt detta ska bevaras, ska beslutas och avgöras baserat på ändamålet med behandlingen av personuppgifter.

Det ska bevaras på ett sätt som tillåter:

  • Att den personuppgiftsansvarige kan visa på att det är nödvändigt och i enlighet med gällande ändamål och samtycke
  • Att tillsynsmyndighet har möjlighet att granska behandlingen av personuppgifter i relevant omfattning

Av ovan nämnda skäl finns det stark anledning för både personuppgiftsansvarig och personuppgiftsbiträdet att samverka med tillsynsmyndighet för att utreda och eller inhämta vägledning för att kunna besluta och eller avgöra till exempel begränsningar. I sammanställningen har vi belyst att det för dagen inte finns prejudikat eller praxis avseende Dataskyddsförordningen, vilket bör föranleda att samverkan med tillsynsmyndigheten är viktig.

Personuppgiftbiträdets avtal ska omfatta, men inte begränsas till:

  • Styrning från den personuppgiftsansvarige, personuppgiftsbiträdet ska agera utifrån denna styrning
  • Sekretess och eller tystnadsplikt förbindelse/avtal
  • Befogenheter och skyldigheter för att vidta alla åtgärder (organisatoriska och tekniska) som är nödvändiga för att säkerställa en lämplig säkerhetsnivå i förhållande till riskerna med behandling av personuppgifter
  • Bestämmelser om hantering av personuppgifter när personuppgiftbiträdets uppdrag avslutas

Dokument
Personuppgiftsbiträdesavtal

Dataskyddsombud

Dataskyddsombud är en person som utövar kontroll och tillsyn över behandling av personuppgifter. Ett dataskyddsombud får ha andra arbetsuppgifter och uppdrag utöver sitt dataskyddsombuds uppdrag, dock ska risker för intressekonflikter utredas och dokumenteras innan uppdrag vid sidan om påbörjas.

Dataskyddsombudet har ej ansvar för att dataskyddsförordningen och andra interna regler följs.

Den högsta ledningen i en organisation bör utse ett dataskyddsombud, som är förenligt med ett dataskyddsombuds ställning enligt dataskyddsförordningen. Ett dataskyddsombud ska utses om organisationen behandlar känsliga personuppgifter.

Dataskyddsförordningen belyser att dataskyddsombudet ska vara involverad i organisationens samtliga frågor som berör skydd av och behandling av personuppgifter.

Dataskyddsombudet ska:

  • Tilldelas tillräckliga resurser för att utföra sina arbetsuppgifter och kunna göra detta på ett självständigt och oberoende sätt
  • Inte ta emot instruktioner omkring hur dennes uppdrag ska utföras och ska inte utsättas eller belastas för repressalier på grund av utförandet av sina arbetsuppgifter
  • Ingå sekretess- och eller tystnadspliktsavtal/förbindelse
  • Rapportera sitt arbete direkt till högsta ledningen

Dataskyddsombudets arbetsuppgifter inom organisationen och dess verksamheter är bland annat att:

  • Medverka i riskanalys och riskhanteringsprocesser som har fokus på eller emot behandling av personuppgifter, data- och integritetsskydd
  • Vara intern företrädare, föredragande rådgivare, informatör, utbildare, vägledande eller kontaktperson inom organisationen med fokus på rättigheter och skyldigheter som gäller enligt dataskyddsförordningen och annan dataskyddslagstiftning
  • Övervaka att reglerna i dataskyddsförordningen och annan dataskyddslagstiftning följs
  • Övervaka att organisationens strategier och policyer för behandling av personuppgifter följs
  • Övervaka att införda säkerhets- och skyddsmekanismer för skydd av personuppgifter har rätt funktion och prestanda
  • Genomföra och/eller medverka i planering, stöd eller genomförande av revision, externrevision och annat som berör behandling och skydd av personuppgifter
  • Vara samarbets- och kontaktperson till datainspektionen (eller utsedd tillsynsmyndighet inom EU)
  • Fungera som kontaktpunkt för de registrerade

Överträdelser och påföljd

Om personuppgiftsansvarig ej lever upp till dataskyddsförordningens krav eller i de fall personuppgiftsincidenter sker, kan påföljd utdömas i form av viten eller skadeståndsanspråk. Dataskyddsförordningens bestämmelser innebär att organisationer som behandlar personuppgifter kan komma att påföras administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om det gäller ett företag, upp till 4 % av den totala globala årsomsättningen under föregående budgetår, om efterlevnad om dataskyddsförordningens krav ej uppnås.

Riskanalys och riskhantering

Den som är personuppgiftsansvarig ska innan behandling av personuppgifter sker, låta genomföra riskanalys och riskhanteringsprocess för behandling av personuppgifter i syfte att införa lämpliga nivåer av säkerhet och skydd för att motverka personuppgiftsincidenter. Dessa processer ska vara kontinuerliga, periodiska samt genomföras vid behov. I denna process ska bland annat konsekvenser bedömas utifrån händelse att personuppgiftsincident sker och vad det i så fall innebär för den som är registrerad. Riskanalys- och riskhanteringsprocess ska även omfatta det stöd som används för behandling av personuppgifter.

Dokument
Befattningsbeskrivning - Dataskyddsombud