GDPR – Principer
Ansvarsskyldighet enligt GDPR
Ansvarsskyldighet enligt GDPR innebär att den personuppgiftsansvarige (företaget) ansvarar för att företaget följer dataskyddsprinciperna vid behandling av personuppgifter. Dessutom behöver vissa företag ha ett dataskyddsombud.
Omvänd bevisbörda
Det är företagets ansvar att visa att de följer GDPR och de grundläggande dataskyddsprinciperna, och därför är det omvänd bevisbörda. Varken registrerade eller dataskyddsmyndigheten ska visa att företaget bryter mot GDPR, utan istället är det företaget måste visa att det de följer regelverket. Det går att göra på lite olika sätt, bland annat genom att:
– Ge korrekt och tydlig information till de registrerade
– Ha en registerförteckning där företaget dokumenterar behandlingarna. Dessutom bör företaget dokumentera vilka överväganden som de gör.
– Ge personalen rätt utbildning och upprätta en Integritetspolicy, även kallat dataskyddspolicy.
– Se till att ha tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna.
– Om en personuppgiftsbehandling innebär en särskild risk för integriteten hos de registrerade, ska företaget göra en konsekvensbedömning innan behandlingen.
– I vissa fall kan företaget också behöva samråda med dataskyddsmyndigheten i landet om konsekvensbedömningen visar att det är en stor integritetsrisk.
Exempel på personuppgiftsincidenter
- Felskickade mejl som innehåller personuppgifter.
- Ett system som innehåller personuppgifter blir hackat.
- Ett virus raderar personuppgifter på en dator och företaget har inte någon backup.
- En anställd tappar sin arbetstelefon som innehåller personuppgifter.
Dokumentation för att uppfylla ansvarsskyldighet enligt GDPR
GDPR är ett omfattande regelverk för företag och innebär bland annat att företaget måste ha mycket skriftlig dokumentation för att uppfylla sin ansvarsskyldighet enligt GDPR. Exempelvis bör företag ha en integritetspolicy, interna rutiner, loggbok, registerförteckning m.m.
Dessutom behöver vissa företag ha ett personuppgiftsbiträdesavtal, upprätta en TIA (konsekvensbedömning för dataöverföring), LIA (bedömning av berättigat intresse), DPIA (konsekvensbedömning för dataskydd) m.m.
Vi skriver och granskar avtal till företag på distans
Om du behöver hjälp med att upprätta ett avtal eller få ett befintligt avtal granskat och förklarat, är du välkommen att kontakta oss. Priserna är alltid fasta och förbestämda och inkluderar samtal med jurist och genomgång via dator och telefon.
Vi har skapat olika GDPR-paket som innehåller GDPR-relaterade avtal och dokument som företag kan behöva ha för att följa GDPR.
Mer information
Principen om laglighet, korrekthet och öppenhet
Laglighet, korrekthet och öppenhet är en dataskyddsprincip enligt GDPR. Laglighet innebär att företaget måste ha en rättslig grund vid varje behandling av personuppgifter. Dessutom måste företaget följa de övriga sex (6) dataskyddsprinciperna som framgår i GDPR. Korrekthet innebär att behandlingen ska vara skälig och rättvis. Med andra ord att den är proportionerligt i förhållande till nyttan. Öppenhet innebär att de registrerade ska få information om behandlingen och det ska var tydligt. De ska också få information om sina rättigheter, såsom hur de kan få företaget att radera personuppgifterna.