EU:s dataskyddsförordning (GDPR) tillämpas sedan den 25 maj 2018 av alla organisationer som behandlar personuppgifter inom eller med anknytning till EU. Det är vanligen den juridiska personen som ansvarar för att GDPR efterlevs. GDPR ställer krav på att alla organisationer ska kunna visa att de följer GDPR, så kallad ansvarsskyldighet. GDPR innehåller även bestämmelse om eget ansvar för personuppgiftsbehandling som någon annan behandlar för organisationens räkning, uttryckliga delar som ska regleras i biträdesavtal, personuppgiftsregister, starka rättigheter för den registrerade (såsom dataportabilitet och rätt till information), alltid följa principerna om inbyggt dataskydd och dataskydd som standard, intresseavvägningar, konsekvensbedömningar och en rapporteringsskyldighet till tillsynsmyndigheten inom 72 timmar.
Ansvarsskyldigheten kräver att organisationen kartlägger och dokumenterar sina behandlingar av personuppgifter, tar fram skriftliga styrdokument och andra arbetsinstruktioner samt har en tydlig organisation och en strategi för sitt dataskyddsarbete.
I det fall organisationen inte följer och kan visa sin regelefterlevnad så finns en risk för höga sanktionsavgifter och skadestånd från de registrerade. Det är därför viktigt att GDPR implementerats korrekt, men även att GDPR fortsätter att efterlevas genom löpande kontroller och granskningar, informationsflöden, vid nya tjänster eller avtal, nya behandlingar eller andra förändringar i organisationen.
Vi på Dahlgren & Partners har hjälpt många organisationer att implementera GDPR men agerar även som bollplank vid olika frågor för att hjälpa organisationen att minimera risker och att efterleva GDPR. Vi kan bland annat hjälpa till vid:
Eftersom vi även är specialister inom försäkringsrätt och arbetsrätt så har vi en god kunskap och en kort startsträcka för organisationer som även behöver beakta regelverk inom dessa områden.
I vissa fall måste en organisation utse ett dataskyddsombud. Dataskyddsombudets roll består i huvudsak att kontrollera om GDPR följs inom organisationen. Det ställs bland annat krav på att ett dataskyddsombud ska ha ”djupgående kunskap om dataskyddsförordningen”. Integritetsskyddsmyndigheten (IMY) rekommenderar även, oaktat om det är ett krav eller inte, att en organisation utser ett dataskyddsombud. Dahlgren & Partners har löpande uppdrag som externa dataskyddsombud, som en tillfällig eller mer bestående lösning.
Det ställs höga krav på dataskyddsombudets kompetens inom området och organisationen, men samtidigt ställs även höga krav i lagstiftningen på organisationens stöd till dataskyddsombudet vad gäller resurser och upprätthållandet av dennes sakkunskap.
Enligt Integritetsskyddsmyndigheten ska dataskyddsombudet ha kunskap om dataskyddslagstiftning samt hur den tillämpas nationellt och inom EU. Det finns en uppstapling i GDPR, och även från Integritetsskyddsmyndigheten, om vilka uppgifter ett dataskyddsombud minst ska utföra och ansvara för. Kraven som beskrivs i lagstiftningen, och som även Integritetsskyddsmyndigheten beskriver det i sina vägledningar, torde förutsätta att någon juridiskt bildad innehar uppdraget som dataskyddsombud. Att personen i fråga annars kan anses ha ”djupgående kunskap om dataskyddsförordningen” kräver i sådant fall en lång vedertagen yrkeserfarenhet inom området.