GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

Säkerhetsåtgärder

Begära förhandssamråd med dataskyddsmyndighet 

I vissa fall behöver företag begära förhandssamråd med dataskyddsmyndighet efter genomförandet av en konsekvensbedömning. Detta framgår av artikel 36 i GDPR (EU:s allmänna dataskyddsförordning). 

Förhandssamråd

Ett förhandssamråd innebär att företaget och dataskyddsmyndigheten tillsammans och i samråd utvärderar den tilltänkta behandlingen. Ifall dataskyddsmyndigheten anser att den planerade behandlingen skulle strida mot GDPR, kan de återkoppla med skriftliga råd. Vidare har dataskyddsmyndigheten rätt att vidta de åtgärder som ligger inom dess befogenheter enligt artikel 58 i GDPR. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Att begära förhandssamråd med dataskyddsmyndighet efter en konsekvensbedömning

När det föreligger en hög risk för de registrerades fri- och rättigheter vid en behandling av personuppgifter, måste företaget utföra en konsekvensbedömning. 

Det finns flera olika typer av konsekvensbedömningar

Konsekvensbedömning om dataskydd (DPIA)

Syftet med denna typ av konsekvensbedömning är att skydda de friheter och rättigheter registrerade har och att förebygga risker vid behandling av personuppgifter. Det är en pågående dokumenterad process som gör det möjligt för företaget att följa GDPR. Därmed är det inte en aktivitet som enbart blir utför en gång med ett klart avslutande. Processen ger stöd för att se om riskerna med behandlingen är i proportion till syftet med behandlingen.

Order the company to comply with GDPR within a certain period of time

Konsekvensbedömning om dataöverföringar (TIA)

Denna typ av konsekvensbedömning ska bli genomförd innan personuppgifter blir överförda till ett tredjeland utanför EU/EES som inte har ett beslut om adekvat skyddsnivå. Det är enbart EU-kommissionen som kan besluta om ett tredjeland har adekvat skyddsnivå. Syftet med konsekvensbedömning om dataöverföring är att utvärdera de potentiella riskerna och konsekvenserna för de registrerade vid en överföring av deras personuppgifter till det tredjelandet. Exempelvis risken för att de registrerades rättigheter inte kan bli tillgodosedda. Dessutom är det viktigt att identifiera lämpliga åtgärder för att minimera riskerna.

Om risken fortfarande är hög för de registrerade, ska företaget begära ett förhandssamråd med den nationella dataskyddsmyndigheten, innan behandlingen blir utförd. Observera att företag måste utföra en konsekvensbedömning innan de begär förhandssamrådet. 

Vad företag ska göra innan de begär ett förhandssamråd

  1. Utföra en konsekvensbedömning i enlighet med artikel 35 i GDPR. 
  2. Vidta lämpliga åtgärder för att begränsa riskerna med behandlingen. 
  3. Om riskerna kvarstår, ska företaget begära ett förhandssamråd med den nationella dataskyddsmyndigheten.

Information som ska framgå till dataskyddsmyndigheten

Ansvarsområden

Den som begär förhandssamrådet behöver lämna information om ansvarsfördelningen. Speciellt om det är en koncern. Till exempel vem som är personuppgiftsbiträde, om två eller fler är gemensamt personuppgiftsansvariga osv.

Syfte

Det är viktigt att syftet med behandlingen tydligt framgår. Med andra ord, ändamålet med behandlingen (varför behandlingen behöver bli utförd).

Åtgärder

De tekniska och organisatoriska säkerhetsåtgärder som företaget vidtagit för att skydda de fri- och rättigheter som registrerade har.

Dataskyddsombud

Vissa företag behöver ha ett dataskyddsombud. Däremot är det andra företag som inte behöver ha det, men som frivilligt väljer att ha det som en integritetshöjande åtgärd. Oavsett skälet till att företaget har ett dataskyddsombud, ska kontaktuppgifter till denne lämnas till dataskyddsmyndigheten.

Konsekvensbedömningen

Företaget ska överlämna sin dokumenterade konsekvensbedömning.

Information på begärande

Efter att företaget har lämnat in sin begäran om förhandssamråd med dataskyddsmyndigheten, kan dataskyddsmyndigheten efterfråga mer information för att kunna göra sin bedömning. Vid sådana fall ska företaget tillhandahålla de begärda kompletterande uppgifterna.

Svar från dataskyddsmyndigheten avseende förhandssamrådet

Den dataskyddsmyndighet som mottar begäran om förhandssamråd har åtta (8) veckor på sig att svara. Däremot kan de förlänga tidsfristen i vissa fall. Till exempel om förhandssamrådet avser en väldigt komplicerad behandling av personuppgifter. Dataskyddsmyndigheten kan förlänga tidsfristen i maximalt sex (6) veckor ytterligare, men måste informera om detta inom en månad från att de mottagit begäran. 

Om behandlingen inte är förenlig med GDPR

Om dataskyddsmyndigheten kommer fram till att behandlingen inte är förenlig med GDPR, kan de förbjuda behandlingen. Alternativt kan de ge råd om hur företaget ska gå vidare för att följa GDPR vid behandlingen. Dataskyddsmyndigheten kan även vidta de åtgärder som framgår av artikel 58 i GDPR, som beskriver de befogenheter som en dataskyddsmyndighet har.

I vissa fall kan det vara så att företaget inte får ett besked inom åtta (8) veckor, såsom huvudregeln föreskriver enligt GDPR. Till exempel kan det vara på grund av att något fel har uppstått. Med andra ord innebär det inte att behandlingen är godkänd enligt dataskyddsmyndigheten bara för att de inte har återkopplat med sitt svar i ärendet.

GDPR - EU

Information security

Companies have an obligation to protect the personal data processed. This means that the company must take adequate technical and organisational security measures. The more important the personal data, the higher the security requirements. Examples of technical and organizational security measures are training for staff, written instructions and procedures, access control, having backup files and antivirus programs, multi-step authentication when logging in, etc.

Vill du lära dig mer?

Klicka här
Rulla till toppen