GDPR Learning Hub

Menu
  • Köp kurser
  • Köp mallar
  • GDPR-quiz
  • Ladda ner guider
  • GDPR-kurserna är under konstruktion

Säkerhetsåtgärder

Förhandssamråd

I vissa fall behöver företag begära förhandssamråd med dataskyddsmyndighet efter genomförandet av en konsekvensbedömning. Detta framgår av artikel 36 i GDPR (EU:s allmänna dataskyddsförordning). 

Begära förhandssamråd med dataskyddsmyndighet 

Ett förhandssamråd innebär att företaget och dataskyddsmyndigheten tillsammans och i samråd utvärderar den tilltänkta behandlingen. Ifall dataskyddsmyndigheten anser att den planerade behandlingen skulle strida mot GDPR, kan de återkoppla med skriftliga råd.

Vidare har dataskyddsmyndigheten rätt att vidta de åtgärder som ligger inom dess befogenheter enligt artikel 58 i GDPR

What breaches of the GDPR can lead to an administrative fine?

Att begära förhandssamråd med dataskyddsmyndighet efter en konsekvensbedömning

När det föreligger en hög risk för de registrerades fri- och rättigheter vid en behandling av personuppgifter, måste företaget utföra en konsekvensbedömning. 

Det finns flera olika typer av konsekvensbedömningar

What is the definition of anonymised data?

Konsekvensbedömning om dataskydd (DPIA)

Syftet med denna typ av konsekvensbedömning är att skydda de friheter och rättigheter registrerade har och att förebygga risker vid behandling av personuppgifter. Det är en pågående dokumenterad process som gör det möjligt för företaget att följa GDPR. Därmed är det inte en aktivitet som enbart blir utför en gång med ett klart avslutande. Processen ger stöd för att se om riskerna med behandlingen är i proportion till syftet med behandlingen.

Subjektivt integritetskänsliga personuppgifter

Konsekvensbedömning om dataöverföringar (TIA)

Denna typ av konsekvensbedömning ska bli genomförd innan personuppgifter blir överförda till ett tredjeland utanför EU/EES som inte har ett beslut om adekvat skyddsnivå. Det är enbart EU-kommissionen som kan besluta om ett tredjeland har adekvat skyddsnivå. Syftet med konsekvensbedömning om dataöverföring är att utvärdera de potentiella riskerna och konsekvenserna för de registrerade vid en överföring av deras personuppgifter till det tredjelandet. Exempelvis risken för att de registrerades rättigheter inte kan bli tillgodosedda. Dessutom är det viktigt att identifiera lämpliga åtgärder för att minimera riskerna.

Om risken fortfarande är hög för de registrerade, ska företaget begära ett förhandssamråd med den nationella dataskyddsmyndigheten, innan behandlingen blir utförd. Observera att företag måste utföra en konsekvensbedömning innan de begär förhandssamrådet. 

Vad företag ska göra innan de begär ett förhandssamråd

  1. Utföra en konsekvensbedömning i enlighet med artikel 35 i GDPR. 
  2. Vidta lämpliga åtgärder för att begränsa riskerna med behandlingen. 
  3. Om riskerna kvarstår, ska företaget begära ett förhandssamråd med den nationella dataskyddsmyndigheten.

Information som ska framgå till dataskyddsmyndigheten

Ansvarsområden

Den som begär förhandssamrådet behöver lämna information om ansvarsfördelningen. Speciellt om det är en koncern. Till exempel vem som är personuppgiftsbiträde, om två eller fler är gemensamt personuppgiftsansvariga osv.

Syfte

Det är viktigt att syftet med behandlingen tydligt framgår. Med andra ord, ändamålet med behandlingen (varför behandlingen behöver bli utförd).

Åtgärder

De tekniska och organisatoriska säkerhetsåtgärder som företaget vidtagit för att skydda de fri- och rättigheter som registrerade har.

Dataskyddsombud

Vissa företag behöver ha ett dataskyddsombud. Däremot är det andra företag som inte behöver ha det, men som frivilligt väljer att ha det som en integritetshöjande åtgärd. Oavsett skälet till att företaget har ett dataskyddsombud, ska kontaktuppgifter till denne lämnas till dataskyddsmyndigheten.

Konsekvensbedömningen

Företaget ska överlämna sin dokumenterade konsekvensbedömning.

Information på begärande

Efter att företaget har lämnat in sin begäran om förhandssamråd med dataskyddsmyndigheten, kan dataskyddsmyndigheten efterfråga mer information för att kunna göra sin bedömning. Vid sådana fall ska företaget tillhandahålla de begärda kompletterande uppgifterna.

Svar från dataskyddsmyndigheten avseende förhandssamrådet

Den dataskyddsmyndighet som mottar begäran om förhandssamråd har åtta (8) veckor på sig att svara. Däremot kan de förlänga tidsfristen i vissa fall. Till exempel om förhandssamrådet avser en väldigt komplicerad behandling av personuppgifter. Dataskyddsmyndigheten kan förlänga tidsfristen i maximalt sex (6) veckor ytterligare, men måste informera om detta inom en månad från att de mottagit begäran. 

Om behandlingen inte är förenlig med GDPR

Om dataskyddsmyndigheten kommer fram till att behandlingen inte är förenlig med GDPR, kan de förbjuda behandlingen. Alternativt kan de ge råd om hur företaget ska gå vidare för att följa GDPR vid behandlingen. Dataskyddsmyndigheten kan även vidta de åtgärder som framgår av artikel 58 i GDPR, som beskriver de befogenheter som en dataskyddsmyndighet har.

I vissa fall kan det vara så att företaget inte får ett besked inom åtta (8) veckor, såsom huvudregeln föreskriver enligt GDPR. Till exempel kan det vara på grund av att något fel har uppstått. Med andra ord innebär det inte att behandlingen är godkänd enligt dataskyddsmyndigheten bara för att de inte har återkopplat med sitt svar i ärendet.

GDPR - EU

Informationssäkerhet

Företag har en skyldighet att skydda de personuppgifter som behandlas. Det innebär att företaget måste vidta tillräckliga tekniska och organisatoriska säkerhetsåtgärder. Ju viktigare personuppgifterna är, desto högre är säkerhetskraven. Exempel på tekniska och organisatoriska säkerhetsåtgärder är utbildning för personal, skriftliga instruktioner och rutiner, behörighetsstyrning, ha backup-filer och antivirus program, flerstegsautentisering vid inlogg m.fl. 

Vill du lära dig mer?

Klicka här
Rulla till toppen