Artikel 5(2) i GDPR
Dataskyddsprincipen om ansvarsskyldighet
Principen om ansvarsskyldighet innebär kort sagt att den personuppgiftsansvarige (företaget) ansvarar för att företaget följer dataskyddsprinciperna vid behandling av personuppgifter. De sju dataskyddsprinciperna genomsyrar hela GDPR. Principerna utgör grunden för alla bestämmelser i lagtexten.
GDPR - Principen om ansvarsskyldighet
Företag har en skyldighet att kunna visa att de följer bestämmelserna i dataskyddsförordningen, även kallad för GDPR. Med andra ord är det inte registrerade eller dataskyddsmyndigheter som behöver bevisa att företag gör det. Detta följer av den grundläggande principen om ansvarsskyldighet, som utgör en central del av GDPR. Artikel 5(2) i GDPR reglerar principen om ansvarsskyldighet.
Tillsynsmyndighet kan begära dokumentation
Tänk på att tillsynsmyndigheten kan begära att få tillgång till hela eller delar av företagets dokumentation, registerförteckning m.m. Därför är det viktigt att vara förberedd och ha god ordning i sitt interna och praktiska GDPR-arbete samt tillhörande dokumentation.
Här är några exempel på åtgärder företag kan vidta
Informera
Företag som behandlar personuppgifter ska informera de registrerade innan behandlingen. Informationen ska vara tydlig. Till exempel vem den personuppgiftsansvarige är, syftet med behandlingen, hur länge företaget behöver behandla personuppgifterna och vilka risker behandlingen innebär för de registrerade m.m.
Dokumentera
Företag bör dokumentera sina behandlingar, motiveringar till beslut och annan information som kan visa att företaget följer GDPR. Till exempel om ett företag anser att de har ett berättigat intresse, behöver de göra och dokumentera en intresseavvägning. Dessutom behöver företag göra konsekvensbedömningar vid vissa behandlingar.
Rutiner och riktlinjer
Företag bör ha interna rutiner och riktlinjer för dataskydd som medarbetarna ska följa. Till exempel mallar på hur de anställda ska besvara frågor om behandling av personuppgifter från registrerade. Ett annat exempel är interna rutiner för hur de anställda ska kunna tillgodose de rättigheter som registrerade har enligt GDPR. Eller rutiner för hur anställda ska radera personuppgifter som företaget inte längre behöver behandla.
Fler exempel
Utbildning
Personal kan behöva utbildning i GDPR för att organisationen ska kunna följa regelverket. Det är vanligt för företag att skicka vissa anställda på utbildningar. Dessutom har vissa större företag flera medarbetare på till exempel olika avdelningar av företaget som behöver kunskap om GDPR och därför får gå på utbildning.
Dokumentera personuppgiftsincidenter (Artikel 33.5 GDPR)
En personuppgiftsincident är en säkerhetsincident som inträffar exempelvis när någon obehörig får tillgång till personuppgifter. Dessutom är det en personuppgiftsincident om personuppgifter blir går förlorade eller blir obehörigt ändrade. Om det inträffar en personuppgiftsincident, ska företaget dokumentera incidenten och försöka minimera konsekvenserna. Detta gäller oavsett om incidenten behöver bli anmäld till tillsynsmyndigheten eller inte.
Publicera integritetsmeddelande på webbplatsen (Artikel 12 GDPR)
Det är vanligt att företag publicerar sitt integritetsmeddelande på webbplatsen. Ett integritetsmeddelande innehåller information och beskrivning av personuppgiftsbehandlingen. Exempelvis information ändamål och laglig grund för behandlingen. Dessutom brukar företag som har ett dataskyddsombud inkludera kontaktuppgifter till denne i integritetsmeddelandet. Företag bör inte inkludera integritetsmeddelandet i sina allmänna villkor, utan bör ha dem separat.
Samtyckesruta (artikel 7 GDPR)
Företag som behandlar personuppgifter med stöd av den rättsliga grunden samtycke kan samla in samtycken på olika sätt. I vissa fall kan det ske genom en kryssruta i en blankett, ett formulär eller liknande. Det är viktigt att tänka på att samtyckesrutan inte får vara ikryssad. Detta beror på att det inte är ett aktivt lämnat samtycke och därmed blir det inte giltigt.
Företag måste kunna visa att de har hämtat in ett giltigt samtycke, om det är den rättsliga grunden för behandlingen av personuppgifterna. Dessutom ska det vara enkelt för de registrerade att återkalla det lämnade samtycket. Annars är samtycket inte heller giltigt
Företaget ska även dokumentera inhämtade samtycken för att kunna bevisa dem, i enlighet med principen om ansvarsskyldighet.
Konsekvensbedömning avseende dataskydd (artikel 35 GDPR)
Företag ska göra en konsekvensbedömning avseende dataskydd i vissa fall. Detta gäller om behandlingen sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Vid sådana fall ska företaget utföra och dokumentera konsekvensbedömningen innan behandlingen blir påbörjad.
Föra en registerförteckning (Artikel 30 GDPR)
Ytterligare ett sätt att uppfylla principen om ansvarsskyldighet är att föra en registerförteckning. Den ska innehålla information om varje behandling av personuppgifter. Såsom ändamål, lagringstid, mottagare av personuppgifterna m.m. Artikel 30 i GDPR innehåller information om vad en registerförteckning ska innehålla för att uppfylla minimikraven.
Fler principer i GDPR
Principen om laglighet, korrekthet och transparens
Denna grundläggande dataskyddsprincip utgörs av tre delar: laglighet, korrekthet och transparens. Laglighet innebär att företag måste ha en rättslig grund för att behandla personuppgifter. Exempelvis samtycke eller avtal med registrerade. Korrekthet innebär att företaget inte ska behandla personuppgifter oproportionerligt i förhållande till behandlingen. Öppenhet innebär att företag ska informera de registrerade om behandlingen på ett öppet sätt. Med andra ord ska det inte vara otydligt för de registrerade att förstå till exempel syftet med behandlingen.