GDPR Learning Hub

Menu
  • Köp kurser
  • Köp mallar
  • GDPR-quiz
  • Ladda ner guider
  • GDPR-kurserna är under konstruktion

Personuppgifter inom näringslivet

Dataskyddsstruktur i ett företag 

Det är viktigt att skapa en bra dataskyddsstruktur i ett företag för att kunna följa alla regler i GDPR. Dessutom blir arbetet mer effektivt för alla medarbetare i företaget, ju bättre strukturen kring dataskydd är inom verksamheten. Därför är det viktigt att säkerställa en god dataskyddsstruktur i ett företag.

Utgångspunkt för att skapa en bra dataskyddsstruktur i enlighet med GDPR

Det finns flera olika sätt för att skapa en bra dataskyddsstruktur i ett företag. Utgångspunkten bör dock alltid vara att anpassa dataskyddsstrukturen efter hela verksamheten. Med andra ord är det inte alltid nödvändigt att förändra hela företagsstrukturen i sig, för att anpassa den efter GDPR. 

Till exempel kan chefen för kundtjänsten också vara en lämplig dataskyddsambassadör, genom att tilldelas extra utbildning i GDPR om frågor som är relevanta för kundtjänstavdelningen. Med andra ord, bör företaget utgå ifrån de supportfunktioner och strukturer som redan finns och göra nödvändiga kompletteringar eller justeringar.

What breaches of the GDPR can lead to an administrative fine?

Decentraliserat beslutsfattande gällande GDPR-frågor

Genom att decentralisera beslutsfattandet gällande frågor om GDPR, kan företaget arbeta mer effektivt. Till exempel genom att dataskyddsambassadörerna får befogenhet att fatta vissa mindre beslut, istället för att behöva vända sig till ledningen/styrelsen, eftersom det kan vara tidskrävande och ibland ineffektivt. 

Upprätta styrdokument för decentraliserat beslutsfattande

För att kunna ha ett bra decentraliserat system för beslutsfattande, bör företaget upprätta tydliga styrdokument, ge lämplig utbildning och skapa en god dataskyddskultur. Även andra medarbetare kan ges befogenhet att fatta vissa beslut själva, för att effektivisera arbetet. Till exempel kan en kundtjänstarbetare få rätt att radera personuppgifter vid begäran från en registrerad. 

Upprätta nödvändiga GDPR-relaterade avtal och dokument

För att effektivisera arbetet med GDPR så mycket som möjligt och följa regelverket, är det bra att upprätta skriftliga avtalsmallar, rutiner, svarsmallar, checklistor, sammanfattningar och andra relevanta stöddokument till alla medarbetare. På så sätt får medarbetarna kännedom om exempelvis hur de ska agera vid en eventuell inträffad personuppgiftsincident, vad de ska svara om en registrerad begär att få sina rättigheter tillgodosedda, eller liknande. 

Ge lämplig utbildning till medarbetarna

Det är alla medarbetare på företaget, oavsett arbetsroll och arbetsuppgifter, som i praktiken kommer i kontakt med personuppgifter i samband med utförandet av sina arbetsuppgifter. Därför behöver alla medarbetare följa reglerna i GDPR, inte endast företagsledningen. Av denna anledning är det bra att ge utbildning till personalen avseende GDPR och korrekt behandling av personuppgifter. Däremot är det inte nödvändigt för alla medarbetare att känna till samtliga regler i GDPR. Istället är det viktigare att ge medarbetarna lämplig utbildning om GDPR i frågor som berör deras specifika arbetsuppgifter och arbetsområden.

Positivt att få feedback från medarbetare

I och med att medarbetarna på alla nivåer inom företaget brukar behandla personuppgifter i sitt arbete, är det bra att ta emot feedback från dem som en del i företagets förbättringsarbete. Medarbetarna har ofta god insyn i det praktiska som berör deras arbetsuppgifter och därför kan de ha väldigt bra kunskap om förbättringsmöjligheter. 

Kontrollera behörigheten

Det är sällan nödvändigt för alla medarbetare att ha tillgång till samtliga personuppgifter som företaget behandlar. Enligt principen om uppgiftsminimering ska personuppgifter exponeras så lite som möjligt, vilket även inkluderar exponering inom ett företag. Enbart de medarbetare som behöver personuppgifterna för att utföra sina arbetsuppgifter, bör ha tillgång till dem. Därför är det bra att ha lämpliga IT-lösningar för att fördela och kontrollera åtkomstbehörigheter

What is the definition of anonymised data?

Exempel

En redovisningskonsult behöver åtkomst till alla personuppgifter i ekonomisystemet för att kunna utföra sitt redovisningsarbete. Företagets inköpsansvarig har däremot inget behov av tillgång till alla de personuppgifterna, och bör därmed inte ha samma åtkomsträttigheter som redovisningskonsulten.

Det är viktigt med en bra dataskyddskultur i företaget

Att skapa en bra dataskyddskultur innebär att företaget skapar normer och värderingar hos medarbetarna, som är förenliga med GDPR och dataskyddsprinciperna. Det är något som utvecklas över tid och är viktigare ju större företaget är. 

Exempel: 

  • Skapa en vana bland medarbetarna att alltid dubbelkolla den angivna mottagaren innan ett e-postmeddelande skickas. 
  • Skapa en kultur som innebär att ingen medarbetare skäms för att fråga sina kollegor om hjälp i frågor som rör GDPR eller andra typer av frågor.

Skapa en dataskyddsstruktur - Ju större företaget är, desto viktigare är detta

Ju större företaget är, desto viktigare är det att skapa en god dataskyddsstruktur för att inte bryta mot GDPR. Dessutom brukar kraven vara högre för större företag. Till exempel kan ett stort företag behöva implementera en individ för respektive roll som anges i beskrivningen nedan, medan ett mindre företag kan ge en individ uppgifter inom flera roller.

Exempel på en dataskyddsstruktur inom ett större företag

Högsta ledningen och styrelsen

  • För att medarbetarna ska kunna följa reglerna i GDPR i sitt arbete, behöver den högsta ledningen och styrelsen skapa en bra dataskyddskultur. 
  • Den högsta ledningen och styrelsen ska se till att medarbetarna får lämplig utbildning och instruktioner i hur de ska sköta sitt arbete i enlighet med GDPR.

Dataskyddskommitté

  • Det är positivt att sätta upp en dataskyddskommitté inom verksamheten, med minst en person från varje grupp. Med andra ord, en person från högsta ledningen, en person av de medarbetare som arbetar med support, dataskyddsombudet och dataskyddsambassadörer. 
  • Dataskyddskommittén kontrollerar och fattar de dagliga strategiska besluten utifrån behoven i företaget. Dessutom följer de upp åtgärderna.

Dataskyddssupport

  • Det brukar vara till exempel en person från juristavdelningen på ett företag som arbetar i rollen dataskyddssupport. Dataskyddssupporten har som uppgift att vara vägledande och ge support, svara på frågor och liknande, till de olika avdelningarna inom företaget.

  • Dataskyddssupporten brukar också vara kontaktpunkten för tillsynsmyndigheten, om företaget inte har ett dataskyddsombud.

Dataskyddsambassadörer

  • Dataskyddsambassadörer är koordinatorer som är kontaktpunkter inom företaget.

  • Om ett stort företag har flera avdelningar, kan det vara bra att utse en dataskyddsambassadör per avledning. Till exempel en för kundtjänsten, en för säljavdelningen, lagerhanteringen osv. 

  • Medarbetare ska kunna vända sig till dataskyddsambassadörerna vid eventuella frågor om GDPR. Detsamma gäller om ledningen/styrelsen vill ändra något i dataskyddsarbetet, så är det dataskyddsambassadörerna som verkställer åtgärderna.

Dataskyddsombud

Dataskyddsombud ska bland annat:

  • Kontrollera att företaget följer GDPR. 

  • Vara tillgängliga för både medarbetare och externa registrerade, såsom kunder för frågor gällande hanteringen av deras personuppgifter. 

  • Genomföra lämpliga utbildningar och informationsinsatser inom företaget. 

  • Finnas registrerad hos den nationella dataskyddsmyndigheten. 

  • Gå sina synpunkter till företaget vid genomförandet av konsekvensbedömningar. 

Övriga medarbetare

Det är medarbetare inom företaget som i praktiken arbetar med att hantera personuppgifter. Därför är det viktigt att skapa bra förutsättningar för dem, så att de kan göra det i enlighet med GDPR. Om de bryter mot GDPR, är det företaget som bär ansvaret för eventuella konsekvenser, och inte den anställde personligen. 

Mer info om GDPR

Olika roller i GDPR

Det är bra att förstå de olika rollerna som finns inom GDPR, såsom registrerade, personuppgiftsansvarig, personuppgiftsbiträde och dataskyddsombud, för att kunna tillvarata sina rättigheter och fullgöra sina skyldigheter enligt GDPR. Dessutom är det bra att känna till vilka befogenheter som den nationella dataskyddsmyndigheten har. Om en personuppgiftsansvarig anlitar ett personuppgiftsbiträde, är det viktigt att reglera förhållandet samt känna till skillnaden mellan rollerna, för att veta vem som ska göra vad. Personuppgiftsbiträdesavtal måste dessutom vara skriftliga för att vara giltiga.

Vill du lära dig mer?

Klicka här
Rulla till toppen