GDPR Learning Hub

Menu
  • Köp kurser
  • Köp mallar
  • GDPR-quiz
  • Ladda ner guider
  • GDPR-kurserna är under konstruktion

Lär dig om GDPR

Styrelsen och ledningen ansvarar för GDPR-efterlevnaden

Styrelsen och ledningen ansvarar för GDPR-efterlevnaden och ska vara involverade i GDPR-arbetet. Styrelsen har det yttersta ansvaret, strategiskt och juridiskt. Ledningen är operativt ansvarig för genomförandet i praktiken. 

Prioritera dataskyddsarbetet

En grundläggande frågeställning som styrelsen och ledningen ska beakta i sitt arbete är ”Vad är syftet med detta?”. Det finns flera fördelar med att prioritera dataskyddsarbetet, och dessa bör kommuniceras internt.

För att skapa så goda förutsättningar som möjligt för alla inom ett företag att kunna följa GDPR, är det viktigt att styrelsen och ledningen signalerar att de prioriterar dataskyddsarbetet.

Positivt att klargöra dataskyddsarbetet

Det är bra att skapa ett värde för de registrerade, både internt (anställda och konsulter) och externt (kunder, kontaktpersoner m.fl.). Att vara noggrann med att vidta tillräckliga tekniska och organisatoriska säkerhetsåtgärder för att skydda de registrerades personuppgifter är något som är positivt för dem. Dessutom är det bra att klargöra detta för de registrerade, eftersom det kan leda till att de uppskattar företaget ännu mer.

What breaches of the GDPR can lead to an administrative fine?

Arbeta agilt med GDPR-arbetet

Det är positivt att utgå från ett agilt arbetssätt istället för traditionell målstyrning vid det interna GDPR-arbetet. Ett agilt arbetssätt handlar om att sätta upp en vision och arbeta tillsammans mot det i etapper eller cykler. Efter varje etapp ges möjligheten till förbättringar och förändringar. GDPR-arbetet är något kontinuerligt och därför är det bra att anpassa arbetssättet efter att enkelt kunna göra förändringar vid behov. 

Registrerade får allt mer kunskap om GDPR

Det är bra att tänka på att allt fler registrerade, oavsett om det är kunder, samarbetspartners eller medarbetare, känner till sina rättigheter samt vilka skyldigheter företag har vid behandling av personuppgifter. Detta innebär bland annat en större risk för en anmälan till den nationella dataskyddsmyndigheten om företaget inte följer alla regler i GDPR. Dessutom har registrerade som känner till dessa regler ofta en högre förväntan på att företaget ska följa GDPR och behandla andras personuppgifter som om det vore deras egna. 

Behöver dataskyddsombud rapportera till ledningen och styrelsen?

Ja, dataskyddsombudet ska rapportera till ledningen och styrelsen enligt reglerna i artikel 39 i GDPR. Med andra ord, rapportera till högsta och näst högsta förvaltningsnivån inom organisationen. Det är styrelsen och ledningen ansvarar för GDPR-efterlevnaden. Observera att alla företag inte behöver utse ett dataskyddsombud i enlighet med artikel 37 i GDPR.  

Principen om inbyggt dataskydd

Alla företag, oavsett storlek, måste ha ett inbyggt dataskydd och dataskydd som standard enligt artikel 25 i GDPR. Med andra ord anpassa sin produkt, tjänst eller system så att de är dataskyddsvänliga från början. Styrelsen och ledningen ansvarar för GDPR-efterlevnaden och behöver ha detta i åtanke när de utvecklar sina produkter, tjänster och system. Genom att ha denna regel i åtanke i sitt strategiska arbete, kan ledningen och styrelsen minska bördan för det interna GDPR-arbetet. 

Ett praktiskt exempel

Det ska vara lika enkelt att återkalla ett samtycke som att ge samtycket. Detta innebär att det ska vara enkelt för den registrerade att hitta hur denne återkallar samtycket.

Ju större företag, desto mer arbete

Ju större ett företag är, desto mer internt dataskyddsarbete brukar krävas. Dessutom är det viktigare att skapa en stark dataskyddsstruktur och dataskyddskultur, ju större företaget är. Ett bra dataskyddsarbete drivs av styrelsen och ledningen. Större företag brukar också behöva ha fler GDPR-relaterade avtal och dokument än mindre företag. 

Styrelsen och ledningen ansvarar för GDPR-efterlevnaden och bör få relevant utbildning

Styrelsen och ledningen bör ha kunskap om GDPR eftersom det är svårt att sätta upp en strategi för att följa ett regelverk som man inte förstår. Därför kan det vara bra att anordna någon slags utbildning för personerna som ingår i styrelsen och ledningen. Styrelsen och ledningen ansvarar ju för GDPR-efterlevnaden i organisationen. 

Utbildning om GDPR till övriga medarbetare

Dessutom är det viktigt att utbilda även övriga medarbetare om GDPR och korrekt behandling av personuppgifter. Det är nämligen de som behandlar flest personuppgifter i sitt arbete. Vissa medarbetare kan få specifika roller i dataskyddsarbetet, såsom ingå i en dataskyddskommitté, vara dataskyddssupport eller datsakyddsambassadör. Dessa personer bör också få relevant utbildning i GDPR utifrån sina arbetsuppgifter, vilket är bra för styrelsen och ledningen att ha i beaktande. 

Företag som bryter mot GDPR kan få stora konsekvenser

Ledningen och styrelsen har som huvuduppgift att verka för företagets bästa. Att företaget bryter mot GDPR är inte i företagets intresse. De ekonomiska konsekvenserna kan bli förödande för företaget. Dessutom kan brott mot GDPR leda till negativ påverkan på varumärket. I värsta fall kan överträdelser av GDPR resultera i sanktionsavgifter upp till 20 miljoner euro eller 4% av den globala årsomsättningen (det högsta av alternativen). 

Mer info

Utse en dataskyddskommitté i ett större företag

I ett större företag är det bra att utse en dataskyddskommitté. Det brukar bestå av en person från varje avdelning i företaget, exempelvis försäljning, produktion, teknik, kundtjänst, juridik, marknadsföring m.m. Personerna har ofta olika erfarenhet och kunskap av GDPR, och det är bra att dela informationen inom organisationen. En dataskyddskommitté bör ha regelbundna möten där de diskuterar det interna GDPR-arbetet. I vissa fall kan de även fatta mindre strategiska beslut gällande dataskyddsarbetet. 

Vill du lära dig mer?

Klicka här
Rulla till toppen