Principen om ansvarsskyldighet
En viktig del av GDPR är att företag måste kunna visa att de följer GDPR i praktiken vid behandling av personuppgifter. Detta framgår av principen om ansvarsskyldighet (på engelska “Accountability principle”). Företaget kan i samband med en granskning behöva uppvisa interna rutiner, dokument, policyer, utbildningsmaterial för de anställda och andra relevanta dokument. I denna artikel kommer vi att beskriva principen om ansvarsskyldighet och dess betydelse inom dataskydd.
Ansvarsskyldighet (Artikel 5.2 GDPR)
Företag måste kunna visa att de följer GDPR i praktiken, inklusive de grundläggande principerna, och hur det sker. Många frågar sig vad som verkligen krävs för att uppfylla principen om ansvarsskyldighet i praktiken. Det kan ske på olika sätt, bland annat genom att upprätta skriftliga interna rutiner.
Här är några tips på hur organisationer kan säkerställa att de uppfyller principen om ansvarsskyldighet:
Skriftliga rutiner: Upprättande av skriftliga rutiner för gallring av personuppgifter, hantering av personuppgiftsincidenter och övriga interna policyer som samtliga medarbetare ska var skyldiga att följa.
Dokumenterade bedömningar och beslut: Dessutom kan den skriftliga dokumentationen bestå i dokumenterade överväganden, riskbedömningar och beslut rörande de behandlingar av personuppgifter som företaget utför. I vissa fall är det även ett krav enligt GDPR att utföra bedömningar och skriftligen notera besluten. Exempelvis konsekvensbedömning av dataskydd (DPIA) eller överföring av personuppgifter till ett tredelad (TIA).
Avtal och register: Företag behöver även upprätta skriftliga personuppgiftsbiträdesavtal enligt artikel 28 GDPR (om tillämpligt) och även en skriftlig registerförteckning enligt artikel 30 GDPR.
Regelbunden översyn: Företag bör regelbundet granska och uppdatera sina dataskyddspolicyer och interna styrdokument, för att säkerställa fortsatt efterlevnad av GDPR.
Ett flertal företag har fått betala sanktionsavgifter för att de saknat lämpliga GDPR dokument och avtal. Därför är det viktigt att ha korrekt skriftligt underlag, för att undvika detta. Konsekvenserna kan bli stora för företag som inte följer GDPR.
Övriga dataskyddsprinciper
Förutom principen om ansvarsskyldighet finns det andra dataskyddsprinciper som företag måste följa. Det finns totalt sju dataskyddsprinciper enligt GDPR. Medan andra dataskyddsprinciper fokuserar på individens rättigheter, fokuserar principen om ansvarsskyldighet på organisationens skyldigheter.
För att summera, är förståelse och implementering av principen om ansvarsskyldighet avgörande för varje organisation som behandlar personuppgifter.
Vi skriver och granskar avtal till fasta priser
Gratis juridikskolor
För de som söker mer detaljerad information om principen om ansvarsskyldighet, hänvisar vi till vår hemsida www.AvtalGDPR.se som tillhör Digitala Juristerna. Där har vi samlat information om specifikt GDPR som är viktigt för företag och företagare att känna till.
Vi driver även olika gratis juridikskolor på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.
På vår hemsida och Instagram publicerar vi också olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.