Principen om ansvarsskyldighet i GDPR kräver att du tar ansvar för hur du behandlar personuppgifter. Du måste också se till att företaget följer andra principer. Principen omfattar vidare en skyldighet att visa att de uppfyller kraven, vilket innebär att företagen måste ha dokumenterade rutiner och rutiner på plats.
Lästid: 2,5 minuter.
Skriftliga förfaranden och förvaltningsdokument som visar ansvarsskyldighet
För att vara kompatibel med GDPR behöver företag dokumentation av olika slag. Företagen bör ha skriftliga förfaranden och förvaltningsdokument, inklusive en dokumenterad beslutsprocess för att säkerställa spårbarhet. Exempel kan vara en intern sekretesspolicy eller ett förfarande för dataminimering. Andra relevanta dokument kan omfatta ett förfarande för att följa de registrerades rättigheter och regler för användning av arbetstelefoner. En rutin för att genomföra konsekvensbedömningar är ett annat dokument som skulle kunna bli nödvändigt.
Syftet med sådan dokumentation är att visa på överensstämmelse. Det är också ett bra sätt att etablera företagets syn på dessa frågor.
Rutiner och policyer för regelefterlevnad måste praktiseras
Företagen måste se till att deras rutiner och policyer för efterlevnad är verkställbara. Vidare behöver de anställda information om de regler och förfaranden som finns. De måste också få utbildning i ämnet att följa principen om ansvarsskyldighet i den allmänna dataskydds- och dataskyddsasken. Det är också nödvändigt att ha kontrollfunktioner, som att initiera intervjuer med anställda. Du bör dela upp ansvaret för dataskyddsfrågor inom företaget, till exempel genom att ha ett dataskyddsombud som är oberoende av ledningen. Genom att göra detta undviker du intressekonflikter.
Upprätthålla elektroniska register över bearbetningsaktiviteter
Enligt artikel 30 i den allmänna dataskyddsför- den allmänna dataskyddsförkortaren skall elektroniska register föras över förädlingsverksamhet. Denna skyldighet gäller både personuppgiftsansvarigs och processorer och säkerställer spårbarhet. Skyldigheten att föra register gäller inte företag med färre än 250 anställda, såvida inte något av följande gäller:
- behandlingen inte är tillfällig
- behandlingen sannolikt kommer att leda till en risk för de registrerades rättigheter och
- behandlingen omfattar särskilda kategorier av uppgifter (känsliga personuppgifter), såsom personuppgifter som avslöjar politiska åsikter eller religiösa/filosofiska övertygelser
- behandlingen omfattar personuppgifter som rör brottmålsdomar och brott.
Det innebär att de flesta företag behöver upprätta och underhålla sådana register.
Checklista för personuppgiftsansvarigs
Som ett minimikrav behöver posten över bearbetningsaktiviteter innehålla följande:
- Namn och kontaktuppgifter för den personuppgiftsansvarig och personuppgiftsansvarigombud, samt uppgiftsskyddsombudets namn och kontaktuppgifter
- Ändamål med behandlingen
- En beskrivning av de kategorier av registrerade och kategorier av personuppgifter
- Kategorier av mottagare som den personuppgiftsansvarig lämnar ut personuppgifter till
- Om tillämpligt, register över eventuella överföringar av personuppgifter till ett annat land, eller till en internationell organisation
- Om möjligt kan de planerade tidsfristerna för radering
- Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som finns.
Checklista för processorer
Som ett minimikrav behöver posten över bearbetningsaktiviteter innehålla följande uppgifter:
- Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena. Också, namn och kontaktuppgifter för varje personuppgiftsansvarig för vilkens räkning processorn agerar. Om tillämpligt, namn och kontaktuppgifter för personuppgiftsansvarigeller registerförarens representant, och på den personuppgiftsansvarige
- Kategorier av behandling som utförs för varje registeransvarigs personuppgiftsansvarig
- Om tillämpligt, överföringar av personuppgifter till ett annat land, eller till en internationell organisation
- Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som finns.
Företagen måste visa dessa register på begäran av tillsynsmyndigheten.