Tillsynsmyndigheterna i EU:s medlemsstater har uppdraget att arbeta för skydd av de mänskliga rättigheterna när det gäller behandling av personuppgifter. Därför har tillsynsmyndigheten särskilda befogenheter att granska och verkställa efterlevnaden av GDPR. Vad är de och hur kan du bäst förbereda ditt företag för en revision? 4 min lästid
Vad står på spel?
En inspektion som upptäcker bristande efterlevnad av GDPR kommer att orsaka åtgärder från myndigheten. Åtgärderna kan vara formella (t.ex. varning, förbud och administrativa sanktioner) eller leda till kommersiellt ansvar. Konstaterandet av bristande efterlevnad kommer sannolikt att resultera i negativ publicitet för den personuppgiftsansvarige.
Två olika typer av tillsyner
Det finns i allmänhet två olika vägar att ta för myndigheten i sin tillsyn: skrivbordsinspektion eller fältbesiktning. Skrivbordsinspektion består typiskt sett av sex steg av informationsutbyte mellan den personuppgiftsansvarige och tillsynsmyndigheten. Fältinspektion omfattar både informationsutbyte och en fysisk inspektion vid den personuppgiftsansvariges arbetsplats. De två typerna av tillsyner kan kombineras vilket innebär att en skrivbordstillsyn kan leda till en fältbesiktning eller till och med ytterligare åtgärder.
Vilka befogenheter vid tillsyn har tillsynsmyndigheten?
När man inför avgifter ska tillsynsmyndigheten beakta hur allvarlig, arten och överträdelsens varaktighet. Det kommer också att överväga om överträdelsen har orsakats av uppsåt eller vårdslöshet av processorn. Myndigheten kan beordra både personuppgiftsansvarig och personuppgiftsbiträdet att lämna in information och bevilja åtkomst till alla anläggningar som tillhör dem. Tillsynsmyndigheten kan också kräva, antingen via den personuppgiftsansvarig eller personuppgiftsbiträdet, tillgång till alla personuppgifter och all information som behövs för att utföra granskningen. Om utredningen hindras kan hindret ha en direkt inverkan på de avgifter som ålagts.
Är du klar för en tillsyn?
På grund av de undersökande befogenheter tillsynsmyndigheten har, är det viktigt att förbereda ditt företag för eventuella eventuella besök eller tillsyner.
Jobba på Sharp Cookie Advisors
Vi letar efter dig med framstående akademiska meriter som är nyutexaminerad till att du har några års relevant arbetslivserfarenhet från bolag eller advokatbyrå. Har du examen i ekonomi, teknik, marknadsföring, utvecklat egna bolag, suttit ting är det till din fördel (förutom ett bevis på att du är nyfiken och har haft roligt).
Exempel Frågor från tillsynssmyndigheten:
- Hur har du köpt in IT-tjänst X?
- Hur försäkrade du att alla krav var uppfyllda?
- Har du kunnat göra kravställningar på den tekniska konstruktionen?
- Vilka frågor har du tagit upp med leverantören?
- Vilka riskhanterande åtgärder har ni genomfört?
Den svenska tillsynsmyndigheten
Den svenska tillsynssmyndigheten har inte rätt till någon tvångsåtgärd, t ex polisassistans, i sina tillsynsärenden. Om en personuppgiftsansvarig inte följer en korrigerande åtgärd som införts kommer det att betraktas som en försvårande omständighet. Försvårande omständigheter kan också påverka nivån på den avgift som påförs. Den svenska tillsynssmyndigheten publicerar sina årsrevisionsplaner på sin webbplats. Den riktar in sig på verksamhet som innebär en större risk för kränkning av individensrättigheter , i form av prioriterade områden, särskilda branscher eller företag eller nya företeelser. Den svenska tillsynssmyndigheten har också rätt att utföra ytterligare revisioner, t ex baserat på klagomål från enskilda.