Visa att du iakttar dataskyddsbestämmelserna

Vid behandling av personuppgifter ska du iaktta bestämmelserna i dataskyddsförordningen. Ansvarsskyldigheten innebär att den personuppgiftsansvarige också ska kunna visa att dataskyddslagstiftningen iakttagits.

Ansvarsskyldigheten är en central princip i dataskyddsförordningen. Om den personuppgiftsansvarige till exempel upptäcker en dataskyddsincident, kan den personuppgiftsansvarige med ansvarsskyldigheten visa att den aktivt försökt identifiera dataskyddsrelaterade risker och vidtagit tillräckliga åtgärder för att skydda personuppgifterna. Om den personuppgiftsansvarige inte kan visa att plikterna i dataskyddsförordningen fullgjorts, kan detta, förutom anseenderelaterade risker, leda till administrativa påföljder. 

Syftet med ansvarsskyldigheten är inte enbart att bedöma fullgörandet av de lagstadgade kraven. Ett ytterligare syfte är att visa hur den personuppgiftsansvarige respekterar de registrerades dataskydd, det vill säga skyddet för de personer som är föremål för behandling av personuppgifter. Fullgörande av ansvarsskyldigheten ökar förtroendet för den personuppgiftsansvariges verksamhet.

Den personuppgiftsansvarige ska vidta nödvändiga tekniska och organisatoriska åtgärder för att uppfylla kraven enligt ansvarsskyldigheten. Ansvarsskyldigheten innebär också en dokumentationsskyldighet, i praktiken en skyldighet att vidta och anteckna vissa åtgärder.

Dataskyddsförordningen innehåller krav som gäller ansvarsskyldigheten, vars åläggande karaktär ska analyseras från fall till fall.  Omfattningen på ansvarsskyldigheten beror bland annat på organisationens storlek, antalet anställda och hurudana personuppgifter den personuppgiftsansvarige behandlar. Den personuppgiftsansvarige ska beakta ansvarsskyldigheten redan i den fas då behandlingen av personuppgifter planeras. Dokumentationen och åtgärderna ska uppdateras oavbrutet och hanteringen ska vara omsorgsfull.

Åtgärder och dokument för att fullgöra ansvarsskyldigheten

  • Register över behandling det vill säga en allmän behandling av personuppgifter (artikel 30 i dataskyddsförordningen)
    • Gäller också personuppgiftsbiträden
  • Det inbyggda genomförandet av dataskyddsprinciperna i den egna verksamheten (art. 5 + art. 25)
  • Eventuella mer omfattande verksamhetsprinciper som gäller dataskyddet (art. 24.2)
  • Informationspraxis (art. 12–14)
  • Bedömningar av den rättsliga grunden för behandlingen (art. 6‒10)
    • Om behandlingen grundar sig på ett samtycke, den dokumentation som gäller samtycket (art. 7 + art. 8)
    • Om behandlingen grundar sig på ett berättigat intresse hos den personuppgiftsansvarige eller en utomstående, ett jämviktstest som gäller detta (art. 6.1.f)
  • Andra interna och externa anvisningar (art. 12, 13, 14, 24, 25, 28, 29, 32)
    • Dokumentation av riskbedömningar och vidtagna tekniska och organisatoriska skyddsåtgärder.
    • Interna och externa anvisningar för att tillgodose den registrerades rättigheter
    • Anvisningar för anställda som behandlar personuppgifter och personuppgiftsbiträden
    • Interna kontroller och auditeringar
  • Dokumentation av konsekvensbedömningar (art. 35) och föregående samråd (art. 36)
  • Dokumentering av dataskyddsincidenter som gäller personuppgifter (art. 33 + 34) och den anknutna processen
  • Dokumentation som gäller dataskyddsombudets ställningar och uppgifter (art. 37–39)
    • Det rekommenderas att alltid dokumentera grunderna för varför organisationen gjort ett annat avgörande än vad dataskyddsombudet rekommenderat i ett ärende som gäller behandling av personuppgifter
  • Avtal som gäller behandling av personuppgifter (art. 28)
  • De gemensamma personuppgiftsansvarigas ansvarsområden (art. 29)
  • Eventuell dokumentation om utnämning av ledande tillsynsmyndighet (art. 56)
  • Dokumentation av överföring av personuppgifter till tredje länder (5 kap.)

En del av plikterna i dataskyddsförordningen gäller enbart en del av organisationerna eller behandlingsåtgärderna gällande personuppgifter Exempel på sådana skyldigheter utgörs av utnämning av dataskyddsombud, utarbetande av konsekvensbedömning av dataskyddet, föregående samråd och skyldigheten att utarbeta ett register över behandling. Det rekommenderas att dokumentera på vilket sätt man avgjort att fullgöra eller inte fullgöra dessa skyldigheter.

Vid fullgörandet av ansvarsskyldigheten är det möjligt att ta i bruk certifikat och uppförandekoder som stöd.