Vem ansvarar för GDPR?
Om din organisation inte har en utsedd DPO (Data protection officer) eller på svenska en DSO (Dataskyddsombud) - vem kontrollerar då regelefterlevnad och bistår med kunskap om löpande behov av förändringar/förbättringar?
Som vanligt är VD och styrelse alltid ytterst ansvarig för att företaget följer lagar och regler. Men för att det skall fungera i praktiken måste ansvaret fördelas. Till en ansvarig, till varje anställd och till leverantörer som behandlar eller har tillgång till personuppgifter. Dessvärre blir detta ofta inte gjort i organisationer som saknar en DPO. Det innebär att det arbete man gjort i tidigare GDPR-projekt eroderar gradvis när verksamhet, rutiner eller system förändras, när tolkning av lagen förtydligas eller när kunder och leverantörers roller förändras. Risken är alltså stor att man som organisation över tid inte följer regelverken och därmed ökar risken för incidenter, böter och ”bad will”.
Om organisationen har en DPO (Data Protection Officer)
Vissa organisationer måste enligt lag utse en DPO. Hen skall avsätta tid för planering, uppföljning och utförande av uppgifter i syfte att organisationen säkerställer lagefterlevnad. Dennes ansvar är att bistå organisationen med att upprätta regler, rutiner och utbildning samt i förekommande fall vara kontaktperson till tillsynsmyndighet. DPO har också till uppgift att löpande kontrollera regelefterlevnad och att rapportera eventuella avvikelser till ledningen för korrigering. DPO skall inte inneha någon annan roll inom organisationen som innebär att denne hanterar personuppgifter, t.ex. annan chefsroll inom organisationen, som genererar en intressekonflikt. Detta för att säkerställa oberoende och objektiv granskning och kontroll.
Läs mer om vilka organisationer som måste tillsätta en DPO här >
Om organisationen inte måste ha en DPO?
Om din organisation inte måste tillsätta en DPO kan det vara klokt att tillsätta en roll med motsvarande uppgifter. Även här, i likhet med DPO, gäller att rollen med fördel kan köpas som tjänst (”DPO-as-a-Service”). Fördelarna med detta är bl.a. att ni får tillgång till experter inom området och att ni enklare kan reglera omfattning - eg. tid och kostnad.
Hur kan Cegal hjälpa din organisation med GDPR?
Först och främst rekommenderar vi en kontroll av hur organisationen svarar upp mot GDPR idag, dvs att genomföra en GAP-analys. (Not; Granskning/revision skall egentligen göras minst årligen enligt GDPR.) GAP-analysen visar vilka eventuella åtgärder som behöver vidtas för att återställa regelefterlevnaden.
Parallellt med GAP-analysen rekommenderar vi också att ni ser över förvaltningsrutinerna. Dvs vilka roller och ansvariga som löpande förvaltar och uppdaterar GDPR-regelverket när organisation, rutiner eller system förändras. Vi på Cegal hjälper er gärna med GAP-analys och den löpande förvaltningen. Vi har genomfört många GDPR-projekt och har konsulter som innehaft rollen som inhyrd DPO/DSO i såväl stora, medelstora som små organisationer. Vi har paketerat tjänster som enkelt kan anpassas efter er verksamhets storlek och komplexitet.
