Dataskyddsefterlevnad

Dataskyddsförordningen (GDPR) gäller som lag i Sverige och innehåller regler om hur man får behandla personuppgifter. Den personuppgiftsansvarige (varje nämnd/styrelse) är ansvarig för att personuppgifter behandlas i enlighet med gällande lagstiftning. Enligt art 37 GDPR måste personuppgiftsansvariga myndigheter ha utsett ett dataskyddsombud för sin verksamhet.

Nationell kontroll av regelefterlevnad

På nationell nivå är Datainspektionen tillsynsmyndighet när det gäller regelefterlevnad av GDPR. Datainspektionens tillsyn kan inledas antingen utifrån deras tillsynsplan eller utifrån händelser som inträffar som gör att de väljer att göra en tillsyn.

Dataskyddsombudets kontroll av regelefterlevnad

Dataskyddsombudets viktigaste uppgifter är att ge råd och stöd i dataskyddsfrågor och kontrollera den personuppgiftsansvariges efterlevnad av GDPR och annan dataskyddslagstiftning. Sydarkiveras tjänst som dataskyddsombud utförs av ett team som består av jurist, informationssäkerhetsspecialist och arkivarie.

Kontrollen av efterlevnaden hos de som är anslutna till tjänsten gemensamt dataskyddsombud görs i olika moment:

• Ett årligt moment är att dataskyddsombudet tar fram en självvärderingsenkät som varje personuppgiftsansvarig ska besvara. Personuppgiftsansvarig får en återkoppling i form av denna rapport från kontroll av dataskyddsefterlevnad. Rapport innehåller en analys av ansluten personuppgiftsansvarigs svar på enkäten. Vidare finns kommentarer från dataskyddsteamet och en sammanvägd bedömning med förslag till åtgärder.
• Ett annat moment är att medlemssamordnare i samband med arkivtillsyn också gör en dataskyddstillsyn enligt Sydarkiveras tillsynsplan. Efter dataskyddstillsynen tas åtgärdsplan fram och skickas till berörd myndighet.
• Vid särskilda behov eller önskemål från part kan en händelsestyrd tillsyn av dataskyddsombudet genomföras på plats.

Rapporter och åtgärdsplaner lämnas till personuppgiftsansvarig för kännedom. Personuppgiftsansvarig ansvarar för att vidta föreslagna åtgärder.