Dataskydd och personuppgifter

 

Medarbetare på Kompass Advokat har bistått klienter med rådgivning inom dataskydd och personuppgiftshantering sedan nittiotalet. Tack vare vår mångåriga erfarenhet och djupa kunskaper har vi kunnat utarbetat särskilda metoder för att säkerställa företags och organisationers efterlevnad av gällande dataskyddsregler. Vi tillämpar ett riskbaserat arbetssätt med fokus på att identifiera och föreslå åtgärder för att hantera avvikelser från regelverket utan onödiga ingrepp i den löpande verksamheten. Genom vår breda erfarenhet av att hjälpa klienter i en rad olika branscher kan vi uppnå en kombination av juridisk analys och verksamhetsanknytning som gör oss unika på marknaden.

Med vår kompetens kommer även en förmåga att skräddarsy lösningar i enlighet med klientens behov. Vi är vana att agera som extern bolagsjurist och som bollplank för klientens juristavdelning och övriga anställda under längre perioder. Vid större projekt kan vi ta på oss rollen som projektledare eller expertkompetens, allt efter klientens behov. I större dataskyddsprojekt använder vi en väl beprövad modell för kartläggning av avvikelser eller enskilda incidenter, analys och åtgärder avseende alla eller vissa avgränsade dataskyddsrelaterade frågor i verksamheten. Tack vare vårt pragmatiska förhållningssätt gör vi det lätt för företag och organisationer att anpassa sin verksamhet till ett svåröverskådligt och komplicerat regelverk.

Exempel på de mest efterfrågade av våra tjänster inom dataskyddsområdet är:

Externt dataskyddsombud

Kompass Advokat tillhandahåller tjänsten som extern DSO/DPO till företag som inte behöver tillsätta en heltidstjänst. Vi tillhandahåller intern rådgivning och utbildning, ansvarar för och genomför kontroller, hanterar alla kontakter med tillsynsmyndigheten och uppfyller övriga krav som ställs på ett DSO enligt dataskyddsförordningen. Du kan läsa mer om denna tjänst här.

Konsekvensbedömningar (DPIA)

Kompass Advokat hjälper företag att identifiera situationer då dataskyddsförordningen kräver en konsekvensbedömning och hjälper till att genomföra den på ett korrekt sätt.

Personuppgiftsincidenter

Om det har inträffat en incident hjälper vi till att bedöma om den behöver anmälas till Datainspektionen och om de registrerade behöver informeras. Vi hjälper till att upprätta anmälan. Om innehållet är känsligt hjälper vi er att hitta argument för att anmälan ska sekretessbeläggas helt eller delvis så att den inte lämnas ut som offentlig handling.

Löpande rådgivning

Kompass Advokat kan tillhandahålla löpande stöd till ett företags dataskyddsombud eller dataskyddsansvarig funktion. Vi finns då tillgängliga för rådgivning och avstämningar i enskilda frågor. Om behov finns kan vi också erbjuda resurser på plats som kan stötta i det praktiska arbetet med exempelvis kontroller och rapportering.

Gap-analyser

Kompass Advokat kartlägger och analyserar hela eller delar av ett företags personuppgiftsanvändning. Vi förklarar de risker vi ser och kommer med konkreta åtgärdsförslag för att anpassa både verksamheten och inarbetade arbetssätt till gällande dataskyddsregler.

Medverkan vid tillsyn samt fiktiv tillsyn

Om Datainspektionen inleder tillsyn mot ditt företag kan vi hjälpa till att ta fram svarsbrev, dokumentation och att förbereda er för möten. För företag och organisationer som vill förbereda sig för en eventuell tillsyn kan vi genomföra en fiktiv tillsyn. Detta blir ett slags realistiskt stresstest på verksamheten som både förbereder inför ett eventuellt tillsynsärende och som testar att företagets GDPR-förberedelser fungerar i praktiken. Vi följer upp och föreslår förbättringsåtgärder vid behov.

Second opinion

För företag som själva genomfört en konsekvensbedömning, gap-analys eller har utrett någon specifik dataskyddsfråga (eller anlitat någon annan leverantör för detta) erbjuder vi en second opinion på det tidigare arbetet. Då går vi igenom befintligt material och lämnar våra synpunkter och förslag på eventuella behov av kompletteringar eller förbättringar.

Utbildningar och workshops

Vi brinner för att utbilda och har omfattande erfarenhet av att skräddarsy internutbildningar inom dataskydd. Ofta kombinerar vi dessa med workshops där vi hjälper till att kartlägga ett företags personuppgiftshantering och faktainsamla inför en juridisk analys. Vi kan också ta fram och hålla utbildningar inom vissa avgränsade områden inom dataskydd, såsom marknadsföring, profilering och personaladministration.

Framtagande och granskning av olika dokument

Kompass Advokat utarbetar olika slags texter som är nödvändiga för företagens regelefterlevnad:

  • Informationstexter till kunder, anställda och andra registrerade,
  • avtal med personuppgiftsbiträden,
  • avtal för andra situationer när företag utbyter personuppgifter med varandra,
  • överenskommelser mellan gemensamt personuppgiftsansvariga,
  • riktlinjer för gallring av personuppgifter,
  • interna styrdokument för personuppgiftshantering,
  • instruktioner för tillhandahållande av så kallade registerutdrag,
  • rutiner för incidentrapportering,
  • konsekvensbedömningar, m.m.

I den mån företaget redan har befintliga texter på plats kan vi granska dessa och komma med förslag och synpunkter med hänsyn till gällande dataskyddsregler och praxis.

Upprättande av behandlingsregister

Kompass Advokat hjälper till att ta fram ett så kallat artikel 30-register (behandlingsförteckning). Det är ett register över alla personuppgiftsbehandlingar i verksamheten och något som alla företag måste ha enligt GDPR. Vi hanterar och följer upp svar på frågor och intervjuar berörda medarbetare för att registret ska bli korrekt.

Årsplan/kontrollplan

Kompass Advokat hjälper företag med att ta fram årsplan/kontrollplan för dataskyddsombudets tillsynsarbete. Årsplanen/kontrollplanen tar utgångspunkt i dataskyddsförordningen och rekommendationer från tillsynsmyndigheter.

Gallringspolicy

Med utgångspunkt i bolagets behov av att spara personuppgifter och vad som är tillåtna tidsgränser enligt lag och riktlinjer tar vi fram ett förslag till gallringspolicy och hjälper till med råd i det praktiska genomförandet.

Här är några exempel på nuvarande och tidigare uppdrag:

  • Vi har utnämnts till personuppgiftsombud och senare dataskyddsombud (DPO) för ett fackförbund.
  • Vi har haft deltidsuppdrag då vi biträtt dels ett inkassoföretag, och dels en e-handelskoncern i deras GDPR-projekt.
  • I samverkan med ett av Sveriges största försäkringsbolag har Kompass utarbetat ett helt nytt arbetssätt för att genomföra en gap-analys avseende all personuppgiftshantering i verksamheten, inklusive identifiering av lämpliga åtgärder för att uppnå regelefterlevnad.
  • Kompass Advokat har genomfört omfattande gap-analyser hos flera banker, försäkringsbolag och andra finansiella företag, hos e-handelsföretag och ett stort mjukvaruföretag.
  • Kompass Advokat har biträtt företag vid tillsynsärenden både kring personuppgiftshantering om barn och olovlig kameraövervakning.