Översikt


Hittar du inte vad du letar efter? Klicka här för att söka.
Annons
Annons

”Dataskyddsförordningen – om bevisfrågorna, processerna och skadestånden kring GDPR”

Debatt
Publicerad: 2018-09-11 11:39

KOMMENTAR – av Anders Delphin, Europarättare och f.d. verksjurist          

 

Den här artikeln är en utlöpare från ett större arbete: ’Om Bevisning – En Översikt’, som författaren avser ge ut senare i höst. Artikeln vill lyfta fram en del processuella och bevisrättsliga spörsmål som rör GDPR. Dataskyddslagen, Databrottslagen och andra specialförfattningar lämnas utanför.  

Allmänna utgångspunkter

Det är allmänt känt att det lagstiftningsmässiga skyddet i Sverige för den enskildes privatliv – vid en internationell jämförelse – totalt sett framstått som svagt (Peck mot Förenade Kungariket no. 44647/98 och Toma mot Rumänien no. 42716).

Nya svenska straffrättskydds- bestämmelser har dock lanserats mot bakgrund dels av en stark ökning av fridskränkningsbrott via olika elektroniska anslagstavlor, sociala medier och som en följd av andra integritetskränkande spridningar.

I betänkandet: Utredningen om ett modernt och starkt straffrättsligt skydd för den personliga integriteten (SOU 2016:7) sägs rent ut att Sverige ska leva upp till åtagandena i Europakonventionen och till kraven på skydd för både privatlivet (integriteten) och skyddet för yttrandefriheten i 2 kap. Regeringsformen.

En hörsamhet mot EU:s   Rättighetsstadga och i det här fallet en EU-förordning har signalerats från Regeringshåll.  

I. Olagliga attacker mot den personliga integriteten
Medan det grundlagsfästa skyddet för den enskildes integritet, enligt Regeringsformen, Tryckfrihetsförordningen samt i Yttrandegrundfrihetslagen gäller i förhållande till det allmänna (staten) så ger det straffrättsliga skyddet (till exempel för den fysiska, sexuella eller personliga integriteten), ett riktat skydd mot integritetskränkningar mellan enskilda. 

II. Skyddet för den personliga integriteten (huvudprincip 1)
Sedan direktiv 95/46/EG, genomfört i PuL, m.fl. registerförfattningar, upphävts anges principerna och räckvidden för personuppgiftsskyddet i den nya Dataskyddsförordningens (GDPR) preambel (173 beaktandesatser/skäl) samt i tre inledande artiklar.

Huvudsyftet med GDPR är att åstadkomma ett heltäckande skydd för alla individers personliga integritet när myndigheter, företag, föreningar och organisationer inhämtar, lagrar, hanterar, delar eller gallrar information om individerna. Sådan information och upplysningar om individer betraktas som obligatoriskt skyddsvärda personuppgifter.

I GDPR finns en rad olika processuella bestämmelser och sanktionsmedel som direkt berör personuppgiftsbehandlande organisationer som orsakat, vidarebefordrat eller underlåtit att hantera anförtrodda personuppgifter på ett lagligt eller annars rättsenligt sätt.    

III. Fria flödet av personuppgifter (huvudprincip 2)
Personuppgiftsskyddet (PS) som är en central del av den personliga integriteten, är dock inte absolut. PS får inte stå i vägen för den princip som säger att medlemsstaterna ska tillförsäkra det fria flödet av personuppgifter inom och mellan medlemsstaterna.

Vid personuppgiftsbehandlingen kommer personuppgiftsansvariga, deras ombud och biträden, att ställas inför besvärliga avvägningar i fall då värnet om individernas integritet och principen om det fria flödet av personuppgifter kolliderar.

Enligt fastlagd EU-rättslig doktrin ska integriteten och flödet då vägas av med hjälp av proportionalitetsprincipen (skäl 4).     

IV. Ett annat tankesätt 
Först kan konstateras att GDPR utgör en lagstiftningsakt (Förordning) som i EU-rättens normhierarki är bindande sekundärrätt. Det är i första hand med stöd av förordningar som EU utövar sina, av medlemsstaterna, anförtrodda legislativa befogenheter.

En unionsförordning ska tillämpas som den har publicerats i EU:s officiella tidning och får inte införlivas med den nationella lagstiftningen, än mindre skrivas om till nationell lagstiftning.

Unionslagstiftaren lämnar ett visst handlingsutrymme i GDPR för medlemsstaterna att fullgöra rättslig förpliktelse, utföra uppgift av allmänt intresse eller som led i myndighetsutövning avseende känsliga uppgifter/brottsbekämpning. Sådana tillåtliga nationella bestämmelser införs eller bibehålls vid sidan av GDPR. Dessa sektorsvisa ordningar får dock inte rättsligt gå emot principerna i Dataskyddsförordningen.

För att bedömare ska kunna tillämpa det massiva rättighetsjuridiska regelverk som GDPR utgör så krävs att tankehorisonten höjs till att omfatta all relevant konstitutionell rätt. Det juridiska tänkandet måste alltså expanderas till att omfatta nationell rätt, grundlagarna och europarätten. GDPR – som lagprodukt – innehåller inte bara förvaltningsrättsliga anvisningar utan griper över civilrätten, process- och straffrätten och ska ses i ljuset av EU:s Rättighetsstadga.

Det är mot denna rättighetsjuridiska större verklighet som frågeställningar och personuppgiftsincidenter i det nationella processuella och bevisrättsliga perspektivet ska bedömas.      

V. Personuppgifter=är personlig integritet=grundläggande rättighet
GDPR-materian är en del i en större helhet av fri- och rättigheter angivna i artikel 16.1, Fördraget om unionens funktionssätt (FEUF) som landar i De grundläggande rättigheternas; art. 8.1(EU-stadgan).

Till den konstitutionella bilden läggs bestämmelserna i Europakonventionen, EKMR, samt våra fri- och rättighetsregler i Regeringsformen och övriga grundlagar.

GDPR är späckad med centrala rättssäkerhetsbegrepp, kravspecifikationer, ansvarsfördelningar, administrativa och organisatoriska skyldigheter och graderade sanktionsnivåer som inte endast har ett pedagogiskt genomslag. De organisationer, myndigheter, företag och kommuner som ska hantera personuppgifter bör snabbt bygga upp sin rättighetsjuridiska agilitet så att de behärskar GDPR:s begrepps- och principsamling. Begrepp som effektivt rättsmedel, personlig integritet (i alla dess aspekter), yttrandefrihet, proportionalitet, konfidentialitet, cerifieringsorgan, tillsynsmyndighet, effektiva processuella vägar m.fl. måste bli ’second nature’.

Till att börja med bör befattningshavarna stämma av och identifiera GDPR:s ändamål med den egna organisationens lagliga grunder och ändamål -och ställa de nyvunna perspektiven emot ’hantverket’, det vill säga personuppgiftsbehandlingen.

Den personliga integriteten måste alltså tillämpas på det nationella planet i enlighet med den dagliga verksamhetens rättsliga förutsättningar.

VI. Datainspektionen; DI, (’Dataskyddsmyndigheten’)
I artiklarna 51- 62 anges de utnämnda ’Oberoende Tillsynsmyndigheterna’ som, för svenskt vidkommande blev Datainspektionen.

Med all den exekutiva, dömande och utredande makten som samlats hos ’Den Oberoende Tillsynsmyndigheten’ så blir Inspektionen, från ett rättspolitiskt perspektiv, navet kring vilket svensk personuppgiftshantering kommer att snurra.

DI:s mandat, befogenheter och ansvar gör att inspektionen kan sägas utöva tillsyn på uppdrag av unionen snarare än att direkt tjäna regeringskansliet. Tillsynsmyndigheten och dess ledamöter får med sin oberoende ställning inte ta instruktioner från någon och de ska vara fullständigt oberoende i utförandet av sina uppgifter och utövande av sina befogenheter (GDPR art 51,52).

DI:s integritet (och Dataskyddsombudets ställning) för tankarna till den höga nivå av ’Integrity of office’ man möter i internationella organisationer.

Den Oberoende Tillsynsmyndigheten ska löpande samarbeta med andra tillsynsmyndigheter och rapportera till Den Europeiska Dataskyddsstyrelsen. Detta dubbla kommando från EU:s institutioner över den nationella tillämpningen är en naturlig följd av rättighetsjuridikens centrala roll i unionen och följer ’Rule of Law-principen’.  

Det processuella upplägget

I relationen mellan nationell rätt och unionsrätten är utgångspunkten att nationell processuell och bevisrättslig autonomi råder. Medlemsstaternas domstolar får alltså tillämpa nationell processrätt vid prövning av en talan som grundas på unionsrättsliga bestämmelser.Det hänger samman med att unionsrätten vanligen saknar egna sanktions- och processregler.

Någon total nationell processautonomi är det dock inte tal om. Rätten att reglera enskildas talerätt och intresse av att få sin sak prövad får inte, enligt unionsrätten, innebära att medlemsstaten åsido-sätter ett effektivt domstolsskydd för enskildas rättigheter. De befintliga rättsmedel och principer som nationell rätt ställer upp (fria bevisprövnings princip) kan komma att begränsas i en situation där till exempel brotts- eller bevisprovokation finns med i bilden.

När rätten ’access to file’ nekas eller nonchaleras underkänns såsom illusoriskt rättsmedel. I fall av processuella/ bevisrättsliga brister ska domstolen tillämpa nationella processregler EU-konformt eller helt enkelt sätta dem åt sidan.

I övrigt finns en massiv EKMR-praxis (artikel 6) att tillgripa.

I sin GDPR-tillsyn kommer DI att följa HD:s och HFD:s praxis samt i övrigt följa uttalanden från Dataskyddsstyrelsen. Högsta tolkningsdatum kommer dock från domstolarna i Strasbourg och Luxemburg.

Unionsfördraget fordrar uttryckligen att medlemsstaterna tillhandahåller behövliga rättsmedel för att säkerställa ett effektivt rättsligt skydd inom de områden som omfattas av unionsrätten (art. 19.1 FEU). Principen om ’effective remedies’ finns i artikel 47.1 i Rättighetsstadgan. Den är känd som EU:s rättsskyddsprincip.            

I. Processuella vägar
I kapitel VIII GDPR – som handlar om rättsmedel, ansvar och sanktioner – lämnar EU-lagstiftaren anvisningar om hur de enskildas, personuppgiftsansvarigas, personuppgiftsbiträdenas och tillsynsmyndigheternas rättigheter och skyldigheter ska förstås i medlemsstaternas rättsordningar (art. 77-82).

Allmänna villkor för tillsynsmyndighetens påförande av administrativa sanktionsavgifter anges i artikel 83. Här inskärps att sanktionen ska vara effektiv, proportionell och avskräckande. Sanktionens storlek bestäms utifrån en mängd omständigheter.

Inledningsvis bedöms om överträdelsen skett med uppsåt eller av oaktsamhet. De svenska processuella ordningarna medger att registrerade, person-uppgiftsansvariga, personuppgiftsbiträdet bör kunna anlita följande vägar:

 1. Att anmäla klagomål/anmäla en PU-överträdelse till Tillsynsmyndigheten DI.
 2. Att överklaga ett rättsligt bindnande beslut av DI till Förvaltningsrätten i Stockholm. Förvaltningsrättens dom överklagas till Kammarrätten i Stockholm (PT krävs) och vidare fullföljd möjlig till Högsta Förvaltningsdomstolen, HFD.        
 3. En organisation (myndighet/företag/förening) m. fl.som påförts sanktionsavgift eller meddelats andra ingripande förbud/förelägganden/upphörandetvång och liknande kan överklaga inspektionens beslut till Förvaltningsrätten i Stockholm, med fullföljdsmöjligheter till överrätterna enligt p. 3) ovan.
 4. Om den registrerade – fysisk eller juridisk person –  drabbats av en personuppgiftsincident som bedöms brottslig kan saken anmälas till polis/åklagare som kan driva saken i allmän domstol (tingsrätt). Åtalet kan till exempel grundas på brottsrubriceringarna ’olaga integritetsintrång/ grovt olaga integritetsintrång’. DI kan också vidarebefordra ett ärende genom åtalsanmälan.
 5. Vid samma förutsättningar som p. 4 ovan kan den registrerade – som drabbats av en PU-uppgiftsincident – stämma intrångsgöraren vid allmän domstol genom en skadeståndstalan (skadeståndsprocess enligt skadeståndslagen, 1972:207, eller unionsrättslig, EKMR grund).
 6. Drabbade registrerade kan välja att vända sig till JK med begäran om att få sitt anspråk prövat genom det så kallade frivilliga skaderegleringsinstitutet, under förutsättning att intrångsgöraren är en myndighet/myndighetsperson.              

II. Klagorätten – Ansvaret och rätten till ersättning enligt GDPR
Klagorätten visavi Tillsynsmyndighet och domstol vilar på principen om det effektiva domstolsskyddet. GDPR lägger sig inte i specifikt hur de nationella processuella rättsmedlen ser ut. Registrerades möjligheter till rättsmedel enligt de svenska ordningarna får anses tillfredställande enligt kraven i  artiklarna 77-82.

Den fulla innebörden av GDPR och samspelet visavi de sektorspecifika reglerna i Datasyddslagen, databrottslagen, den svenska dataskyddsförordningen m.fl. ordningar är i dagsläget inte fullt klarlagda. Reglerna om PU-behandling är hett stoff och Tillsynspraxisen på det EU-vida planet kommer få snabbt genomslag i rättstillämpningen.

Gemenskapsdomstolarna ges särskild betydelse i GDPR för rättsbildningen.

Formella möjligheter för registrerade, PU-ansvariga företag, myndigheter, föreningar och kommuner att klaga, i enlighet med artiklarna 77-80 GDPR, fordrar effektiva rättsmedel vilket från svensk sida inte bör utgöra något problem. I rättsfallet Lindstrand & Partners Advokatbyrå AB mot Sverige (No. 59166/12, 2016) fälldes Sverige för att, i strid med artikel 13 i EKMR inte ha tillhandahållit ett effektivt rättsmedel. Företagen åtgärd – husrannsakan -medförde brott mot artikel 8 (privatlivet, hem och korrespondens) men det var avvisningen av överklagandet av att den beslutade åtgärden som fällde Sverige.

Klagorätten är alltså närmast helig inom europarätten.

* * * * * * * * * *

Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet, för den uppkomna skadan (art. 82 GDPR). De som vållat skadan, den personuppgiftsansvarige respektive personuppgiftsbiträdet bär ett skadeansvar för sin överträdelse.  

Innebörden av bestämmelsen är att i det fall den ansvarige och biträdet bedöms ha medverkat i överträdelsen så ska den registrerade likväl få full skadeersättning av den ene (solidariskt skadeansvar). Det får bli en senare fråga hur de två skadevållarna sinsemellan gör upp.

Den registrerade ska dock hållas skadeslös. Intressant är här att EU-lagstiftaren uttryckligen anger att den registrerade/drabbade har rätt full ersättning – alltså även för visad ideell skada.

* * * * * * * * * * 

Artikel 83-84 GDPR behandlar frågan om modaliteterna kring påförande av de administrativa sanktionerna, deras gradering och föreslagna högstanivåer.

Den högsta administrativa sanktionsavgift som DI kan påföra en organisation som bryter mot reglerna i GDPR är 20 miljoner euro (eller 4 procent av vissa företags globala omsättning). Dessa höga avgifter ska träffa de grövsta överträdelserna som rör de grundläggande principerna för behandling och de registrerades rätt till information, rättelse och radering m.fl. regelbrott.

Sanktionssystemet tar dock stor hänsyn till visade förmildrande omständigheter i hanteringen. I synnerhet får små organisationer (t.ex. enskilda firmor) starkt nedsatta avgifter och vid ursäktliga fall kan DI nöja sig med att rikta en reprimand till små företagare.

I Sverige har Dataskyddsutredningen föreslagit att PU-ansvariga myndigheter vid grövre överträdelser, påförs en avgift med som högst 20 miljoner kronor.

För mindre allvarliga överträdelser och i fall där myndigheten kan visa upp en hyggligt robust skyddsnivå i sin personuppgiftshantering föreslås denna lägre tröskelnivå läggas vid 10 miljoner kronor.

De Allmänna Villkoren kan komma att justeras av praxis eftersom förhållandena i medlemsstaterna och synen på myndighetsutövning är olika.

Bevisfrågan

Redan av bestämmelserna i Förvaltningsprocesslagen (FPL 20-27 §§) och Rättegångsbalken (RB 5 kap, 25-40 kap.) framgår att bevisprövningen är mindre stringent och mera knuten till måltypen än vad som sker i processen vid allmän domstol.

Både i straffrättsprocessen och i civila mål hamnar bevisningen i centrum för den rättsliga bedömningen.

Hur bevisfrågan och kränkningar mot den personliga integriteten/yttrandefriheten – i en personuppgiftstvist – kan te sig påverkas av bakomliggande processuella principer. Bevisinstrumentet – korrekt använt – ska koppla rättsfrågorna och bevistema till det fysiska och metafysiska verklighetsplanet.   

Principerna:

 • Den fria bevisprövningens princip – gemensam för förvaltningsprocess, straffprocess och civilprocess
 • Domstolens utredningsansvar – i allmänhet omfattande i förvaltningsprocess och i brottmålsprocess (delad med åklagarens) men klart dämpad i civilprocessen. I skadeståndsprocess ska käranden visa adekvat kausalitet (rigorös bevisbörda).
 • Processmaterialets kvalitet inklusive bevisningen  vilar hårt på förvaltningsdomstolen, bevisningen renodlas i allmän domstol vilket höjer materialets kvalitet.
 • Bevisprövningen – förvaltningsdomstolen bakar in bevisning i ’samlad bedömning’ svårt avgöra vad som är rättsfråga, rättfaktum, bevisfaktum. Bevisprövningen följer ’bevisläran’ i större utsträckning i allmän domstol.
 • Processuell-/bevisrättslig autonomi? Svensk processuell autonomi begränsas av EU-rättslig och konventionsrättslig praxis och principer.  

I. Förvaltningsprocess – påstående om personuppgiftsintrång
Bevisläget: i förvaltningsprocessen varierar såväl avseende beviskravets höjd som på vem av parterna som tilldelas bevisbördan. I ett skattemål, med beviskravet ’sannolikt’, har den skattskyldige bevisbördan för avdragen medan Skatteverket har bevisbördan för höjningar av intäkter (delad bevisbörda).

I skattetilläggsfallen får Skatteverket – odelat – bära bevisbördan för att påvisa bevistemat: att oriktig uppgift har lämnats till ledning för beskattningen.

Omfattningen av rättens utredningsansvar, för att åstadkomma materiellt riktiga domsavgöranden, spelar stor roll för processens utformning. En process som gäller asylrätt till exempel präglas av ett mera långtgående utredningsansvar för rätten än vid en ordinär skatteprocess.  

Nya Förvaltningslagen – om bland annat partsinsyn, kommunicering, bevisupptagning m.m. – gäller även handläggningen i förvaltningsprocessen. Meningen är att förvaltningsprocessen ska bli mer rättssäker och fylla kraven på ’Fair trial’.

Måltypen personuppgiftsintrång i en GDPR-process kan lämpligen delas upp i två grupper.

Från bevissynpunkt kräver Grupp A): culpa (oaktsamhet) och uppsåtsfallen en annan approach visavi Grupp B). Övriga överträdelser.

Det typiska A-fallet startar med ett sanktionsbeslut från DI gällande en grov överträdelse, som överklagas till Förvaltningsrätten alternativt direkt till Förvaltningsrätten i Stockholm. I bevissammanhang brukar culpa och uppsåtsrekvisiten kräva styrkt eller mycket sannolikt som beviskrav.

Beviskravet mycket sannolikt blir dock svårt att upprätthålla i kränkningsfall där grundläggande mänskliga rättigheter – enligt europarätten – inte får bedömas sakna effektiva rättsmedel eller att rättigheterna förblir illusoriska. Beviskravet sätts normalt vid sannolikt.

Svarandepartens närhet till möjliga bevismedel gör att denne tvingas motbevisa klagandepartens bevistema: att med culpa eller uppsåt ha orsakat den skada som personuppgiftsincidenten uppvisat. 

För B-fallen ter sig bevisläget mindre rigoröst för klagandeparten. Det krävs en mindre robust bevisning på beviskravsnivån sannolikt där kausaliteten så att säga är presumerad för påvisande av att påstådda överträdelser överensstämmer med verkligheten. Domstolens processuella utredningsansvar medför å andra sidan att svarandeparten ges möjlighet att lägga fram sin utredning/motbevisning enligt principen om Equality of Arms.

Bevisläget för B-gruppen kan närmast liknas vid JK:s frivilliga skadereglering. Anmälarens bevisskyldighet hos JK går även den vid sannolikt. Någon egentlig bevisupptagning sker inte hos JK och egentlig kontradiktion vid den frivilliga skaderegleringen saknas.

Anmälaren måste likväl påvisa ett kausalsamband mellan överträdelsen, skadevållaren och skadans storlek. Vid bevissvårigheter kan bevislättnad komma ifråga, där JK bedömer den så kallade ursprungssannolikheten som ett konkret rättsfaktum.                                                        

II. Brottsprocess – olaga/grovt olaga integritetsintrång (4 kap. 6c, 6d §§ BrB)
Bevisläget: I straffprocessen ska åklagaren – genom sitt gärningspåstående – styrka sitt ansvarsyrkande med beviskravet ställt utom rimligt tvivel. Dennes bevisbörda är dessutom odelad. Rättssäkerhetsaspekter är tydliga i straffrättsprocessen redan under förundersökningsstadiet. En åtalad har rätt att ta del av utredningen, rätt att föranstalta om förhör/bevisupp-tagning (vittnen, teknisk bevisning m.m.), rätt att åberopa tystnad, rätt att inte belasta sig själv samt i övrigt förebringa egen bevisning (likvärdig processuell ställning).

Rubricerade brottstyper – olaga /grovt olaga integritetsintrång – straffbelägger intrång i någon annans privatliv, genom spridning av vissa slag av bilder eller andra uppgifter om spridningen är ägnad att medföra allvarlig skada för den som bilden/uppgiften rör. Var spridningen ägnad att medföra mycket allvarlig skada dömes för grovt olaga integritetsintrång, med som mest fyra års fängelse.

Undantag från straffansvar kan komma ifråga om gärningen med hänsyn till omständigheterna var försvarlig.

Åklagarens bevistema blir alltså att övertyga rätten om att den åtalade: uppsåtligt ha spritt bilder eller uppgifter som varit ägnade att medföra allvarlig skada för den som bilden rör.

Åklagarens bevisskyldighet ställer höga krav på robusthet och kausalitet. Om den åtalade inte – med utredning eller motbevisning – förmår rubba beviskravet; ställt utom rimligt tvivel kommer rätten att rikta en förklaringsbörda mot denne av rättssäkerhetsskäl.

III. Skadeståndsprocessen avs. kränkning i och utanför GDPR-området
I skadeståndslagens, SKL, 2 kap.3 § – 3 kap. 2 § beskrivs de nationella rättsmedel varvid skadeståndsanspråk som gäller DELS kränkning (genom brott) mot annan på grund av eget vållande respektive kommuns eller statens skadeansvar för kränkning som följd av det allmännas skadeansvar.

Denna processväg väcks alltså vid allmän domstol när kränkningar mellan enskilda eller i fall när enskilda genom brott eller vid myndighetsutövning vållats skada av det allmänna.

Det tredje processuella rättsmedlet gäller statens och kommunernas ersättningsskyldighet för skada där anspråket grundas på att den skadelidandes fri och rättigheter, enligt EKMR överträtts (3 kap. 4 § SKL). I fall som rör överträdelser inom GDPR-området blir det processuella rättsmedlet (skadeståndstalan) återigen allmän domstol.

Det unionsrättsliga skadeståndsansvaret vilar på det ’trekriterie-test’ som EU-domstolen ställt upp. 

 1. Staten har överträtt en unionsrättslig regel som är avsedd att skapa rättigheter för enskilda.
 2. Överträdelsen är tillräckligt allvarlig (klar)
 3. Det finns ett direkt orsakssamband mellan överträdelsen och skadan.

IV. Process- och bevisrättslig strategi

PU-ansvariga behöver inte frukta tillsynsvapen som ’gryningsräder’ och liknande som brukas inom konkurrensrättsområdet men DI har en bred arsenal – förutom sanktionsavgifterna – att säkra skyddet för den personliga integriteten med bibehållande av det fria flödet.

Budskapet i den här artikeln är att ansvariga aktörer inom GDPR-området bör – vid sidan av det organisatoriska och tekniska agiliteten för PU-behandlingen – bygga upp en process- och bevisrättslig beredskap som gör det möjligt att redan i den dagliga verksamheten få fram strategiskt viktig information som visar att den interna kontrollen förmår identifiera, värdera, kontrollera och begränsa skadorna vid en PU-incident.

Det framtagna materialet tjänar också syftet att snabbt kunna utgöra bevismedel och annat processmaterial som är strukturerat och genomtänkt för att hålla vid en domstolsprövning. GDPR vilar på ledorden, legal basis, legal certainty och  legal accountability.

 

 

 

 

Stefan Wahlberg
stefan.wahlberg@blendow.se

Dela sidan:
Skriv ut: