Juridiska konsulttjänster
Stöd och hjälp vid olika faser i ert GDPR-projekt.
Erfarna jurister med praktiska lösningar
Våra jurister har sedan 2016 specialiserat sig på GDPR och står redo att hjälpa er med alla frågor kring dataskydd och relaterad lagstiftning.
Tack vare vår breda och långvariga erfarenhet inom detta område har vi sannolikt redan hanterat liknande frågeställningar som de ni står inför, oavsett bransch. Därför kan vi snabbt hjälpa er att konkretisera era behov och erbjuda anpassade lösningar.
Här nedan ser ni några exempel på de juridiska konsulttjänster vi erbjuder. Kontakta oss gärna för ett kostnadsfritt, inledande möte, så ser vi till att ni får bästa möjliga stöd utifrån era specifika utmaningar.
Personuppgiftsbiträdesavtal
Ett personuppgiftsbiträdesvatal (engelska: data processing agreement (”DPA”)) måste tecknas mellan två eller fler organisationer, när part(er) (personuppgiftsansvarig(a)) anlitar annan part (personuppgiftsbiträde) att behandla personuppgifter för deras räkning, enligt artikel 28 GDPR.
Ett personuppgiftsbiträdeavtal innehåller både standardiserade krav som rör själva kontrollen, och (för situationen) specifika regleringar utformade utefter vad som behandlas och hur.
Vi kan hjälpa till med att granska ett befintligt PuB-avtal eller upprätta ett som är anpassat till er.
Exempelvis om ni tillhandahåller en digital tjänst till företag som inkluderar någon form av behandling av personuppgifter, där er kund bestämmer över vilka personuppgifter som ska användas och varför.
På liknande sätt skall det regleras när uppgifter delas mellan ett personuppgiftsbiträde och någon längre ner i kedjan (personuppgiftsunderbiträde).
Vid författande av avtal utgår vi i vår prissättning från att vi använder av EU-kommissionen på förhand godkända utgångsmallar, men vi kan givetvis skräddarsy vilken variant ni vill. Kontakta oss för offert i så fall.
GDPR Audit / Revision
Vi kan genomföra en audit inom er verksamhet för att bedöma och ge er en status på hur ert dataskyddsarbete fortlöper.
Därutöver kan ni anlita oss för att genomföra granskning hos ett personuppgiftsbiträde för att hjälpa er uppfylla er skyldighet att endast anlita biträden som lever upp till ställda krav och minska framtida risk.
Kontakta oss för pris.
Mer info
Det finns olika anledningar till att inleda en revision/audit. T.ex.
- Uppfylla krav enligt ingångna avtal
- Fungera som stöd för ert löpande riskbaserade arbete
- Utgöra underlag vid en företagsöverlåtelse
- ”Mock audit”: Förbereda er inför en eventuell framtida extern GDPR audit, initierad av kund eller tillsynsmyndighet.
En GDPR audit bygger på fundamenten (1) oberoende, (2) tystnadsplikt och (3) kompetens.
För att en revision ska vara trovärdig krävs att det är en oberoende part som genomför revisionen. Den granskande parten ska inte stå i beroendeställning till någon av intressenterna i en organisation som granskas eller själv ha väsentliga ekonomiska intressen som påverkas av utfallet av revisionen.
Tystnadsplikt är en förutsättning för att revisionen ska kunna genomföras ändamålsenligt. Den granskande parten ska beredas tillgång till all information som behövs för att kunna utföra granskningen.
Revisionen leds av en jurist specialiserad inom GDPR och dataskyddsjuridik. Den juridiska kompetensen är det som GDPR Hero är specialiserad inom och revisionen innefattar därför inte kontroll av informationssäkerhet (t.ex. penetrationstester eller systems faktiska åtkomst). Vid behov kan GDPR Hero tillsammans med samarbetspartners även tillhandahålla informationssäkerhetsspecialister.
Personuppgiftspolicy
En personuppgiftspolicy är ett viktigt redskap för er, då den täcker många centrala delar av de skyldigheter ni har under GDPR.
- Öppenhetsprincipen. Alltså att ni måste informera de ni har personuppgifter om varför uppgifterna behövs och vilka specifika rättigheter de har i samband med detta.
- Rättviseprincipen. Att informationen är tillgänglig och går att förstå, så att de personer ni har uppgifter om har en faktisk chans att bevaka sina rättigheter.
- Ansvarsprincipen. Ni behöver inte bara informera korrekt och förståeligt, ni måste också kunna visa att så skett.
Det räcker alltså inte att kopiera in vad lagtexten säger eller vad ni finner i en mall. En personuppgiftspolicy måste beskriva vad som sker hos er, så att alla som ni har uppgifter om förstår vilka uppgifter ni har om dem. Det handlar inte om att rabbla paragrafer eller vad som rent generellt gäller, utan om att pedagogiskt beskriva personuppgiftshanteringen hos er och samtidigt få med vilka rättigheter som gäller (och begränsningar i dessa rättigheter när så är fallet) .
GDPR Due Diligence
Vid en företagsöverlåtelse är det viktigt att tänka på att granska organisationens dataskyddsarbete. Det kan innebära stora risker om de inte hanterat personuppgifter i enlighet med GDPR, då eventuella efterverkningar tas över av köparen.
En GDPR due dilligence innebär att vi kontrollerar innehållet och kvalitén av organisationens dataskyddsarbete för att bedöma huruvida det uppfyller kraven i GDPR eller inte.
Förutom att man så klart inte vill ta över problem som visas sig först senare, kan information om medföljande risker innebära en väsentlig förhandlingsfördel.
Rutiner och playbooks
Att samla viktig GDPR-information, som samtidigt är lättförståelig och korrekt – kan vara en utmaning! Vi hjälper er ta fram eller granska rutindokument (interna policys och playbooks) så att ni kan känna er trygga med att era anställda vet vad det får och inte får göra och hur de ska agera i olika situationer.
Känner era anställda till vem de ska vända sig till om de får en förfrågan om registrerades rättighet? Eller vet dem till vem de ska eskalera en misstänkt personuppgiftsincident? Det är bara två exempel på information som är viktig att nå ut med inom organisationen!
Bollplank för GDPR-frågor
Dyker det löpande upp GDPR-frågor inom er organisation som ni vill kunna bolla och få hjälp med? Då kan ni prenumerera på vår tjänst Legal Department as a Service (LDaaS). Vi bara är ett samtal bort och ni får information och hjälp direkt när ni behöver.
Ni prenumerar löpande på ett fast antal timmar som passar ert behov. Läs mer här.
Cookie Audit
Vi vet att många stressas över och letar information om hur man ska informera om cookies som används på sina hemsidor.
Vi är rätt bra på det här med personuppgiftshantering (om vi får säga det själva) och cookies kan utgöra en personuppgift (vi behöver inte gå in på detaljerna här, men ni behöver också dokumentera denna koppling och i många fall få med dessa behandlingar i er personuppgiftspolicy). Cookies regleras av ett direktiv från EU som implementerats i den svenska Lagen om elektronisk kommunikation (LEK), som du säkert hört talas om. Det är den som ställer upp kraven för hur cookies får placeras och vilken information en besökare ska få samt att det krävs samtycke för cookies, utöver de som är strikt nödvändiga.
Det finns två utmaningar inför att informera korrekt och inför att samla in godkända samtycken:
-
Ni vet med största sannolikhet inte vad alla cookies (och detta är ett brett begrepp där nya tekniker utvecklas varje dag och läggs till listan) gör och har sällan tagit medvetna val för att aktivera samtliga cookies som ni behöver samtycke för.
-
Varje cookie behöver kategoriseras för att kunna inhämta specifikt samtycke (och ibland behövs inte samtycke men det vet man först efter en korrekt genomförd inventering).
Vi hjälper er att både finna och kategorisera de cookies ni ansvarar för.
Om du vill ha inspiration eller hjälp med er hantering av cookies är du varmt välkommen att kontakta oss för en kostnadsfri konsultation på 30 minuter.
Redo att ta ert GDPR-arbete till nästa nivå?
Fyll i formuläret, så blir du kontaktad av någon från vårt team så snart som möjligt.