Sedan dataskyddsförordningen trädde i kraft för fyra år sedan har det kommit tillsynsärenden och mer vägledning. Därför är det angeläget att FAR-medlemmar gör en översyn av GDPR-arbetet, säger FAR:s chefsjurist Maria Lantz. Till hjälp har FAR uppdaterat flera GDPR-dokument.
FAR har i dagarna reviderat klart de rekommenderade GDPR-dokumenten för att hjälpa byråer och medlemmar i tolkningen av dataskyddsförordningen. Det är en arbetsgrupp bestående av FAR:s chefsjurist Maria Lantz och GDPR-experter från byråerna som har gått igenom tidigare underlag.
Vägledande för FAR:s medlemmar
Här finns exempelvis frågor och svar avseende dataskyddsförordningen.
– Dokumentet är tänkt att vara vägledande för medlemmarna, vi tar bland annat upp vilken roll en medlem har i specifika uppdrag. Vi vet att dokumentet har underlättat i diskussion med kunder i frågor som rör om någon är personuppgiftsansvarig eller personuppgiftsbiträde. Genom att utvidga listan hoppas vi kunna underlätta ytterligare för medlemmarna, säger Maria Lantz.
Sedan en EU-dom 2020, den så kallade Schrems II-domen, är det som huvudregel olagligt att överföra personuppgifter från EU till USA, eftersom USA inte har samma skydd för personuppgifter som det finns inom Europa. FAR har därför uppdaterat dokumenten ”Frågor och svar avseende dataskyddsförordningen” samt ”Personuppgiftsbiträdesavtalet”.
Gör en översyn av GDPR-arbetet
Domen i fråga har lett till anmälningar till Integritetsmyndigheten IMY (tidigare Datainspektionen), som just nu hanterar flera tillsynsärenden. Därför uppmanar Maria Lantz FAR:s byråer och medlemmar att göra en ny översyn av sitt GDPR-arbete.
– Det är bra om byråerna gör en genomgång av det arbetet, så att de säkerställer att de följer dataskyddsförordningen. Med tanke på Schrems II-domen kan det vara extra viktigt att utreda var byråns personuppgifter finns, säger Maria Lantz.
Uppdaterad information till hemsidor
FAR har även uppdaterat dokumenten med den information som medlemmarna uppmanas att publicera på sina hemsidor, för att de registrerade ska få de upplysningar som krävs enligt dataskyddsförordningen.
En skillnad är att revisionsbyråer tidigare behövde hämta information från två dokument, dels information om hur byråerna behandlar personuppgifter i kunduppdraget, dels information om hur personuppgifterna behandlas i revisionsuppdraget. För de byråerna finns nu upplysningarna i ett och samma dokument.
För redovisningsbyråer, eller byråer som arbetar med skatt och lön, räcker det som tidigare med ett dokument, som även det är uppdaterat.
