9. Visa att du iakttar dataskyddslagstiftningen
Den personuppgiftsansvariga ska kunna visa att dataskyddslagstiftningen iakttagits. Detta kallas för ansvarsskyldighet. Ansvarsskyldigheten innebär också att de åtgärder som vidtagits ska registreras, alltså att de ska dokumenteras.
Den personuppgiftsansvariga ska vidta alla nödvändiga åtgärder för att uppfylla kraven enligt ansvarsskyldigheten. Dylika tekniska och organisatoriska åtgärder är till exempel utbildning av personal, utfärdande av anvisningar och föreskrifter, volymskydd, kontroll av användningen av personuppgifter, datasystemens dataskydd, kryptering av uppgifter, tekniska begränsningar samt gransknings- och övervakningssystem.
Omfattningen på ansvarsskyldigheten beror bland annat på organisationens storlek, volymen av personuppgifter och hurdana personuppgifter den personuppgiftsansvariga behandlar. Den personuppgiftsansvariga ska redan vid planeringen av behandlingen av personuppgifter försäkra sig om att ansvarsskyldigheten uppfylls.
Syftet med ansvarsskyldigheten är att visa hur den personuppgiftsansvariga respekterar de registrerades dataskydd, det vill säga skyddet för de personer vars personuppgifter den personuppgiftsansvariga behandlar. Fullgörande av ansvarsskyldigheten ökar förtroendet för den personuppgiftsansvariga.
Dokumentationen och åtgärderna ska bedömas regelbundet varje år, till exempel i samband med styrelsemöten.
