Med all önskvärd tydlighet

Det är mycket prat om GDPR nu, och inte helt utan anledning. Den nya dataskyddsförordningen som snart träder i kraft kräver en hel del förberedelser för företag och organisationer i Europa.

I grund och botten handlar det om att skydda personlig information och stärka den enskildes rättigheter. Varje individ ska ha äganderätten till sina personliga uppgifter. Till skillnad från hur det var tidigare innebär detta att man som medborgare inom EU när som helst kan kräva tillbaka de uppgifter man har lämnat ut till ett företag. Eftersom GDPR är en EU-förordning och inte bara en riktlinje, gäller den som minimikrav för alla som behandlar personuppgifter om EU-medborgare. Aktörer i andra länder som på ett eller annat sätt behandlar personuppgifter om EU-medborgare inbegrips alltså även de av förordningen. T.ex. Facebook och Google.

Dataskyddsförordningen kräver att företag som begär personuppgifter behöver vara extremt tydliga, kortfattade och enkla när de berättar vad informationen ska användas till. Nu är det slut med allt vad finstilt heter.

Apropå finstilt: GDPR är ett ca 90 sidor långt dokument med 99 artiklar och 173 betänkanden. Klicka här om du vill sätta dig in i en specifik sak. Det kan vara bra när ni kommer igång med arbetet.

I alla vrår

En annan viktig sak att hålla koll på är att dataskyddsförordningen gäller genom hela din informationskedja och alla typer av media. Dessutom omfattar den alla företag och organisationer som ”behandlar” personinformation. Detta kan förklaras så här:

1) Du måste nu även börja hantera ostrukturerade personuppgifter, t.ex. de som kommer eller skickas i mejl, precis på samma sätt som de du har i en databas. Och om informationen du har i dina databaser är krypterad och kopplat till ett id-nummer så gäller GDPR om det finns en koppling mellan id-nummer och person i ett annat register.

2) Att ”behandla” personinformation inbegriper såväl användning som lagring. Om du nyttjar tjänster från tredje part så gäller alltså GDPR även för dessa, oavsett om det handlar om ett socialt media som Instagram eller en lagringstjänst som Dropbox.

Vad räknas som personuppgift?

Det korta svaret är: all data som kan kopplas till en individ.

En personuppgift kan vara en plats, hårfärg, åsikt, namn… vad som helst, men bara så länge det kan kopplas till en individ. Det innebär att hårfärg inte är en personuppgift så länge den inte är kopplat till ett namn. Och enbart ett namn kan vara en personuppgift i sig om det är ett namn som bärs av få personer i ett land, men inte om det är vanligt förekommande.

Vad är det värsta som kan hända?

EU har bestämt att den enskildes integritet nu måste tas på allvar. De företag som inte följer den nya dataskyddsförordingen, kan det stå dyrt. Den som inte ens försöker kan faktiskt bli bötfälld med belopp motsvarande minst 4% av omsättningen och upp till 20 miljoner Euro.

Steg för steg mot en bättre framtid

Datainspektionen har sammanställt 13 frågor man bör ställa sig, en diger men konkret lista att skriva ut och ta med till nästa ledningsgruppsmöte. Här är den, lite förkortad:

1) Är er organisation medveten om EU:s nya dataskyddsförordning? Försäkra er om att beslutsfattare och nyckelpersoner inom organisationen är medvetna om förändringen och undersöka hur organisationen kommer påverkas och identifiera de områden man måste arbeta särskilt med.

2) Vilka personuppgifter hanterar ni? Inventera och dokumentera vilka personuppgifter som ni hanterar, hur de samlas in och till vem de lämnas ut.

3) Används missbruksregeln idag? PUL har haft ett undantag för att behandla personuppgifter i ostrukturerat material, den s.k. missbruksregeln vilken inte kommer att finnas kvar. T.ex. löpande text på internet eller information i e-post. 

4) Hur tydligt informerar ni? När ni samlar in personuppgifter måste ni upplysa om er identitet och ändamålet och rättsliga grunder för behandlingen. Även hur länge de kommer lagras och möjligheter att klaga till tillsynsmyndigheten (Datainspektionen), om man anser att ens personuppgifter har hanterats felaktigt. Det ställs också krav på att informationen ska vara kortfattad lättbegriplig och utformad med ett tydligt och enkelt språk. 

5) Hur ska ni tillmötesgå de registrerades rättigheter? Rutinerna ska säkerställa att man kan uppfylla alla rättigheter som de registrerade har, som t.ex. hur ni raderar personuppgifter och hur ni lämnar ut personuppgifter elektroniskt i ett allmänt använt format. De viktigaste rättigheterna för de registrerade är att de kan:

– få tillgång till sina personuppgifter
– få felaktiga personuppgifter rättade
– få sina personuppgifter raderade
– invända mot att personuppgifterna används för marknadsföring
– invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering
– flytta personuppgifterna (dataportalitet)

I stort sett kommer de registrerade att ha samma rättigheter som idag men de förstärks. Skyldigheten att på begäran lämna information till de registrerade ska göras kostnadsfritt. Man kommer vid en sådan begäran behöva lämna viss ytterligare information, som t.ex. hur länge uppgifterna kommer att lagras och att man har rätt att få uppgifter rättade. Man har också rätt att få ut uppgifterna elektroniskt. Det nya är dataportaliteten, vilken kan kräva nya tekniska lösningar.

6) Med vilket rättsligt stöd behandlar ni personuppgifter? Alla företag är skyldiga att dokumentera detta. Tänk på att det finns större möjligheter för en registrerad att motsätta sig en behandling som sker med stöd av en intresseavvägning. Dock är de rättsliga grunderna för behandling av personuppgifter i stort sett oförändrade. Ni bör redan nu kartlägga vilka behandlingar som sker och på vilken rättslig grund detta sker för att uppfylla dataskyddsförordningens krav. Myndigheter kan inte stödja sin behandling på en intresseavvägning.

7) Hur inhämtar ni samtycke? Det får inte råda någon tvekan om att den registrerade godtar behandlingen av personuppgifter. T.ex. får det inte finnas förifyllda rutor att man accepterar. Krävs att detta sker av den registrerade. Man måste i efterhand kunna visa att samtycke har lämnats.

8) Behandlas personuppgifter om barn? Om man erbjuder kommersiella internettjänster till barn måste vårdnadshavares samtycke inhämtas. Gäller barn under 16 år. Medlemsstaterna kan själv bestämma en lägre åldersgräns, dock lägst 13 år. Eftersom barn enligt förordningen förtjänar särskilt skydd måste all information som riktar sig till barn vara skriven tydligt och enkelt som barn förstår. Barns skyddsvärda ställning ska också vägas in vid en intresseavvägning.

9) Vad ska ni göra vid personuppgiftsincidenter? Det ska finnas rutiner för att upptäcka, rapportera och utreda sådana incidenter. T.ex. vid dataintrång eller om man på något annat sätt förlorar kontrollen av de uppgifter man behandlar. Alla sådana händelser måste dokumenteras och medför incidenten risker för enskildas fri- och rättigheter ska händelsen anmälas till tillsynsmyndigheten inom 72 timmar. Om incidenten kan leda till att personer utsätts för allvarliga risker såsom diskriminering, id-stölder, bedrägerier eller andra finansiella stölder ska även den registrerade informeras om händelsen så att de kan vida nödvändiga åtgärder.

10) Vilka särskilda integritetsrisker finns med er behandling? Fundera på om just er behandling är förenad med särskilda risker för enskildas friheter och rättigheter. Gör i så fall en konsekvensbedömning avseende dataskyddet enl. förordningen. Detta gäller framförallt storskaliga register med känsliga personuppgifter, t.ex. i samband med kameraövervakning på allmän plats. Om denna risk är hög måste samråd ske med tillsynsmyndigheten innan behandlingen påbörjas. Även observera kravet på dataskyddsombud vid riskfyllt behandling.

11) Har ni byggt in skydd för personuppgifter i era it-system? Grundläggande princip inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad som var syftet när de samlades in. Ta hänsyn till dessa principer när man utvecklar nya eller ändrar i befintliga it-system så blir det enklare att uppfylla reglerna i förordningen. Åtgärder kan t.ex. vara att pseudonymisering som innebär att uppgifterna inte går att koppla till en enskild person utan ytterligare information som t.ex. en nyckel som hålls avskild.

12) Vem ansvarar för dataskyddsfrågor i er organisation? Om det krävs enligt förordningen ska utses ett dataskyddsombud. Gäller t ex offentliga myndigheter o organisationer med riskfylld behandling. Denna person ska ha tillräcklig kunskap om dataskydd och få det stöd och befogenheter som krävs för detta.

(Datainspektionen talar här om personuppgiftsansvarig, personuppgiftsbiträde och dataskyddsombud. Den som behandlar personuppgifter för den personuppgiftsansvariges räkning kommer vara personuppgiftsbiträde. Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser.)

13) Har ni verksamhet i flera länder? Kan vara svårare då det kan falla under olika tillsynsmyndigheter i andra länder i EU.

(Klicka här för att komma till den fullständiga 13-listan hos Datainspektionen.) 

Börja nu

GDPR kanske känns lite övermäktigt, men det blir lättare att hantera ju tidigare du börjar. Den 25 maj 2018 behöver ditt företag vara klart med de nya rutinerna. Utgå ifrån listan ovan. Du bör gå tillväga i tre steg. Börja med att 1) identifiera och utvärdera, 2) åtgärda och implementera och 3) säkerställa och demonstrera efterlevnad.

Arbetet kommer att göra att du får ordning och rutin på all persondata du som företag eller organisation hanterar. Vilket är bra både för dig och samhället. Som individer lämnar mycket fler digitala spår efter oss nu för tiden. Risken för att blir kartlagd och i värsta fall kränkt på grund av dessa har ökat dramatiskt. Genom att implementera GDPR kommer du inte bara leva upp till en lag, du kommer även vara en viktig kugge i att skapa en bättre digital värld för de många människorna. För att inte tala om barnen.

Heja!

Per Mattisson

Revision & affärsrådgivning

Per Mattisson är ansvarig för revision och affärsrådgivning. Han är en av de som driver både byrån och kunderna framåt. Per hjälper många mindre ägarledda företag med planering och rådgivning och uppskattar den nära kontakten som det medför. Annars trivs han bäst i skogen.

 

E-post: per.mattisson@resursgruppen.se