GDPR på ett ”enklare” vis

GDPR eller egentligen, Dataskyddsförordningen som den heter på svenska är något som börjar dyka upp på de flesta styrelseagendor i skrivandets stund och har den ännu inte hunnit dit så bör vi nog skynda på den lite.
GDPR är allvar och skall så behandlas, men det är långt ifrån något som är onåbart.

Ordning och reda, detta är faktiskt nyckelorden för att uppnå och efterleva den nya dataskyddsförordningen och har du redan ordning och struktur är din resa inte särskilt lång.

Vi möts idag av ganska stressade IT-ansvariga som fått GDPR i sitt knä med uppdraget att tillse så att företaget efterlever denna nya förordning. Vi vill påstå att man börjat i hel fel ände och med ett helt fel fokus på utmaningen.

Vi ser också kolleger i branschen som är ute och försöker sälja in frälsningen till företagen, frälsningen som med några knapptryck skall ta dom från mörka moln till en klarblå himmel där det inte finns några som helst problem med dataskyddet, givetvis kryddat med en flersiffrig betalningsanmaning som tack.

IT är inte det magiska ordet som med en trollstav ställer allt till rätta, förvisso kommer IT vara en mycket viktig del i hela processen och även efterlevnaden, men låt oss istället börja resan från rätt ställe.

Vi kanske dock skall reda ut lite grundläggande fakta innan vi tar tag i hur vi ser på det som komma skall.

Vad är GDPR?

Dataskyddsförordningen är en ny EU-förordning som reglerar hur man får behandla personuppgifter som ersätter nuvarande lagstiftning PUL.

Varför GDPR?

Syftet är att ge individen mer kontroll över sina egna personuppgifter, garantera öppenhet om användningen av uppgifter och kräva säkerhet och kontroller för att skydda personuppgiftsdata.

Vad är en personuppgift?

All slags information som direkt eller indirekt kan hänföras till person som är i livet. Om du exempelvis kan knyta en IP-adress till en viss person, direkt eller indirekt så är även IP-adressen en personuppgift.

Förenklat, är du osäker på om något är en personuppgift eller ej….lägg det i korgen märkt personuppgifter tills motsatsen bevisats, enklast så.

När?

Förordningen antogs under maj 2016 och börjar gälla den 25 maj 2018.

Så, vad innebär det hela då?

För den som behandlar personuppgifter finns det en del att tänka igenom och utan att göra djupdykningar i varje del så handlar det i stort om följande:

  • Den som behandlar personuppgifter har en proaktiv informationsskyldighet till den som är bärare av personuppgiften, informationen skulle kunna liknas av de klassiska frågorna Var? Vad? Varför?
  • Vilken laglig grund har jag att behandla sådan personuppgift (återkommer till detta)
  • Vi måste visa och påvisa att vi hanterar uppgifterna på ett säkert och korrekt sätt
  • Vi måste tillse så att vi har ett avtal skrivet i de fall vi låter någon annan hantera personuppgifterna som vi är ansvariga för ett så kallat personuppgiftsbiträdesavtal.
  • Om en incident är ett faktum och exempelvis personuppgifter hamnat i fel händer har vi nu en skyldighet att rapportera sådan incident inom 72 timmar (kalendertimmar). En sådan rapportering skall göras till tillsynsmyndigheten, således datainspektionen och omfatta vad som hänt och varför, vems personuppgifter som berörts av incidenten och vilka åtgärder som vidtagits. I vissa fall måste också de personer som personuppgifterna berör underrättas.

Att säga att man gjort som alla andra gör när det kommer till arbete med skyldigheterna ovan räcker inte långt, att säga att vi trodde det var ”best practice” för att någon annan gjorde så räcker alltså inte….vi måste, dokumenterat, hela tiden påvisa att vi arbetat för att uppnå våra skyldigheter efter vår yttersta förmåga.

De generella kraven på behandling av personuppgifter kommer att finnas kvar. Dessa innebär bland annat att man endast får behandla personuppgifter om det är nödvändigt för syftet, att man inte får behandla fler personuppgifter än nödvändigt och att man inte får behandla uppgifter längre än nödvändigt.

Utöver detta kommer också den enskilda individens rättighet att bli bortglömd och/eller få ut sin information utvidgas. Rätten att bli bortglömd handlar om individens rätt att kräva att dennes personuppgifter raderas till exempel då personuppgifterna inte längre är nödvändiga för det ändamålet som fanns vid insamlingen eller om man inte längre samtycker till behandlingen.

I skrivandets stund kan vi inte sprida mer ljus än att vi får vänta och se vad datainspektionen kommer med i dessa frågor.

 

Ja, sen har vi ju det där med sanktioner och Ja, det är betydande i alla aspekter. Hur hög sanktionsavgiften blir beror bland annat på vilken bestämmelse som överträds. Sanktionsavgiften kan som mest uppgå till det högsta av 20 000 000 EUR och 4% av koncernens årsomsättning. Tänk då också på att detta avser sanktionsavgiften och inte eventuella skadestånd som kan komma krävas. Än en gång, är inte GDPR en fråga på styrelsen agenda så bör den skyndsamt hamna där.

Då kommer vi till ”laglig behandling” det vill säga vilken grund kan jag alltså luta mig mot för att få behandla personuppgiften.

Samtycke

Ett sätt att göra hantering av personuppgifter laglig är helt enkelt att be om lov, och om personen på ett formellt korrekt sätt godtar detta, så är hanteringen laglig eftersom du fått personens samtycke till hanteringen. Det är viktigt att man i efterhand kan visa att samtycket har lämnats på ett korrekt sätt.

Fullgöra ett avtal med den registrerade

Ett avtal kan utgöra en rättslig grund för att behandla personuppgifter. Det krävs då att behandlingen är nödvändig för att fullgöra ett avtal med den registrerade eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

Rättslig skyldighet (till exempel bokföringslagen)

Personuppgifter får behandlas om det är nödvändigt för att uppfylla en rättslig förpliktelse. Som exempel på en rättslig förpliktelse kan nämnas bokföringsskyldigheten som anges i bokföringslagen.

Skydda en individs vitala intressen

Som exempel kan nämnas personuppgiftsbehandling som är nödvändig för livsavgörande vård i akuta situationer då den registrerade inte kan lämna samtycke.

Utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning

Arbetsuppgifter av allmänt intresse är exempelvis forskning, arkivering och framställning av statistik. Behandling av personuppgifter är också tillåten om den är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Det är i första hand statliga och kommunala myndigheter som kan behandla personuppgifter som ett led i myndighetsutövning. I Sverige är det vanligt att detta regleras i särskilda bestämmelser, så kallade registerförfattningar. Detta gäller till exempel för Skatteverkets verksamhet.

Intresseavvägning

Det kan vara tillåtet att behandla personuppgifter efter en intresseavvägning. Behandlingen bör då vara nödvändig för att uppfylla ett legitimt intresse hos den personuppgiftsansvarige. Ett exempel skulle kunna vara ett CRM system. Jag som ansvarig har i relationen till mina intressenter kontaktuppgifter för att vidmakthålla en sund och affärsmässig relation, namn, telefonnummer, mailadress etcetera torde vara en laglig grund i ett intresseförhållande som ovan. Skulle vi dock däremot också registrera andra intressen och preferenser hos den enskilde individen så tror vi att man är ute på tunn is vad gäller intresseavvägning och måste i sådant fall rikta blicken på någon av de övriga fem lagliga grunderna.

OK, vad gör vi nu då?

Ni kan utan tvekan och utan fördröjning påbörja en inventering, om ni nu inte redan gjort så. Var sparar ni personuppgifter varför sparar ni dom det vill säga vilka system, applikationer och databaser omfattas av personuppgifter och vad fyller de för syfte.

I denna inventering är det inte fel att också fånga upp konto, – och lösenordshantering, rollbaserad access, om informationen och databasen krypteras och även om access till systemen och applikationerna ”loggas” i någon form.

Har ni samarbetspartners som i någon form hanterar personuppgifterna (outsourcad IT, molnbaserade applikationer etcetera) så kan ni med fördel ta upp en diskussion med dessa. Dom bör kunna berätta om hur dom i sin tur säkrar informationen tillika hur deras arbete med GDPR ser ut. Ni skall också tillse att ni har ett personuppgiftsbiträdesavtal med era samarbetspartners där det framgår era krav på hur dom skall handha era personuppgifter. Det sistnämnda kan med fördel föregås av en avstämning med en jurist.

På tal om jurister så är det vår fulla mening att ni, efter er inventering, tar hjälp av en duktig jurist som kan vara er vägvisare och också hjälpa er med rätt prioriteringar. Fråga gärna oss på AddPro, vi har ett mycket bra samarbete med Mannheimer Swartling i frågan,där pragmatiska jurister står redo att hjälpa till.

Givetvis kan ni också ta hjälp av er/era IT-partners för er inventering. AddPro har som exempel en Säkerhetsworkshop som genom ett antal väl utvalda frågeställningar gör att vi ganska snabbt kan komma fram till lämpliga åtgärder för just er.

Ett varningens finger dock och det har sagts tidigare – gör saker och ting i rätt ordning, börja inte med att investera i teknik för att tro att ni kommer att uppnå kraven, börja med att inventera, utvärdera och prioritera.

Keep It Simple