Från och med 25 maj 2018 ska den nya europeiska lagstiftningen GDPR börja tillämpas. Alla verksamheter som samlar in personuppgifter berörs. FAR:s medlemsrådgivning får många frågor om GDPR. Balans har vänt sig till Monika Wendleby som är lärare på FAR:s utbildning ”GDPR – förstå och tillämpa den nya dataskyddsförordningen” för att få koll på läget.
1 Måste man vara helt klar 25 maj?
Svar: Förordningen ska tillämpas från 25 maj och gäller då fullt ut vilket också gäller sanktionerna. Det är en komplex lagstiftning med många detaljkrav så många har insett att det kan vara svårt att hinna genomföra allt. Hinner man inte allt är det bra att prioritera och dokumentera sina val och vad man gjort. En bra sak med dataskyddsförordningen är att det finns något som heter inbyggt dataskydd, som handlar om att man hela tiden ska arbeta för att bli bättre. Hundra procents uppfyllelse kan ses som en väldigt bra vision, men när det gäller införandet är det bättre att fastställa sitt nuläge och se var de största integritetsriskerna finns och hantera dem.
2 Vad innebär inbyggt dataskydd?
Svar: Inbyggt dataskydd innebär att man, förutom att tekniskt och organisatoriskt ha vidtagit alla åtgärder, ska klara att på personuppgiftsnivå följa alla principer som finns i förordningen.
3 Vad innebär de grundläggande principerna?
Svar: De grundläggande principerna handlar bland annat om att ha ett tydligt ändamål och laglig grund för varje enskild behandling, att inte senare behandla eller lagra personuppgifter i strid med ändamålet och att vara öppen och transparent i förhållande till den registrerade.
4 Hur ska man prioritera?
Svar: Gör en prioritering utifrån vilka konsekvenserna kan bli för de registrerade. Var finns de största riskerna? Men det finns också vissa formalia som måste uppfyllas, till exempel att man måste veta hur man anmäler en personuppgiftsincident och avgöra om man måste ha ett dataskyddsombud. Vidare är det viktigt ta fram korrekta personuppgiftsbiträdesavtal och förklara hur man behandlar i en integritetspolicy. Jobbar man konsekvent med det inbyggda dataskyddet och gör så gott man kan för att förebygga incidenter och även dokumenterar arbetet, så har man en bra grund att stå på ifall det skulle bli aktuellt att diskutera en sanktion med Datainspektionen. Gör man ingenting och bara hoppas att ingen ska upptäcka något ligger man mycket sämre till.
5 Vad avgör sanktionens storlek?
Svar: Det handlar om själva händelsen, som överträdelsens natur och hur många den drabbar. Men också om huruvida man har haft uppsåt eller om man har varit väldigt oaktsam. I sanktionssystemet räknas det som en positiv faktor att man försökt förebygga incidenter och att man om de ändå inträffar snabbt kommer på banan igen. En negativ faktor är om man inte velat ta kostnader i arbetet. Man ska också tänka på att incidenter kan uppstå på många olika sätt, till exempel att organisationens dator hackas.
6 Finns det några undantag från förordningen?
Svar: Ett viktigt undantag är när man skriver något där man nyttjar sin yttrandefrihet, till exempel för att väcka debatt. Då gäller inte dataskyddsförordningen, utan då står yttrandefriheten över. Det gäller framför allt hemsidor, till exempel en blogg där företaget vill diskutera en fråga för att väcka debatt.
7 Kan man fortsätta använda sig av missbruksregeln?
Svar: Nej. Den är ett svenskt undantag, som innebär att man inte behöver följa PUL när det handlar om så kallad ostrukturerad text, utan bara garantera att man inte ska missbruka personuppgifterna. Nu försvinner missbruksregeln. Så allt i excellistor, i powerpointpresentationer, i worddokument, texter på hemsidor och mejl omfattas av dataskyddsförordningen. Man måste alltså kunna hantera den registrerades rättigheter även i ostrukturerat material.
9 Vilka rättigheter har den registrerade?
Svar: Man har rätt att få information om behandlingar av personuppgifter och vid önskemål få tillgång till dem. Man har också rätt att bli glömd, det vill säga att uppgifterna raderas, och rätt att få personuppgifter rättade om de är felaktiga och att få personuppgifter begränsade, det vill säga att de inte får användas på vissa sätt. Andra rättigheter är att slippa bli profilerad och ha rätt att invända mot till exempel direktmarknadsföring (då ska denna upphöra).
10 En del företag kommer behöva ha ett dataskyddsombud som rapporterar till Datainspektionen, vilka?
Svar: Myndigheter, sjukhus och företag med masshantering av personuppgifter, som banker och försäkringsbolag, kommer att behöva dataskyddsombud. I GDPR uttrycks det som att ett dataskyddsombud ska utses om kärnverksamheten består av personuppgiftsbehandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning. Vidare ska ombud utses om den ansvariges eller biträdets kärnverksamhet består av behandling i stor omfattning av känsliga personuppgifter eller uppgifter om lagöverträdelser. Man kan säga att det är mängden personuppgifter företaget hanterar och vilken typ av uppgifter det är som avgör, inte storleken på företaget. Dataskyddsombudet ska rapportera till styrelsen och högsta ledningen och ha tillräcklig budget. Det är en fristående roll eftersom de fritt ska kunna rapportera iakttagelser till Datainspektionen.
11 Vad innebär laglig behandling av personuppgifter?
Svar: I praktiken finns sex lagliga grunder; samtycke, avtal, rättslig förpliktelse, berättigat intresse, myndighetsutövning och allmänt intresse (i princip mest för offentlig sektor). Till detta kommer en grund som är av mer force majeur-karaktär; förordningen hindrar inte behandling som behövs i en extremsituation, till exempel vid ett terrordåd.
Avtal: Har man ett avtal eller förhandlar om ett avtal med den registrerade så har man laglig grund.
Samtycke: Det blir betydligt hårdare krav än i dag. Att få långa drapor med text som är helt obegriplig, ofta på engelska, är inte godtagbara samtycken. Det ska vara lättbegriplig text som är uppdelad så att man kan samtycka till vissa delar men inte till andra. Till exempel en kundklubb, där man ska kunna tacka ja till erbjudande om att få extrapris på kläder, men inte till VIP-inbjudningar. Man måste också förklara varför man samlar in uppgifter och hur de kommer att hanteras samt vilka konsekvenser det får för individen. Samtycket måste ges uttryckligt. Det går alltså inte att skicka ett mejl och säga ”hör vi inget så utgår vi ifrån att du samtycker”.
Rättslig förpliktelse: Allt som står i en lag att man ska göra, till exempel i bokföringslagen där det står att företag ska behandla personuppgifter. Även att lämna kontrolluppgift till Skatteverket är en rättslig förpliktelse.
Berättigat intresse: En grund som kan användas om företaget har ett väldigt stort intresse av att behandla en personuppgift och även tror att den enskilde tycker att det är bra. Till exempel vid kund- eller anställningsförhållanden. Även i direktmarknadsföring. Men om en kund hör av sig och inte vill vara med måste företaget genast upphöra med marknadsföringen mot kunden. Kan inte användas av myndigheter.
Det måste finna åtminstone en laglig grund för varje personuppgift. Har man inte det är behandlingen olaglig. Detta ligger på den högsta sanktionsnivån.
12 HR-avdelningar har pekats ut som ett särskilt riskfyllt område, varför?
Svar: Det finns många fallgropar på HR-området. På HR-avdelningen hanteras en mängd känsliga personuppgifter, till exempel uppgifter om hälsa och fackföreningstillhörighet. Hälsa är en känslig personuppgift, som man inte får behandla om det inte finns ett väldigt tydligt undantag. HR behandlar uppgifter om till exempel rehabilitering och sjukskrivningar på grund av lagkrav så behandlingen har lagligt stöd. Men det innebär inte att man kan känna sig lugn utan säkerheten kring hanteringen måste stärkas. I dag mejlas ofta uppgifter, till exempel att medarbetare x är sjuk. Behörighetsstyrning kanske inte finns.
En annan fallgrop för HR är att samtycke kan vara en svår laglig grund att stå på eftersom det finns en ojämlikhet mellan parterna.
Man ska också klara av att informera och ge registerutdrag till exempel beträffande personuppgifter som behandlas vid rekrytering.
13 Om en anställd råkar gör fel, till exempel skickar ut ett mejl med känsliga personuppgifter. Vad gör man då?
Svar: Det handlar om organisatoriska förutsättningar. Man måste ha tydliga rutiner så att anställda vet vad de ska göra. Men självklart kan sådant hända. Det är ju till exempel olagligt att förskingra, och det sker ändå. Men företaget måste kunna visa att det har organisatoriska och tekniska förutsättningar att göra rätt och att personalen har informerats och utbildats. I det konkreta fallet bör chefen ha ett samtal med den anställde för att se till att det inte händer igen. Här kanske man också upptäcker att rutinerna varit otydliga.
14 Kommer man kunna mejla ut lönespecifikationer?
Svar: Många anser att löneuppgifter är integritetskänsliga och beskeden kan innehålla uppgifter om sjukfrånvaro. Man bör alltså vara mycket försiktig och kolla laglig grund och övriga principer i förordningen. Om det är krypterade mejl ökar säkerheten vilket är bra. Det finns också särskilda tjänster för digitala brevlådor där mottagarna loggar in för att läsa e-post. Använder företaget detta är det viktigt med rätt villkor i personuppgiftsbiträdesavtalet.
15 Vad innebär öppenhetsprincipen?
Svar: Man ska vara transparent. Företaget ska med en integritetspolicy på sin hemsida tydligt och gärna visuellt förklara hur man behandlar personuppgifter i olika situationer. Då måste man förklara vad man har för ändamål och vilken laglig grund man har. Ett sätt att göra det på är att förklara utifrån sina processer. Genom en processkartläggning har man en bra grund för att skriva en integritetspolicy.
16 Hur länge kan man behålla en personuppgift?
Svar: Hur länge man kan behålla en personuppgift beror på ändamålet. ”Bra att ha” gäller inte längre, utan rensa och hålla rent. Kombinationen lagliga grunder och individens rättigheter kommer göra att man inte vill ha onödiga personuppgifter lagrade. Det är ju bättre att vara säker på att hålla sig inom gränserna än att ta risker. Så fort man inte har laglig grund för att hantera en personuppgift måste man gallra den. Det kan till exempel vara en lista med kostönskemål från ett utbildningstillfälle. När utbildningen är över har företaget inte rätt att ha kvar listorna.
17 Personuppgiftsbiträden eller personuppgiftsansvarig, vad är skillnaden?
Svar: Organisationen är personuppgiftsansvarig om den bestämmer hur uppgifter ska behandlas. Ibland kan en personuppgiftsansvarig anlita en annan organisation för att behandla personuppgifter. Denna organisation blir då ett personuppgiftsbiträde. Man måste ha tydliga personuppgiftsbiträdesavtal i den här situationen. Exempel på typiska personuppgiftsbiträden är företag som sköter andra företags ekonomi- och lönehantering.
Pernilla Halling
GDPR
GDPR är en förkortning av General Data Protection Regulation, det svenska namnet är dataskyddsförordningen.
Alla organisationer som behandlar personuppgifter ska tillämpa GDPR från 25 maj 2018.
Ersätter personuppgiftslagen (PUL).
Stärker skyddet för fysiska personer vid behandling av personuppgifter.
Kraftiga sanktioner, upp till 20 miljoner euro eller fyra procent av den globala omsättningen.
En personuppgiftsincident ska anmälas till Datainspektionen inom 72 timmar.
Vad är en personuppgift?
Personuppgifter är uppgifter som kan kopplas till en enskild person, ensamt eller tillsammans med andra. Exempelvis: Namn, adress, telefonnummer, mejladress, medlemsnummer, kundnummer, bankkortsnummer, foto, inspelning, position, profildata, IP-adress och cookies.