Inför att EUs dataskyddsförordning, GDPR, skulle träda i kraft 25 maj 2018 var uppmärksamheten stor och många fick bråttom att förbereda sig för att uppfylla lagens krav. FARs medlemsrådgivning får nu en hel del frågor om hur man ska arbeta vidare med GDPR. Sara Orback, föreningsjurist på FAR, hjälper till att reda ut vad som gäller.
1 Vilka är de stora utmaningarna nu?
Den stora utmaningen i nuläget är att hålla riktlinjerna och rutinerna levande och att se till att medarbetarna tillämpar dem i det dagliga praktiska arbetet. Enligt Datainspektionens rapport från i maj i år har de flesta företag med mer än tio anställda tagit fram de grundläggande strukturer som föreskrivs. Därmed har många upprättat en personuppgiftspolicy som gjorts tillgänglig för företagets kunder, inventerat vilka personuppgifter de behandlar, upprättat registerförteckningar samt tagit fram riktlinjer och rutiner för personuppgiftshantering. Man har även anpassat sina uppdragsavtal till de nya reglerna och fått personuppgiftsbiträdesavtal på plats.
2 Sanktionsavgifterna kan ju bli ganska höga. Är det något företag eller någon organisation som har drabbats?
Nyligen utfärdade Datainspektionen den första svenska sanktionsavgiften enligt GDPR då en skola ålades att betala 200 000 kronor för att ha brutit mot flera bestämmelser i förordningen. Vid bedömningen har Datainspektionen tagit hänsyn till att det var fråga om försöksverksamhet som pågått en begränsad tid. Maximal avgift för en myndighet är tio miljoner kronor. I Grekland ålades nyligen PwC (efter en anmälan) att betala en sanktionsavgift på 150 000 euro för felaktig hantering av de anställdas personuppgifter.
3 Vilka svårigheter är vanliga när det gäller att uppfylla kraven?
De praktiska svårigheter som har dykt upp när det gäller att följa GDPR har ofta handlat om hur man ska hantera förfrågningar från enskilda som gör gällande sina rättigheter enligt GDPR. Som företag är det då till stor hjälp att ha GDPR-anpassat sin verksamhet med klara riktlinjer och rutiner och att vara insatt i hur långt den registrerades rättigheter sträcker sig.
4 Vilken typ av frågor får FARs medlemsrådgivning?
En vanlig fråga med GDPR-anknytning är att någon vänder sig till medlemsföretaget och vill ha ut alla personuppgifter om den personen som företaget har. Den enskildes rätt till tillgång till sina personuppgifter innebär i praktiken att den enskilde har rätt att få veta om vederbörandes personuppgifter behandlas av företaget och att i så fall få ut ett så kallat registerutdrag. Enligt praxis som gällde före GDPR (och som Datainspektionen hänvisar till på sin webbplats) innebär detta inte att man har rätt till kopior av exempelvis alla e-postmeddelanden där uppgiften förekommer. Utan det innebär att om personuppgifter behandlas ska det av registerutdraget framgå vilka kategorier av uppgifter om den sökande som behandlas och de personuppgifter som rör personen ska återges i ett utdrag. Det ska även framgå varifrån företaget har fått uppgifterna, vad som är ändamålet med behandlingen (till exempel upprätthållande av kundregister eller dokumentationsskyldighet), till vilka mottagare uppgifterna i förekommande fall lämnas ut samt lagringstid. Den registrerades rättigheter samt rätten att lämna klagomål till Datainspektionen ska också alltid anges. Medlemsrådgivningen får även en del frågor angående hur man för sin kund kan redogöra för säkerheten hos biträden eller underbiträden som man anlitar. Det är ofta fråga om stora företag medan medlemsföretaget är litet. Detta är en svår fråga. FARs rekommendation är att man ber biträdet redogöra för säkerheten och vidareförmedlar informationen till sin kund. I de flesta fall nöjer sig kunden med detta.
5 Dataskyddsförordningen har medfört en skyldighet för alla företag att meddela personuppgiftsincidenter. Vilken typ av incidenter är vanliga?
Enligt Datainspektionen är vanliga personuppgiftsincidenter som rapporteras att brev som innehåller personuppgifter har skickats till fel mottagare samt att fel personer har fått tillgång till personuppgifter. Incidenterna beror i stor utsträckning på den mänskliga faktorn. Detta kan ofta bero på att medarbetare inte känner till de rutiner som företaget har fastställt. Utbildning av personal skulle i många fall förebygga incidenter som naturligtvis är administrativt betungande att hantera och skapar badwill för företaget. Utbildning av personal kan också förhindra att incidenter anmäls i onödan, då exempelvis felaktiga brevutskick i olika former (till exempel per post, e-post eller sms) som inte innehåller några känsliga personuppgifter, inte berör en stor mängd personer eller inte innebär en hög risk i övrigt, inte behöver anmälas till Datainspektionen utan endast ska dokumenteras internt.
6 Hur ska man som företag arbeta vidare med GDPR?
Företag har mycket att vinna på att aktivt arbeta med att leva upp till de krav som ställs i dataskyddsförordningen. I detta ingår att snabbt kunna svara på förfrågningar från enskilda om registerutdrag eller radering av uppgifter samt att agera korrekt vid säkerhetsincidenter. Om riktlinjer och rutiner finns på plats och medarbetarna har tillräckliga kunskaper för att tillämpa dem så har man stora fördelar. En rättssäker och transparent hantering av personuppgifter bygger förtroende.
Text: Pernilla Halling