Från och med 25 maj 2018 ska den nya europeiska lagstiftningen GDPR börja tillämpas. Alla verksamheter som samlar in personuppgifter berörs, alltså i princip alla företag, myndigheter och organisationer. Resultat har vänt sig till Monika Wendleby som är lärare på FAR:s utbildning ”GDPR – förstå och tillämpa den nya dataskyddsförordningen” för att få koll på läget.
01 Måste man vara helt klar 25 maj?
Förordningen ska tillämpas från 25 maj och gäller då fullt ut vilket också gäller sanktionerna. Det är en komplex lagstiftning med många detaljkrav så många har insett att det kan vara svårt att hinna genomföra allt. Hinner man inte allt är det bra att prioritera och dokumentera sina val och vad man gjort. En bra sak med dataskyddsförordningen är att det finns något som heter inbyggt dataskydd, som handlar om att man hela tiden ska arbeta för att bli bättre. Hundra procents uppfyllelse kan ses som en väldigt bra vision, men när det gäller införandet är det bättre att fastställa sitt nuläge och se var de största integritetsriskerna finns och hantera dem.
02 Vad innebär inbyggt dataskydd?
Inbyggt dataskydd innebär att man, förutom att tekniskt och organisatoriskt ha vidtagit alla åtgärder, ska klara att på personuppgiftsnivå följa alla principer som finns i förordningen.
03 Vad innebär de grundläggande principerna?
De grundläggande principerna handlar bland annat om att ha ett tydligt ändamål och laglig grund för varje enskild behandling, att inte senare behandla eller lagra personuppgifter i strid med ändamålet och att vara öppen och transparent i förhållande till den registrerade.
04 Hur ska man prioritera?
Gör en prioritering utifrån vilka konsekvenserna kan bli för de registrerade. Var finns de största riskerna? Men det finns också vissa formalia som måste uppfyllas, till exempel att man måste veta hur man anmäler en personuppgiftsincident och avgöra om man måste ha ett dataskyddsombud. Vidare är det viktigt ta fram korrekta personuppgiftsbiträdesavtal och i en integritetspolicy förklara hur man behandlar personuppgifter. Jobbar man konsekvent med det inbyggda dataskyddet och gör så gott man kan för att förebygga incidenter och även dokumenterar arbetet, så har man en bra grund att stå på ifall det skulle bli aktuellt att diskutera en sanktion med Datainspektionen. Gör man ingenting och bara hoppas att ingen ska upptäcka något ligger man mycket sämre till.
05 Hur kommer man igång?
Gör en avstämning av nuläget och ta de viktigaste områdena först. Varje enskilt företag måste diskutera hur man ska jobba. Hur kan vi jobba med det inbyggda dataskyddet? Kanske kan vi jobba mer med behörighetsstyrning? Hur ser våra rutiner ut? I dag finns ofta en stor variation i hur olika medarbetare på ett företag jobbar vilket gör det svårt och kostsamt att följa förordningskraven. Man är till exempel skyldig att informera om varje behandling samt kunna ge registerutdrag, det vill säga beskriva alla sätt som en persons personuppgifter behandlas. Nu gäller det alltså att minska variationen i arbetssätt och ha tydliga processer och rutiner.
06 Hur får man med alla på tåget?
Medarbetarna måste förstå varför. Det räcker inte att ledningen säger att vi har en ny rutin, utan att man förklarar varför och involverar medarbetarna i arbetet. Annars kommer nog en hel del fortsätta att jobba som tidigare, med till exempel excellistor, och då har man kanske en överträdelse. Tänk också på att de högsta sanktionsnivåerna bland annat gäller rättigheter, som att klara av att informera och lämna registerutdrag.
07 Vad avgör sanktionens storlek?
Det handlar om själva händelsen, som överträdelsens natur och hur många den drabbar. Men också om huruvida man har haft uppsåt eller om man har varit väldigt oaktsam.
I sanktionssystemet räknas det som en positiv faktor att man försökt förebygga incidenter och att man om de ändå inträffar snabbt kommer på banan igen. En negativ faktor är om man inte velat ta kostnader i arbetet. Man ska också tänka på att incidenter kan uppstå på många olika sätt, till exempel att organisationens dator hackas.
08 Det låter som att GDPR kommer att bli väldigt betungande, finns det något positivt?
Många människor känner en olust inför hur deras personuppgifter används. Alla tycker till exempel inte om profilering, som att företag noga följer hur de klickar sig fram på nätet och sedan kommer med erbjudanden. GDPR ger organisationer en skjuts att börja jobba med sina beteenden, vilket säkert kommer uppskattas av många kunder. Genom transparent beskrivning av vad man gör och varför i en integritetspolicy kommer man också skapa förtroende. Det här är något som många medarbetare kan uppskatta och vilja bidra till. Till det kommer att mycket av det kloka att göra beträffande GDPR också allmänt sätt är bra att göra. Att till exempel tydliggöra processer och rutiner kan skapa bättre effektivitet särskilt om medarbetarna får vara medskapare. Att skapa större säkerhet runt sin IT-hantering minskar riskerna för allvarliga intrång. Så på lång sikt tror jag många kommer att uppskatta åtgärderna. Det är mer tidsfaktorn maj 2018 som är betungande, att så mycket måste hanteras på så kort tid.
09 Finns det några undantag från förordningen?
Ett viktigt undantag är när man skriver något där man nyttjar sin yttrandefrihet, till exempel för att väcka debatt. Då gäller inte dataskyddsförordningen, utan då står yttrandefriheten över. Det gäller framför allt hemsidor, till exempel en blogg där företaget vill diskutera en fråga för att väcka debatt.
10 Kan man fortsätta använda sig av missbruksregeln?
Nej. Den är ett svenskt undantag, som innebär att man inte behöver följa PUL när det handlar om så kallad ostrukturerad text, utan bara garantera att man inte ska missbruka personuppgifterna. Nu försvinner missbruksregeln. Så allt i excellistor, i powerpointpresentationer, i worddokument, texter på hemsidor och mejl omfattas av dataskyddsförordningen. Man måste alltså kunna hantera den registrerades rättigheter även i ostrukturerat material. Till exempel måste man informera människor om när deras personuppgifter används i ostrukturerat material.
11 Sverige har föreslagit att personuppgifter ska kunna förekomma i utkast i ett år utan att personerna behöver informeras (förutsatt att man inte skickar det till någon eller lägger det i något arkiv). När vet vi hur det blir?
Beskedet kommer såvitt känt under våren 2018. Lagförslaget ska först beredas i regeringskansliet och sedan ska riksdagen rösta om det.
12 Vilka rättigheter har den registrerade?
Man har rätt att få information om behandlingar av personuppgifter och vid önskemål få tillgång till dem. Man har också rätt att bli glömd, det vill säga att uppgifterna raderas, och rätt att få personuppgifter rättade om de är felaktiga och att få personuppgifter begränsade, det vill säga att de inte får användas på vissa sätt. Andra rättigheter är att slippa bli profilerad och ha rätt att invända mot till exempel direktmarknadsföring (då ska denna upphöra). Systemet är komplext att hantera: både alla rättigheter och alla grundläggande principer. Jag brukar säga att när man lägger ihop dem blir det som att försöka lösa en Rubiks kub. Utmaningen är att få allt att funka ihop.
13 En del företag kommer behöva ha ett dataskyddsombud som rapporterar till Datainspektionen, vilka?
Myndigheter, sjukhus och företag med masshantering av personuppgifter, som banker och försäkringsbolag, kommer att behöva dataskyddsombud. I GDPR uttrycks det som att ett dataskyddsombud ska utses om kärnverksamheten består av personuppgiftsbehandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning. Vidare ska ombud utses om den ansvariges eller biträdets kärnverksamhet består av behandling i stor omfattning av känsliga personuppgifter eller uppgifter om lagöverträdelser. Man kan säga att det är mängden personuppgifter företaget hanterar och vilken typ av uppgifter det är som avgör, inte storleken på företaget. Dataskyddsombudet ska rapportera till styrelsen och högsta ledningen och ha tillräcklig budget. Det är en fristående roll eftersom de fritt ska kunna rapportera iakttagelser till Datainspektionen.
14 Vad innebär laglig behandling av personuppgifter?
I praktiken finns sex lagliga grunder; samtycke, avtal, rättslig förpliktelse, berättigat intresse, myndighetsutövning och allmänt intresse (i princip mest för offentlig sektor). Till detta kommer en grund som är av mer force majeur-karaktär; förordningen hindrar inte behandling som behövs i en extremsituation, till exempel vid ett terrordåd.
Avtal: Har man ett avtal eller förhandlar om ett avtal med den registrerade så har man laglig grund.
Samtycke: Det blir betydligt hårdare krav än i dag. Att få långa drapor med text som är helt obegriplig, ofta på engelska, är inte godtagbara samtycken. Det ska vara lättbegriplig text som är uppdelad så att man kan samtycka till vissa delar men inte till andra. Till exempel en kundklubb, där man ska kunna tacka ja till erbjudande om att få extrapris på kläder, men inte till VIP-inbjudningar. Man måste också förklara varför man samlar in uppgifter och hur de kommer att hanteras samt vilka konsekvenser det får för individen. Samtycket måste ges uttryckligt. Det går alltså inte att skicka ett mejl och säga ”hör vi inget så utgår vi ifrån att du samtycker”.
Rättslig förpliktelse: Allt som står i en lag att man ska göra, till exempel i bokföringslagen där det står att företag ska behandla personuppgifter. Även att lämna kontrolluppgift till Skatteverket är en rättslig förpliktelse.
Berättigat intresse: En grund som kan användas om företaget har ett väldigt stort intresse av att behandla en personuppgift och även tror att den enskilde tycker att det är bra. Till exempel vid kund- eller anställningsförhållanden. Även i direktmarknadsföring. Men om en kund hör av sig och inte vill vara med måste företaget genast upphöra med marknadsföringen mot kunden. Kan inte användas av myndigheter.
Det måste finna åtminstone en laglig grund för varje personuppgift. Har man inte det är behandlingen olaglig. Detta ligger på den högsta sanktionsnivån.
15 HR-avdelningar har pekats ut som ett särskilt riskfyllt område, varför?
Det finns många fallgropar på HR-området. På HR-avdelningen hanteras en mängd känsliga personuppgifter, till exempel uppgifter om hälsa och fackföreningstillhörighet. Hälsa är en känslig personuppgift, som man inte får behandla om det inte finns ett väldigt tydligt undantag. HR behandlar uppgifter om till exempel rehabilitering och sjukskrivningar på grund av lagkrav så behandlingen har lagligt stöd. Men det innebär inte att man kan känna sig lugn utan säkerheten kring hanteringen måste stärkas. I dag mejlas ofta uppgifter, till exempel att medarbetare x är sjuk, och behörighetsstyrning kanske inte finns.
En annan fallgrop för HR är att samtycke kan vara en svår laglig grund att stå på eftersom det finns en ojämlikhet mellan parterna.
Man ska också klara av att informera och ge registerutdrag till exempel beträffande personuppgifter som behandlas vid rekrytering.
16 Om en anställd råkar gör fel, till exempel skickar ut ett mejl med känsliga personuppgifter. Vad gör man då?
Det handlar om organisatoriska förutsättningar. Man måste ha tydliga rutiner så att anställda vet vad de ska göra. Men självklart kan sådant hända. Det är ju till exempel olagligt att förskingra, och det sker ändå. Men företaget måste kunna visa att det har organisatoriska och tekniska förutsättningar att göra rätt och att personalen har informerats och utbildats. I det konkreta fallet bör chefen ha ett samtal med den anställde för att se till att det inte händer igen. Här kanske man också upptäcker att rutinerna varit otydliga.
17 Kommer man kunna mejla ut lönespecifikationer?
Många anser att löneuppgifter är integritetskänsliga och beskeden kan innehålla uppgifter om sjukfrånvaro. Man bör alltså vara mycket försiktig och kolla laglig grund och övriga principer i förordningen. Om det är krypterade mejl ökar säkerheten vilket är bra. Det finns också särskilda tjänster för digitala brevlådor där mottagarna loggar in för att läsa e-post. Använder företaget detta är det viktigt med rätt villkor i personuppgiftsbiträdesavtalet.
18 Vad innebär öppenhetsprincipen?
Man ska vara transparent. Företaget ska med en integritetspolicy på sin hemsida tydligt och gärna visuellt förklara hur man behandlar personuppgifter i olika situationer. Då måste man förklara vad man har för ändamål och vilken laglig grund man har. Ett sätt att göra det på är att förklara utifrån sina processer. Genom en processkartläggning har man en bra grund för att skriva en integritetspolicy.
19 Hur länge kan man behålla en personuppgift?
Hur länge man kan behålla en personuppgift beror på ändamålet. ”Bra att ha” gäller inte längre, utan rensa och hålla rent. Kombinationen lagliga grunder och individens rättigheter kommer göra att man inte vill ha onödiga personuppgifter lagrade. Det är ju bättre att vara säker på att hålla sig inom gränserna än att ta risker.
Så fort man inte har laglig grund för att hantera en personuppgift måste man gallra den. Det kan till exempel vara en lista med kostönskemål från ett utbildningstillfälle. När utbildningen är över har företaget inte rätt att ha kvar listorna.
20 Personuppgiftsbiträden eller personuppgiftsansvarig, vad är skillnaden?
Organisationen är personuppgiftsansvarig om den bestämmer hur uppgifter ska behandlas. Ibland kan en personuppgiftsansvarig anlita en annan organisation för att behandla personuppgifter. Denna organisation blir då ett personuppgiftsbiträde. Man måste ha tydliga personuppgiftsbiträdesavtal i den här situationen. Exempel på typiska personuppgiftsbiträden är företag som sköter andra företags ekonomi- och lönehantering.
Pernilla Halling
Vad är GDPR?
GDPR är en förkortning av General Data Protection Regulation, det svenska namnet är dataskyddsförordningen.
Alla organisationer som behandlar personuppgifter ska tillämpa GDPR från 25 maj 2018. Privatpersoners privata användning omfattas inte av GDPR.
Ersätter personuppgiftslagen (PUL).
Stärker skyddet för fysiska personer vid behandling av personuppgifter. Detta innebär bland annat skärpta krav på företag och andra organisationer att informera om bland annat varför och hur de samlar in och hanterar personuppgifter.
Påverkar alla verksamheter som behandlar personuppgifter. Omfattar såväl de större IT-system (t.ex. mastersystem, ekonomisystem, kompetensdatabaser) som manuellt arbete (t.ex. arbete i ett Excel-dokument eller att dela ett mejl). Även behandling av personuppgifter i pappersregister omfattas.
Kraftiga sanktioner, upp till 20 miljoner euro eller fyra procent av den globala omsättningen.
I Sverige är det Datainspektionen som beslutar om sanktioner, vilket kan överklagas till förvaltningsrätten. Men det kommer också finnas en europeisk dataskyddsstyrelse som tar fram riktlinjer och fattar beslut om tolkningar.
En personuppgiftsincident (en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till personuppgifter) ska anmälas till Datainspektionen inom 72 timmar. Ett exempel på en personuppgiftsincident är att en mobil enhet (t.ex. en bärbar dator eller mobiltelefon) som innehåller organisationens kunddatabas stjäls eller tappas bort.
Vad är en personuppgift?
Personuppgifter är uppgifter som kan kopplas till en enskild person, antingen ensamt (t.ex. ett personnummer) eller tillsammans med andra personuppgifter (t.ex. ett förnamn och en bostadsadress). Begreppet personuppgift är brett och fångar alla typer av uppgifter som säger något om en person, som identifierar hen. Exempel på vad som kan vara personuppgifter: Namn, adress, telefonnummer, mejladress, medlemsnummer, kundnummer, bankkortsnummer, foto, inspelning, position, profildata, IP-adress och cookies.
Vissa kategorier av personuppgifter anses vara känsliga personuppgifter: uppgift om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, uppgifter om en fysisk persons sexualliv eller sexuella läggning, genetiska uppgifter, biometriska uppgifter samt uppgifter om hälsa. Här gäller ännu mer restriktiva regler. Detsamma gäller uppgifter om lagöverträdelser, som i princip endast får behandlas av brottsutredande myndigheter (vissa mindre undantag t.ex. för polisanmälan finns).
Personnummer är också en kategori som kräver särskild uppmärksamhet. Här ska det gå att motivera användningen till exempel att den behövs för säker identifiering.
Behandling av personuppgifter är ett vitt begrepp och det kan avse en rad olika åtgärder som framtagning, insamling, registrering, lagring, delning (t.ex. att man mejlar), användning, läsning, ändring, organisering, radering, spridning och förstöring.