Vad är GDPR?
Sverige var det första land i världen som antog en nationell datalag år 1973. Och skyddet av personuppgifter har inte blivit mindre aktuellt med åren! Idag är det den allmänna dataskyddsförordningen, GDPR, som ska skydda människor från att deras personliga integritet kränks när personuppgifter behandlas av andra. Den ersatte personuppgiftslagen (PUL) som gällde 1998-2018.
All slags behandling av uppgifter som direkt eller indirekt kan hänföras till en fysisk person omfattas av GDPRs regler, alltifrån loggning och lagring till överföring och radering – och all behandling däremellan. De flesta av GDPRs begrepp och principer är desamma som gällde enligt PUL. Men med GDPR kom bland annat nya krav på personuppgiftsbiträdet, betydligt utökad informationsskyldighet gentemot den registrerade, konsekvensbedömning vid viss behandling, incidenthantering och rapportering, privacy by design, krav på dataskyddsombud i vissa fall samt sanktionsavgifter. PULs undantag för behandling av personuppgifter i ostrukturerat material, den så kallade missbruksregeln, försvann också med GDPRs intåg.
Uppfyller ni GDPRs krav?
- Vet ni vilka personuppgifter som hanteras, för vem, för vilket ändamål, med hjälp av vilka leverantörer, vilka de lämnas ut till och hur länge de bevaras?
- Har ni verkligen gått igenom alla system där ni behandlar personuppgifter?
- Har ni dokumenterade rutiner och processer på plats för att säkerställa en korrekt hantering av personuppgifter?
- Har ni avtal på plats med personuppgiftsbiträden (exempelvis leverantörer)?
- Uppfyller ni kraven på informationsskyldighet till de personer vars uppgifter ni hanterar?
- Har ni gjort och dokumenterat konsekvensbedömningar för era produkter och tjänster?
EdmarLaw har omfattande erfarenhet av personuppgiftshantering och spetskompetens på området. Vi kan hjälpa er att uppfylla GDPRs krav. Kontakta oss här.
Informationsskyldighet
GDPR ställer väsentligt högre krav än tidigare på den information som lämnas till den registrerade. Informationen ska lämnas i samband med insamling av personuppgifterna. Den ska vara lättillgänglig och med ett klart och tydligt språk. Det bästa är att lämna informationen i en dataskyddspolicy på webbsidan.
Den registrerade ska informeras om:
- den personuppgiftsansvariges identitet och kontaktuppgifter,
- ändamålen med behandlingen,
- den rättsliga grunden för behandlingen,
- vilka personuppgifter som samlas in,
- vilka mottagare som ska ta del av personuppgifterna (underleverantörer, partners m.fl.),
- hur länge uppgifterna är tänkta att sparas, och
- om personuppgifterna lämnas ut till tredje land.
Den registrerade ska också informeras om de rättigheter som ges i GDPR. Bland annat har den registrerade rätt att få tillgång till, ändra och radera sina personuppgifter. Den registrerade har också rätt att begära begränsning av viss behandling, rätt att flytta sina data till en annan leverantör (dataportabilitet), och rätt att när som helst återkalla ett eventuellt samtycke.
Registerutdrag
Som registrerad har man rätt att få veta om personuppgifter som rör en själv behandlas, och i så fall få ta del av de personuppgifterna. En sådan sammanställning måste innehålla information om vilka uppgifter som samlats in, vad syftet är, vilka som har tagit del av informationen, hur länge den ska sparas och den registrerades rättigheter enligt GDPR. Informationen måste sammanställas och lämnas till den registrerade inom 30 dagar från begäran.
EdmarLaw kan hjälpa till att upprätta din organisations dataskyddspolicy så att den uppfyller GDPRs krav, eller se över er befintliga dataskyddspolicy, liksom hjälpa till när ni får en begäran om registerutdrag.
Privacy by Design
Dataskydd ska genomsyra ett systems eller en tjänsts hela livscykel, från förstudie och kravställning till utveckling, användning och avveckling. Det är alltså avgörande att ta hänsyn till dataskyddsaspekterna innan tid och pengar investeras i ett nytt IT-system eller en ny tjänst.
Privacy by design innebär inte bara en möjlighet att se till att IT-systemet eller tjänsten uppfyller kraven enligt GDPR, utan också en möjlighet att implementera andra juridiskt strategiska aspekter i utvecklingsarbetet. Inbyggt dataskydd kan också förenkla den manuella insatsen för att uppfylla GDPR. En välbyggd lösning med privacy by design-fokus kan exempelvis automatisera kraven på registerutdrag och på så sätt göra det möjligt med insyn för den registrerade.
EdmarLaw utbildar i privacy by design-aspekter och kan även hjälpa till med att se över er privacy by design i samband med att ni utvecklar eller implementerar nya IT-system och tjänster.
Gallring och register
Rutiner för gallring av personuppgifter ställer höga krav på både IT-system och personal. EdmarLaw biträder vid upprättande av gallringsrutiner och ser även över IT-system och tjänster så att de uppfyller kraven på gallring m.m. Registret kan visas för Datainspektionen i samband med en eventuell tillsyn eller presenteras för en potentiell investerare i samband med kapitalanskaffning.
Incidenthantering
EdmarLaw biträder med att skapa rutiner för incidenthantering och att utbilda personalen.
Personuppgiftsbiträden
1. Due diligence ur ett dataskyddsperspektiv
Först bör en due diligence göras av möjliga personuppgiftsbiträden. Det är lätt att glömma bort att väga in dataskyddsaspekter i samband med upphandling av IT-system och tjänster. Men med GDPR kan det stå dig dyrt. Innan personuppgifter delas med ett personuppgiftsbiträde är det viktigt att bl.a. ta reda på var personuppgifterna kommer att lagras, vilka som kommer ha tillgång till personuppgifterna och om leverantören använder sig av underleverantörer. Genom en due diligence kan man som personuppgiftsansvarig fatta ett informerat beslut vid valet av leverantör.
2. Personuppgiftsbiträdesavtalet
Genom ett personuppgiftsbiträdesavtal säkerställer parterna att personuppgifterna som delas hanteras enligt GDPR. Det ställs omfattande krav på vad ett personuppgiftsbiträdesavtal måste innehålla. EdmarLaw ser över befintliga personuppgiftsbiträdesavtal och biträder i samband med upprättande av nya. Vi säkerställer att ert personuppgiftsbiträdesavtal uppfyller kraven under GDPR samtidigt som avtalen är anpassade för det aktuella samarbetet.
3. Uppföljning
Den som är personuppgiftsansvarig bör också följa upp att personuppgiftsbiträdet faktiskt behandlar personuppgifterna i enlighet med instruktionerna i personuppgiftsbiträdesavtalet. Det kan man göra antingen genom ett besök hos personuppgiftsbiträdet, genom rapporter från personuppgiftsbiträdet eller genom löpande avstämning.
Det ställs många krav på den som är personuppgiftsansvarig. För att behandlingen av personuppgifter ska vara laglig krävs inte bara ett personuppgiftsbiträdesavtal. De registrerade måste också informeras, exempelvis i dataskyddspolicyn, om att deras personuppgifter delas med personuppgiftsbiträden och vilka dessa biträden är. Information om personuppgiftsbiträden måste även dokumenteras i den personuppgiftsansvariges register över personuppgiftsbehandlingar. EdmarLaw kan assistera genom hela processen, från due diligence av personuppgiftsbiträden till upprättande av avtal och uppföljning.
Dataskyddsombud
Det är styrelsens och ledningsgruppens ansvar att se till att dataskyddsombudet har resurser och möjligheter att på ett objektivt sätt utföra sitt arbete. GDPR är tydlig med att dataskyddsombudet ska kunna arbeta fritt utan att riskera kritik i samband med kontroller av personuppgiftsbehandlingen. Det kan ändå vara svårt att som anställd komma med synpunkter som medför förseningar och kostnader för organisationen. Samtidigt som en anställd kan ha god inblick i organisationens verksamhet, kan den dra sig för att komma med impopulära invändningar. Därför kan det vara att föredra att anlita en extern konsult som dataskyddsombud.
Dataskyddsombudet ska involveras i alla frågor som rör skyddet av personuppgifter, samarbeta och samråda med tillsynsmyndigheten, samt informera och utbilda anställda i dataskydd.