Den 25 maj 2018 träder den allmänna dataskyddsförordningen (General Data Protection Regulation, ”GDPR”) i kraft. GDPR kommer att ersätta personuppgiftslagen och vara direkt tillämplig i alla EU:s medlemsstater, liksom även i EES.

I stort sett alla organisationer hanterar idag personuppgifter på något sätt och kommer att behöva investera tid och resurser för att säkerställa att kraven i GDPR är uppfyllda när den träder i kraft. I stora delar ställs samma krav i personuppgiftslagen (PUL) idag. Men hur många uppfyller egentligen PUL till punkt och pricka? Att det är lite si och så med det har även EU-kommissionen insett, så med GDPR följer en möjlighet för Datainspektionen att bötfälla de organisationer som inte uppfyller GDPRs krav. Det är främst information och dokumentation som behöver gås igenom, men även många processer som behöver komma på plats.

Ett tips från oss till er när ni förbereder er är att se GDPR som en möjlighet, inte som en belastning. En möjlighet att bli best in class, att sticka ut bland konkurrenterna, att få kunder att välja just er. Att behandla personuppgifter och samtidigt värna om anställdas och kunders integritet, och dessutom tydligt visa det, blir en allt viktigare konkurrensfördel.

Vad skiljer GDPR från PUL?

GDPR ska skydda människor från att deras personliga integritet kränks när personuppgifter behandlas av andra. Det kallas för personuppgiftshantering. All slags behandling av uppgifter som direkt eller indirekt kan hänföras till en fysisk person omfattas, alltifrån loggning och lagring till överföring och radering.

GDPR innehåller många nyheter, men det är också mycket som är likt dagens lagstiftning, personuppgiftslagen (PUL). De flesta av GDPRs begrepp och principer är samma som i PUL. Ni som idag har koll på vilka behandlingar som görs och som har rutiner och processer på plats för att säkerställa att PUL följs har därför en bra grund att utgå ifrån!

GDPR bjuder som sagt på en mängd nyheter. Bland annat ställs nya krav på personuppgiftsbiträdet, utökad informationsskyldighet gentemot den registrerade, konsekvensbedömning vid viss behandling, incidenthantering och rapportering, privacy by design, krav på dataskyddsombud i vissa fall samt sanktionsavgifter. Personuppgiftslagens undantag för behandling av personuppgifter i ostrukturerat material, den så kallade missbruksregeln, försvinner också i och med GDPRs intåg.

En ytterligare nyhet till följd av GDPR är att vi utöver GDPR troligtvis också kommer att få en lag i Sverige som heter dataskyddslagen. Förslaget till lagen lämnades av regeringens utredare i maj 2017. Bland annat föreslås i utredningen att minimiåldern för samtycke för behandling av personuppgifter från barn blir 13 år, den lägsta möjliga nivån enligt GDPR. Utredningen föreslår också att myndigheter ska kunna tvingas betala administrativa sanktionsavgifter, något som medlemsländerna själva får besluta över enligt GDPR. Förslaget om dataskyddslagen är ute på remiss och mycket kan fortfarande ändras innan vi har en av riksdagen godkänd dataskyddslag.

Frågor inför GDPR

En stor del av arbetet med GDPR handlar om att dokumentera och analysera behandlingen av personuppgifter. Här följer ett antal frågor som Datainspektionen kan ställa till er, och som ni måste ta ställning till och åtgärda för att följa GDPR.

  • Kan ni visa att ni har full koll på er personuppgiftshantering?
  • Vet ni vilka personuppgifter som hanteras, för vem, för vilket ändamål och med hjälp av vilka leverantörer?
  • Har ni tänkt igenom alla system där ni behandlar personuppgifter?
  • Har ni dokumenterade rutiner och processer på plats för att säkerställa en korrekt hantering av personuppgifter?
  • Har ni avtal på plats med personuppgiftsbiträden (exempelvis leverantörer)?
  • Uppfyller ni kraven på informationsskyldighet till de personer vars uppgifter ni hanterar?
  • Har ni gjort och dokumenterat konsekvensbedömningar för era produkter och tjänster?

Vet du inte riktigt var din organisation ska börja, eller har ni kört fast på vägen? EdmarLaw har omfattande erfarenhet av personuppgiftshantering och spetskompetens gällande GDPR och vägen till att vara compliant för företag och organisationer. Läs mer och kontakta oss här.

Informationsskyldighet

Krav på att lämna information

GDPR ställer väsentligt högre krav på den information som lämnas till den registrerade än vad som gäller idag. Informationen ska lämnas i samband med insamling av personuppgifterna. Den ska vara lättillgänglig och med ett klart och tydligt språk. Det bästa är att lämna informationen i en personuppgiftspolicy på webbsidan.

Den registrerade ska informeras om:

  • den personuppgiftsansvariges identitet och kontaktuppgifter,
  • ändamålen med behandlingen,
  • den rättsliga grunden för behandlingen,
  • vilka mottagare som ska ta del av personuppgifterna (underleverantörer, partners m.fl.), och
  • hur länge uppgifterna är tänkta att sparas.

Den registrerade ska också informeras om de rättigheter som ges i GDPR. Bland annat har den registrerade rätt att få tillgång till, ändra och radera sina personuppgifter. Den registrerade har också rätt att begära begränsning av viss behandling, rätt att flytta sina data till en annan leverantör (dataportabilitet), och rätt att när som helst återkalla ett eventuellt samtycke.

Registerutdrag

Som registrerad har man rätt att få veta om personuppgifter som rör en själv behandlas, och i så fall få ta del av de personuppgifterna. En sådan sammanställning måste innehålla information om vilka uppgifter som samlats in, vad syftet är, vilka som har tagit del av informationen, hur länge den ska sparas och den registrerades rättigheter enligt GDPR. Informationen måste sammanställas och lämnas till den registrerade inom 30 dagar från begäran.

EdmarLaw kan hjälpa till att upprätta din organisations personuppgiftspolicy så att den uppfyller GDPRs krav, eller se över er befintliga personuppgiftspolicy, liksom hjälpa till när ni får en begäran om registerutdrag. En personuppgiftspolicy ingår i vår abonnemangstjänst Data Protection Service, som du kan läsa mer om här.

Privacy by Design

Privacy by design (inbyggt dataskydd) och privacy by default (dataskydd som standard) har tidigare uppmuntrats som god branschpraxis, s.k. best practice. I GDPR är det istället ett krav. Privacy by design innebär att mekanismer för integritetsskydd ska byggas in i IT-system och tjänster.

Integritetsskydd ska genomsyra ett systems eller en tjänsts hela livscykel, från förstudie och kravställning till utveckling, användning och avveckling. Det är alltså avgörande att ta hänsyn till integritetsskyddet innan tid och pengar investeras i ett nytt IT-system eller en ny tjänst.

Privacy by design innebär inte bara en möjlighet att se till att IT-systemet eller tjänsten uppfyller kraven enligt GDPR, utan också en möjlighet att implementera andra juridiskt strategiska aspekter i utvecklingsarbetet. Inbyggt dataskydd kan också förenkla den manuella insatsen för att uppfylla GDPR. En välbyggd lösning med privacy by design-fokus kan exempelvis automatisera kraven på registerutdrag och på så sätt göra det möjligt med insyn för den registrerade.

EdmarLaw utbildar i och tar fram kommersiellt orienterade processer för Privacy by design. EdmarLaw biträder också med råd i samband med att ni utvecklar nya IT-system och tjänster.

Gallring och register

Personuppgifter måste raderas eller anonymiseras när de inte längre behövs för det syfte de ursprungligen samlades in för. Redan i samband med att personuppgifterna samlas in måste  information lämnas om vilka kategorier av uppgifter som samlas in, för vilka syften de behandlas och hur länge uppgifterna sparas. Den här informationen måste också dokumenteras i ett internt register över personuppgiftsbehandlingar som ska uppdateras löpande.

Rutiner för gallring av personuppgifter ställer höga krav på både IT-system och personal. EdmarLaw biträder vid upprättande av gallringsrutiner och ser även över IT-system och tjänster så att de uppfyller kraven på gallring m.m. Vi kan också bistå med att skapa och hålla ert register över personuppgiftsbehandlingar aktuellt. Registret kan visas för Datainspektionen i samband med en eventuell tillsyn eller presenteras för en potentiell investerare i samband med kapitalanskaffning.

Incidenthantering

GDPR ställer höga krav på en organisations beredskap att hantera incidenter i samband med personuppgiftshantering. En personuppgiftsincident måste anmälas till Datainspektionen inom 72 timmar. Vad är en personuppgiftsincident? Det är inte bara förlust av personuppgifter vid dataintrång som måste anmälas. Enligt GDPR måste varje incident som leder till oavsiktlig förstöring eller förlust av personuppgifter anmälas, om det inte är osannolikt att incidenten medför risker. En glömd företagsdator eller en stulen väska kan behöva anmälas till Datainspektionen inom 72 timmar. Beroende på omfattning och uppgifternas känslighet ska även enskilda personer som drabbats av incidenten informeras. Det här ställer höga krav på IT-system och på rutiner för incidenthantering. Det kräver också en medvetenhet hos de anställda.

EdmarLaw biträder med att skapa incidenthanteringsrutiner och att utbilda personalen, liksom att ta kontakt med Datainspektionen.

Personuppgiftsbiträden

Som personuppgiftsansvarig är en organisation inte bara ansvarig för sin egen behandling av personuppgifter, utan även för den behandling som utförs av leverantörer, så kallade personuppgiftsbiträden. Valet av leverantör måste därför även göras utifrån GDPR-kriterier. Vi på EdmarLaw brukar tala om en trestegsmodell för att se till att personuppgiftsbiträden håller en hög dataskyddsnivå.

1. Due diligence ur ett dataskyddsperspektiv

Först bör en due diligence göras av möjliga personuppgiftsbiträden. Det är lätt att glömma bort att väga in dataskyddsaspekter i samband med upphandling av IT-system och tjänster. Men med GDPR kan det stå dig dyrt. Innan personuppgifter delas med ett personuppgiftsbiträde är det viktigt att bl.a. ta reda på var personuppgifterna kommer att lagras, vilka som kommer ha tillgång till personuppgifterna och om leverantören använder sig av underleverantörer. Genom en due diligence kan man som personuppgiftsansvarig fatta ett informerat beslut vid valet av leverantör.

2. Personuppgiftsbiträdesavtalet

Genom ett personuppgiftsbiträdesavtal säkerställer parterna att personuppgifterna som delas hanteras enligt GDPR. Det ställs omfattande krav på vad ett personuppgiftsbiträdesavtal måste innehålla. EdmarLaw ser över befintliga personuppgiftsbiträdesavtal och biträder i samband med upprättande av nya. Vi säkerställer att ert personuppgiftsbiträdesavtal uppfyller kraven under GDPR samtidigt som avtalen är anpassade för det aktuella samarbetet.

3. Uppföljning

Den som är personuppgiftsansvarig bör också följa upp att personuppgiftsbiträdet faktiskt behandlar personuppgifterna i enlighet med instruktionerna i personuppgiftsbiträdesavtalet. Det kan man göra antingen genom ett besök hos personuppgiftsbiträdet, genom rapporter från personuppgiftsbiträdet eller genom löpande avstämning.

Det ställs många krav på den som är personuppgiftsansvarig. För att behandlingen av personuppgifter ska vara laglig krävs inte bara ett personuppgiftsbiträdesavtal. De registrerade måste också informeras, exempelvis i personuppgiftspolicyn, om att deras personuppgifter delas med personuppgiftsbiträden och vilka dessa biträden är. Information om personuppgiftsbiträden måste även dokumenteras i den personuppgiftsansvariges register över personuppgiftsbehandlingar. EdmarLaw kan assistera genom hela processen, från due diligence av personuppgiftsbiträden till upprättande av avtal och uppföljning.

Dataskyddsombud

Vissa typer av organisationer måste tillsätta ett dataskyddsombud enligt GDPR, men alla organisationer tjänar på att ha tilldelat en person ansvaret för dessa frågor. Offentliga verksamheter (exempelvis myndigheter), organisationer vars kärnverksamhet består i att hantera stora mängder personuppgifter, och organisationer som hanterar större mängder av känsliga personuppgifter måste alla ha dataskyddsombud. Dataskyddsombudet kan vara en intern eller extern resurs. Det ska ha de yrkesmässiga kvalifikationer som krävs, liksom sakkunskap om lagstiftning och praxis kring dataskydd. Dataskyddsombudet måste hålla sig uppdaterad på området.

Det är styrelsens och ledningsgruppens ansvar att se till att dataskyddsombudet har resurser och möjligheter att på ett objektivt sätt utföra sitt arbete. GDPR är tydlig med att dataskyddsombudet ska kunna arbeta fritt utan att riskera kritik i samband med kontroller av personuppgiftsbehandlingen. Det kan ändå vara svårt att som anställd komma med synpunkter som medför förseningar och kostnader för organisationen. Samtidigt som en anställd kan ha god inblick i organisationens verksamhet, kan den dra sig för att komma med impopulära invändningar. Därför kan det vara att föredra att anlita en extern konsult som dataskyddsombud.

Dataskyddsombudet ska involveras i alla frågor som rör skyddet av personuppgifter, samarbeta och samråda med tillsynsmyndigheten, samt informera och utbilda anställda i dataskydd.

IAPP (International Association of Privacy Professionals) bedömer att fler än 75 000 dataskyddsombud kommer att behövas som en följd av GDPR.

Vill du att EdmarLaws specialister är dataskyddsombud åt din organisation? Vi har IAPP-certifierade jurister med mångårig erfarenhet av personuppgiftshantering och integritetsfrågor, bland annat från Klarna AB. Läs mer här.