En stor del av arbetet med GDPR handlar om att dokumentera och analysera behandlingen av personuppgifter. Det är främst följande frågor som ni måste ta ställning till och åtgärda för att följa GDPR:

• Vet ni vilka personuppgifter som hanteras, för vem, för vilket ändamål, med hjälp av vilka leverantörer, vilka de lämnas ut till och hur länge de bevaras?
• Har ni verkligen gått igenom alla system där ni behandlar personuppgifter?
• Har ni dokumenterade rutiner och processer på plats för att säkerställa en korrekt hantering av personuppgifter?
• Har ni avtal på plats med personuppgiftsbiträden (exempelvis leverantörer)?
• Uppfyller ni kraven på informationsskyldighet till de personer vars uppgifter ni hanterar?
• Har ni gjort och dokumenterat konsekvensbedömningar för era produkter och tjänster?

EdmarLaw har omfattande erfarenhet av personuppgiftshantering och spetskompetens på området. Vi kan hjälpa er att uppfylla GDPRs krav. Kontakta oss här.

Krav på att lämna information

GDPR ställer väsentligt högre krav än tidigare på den information som lämnas till den registrerade. Informationen ska lämnas i samband med insamling av personuppgifterna. Den ska vara lättillgänglig och med ett klart och tydligt språk. Det bästa är att lämna informationen i en dataskyddspolicy på webbsidan.

Den registrerade ska informeras om:

• den personuppgiftsansvariges identitet och kontaktuppgifter,
• ändamålen med behandlingen,
• den rättsliga grunden för behandlingen,
• vilka personuppgifter som samlas in,
• vilka mottagare som ska ta del av personuppgifterna (underleverantörer, partners m.fl.),
• hur länge uppgifterna är tänkta att sparas, och
• om personuppgifterna lämnas ut till tredje land.

Den registrerade ska också informeras om de rättigheter som ges i GDPR. Bland annat har den registrerade rätt att få tillgång till, ändra och radera sina personuppgifter. Den registrerade har också rätt att begära begränsning av viss behandling, rätt att flytta sina data till en annan leverantör (dataportabilitet), och rätt att när som helst återkalla ett eventuellt samtycke.

Registerutdrag

Som registrerad har man rätt att få veta om personuppgifter som rör en själv behandlas, och i så fall få ta del av de personuppgifterna. En sådan sammanställning måste innehålla information om vilka uppgifter som samlats in, vad syftet är, vilka som har tagit del av informationen, hur länge den ska sparas och den registrerades rättigheter enligt GDPR. Informationen måste sammanställas och lämnas till den registrerade inom 30 dagar från begäran.

EdmarLaw kan hjälpa till att upprätta din organisations dataskyddspolicy så att den uppfyller GDPRs krav, eller se över er befintliga dataskyddspolicy, liksom hjälpa till när ni får en begäran om registerutdrag.

Privacy by design (inbyggt dataskydd) och privacy by default (dataskydd som standard) har tidigare uppmuntrats som god branschpraxis, s.k. best practice. I GDPR är det istället ett krav. Privacy by design innebär att man tar hänsyn till dataskyddsreglerna redan när man utformar IT-system och rutiner. Det är ett sätt att se till att kraven i GDPR uppfylls och att den registrerades rättigheter skyddas. Kravet på dataskydd som standard (privacy by default) innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter inte behandlas i onödan. Det kan till exempel handla om att de förvalda inställningarna i en tjänst är satta så att inte mer information än nödvändigt samlas in, delas ut eller visas.

Dataskydd ska genomsyra ett systems eller en tjänsts hela livscykel, från förstudie och kravställning till utveckling, användning och avveckling. Det är alltså avgörande att ta hänsyn till dataskyddsaspekterna innan tid och pengar investeras i ett nytt IT-system eller en ny tjänst.

Privacy by design innebär inte bara en möjlighet att se till att IT-systemet eller tjänsten uppfyller kraven enligt GDPR, utan också en möjlighet att implementera andra juridiskt strategiska aspekter i utvecklingsarbetet. Inbyggt dataskydd kan också förenkla den manuella insatsen för att uppfylla GDPR. En välbyggd lösning med privacy by design-fokus kan exempelvis automatisera kraven på registerutdrag och på så sätt göra det möjligt med insyn för den registrerade.

EdmarLaw utbildar i privacy by design-aspekter och kan även hjälpa till med att se över er privacy by design i samband med att ni utvecklar eller implementerar nya IT-system och tjänster.

Personuppgifter måste raderas eller anonymiseras när de inte längre behövs för det syfte de ursprungligen samlades in för. Redan i samband med att personuppgifterna samlas in måste  information lämnas om vilka kategorier av uppgifter som samlas in, för vilka syften de behandlas och hur länge uppgifterna sparas. Den här informationen måste också dokumenteras i ett internt register över personuppgiftsbehandlingar som ska uppdateras löpande.

Rutiner för gallring av personuppgifter ställer höga krav på både IT-system och personal. EdmarLaw biträder vid upprättande av gallringsrutiner och ser även över IT-system och tjänster så att de uppfyller kraven på gallring m.m. Registret kan visas för Datainspektionen i samband med en eventuell tillsyn eller presenteras för en potentiell investerare i samband med kapitalanskaffning.

GDPR ställer höga krav på en organisations beredskap att hantera incidenter i samband med personuppgiftshantering. En personuppgiftsincident måste anmälas till Datainspektionen inom 72 timmar om det inte är osannolikt att incidenten leder till några risker för enskildas fri- och rättigheter. Vad är en personuppgiftsincident? Det är inte bara förlust av personuppgifter vid dataintrång som måste anmälas. Enligt GDPR måste varje incident som leder till oavsiktlig förstöring eller förlust av personuppgifter anmälas, om det inte är osannolikt att incidenten medför risker. En glömd företagsdator eller en stulen väska kan behöva anmälas till Datainspektionen inom 72 timmar. Beroende på omfattning och uppgifternas känslighet ska även enskilda personer som drabbats av incidenten informeras. Det här ställer höga krav på IT-system och på rutiner för incidenthantering. Det kräver också en medvetenhet hos de anställda.

EdmarLaw biträder med att skapa rutiner för incidenthantering och att utbilda personalen.

Som personuppgiftsansvarig är en organisation inte bara ansvarig för sin egen behandling av personuppgifter, utan även för den behandling som utförs av leverantörer, så kallade personuppgiftsbiträden. Valet av leverantör måste därför även göras utifrån GDPR-kriterier. Vi på EdmarLaw brukar tala om en trestegsmodell för att se till att personuppgiftsbiträden håller en hög dataskyddsnivå.

1. Due diligence ur ett dataskyddsperspektiv

Först bör en due diligence göras av möjliga personuppgiftsbiträden. Det är lätt att glömma bort att väga in dataskyddsaspekter i samband med upphandling av IT-system och tjänster. Men med GDPR kan det stå dig dyrt. Innan personuppgifter delas med ett personuppgiftsbiträde är det viktigt att bl.a. ta reda på var personuppgifterna kommer att lagras, vilka som kommer ha tillgång till personuppgifterna och om leverantören använder sig av underleverantörer. Genom en due diligence kan man som personuppgiftsansvarig fatta ett informerat beslut vid valet av leverantör.

2. Personuppgiftsbiträdesavtalet

Genom ett personuppgiftsbiträdesavtal säkerställer parterna att personuppgifterna som delas hanteras enligt GDPR. Det ställs omfattande krav på vad ett personuppgiftsbiträdesavtal måste innehålla. EdmarLaw ser över befintliga personuppgiftsbiträdesavtal och biträder i samband med upprättande av nya. Vi säkerställer att ert personuppgiftsbiträdesavtal uppfyller kraven under GDPR samtidigt som avtalen är anpassade för det aktuella samarbetet.

3. Uppföljning

Den som är personuppgiftsansvarig bör också följa upp att personuppgiftsbiträdet faktiskt behandlar personuppgifterna i enlighet med instruktionerna i personuppgiftsbiträdesavtalet. Det kan man göra antingen genom ett besök hos personuppgiftsbiträdet, genom rapporter från personuppgiftsbiträdet eller genom löpande avstämning.

Det ställs många krav på den som är personuppgiftsansvarig. För att behandlingen av personuppgifter ska vara laglig krävs inte bara ett personuppgiftsbiträdesavtal. De registrerade måste också informeras, exempelvis i dataskyddspolicyn, om att deras personuppgifter delas med personuppgiftsbiträden och vilka dessa biträden är. Information om personuppgiftsbiträden måste även dokumenteras i den personuppgiftsansvariges register över personuppgiftsbehandlingar. EdmarLaw kan assistera genom hela processen, från due diligence av personuppgiftsbiträden till upprättande av avtal och uppföljning.

Vissa typer av organisationer måste tillsätta ett dataskyddsombud enligt GDPR, men alla organisationer tjänar på att ha tilldelat en person ansvaret för dessa frågor. Offentliga verksamheter (exempelvis myndigheter), organisationer vars kärnverksamhet består i att hantera stora mängder personuppgifter, och organisationer som hanterar större mängder av känsliga personuppgifter måste alla ha dataskyddsombud. Dataskyddsombudet kan vara en intern eller extern resurs. Det ska ha de yrkesmässiga kvalifikationer som krävs, liksom sakkunskap om lagstiftning och praxis kring dataskydd. Dataskyddsombudet måste hålla sig uppdaterad på området.

Det är styrelsens och ledningsgruppens ansvar att se till att dataskyddsombudet har resurser och möjligheter att på ett objektivt sätt utföra sitt arbete. GDPR är tydlig med att dataskyddsombudet ska kunna arbeta fritt utan att riskera kritik i samband med kontroller av personuppgiftsbehandlingen. Det kan ändå vara svårt att som anställd komma med synpunkter som medför förseningar och kostnader för organisationen. Samtidigt som en anställd kan ha god inblick i organisationens verksamhet, kan den dra sig för att komma med impopulära invändningar. Därför kan det vara att föredra att anlita en extern konsult som dataskyddsombud.

Dataskyddsombudet ska involveras i alla frågor som rör skyddet av personuppgifter, samarbeta och samråda med tillsynsmyndigheten, samt informera och utbilda anställda i dataskydd.