EU:s dataskyddsförordning
GDPR (General Data Protection Regulation) eller dataskyddslagen är en EU-förordning som ersatte PUL (Personuppgiftslagen) den 25 maj 2018. Lagen handlar om integritet, transparens, öppenhet samt ordning & reda.
Det innebär i praktiken att ditt företag behöver vara mer transparent med vilken personlig data ni lagrar och vad ni gör med informationen. Ni måste även informera de registrerade om hur uppgifterna ska behandlas, begära samtycke om det behövs, tillåta insyn i behandlingen och ha rutiner för hur radering av uppgifterna sker.
Syftet med den nya EU-förordningen är att stärka skyddet av personuppgifter för privatpersoner i hela EU.
Grundläggande krav
Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad syftet var när de samlades in.
Behandling
Behandling av personuppgifter ska ske på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.
Säkerhet
Säkerställande av lämplig säkerhet för personuppgifterna. Skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Lämpliga tekniska eller organisatoriska åtgärder.
Ändamål
Personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och behandlas på sätt som är förenligt med ändamålen. Definiera avsikten med insamlingen och användningen. Gäller även profilering*.
*Med ”profilering” menas kategorisering av personer, baserad på de registrerades personuppgifter. Till exempel e-handelsverktyg som skapar profileringar baserade på användarnas köpbeteende, ålder, kön m.m.
Bestämd lagringstid
Uppgifterna får inte förvaras i en form som möjliggör identifiering längre än vad som är nödvändigt för ändamålen. Det bör finnas en tidsfrist för radering eller för regelbunden kontroll för att säkerställa att personuppgifter inte sparas längre än nödvändigt.
Vad räknas som personuppgift?
”Varje upplysning som avser en identifierad eller identifierbar fysisk person som direkt eller indirekt kan identifieras…”
Till exempel: Namn, personnummer, ID-nummer, lokaliseringsuppgift, lägenhetsnummer, kundnummer, e-post, telefonnummer, registreringsnummer, IP-nummer, bild, hälsodata, köphistorik eller andra känsliga uppgifter.
Vad räknas som personuppgiftsbehandling?
En åtgärd eller en kombination av åtgärder beträffande personuppgifter såsom: Insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, låsning, användning, utlämning genom överföring, radering eller förstöring oberoende om det sker automatiserat eller inte.
Vad behöver mitt företag göra?
Inventera
Dokumentera
Skapa rutiner
Systemstöd
Inventera personuppgifternas livscykel från insamling till radering
Börja med att göra en lista över vilka personuppgifter ni lagrar och/eller hanterar och hur de samlas in. Detta gäller oavsett om ni använder ett system eller har manuella processer och rutiner. Skriv upp systemets namn och vem som ansvarar för systemet hos er.
Tips! Börja med det ni gör bäst, det vill säga hur ni arbetar. Skapa bilder av era processer och se till att era policys och arbetsbeskrivningar är uppdaterade. Försök att se helheten, har ni exempelvis flera system som delar information med varandra så är det viktigt att följa hela livscykeln.
Dokumentera personuppgifternas livscykel från insamling till radering
När ni har överblick över vilka personuppgifter som hanteras inom er organisation och vad syftet är med dessa så behöver ni dokumentera vilka lagliga grunder ni har för lagring/behandling av dessa uppgifter samt vad ni har för gallringsrutiner och processbeskrivningar.
Grunderna för laglig behandling är:
- Samtycke
Ni har personens samtycke till att lagra/behandla uppgifterna
(Tänk på att personen har rätt att återkalla sitt samtycke) - Avtal
Ni har ett avtal eller har för avsikt att ingå avtal med den registrerade personen - Rättslig förpliktelse
När lagen kräver att ni måste registrera/behandla personuppgifter, exempelvis bokföringslagen - Intresseavvägning
När era syften väger tyngre än den registrerades rätt att slippa behandlingen Exempel: När en arbetsgivare ska kontrollera och övervaka anställda om det krävs av säkerhetsskäl, till exempel inpasseringssystem - För att skydda intressen av grundläggande betydelse för den registrerade eller annan fysisk person
Till exempel när behandlingen är nödvändig av humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer, särskilt vid naturkatastrofer eller katastrofer orsakade av människan. - För att utföra en uppgift av allmänt intresse eller myndighetsutövning
Tips! Dataskyddsförordningen kräver att er organisation löpande underhåller och uppdaterar dokumentationen över vilka personuppgifter ni behandlar och lagrar. Därför är det bra att dokumentera och förklara hur ni har tolkat lagtexten. Ta hjälp av verksamhetsexperter och experter inom Dataskyddsförordningen för att ta fram vilka lagliga grunder som gäller för er organisation.
Skapa rutiner & processer
De nya dataskyddsreglerna är inget som kan hanteras av en enskild individ i ett företag utan det är väldigt viktigt att alla inom organisationen är väl informerade kring processen och behandlingen av personuppgifter. Till exempel om en person önskar att bli ”glömd”/borttagen från era system ska alla inom verksamheten veta hur denna rutin ska genomföras.
Tips! Det finns inte någon särskild metod som är bäst. Organisera arbetet och använd era egna projektmodeller. Ni behöver lägga extra vikt vid kunskapsöverföring och processutveckling eftersom detta är ett ständigt pågående arbete.
Låt systemet styra användaren rätt
Med hjälp av ett affärssystem blir det enklare för organisationer att uppfylla reglerna i förordningen. Fördelen med ett IT-system är att ni kan minimera antalet personuppgifter och låta systemet styra användaren rätt.
Ni kan enkelt se över behörigheter, roller och de processer som behandlar personuppgifter och få svar på följande frågor:
- Vilka personuppgifter behandlar vi?
- Var i systemet behandlar vi personuppgifter?
- Varför behöver vi behandla dessa uppgifter?
- Vilka personer har behörighet för att komma åt dessa uppgifter?
- Hur länge sparar vi dessa uppgifter?
Är du intresserad av ett affärssystem?
Cassandra Karlsson
Dataskyddsjurist
Möt vår GDPR-jurist
Cassandra är vår jurist som jobbar med GDPR-relaterade frågor hos oss och hos många av våra kunder.
Skriv till Cassandra för att berätta vad ni önskar hjälp med.
Dataskyddsarbetet i världen
Nedan presenterar vi statistik som Cisco tagit fram i samband med sin rapport från januari 2019 om hur företag kan maximera värdet av dataskyddsarbetets investeringsvärde.
Senast uppdaterat: Februari, 2019
GDPR-redo i procent
- 59 % är GDPR-redo idag
- 29 % beräknar bli GDPR-redo inom ett år
- 9 % beräknar att det kommer ta flera år att bli GDPR-redo
- 3 % i undersökningen trodde att de inte omfattades av lagstiftningen
De största utmaningarna
- 42% Möta dataskyddskraven
- 39% Intern träning (få in rätt arbetssätt och rutiner)
- 35% Möta kraven i takt med den ständiga utvecklingen av lagstiftningen
- 34% Att efterleva Privacy By Design (system med integrerat dataskydd)
- 34% Hantera begäran om registerutdrag
- 31% Katalogisera och inventera personuppgiftsbehandlingen
- 30% Möjliggöra rätten att bli glömd
- 29% Tillsätta/identifiera dataskyddspersonal för varje relevant område
- 28% Leverantörshantering (personuppgiftsbiträdesförhållanden)
WorkCloud
Effektivisera ert arbetssätt och få mer tid över till fantastisk kundservice
Med WorkCloud får företaget en effektiv samsyn över affärer, projekt och kundinformation. Du kommer gång på gång överraska dina kunder med tydlig struktur och extra bra kundservice.
Ett urval av våra moduler
GDPR-stöd
Fullt GDPR-stöd med rensnings- och anonymiseringsfunktion.
Ärendehantering
Förenkla och effektivisera administrationsprocessen i ditt företag.
Dokumenthantering
Samla alla dokument i ett slutet system som är åtkomligt överallt.
Säkra uppgifter
Skydda känsliga uppgifter, såsom inloggningsuppgifter, med kryptering.
Personsökning
Sök på olika personuppgifter och få fram var dessa uppgifter finns lagrade.
För att behandla personuppgifter
krävs en rättslig grund
Vilka rättsliga grunder finns det?
Avtal
Om behandling av personuppgifter är nödvändig för att uppfylla förpliktelser enligt avtal kan du stödja din behandla din behandling på avtal som rättslig grund.
Exempel: Uppgifterna krävs eftersom ni har ett avtal eller har för avsikt att ingå avtal med den registrerade personen (kundavtal, anställningsavtal, etc.).
Berättigat intresse
Här gör man en intresseavvägning mellan den personuppgiftsansvariges intresse av att behandla uppgifterna och den registrerades intresse av integritetsskydd för uppgifterna i fråga. Om den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn, är behandlingen förbjuden.
Exempel: Berättigat intresse kan finnas när det föreligger ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige, t.ex. i de fall den registrerade är kund hos eller arbetar för den personuppgiftsansvarige.
Skydda registrerades grundläggande (vitala) intressen
Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
Exempel: När behandlingen är nödvändig av humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer, särskilt vid naturkatastrofer eller katastrofer orsakade av människan.
Rättslig förpliktelse
Det finns en förpliktelse att lagra informationen enligt lag.
Exempel: Rättslig skyldighet att lagra information kan komma från bokföringslagen, lagstiftning kring penningtvätt, skattelagstiftning eller andra lagar som påverkar er verksamhet.
Uppgift av allmänt intresse eller myndighetsutövning
Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som meddelats med stöd av lag eller annan författning.
Exempel: Skolverksamhet
Samtycke
Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Om du baserar på samtycke ska du kunna visa samtycket samt informera om vad, hur och var uppgifterna kommer att användas.
Särskilt om samtycke
Krav för giltigt samtycke
- Frivilligt (separata samtycken för flera olika behandlingar)
- Specifikt & otvetydigt
- Individuellt
Låt oss bli
din GDPR-konsult
Genom ett individuellt utformat samarbete kan vi effektivisera ert dataskyddsarbete.
Exempel från verkligheten
"GDPR-böter" för den som bryter mot lagstiftningen
Nedan följer några exempel på företag som drabbats av de höga sanktionsböter som företag riskerar att åläggas för om det inte investeras i ett dataskyddsarbete i enlighet med GDPR.
Den första GDPR-bötern dömdes ut av DSB, som är tillsynsmyndighet i Österrike. Företaget som ålades att betala sanktionsavgiften på €4.800 ansågs ha för omfattande kameraövervakning.
REGLER FÖR KAMERAÖVERVAKNING
Du behöver ett berättigat intresse, kamera får inte vara dold, ska finnas tydlig skyltning där kamera är uppsatt, bevakning får inte ske om det skulle kunna anses som särskilt integritetskänsligt för den bevakade, bevakningen får endast ske för dess individuella syfte.
Tillsynsmyndigheten, CNPD, i Portugal utfärdade i oktober 2018 sin första GDPR-böter på €400.000. Det var ett sjukhus med både tekniska och organisatoriska säkerhetsbrister som drabbades av detta höga bötesbelopp.
Sjukhuset hävdade att de använde samma IT-system som tillhandahålls offentliga sjukhus av portugisiska hälsoministeriet, men CNPD beslutade att detta inte är ett giltigt skäl eftersom det är varje personuppgiftsansvariges ansvar att säkerställa att IT-systemen lever upp till kraven som ställs i GDPR.
Tysklands tillsynsmyndighet, LfDI, dömde i november 2018 ut sin första GDPR-böter i Tyskland. Bötern låg på €20.000 och gällde otillräckliga skyddsåtgärder hos ett tyskt företag. Ca 808.000 e-postadresser och lösenord hade läckt ut från en av företagets webbsidor i samband med en hackerattack. Bötern förmildrades tack vare att företaget samarbetade med tillsynsmyndigheten.
TILLRÄCKLIGA SKYDDSÅTGÄRDER
Viktig data såsom lösenord får inte lagras okrypterat i ren text.
FÖRMILDRADE SANKTIONER
Om du väljer att samarbeta med tillsynsmyndigheten vid en säkerhetsincident samt vidtar åtgärder för att minska konsekvenserna av incidenten, kan sanktionen förmildras.
I januari 2019 drabbades Google av den rekordhöga straffsumman på €50.000.000. Bötern var den franska tillsynsmyndigheten CNIL:s första sanktionsböter och utfärdades pga. Googles brist på transparens & information till den registrerade samt avsaknad av rättslig grund.
Informationskravet – De registrerade ska informeras om den behandling som den personuppgiftsansvarige utför.
Transparenskravet – De registrerade ska känna till vilka av deras personuppgifter som behandlas.
Rättslig grund – Grundregeln i GDPR är att det inte är tillåtet att behandla personuppgifter om det inte finns en rättslig grund för behandlingen.
Svenska tillsynsmyndigheten beslutade om en sanktionsavgift för en skola. Datainspektionen utfärdade en sanktionsavgift på 200.000 kronor för skolan som på prov använde ansiktsigenkänning via kamera för att registrera elevers närvaro.
Österrikiska posten
En sanktionsavgift på €18.000.000 utdömdes till den österrikiska posten för att de behandlat stora mängder personuppgifter, och delvis känsliga sådana, utan rättslig grund. De hade även, på ett olagligt sätt, gjort antaganden om personens politiska åsikter genom profilering i stor utsträckning, samt hanterat personuppgifter felaktigt för marknadsföringsändamål.
Fastighetsbolag i Tyskland
Ett tyskt fastighetsbolag drabbades av en sanktionsavgift på €14.500.000 pga. att bolaget brutit mot flera av de grundläggande dataskyddsprinciperna genom att lagra för mycket personuppgifter om hyresgäster under för lång tid (utan rättslig grund). Samtidigt lät de bli att implementera principen om inbyggt dataskydd, trots att de gjorts medvetna om bristerna vid en tidigare granskning ett par år tidigare.
RÄTTSLIG GRUND
Respektive personuppgiftsbehandling hos ett företag måste baseras på en rättslig grund. Om en behandling saknar rättslig grund anses den vara olaglig och därmed förbjuden. Principen är att företag inte ska behandla uppgifter som de egentligen inte behöver behandla.
Den spanska dataskyddsmyndigheten utfärdade en sanktionsavgift på €30.000 mot ett flygbolag för att de hanterat cookies felaktigt på sin webbplats. Flygbolaget hade information om cookies på webbplatsen, men det fanns inte någon så kallad ”konfigurationspanel” som underlättar för varje användare att välja sina inställningar på ett mer aktivt och transparent sätt.