VECKANS KRÖNIKA

Har GDPR-arbetet kört i diket? 3 steg för att komma tillbaka på banan

Trots att ett år förflutit är det många som inte har kommit i land med sitt GDPR-arbete. För små och mellanstora företag kan det vara svårt att skapa utrymme i både budget och kalender för att ta sig an det i vissa fall omfattande GDPR-arbetet. Inte minst för att det är svårt att veta var man ska börja. Men efter ett år med GDPR har det börjat bli tydligt vad som är viktigt att fokusera på - och var de verkliga riskerna finns. 

Europeiska granskningar – transparens i fokus 

Det första året med GDPR har varit ett minst sagt händelserikt år. Vi har sett både svenska och internationella granskningar, administrativa sanktioner har dömts ut och incidenter har anmälts i tusental.

Kanske allra mest aktiva har den franska dataskyddsmyndigheten CNIL varit. Bland annat har man där delat ut den hittills största administrativa sanktionen på 50 miljoner EUR till Google. Beloppet motiverades enligt myndigheten av allvaret i de överträdelser som konstaterats beträffade de grundläggande principerna i GDPR om öppenhet, information och samtycke. 

Svenska Datainspektionen har även den inlett en granskning mot Google efter att klagomål inlämnats till myndigheten. I klagomålet anklagar man Google för att hålla inne eller dölja information, skapa vilseledande design och att man genom att bunta ihop tjänster vilseleder konsumenter när de använder deras tjänster.  

”…även en berättigad behandling kan alltså vara kränkande om den inte informerats om i förväg.”

Ett tydligt tema för de granskningar som gjorts hittills har varit att man genomgående lagt stort fokus på aktörernas transparens. Det vill säga, inte bara om man haft rätt att utföra de behandlingar man utför, utan primärt om man varit öppen och tydlig mot de registrerade personerna angående hur deras personuppgifter används. Kränkningen ligger alltså inte bara i det man utför med personuppgifterna utan kränkningen kan bestå i att inte ha varit öppen i förväg. Även en berättigad behandling kan alltså vara kränkande om den inte informerats om i förväg. 

Vad ska jag tänka på? 

Att vara transparent med hur man behandlar personuppgifter är lättare sagt än gjort. Det kräver att man gjort sitt grundarbete och har koll på en mängd faktorer, bland annat vilka personuppgifter man behandlar, varför de behandlas, hur länge och på vilken laglig grund. Många får nog tyvärr bekänna sig till gruppen som har hittat en personuppgiftspolicy online som sedan justerats något för att anpassas till den egna verksamheten, utan att man riktigt har gjort sitt eget grundarbete. 

Faktum är dock att den där policyn som skickades ut i massor för ett år sedan spelade roll. Många tog sig nog inte tid att läsa utskicken som kom den 25 maj förra året, men i praktiken är det den här policyn som man har att leva upp till nu. Och det är den man kommer att granskas utifrån. Då gäller det naturligtvis att policyn motsvarar vad som faktiskt sker i en verksamhet.

Tre steg mot efterlevnad

Så hur ska du skaffa dig koll på din egen personuppgiftsbehandling? 

1. Dokumentera era system som innehåller personuppgifter

Grunden till allt gott GDPR-arbete finns i artikel 30-registret. Det vill säga det register som ska innehålla information om all behandling av personuppgifter som organisationen utför. 

Många mindre företag uppfattar att man omfattas av undantaget från skyldigheten att upprätthålla ett register, eftersom man har under 250 anställda. Detta är dock nästan alltid en missuppfattning, eftersom undantaget bara gäller för personuppgiftsbehandling som är tillfällig. Dvs. all annan än den tillfälliga behandlingen måste dokumenteras i ett register.

Även om verksamheten skulle omfattas av undantaget är det i princip alltid en god idé att ha ett register. Registret skapar inte bara en överblick över den egna verksamheten, det gör det också enklare att skapa andra nödvändiga GDPR-dokument, såsom personuppgiftspolicys, biträdesavtal, interna styrdokument, m.m.  

Kraven på registret ser lite olika ut beroende på om man är personuppgiftsansvarig eller personuppgiftsbiträde men eftersom de flesta organisationer ibland agerar som ansvarig och ibland som biträde brukar man utgå ifrån det utökade kravet. 

Det finns många tjänster för att upprätta ett register, testa gärna vår tjänst Morris Regulator som pedagogiskt guidar dig genom processen. 

2. Informera mera

En av de tyngsta skyldigheterna för personuppgiftsansvariga enligt GDPR är den att informera alla personer vars personuppgifter behandlas. 

När du har ditt register på plats kommer du att ha en god bild över vilka uppgifter ni behandlar, vilka behandlingar ni utför, hur länge de sparas, etc. Detta underlättar mycket i skapandet av personuppgiftspolicyn. 

”…många tog sig nog inte tid att läsa utskicken som kom den 25 maj förra året, men i praktiken är den här policyn som man har att leva upp till nu. Och det är den man kommer att granskas utifrån…”

Säkerställ att varje enskild individ har fått chansen att förstå hur, var och varför deras personuppgifter hanteras. Om ni uppnår detta minskar ni risken både för att någon enskild ifrågasätter er hantering och risken för att en granskare skulle uppfatta det som fel i förhållande till kraven. 

3. Identifiera er och era samarbetspartners roller

Vilka skyldigheter ni har beror mycket på om ni är är personuppgiftsansvariga eller personuppgiftsbiträden. De flesta organisationer kommer att agera i båda rollerna i olika situationer, så det är viktigt att veta vilket ansvar ni har i förhållande till alla organisationer som ni delar personuppgifter med. 

Om ni identifierar en biträdesrelation är det viktigt att få på plats ett personuppgiftsbiträdesavtal (PUB-avtal, eller DPA på engelska). Det är den personuppgiftsansvariges ansvar att se till att ett sådant finns, men det är även i personuppgiftsbiträdets intresse att se till att det kommer på plats. Ett personuppgiftsbiträde får nämligen bara utföra personuppgiftsbehandling enligt den personuppgiftsansvariges instruktioner. Om inget PUB-avtal finns där instruktionerna framgår riskerar personuppgiftsbiträdet att agera utanför instruktionerna – och därmed bryta mot GDPR.

Måste jag verkligen göra detta?

”Compliance = Competitive Edge har sällan stämt så väl som nu.”

Den som hoppas att det ska gå att leva med en kopierad policy och en halvdant register riskerar tyvärr att lura sig själv. Att efterleva GDPR är inte en destination utan en ständigt pågående resa. GDPR och andra dataskyddsregler är här för att stanna och både myndigheter, företag och enskilda kommer att ställa allt högre krav på att man har koll på och tar ansvar för sin hantering av både personuppgifter och annan värdefull information. Det innebär även att det mer och mer kommer att utgöra en konkurrensfördel att kunna visa att man har tagit ett grepp om sin personuppgiftshantering – både för att det ger trygghet till samarbetspartners och för att visar på en seriös aktör. Compliance = Competitive Edge har sällan stämt så väl som nu.

______________________

Vill du lära dig mer om hur du hanterar GDPR och även om hur du kan jobba med mer och bättre data på ett respektfullt sätt inom lagens ramar – välkommen till eventet Relate & Regulate i Göteborg den 10 juni och i Stockholm den 11 juni.

Camilla Klerborg och Henrik Almström jobbar inom Morris Laws dataskyddsgrupp dagligen med GDPR utifrån ett strategiskt perspektiv. Med fokus på att samtidigt stärka affärerna och minska riskerna vägleds såväl små som stora organisationer att hantera sin data på ett effektivt och respektfullt sätt. 



Camilla Klerborg, Associate
camilla.klerborg@morrislaw.se


Henrik Almström, Senior Associate och Advokat
henrik.almstrom@morrislaw.se


VECKANS NYHET

Nya policymallar om informationssäkerhet

Skyddar du företagets informationstillgångar, såsom personuppgifter, från förlust och obehörig användning? Med anledning av GDPR har vikten av tillräckligt skydd fått en allt större betydelse. För att underlätta ditt informationssäkerhetsarbete har vi upprättat ett antal nya policydokument. Rätt använda kan dessa avsevärt förbättra såväl hanteringen som skyddet för företagets tillgångar.

LÄS MER >

NYTT PÅ DOKUMERA

Nya mallar och ny sökfunktion

Vi har förbättrat vår sökfunktion så att du enklare ska kunna hitta de mallar och den information som du behöver. Vi har också upprättat ett antal nya mallar. 

LÄS MER >
RELATERADE KATEGORIER
Dataskyddsförordningen
LÄS ÄVEN