Allt du behöver

veta om gdpr


2018-02-28 - I princip alla företag påverkas när EU:s nya dataskyddsförordning, gdpr, träder i kraft den 25 maj. Det här behöver alla företag göra för att bli gdpr-säkrade.


Den 25 maj börjar EU:s nya dataskyddsförordning, General Data Protection Regulation, gälla som lag i samtliga EU-länder. Syftet är att skapa en harmoniserad lagstiftning gällande personuppgifter inom EU, men också hindra att personlig data används på ett integritetskränkande sätt. Och ingen lämnas oberörd.

Gdpr omfattar alla företag och organisationer som behandlar personuppgifter – det vill säga namn, bilder, e-postuppgifter, ip-adresser eller andra uppgifter som kan kopplas till en enskild individ. Även privatpersoner som behandlar personuppgifter för annat än enskilt bruk omfattas av förordningen.
Att bryta mot den nya förordningen kan dessutom bli extremt dyrt. Högsta administrativa böterna för företag är 4 procent av den globala årsomsättningen, eller 20 miljoner euro. Böterna döms ut av den nationella tillsynsmyndigheten, i Sveriges fall Datainspektionen, som kommer att döpas om till Integritetsskyddsmyndigheten.
– Pengarna gör att alla har panik. Tidigare har högsta böterna i Sverige varit runt 50 000 kronor, säger Johan Hübner, som jobbar på advokatfirman Delphi och är specialiserad på it-relaterad juridik och immaterialrätt.
Han ser förordningen som en utökning och skärpning av personuppgiftslagen, pul, och en stor del av utmaningen är att många verksamheter inte lagt tillräckligt med tid och resurser på att följa pul fullt ut.
– De har nu en hel del att göra och inte särskilt mycket tid att göra det på. Men de flesta som följer personuppgiftslagen i dag behöver inte ha panik, säger Johan Hübner.
– En sak som är viktig att komma ihåg är att samtycke inte kan användas som laglig grund för att hantera personuppgifter i anställningsförhållanden, säger Johanna Fjellström.
Anledningen är att samtycke måste vara helt frivilligt, vilket det inte anses kunna vara i ett anställningsförhållande. Arbetsgivaren måste ha en annan laglig grund för att behandla personuppgifterna. Ett exempel på laglig grund är att fullfölja rättsliga skyldigheter enligt anställningsavtalet, som att betala ut lön, och för det måste uppgifter som namn och kontonummer behandlas.
Däremot finns det varken i pul eller i gdpr någon laglig grund för att registrera uppgifter om anställdas fritidsintressen, eller namn och personnummer på deras barn. Inte heller känsliga personuppgifter som religion, etnicitet, hälsouppgifter och sexuell läggning får behandlas, utom i mycket speciella fall.
När det gäller uppgifter om fackligt medlemskap är huvudregeln att behandling är förbjuden, men det finns undantag.
– Den som är det minsta osäker bör rådgöra med Datainspektionen innan känsliga personuppgifter behandlas, säger Johanna Fjellström.
Men en nyhet i gdpr är att även kollektivavtal kan ge arbetsgivaren rätt att behandla personuppgifter, även känsliga sådana.
– I Sverige har vi tolkat gdpr som att allmänt intresse kan fastställas i kollektivavtal, vilket är en laglig grund för att få behandla personuppgifter enligt förordningen, säger Sören Öman, ordförande i Arbetsdomstolen.
En annan nyhet i förordningen är att kraven på tydlig och lättillgänglig information till registrerade skärps. Därför rekommenderar Johanna Fjellström att uppdatera den information som lämnas till anställda om hur deras personuppgifter behandlas, och säkerställa att alla får ta del av den.
Av informationen ska det bland annat framgå tydligt vem som är personuppgiftsansvarig, det vill säga arbetsgivaren, ändamålet med varje specifik behandling och vilken laglig grund respektive behandling baseras på.
– Ett tips är att inkludera ända­målet försäljning av bolaget, annars blir det svårt för en köpare att göra en så kal­lad due diligence, säger Johanna Fjellström.

Alla former av åtgärder med personuppgifter är personuppgiftsbehandling.

Till exempel:
• insamling
• registrering
• organisering
• strukturering
• lagring
• bearbetning
• ändring
• framtagning
• läsning
• användning
• utlämning
• spridning eller
tillhandahållande på annat sätt.
• justering eller sammanförande
• begränsning
• radering eller för­störing
Källa:
datainspektionen.se

Det här räknas som personuppgift

Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Typiska personuppgifter är personnummer, namn och adress. Bilder på och ljudupptagningar av individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, som exempelvis ip-nummer och cookies, räknas som personuppgifter om de kan kopplas till fysiska personer. Även information som har kodats, krypterats eller pseudonymiserats, men som kan hänföras till en fysisk person med hjälp av kompletterande uppgifter, är personuppgifter.
Källa: Datainspektionen.se

Lagliga grunder för behandling av personuppgifter – behandlingen är:

a ... endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
b ... okej om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
c ... nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
d ... nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
e ... nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
f ... nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
... nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. (Den här punkten gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.)
Källa: Dataskyddsförordningen,
artikel 6

Sex principer för behandling av personuppgifter

Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

De ska vara korrekta och om nödvändigt uppdaterade.
Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.

De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Med vissa undantag för arkiv­ändamål av allmänt intresse, vetenskapliga- eller historiska forskningsändamål, eller statistiska ändamål.

De ska behandlas på ett sätt som säkerställer lämplig säkerhet, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder.

Experten:
Börja med att gallra i registren

Största utmaningen är ostrukturerad data. Men viktigast är att se över systemen som innehåller personuppgifter. Det säger advokat Karl-Fredrik Björklund som anpassar verksamheter till gdpr.

Karl-Fredrik Björklund är partner på advokatfirman Carler och specialiserad på bland annat it-rätt och integritetsrätt. Sedan ett par år tillbaka hjälper han företag och myndigheter att anpassa sig till gdpr. Han menar att det absolut viktigaste är att se över behandlingen av personuppgifter i system.
– Det är sannolikt där tillsynsmyndigheten kommer att kolla först, säger Karl-Fredrik Björklund.
Så hur går han till väga i praktiken? Karl-Fredrik Björklund berättar att första steget alltid är att titta på vilka stora, centrala och sökbara system som finns, till exempel hr- och crm-system, och vilka typer av personer som finns registrerade i dem, till exempel anställda, kunder och leverantörer.
– Även namn och e-postadress till kontaktpersoner hos andra företag omfattas av förordningen, säger han.
Nästa steg är att kartlägga vilka personuppgifter som finns om grupperna och undersöka ändamålet med varje typ av uppgift. Därefter gäller det att ta ställning till om det finns en laglig grund att behandla personuppgiften – för om det inte finns det ska uppgiften bort. Dessutom är det viktigt att kontrollera systemen i sig: att de är tillräckligt säkra och att bara personer som verkligen behöver det har tillgång till personuppgifterna.
Men den stora utmaningen med gdpr är enligt Karl-Fredrik Björklund att ostrukturerade personuppgifter, till exempel i e-post, sidor på internet, gamla protokoll – ja även fotografier på människor – omfattas av lika stränga krav som strukturerade. Här brukar Karl-Fredrik Björklund i första hand rekommendera gallring av information som inte längre behövs, och att resten läggs i en företagsplattform, till exempel Share Point.
– På så sätt kan verksamheten få mer koll på personuppgifterna.
En annan viktig del av arbetet handlar om att se över avtal med leverantörer och underleverantörer som hanterar personuppgifter, samt att förtydliga och uppdatera informationen till registrerade. En fråga som ofta dyker upp är hantering av e-post med personuppgifter, och här kan lösningen vara en länk till en sida i slutet av verksamhetens e-postmeddelanden som förklarar hur personuppgifter i e-post kommer att hanteras.
Karl-Fredrik Björklund tror att det kommer vara svårt att följa gdpr till hundra procent, men att den som gör sitt bästa förmodligen inte har något att oroa sig för. Hur hårda eventuella sanktioner kommer att bli beror också på vilken typ av personuppgifter verksamheten behandlar.
– Högst sanktioner för överträdelser av gdpr riskerar de som jobbar mot privatpersoner, speciellt inom vård, omsorg och finansiell sektor, och företag som kartlägger individer, till exempel för att rikta erbjudanden till dem.

HANNA LARSSON


JUST NU PÅ FÖRSTA SIDAN