Att arbeta enkelt och effektivt med GDPR – på rätt sätt
Juristen förklarar
16 juni 2023
De fyra bokstäverna G, D, P, och R – vad får dessa dig att känna?
Vi tror vi vet att du ofta slutar läsa, vill backa undan och helst inte vill lyssna när dessa bokstäver kommer upp till ytan. Vi förstår det.
GDPR, the General Data Protection Regulation – Dataskyddsförordningen, är en komplex förordning som skapar många huvudbry hos våra kunder och det är inte något man ska sopa under mattan. Vårt råd är dock att försöka välkomna GDPR med ett öppet sinne, så kommer arbetet med dess efterlevnad förhoppningsvis bli mycket lättare och roligare för er. Ni undgår även de höga sanktionsavgifter som eventuellt kan dömas ut om ni inte är GDPR-compliant och uppfyller GDPR:s alla krav.
För att göra detta med GDPR lite mer begripligt ska vi nedan försöka förklara vad du mer konkret behöver göra för att vara GDPR-compliant. Detta utifrån och beroende av vilken roll du har – rollen som Personuppgiftsansvarig eller rollen som Personuppgiftsbiträde.
Personuppgiftsansvarig eller Personuppgiftsbiträde?
Den kortfattade skillnaden mellan en Personuppgiftsansvarig och ett Personuppgiftsbiträde är att den Personuppgiftsansvarige är den som bestämmer ändamålen och medlen med behandlingen av personuppgifterna, medan Personuppgiftsbiträdet är den som behandlar personuppgifter för den Personuppgiftsansvariges räkning. Arbetsgivare är således Personuppgiftsansvarig för att den behandlar personuppgifter om sina anställda och företag är Personuppgiftsansvarig för den personuppgiftsbehandling den gör om sina kunder.
Både den Personuppgiftsansvarige och Personuppgiftsbiträdet har skyldigheter enligt GDPR. Den Personuppgiftsansvarige har det huvudsakliga ansvaret och de huvudsakliga skyldigheterna, vilka den inte kan avhända sig ens till ett Personuppgiftsbiträde. Den Personuppgiftsansvarige kan dock ställa krav på Personuppgiftsbiträdet i ett Personuppgiftsbiträdesavtal avseende hanteringen av personuppgifterna som hanteras av Personuppgiftsbiträdet för Personuppgiftsansvariges räkning. Detta avtal är vad som brukar förkortas med PUB-avtal eller på engelska DPA.
Personuppgiftsbiträdesavtal (PUB-avtal eller DPA)
När personuppgifter behandlas av ett Personuppgiftsbiträde ska hanteringen regleras genom ett avtal där ansvarsfördelningen mellan den Personuppgiftsansvarige och Personuppgiftsbiträdet framgår. Detta avtal måste upprättas skriftligen samt signeras av firmatecknaren för båda företagen. Det är den Personuppgiftsansvarige som ansvarar för att ett Personuppgiftsbiträdesavtal upprättas och finns på plats. Personuppgiftsbiträdet får endast behandla personuppgifter enligt de dokumenterade instruktionerna som anges i Personuppgiftsbiträdesavtalet och inte utifrån egna ändamål. Det är således av stor vikt att instruktionen är tydlig och välbeskriven. Frågorna om vad som är syftet med Personuppgiftsavtalet och vad som är ändamålet med behandlingen måste klargöras. I Personuppgiftsbiträdesavtalet ska den Personuppgiftsansvariges ansvar för att de grundläggande principerna i artikel 5 GDPR efterlevs förtydligas. Det är således den Personuppgiftsansvarige som måste se till att det finns en laglig grund för behandlingen (dessa är samtycke, fullgöra ett avtal, fullgöra rättslig förpliktelse, skydda grundläggande intressen, utföra uppgift av allmänt intresse eller led i myndighetsutövning eller berättigade intressen).
Personuppgifter får enbart behandlas specifikt för det angivna ändamålet och inga därmed oförenliga ändamål (principen om ändamålsbegränsning) och personuppgifternas behandling ska vara adekvata och relevanta i förhållande till ändamålet (principen om uppgiftsminimering). Det åligger den Personuppgiftsansvarige att vidta alla rimliga åtgärder för att se till att personuppgifterna hålls uppdaterade och korrekta. Om den Personuppgiftsansvarige får reda på att personuppgifterna är inkorrekta måste den se till att vidta rättelse (principen om riktighet). Personuppgifter får enbart sparas så länge de behövs för att uppfylla ändamålet (principen om lagringsminimering). När den specifika lagringstiden gått ut måste personuppgifterna raderas/gallras. Gallring innebär att personuppgifterna förstörs eller avidentifieras genom anonymisering, och uppgifterna ska inte gå att återskapa.
Det är den Personuppgiftsansvarige som måste kunna visa att principerna som ovan nämnts efterlevs, och har bevisbördan för detta (principen om ansvarsskyldighet). Därför är det av stor vikt att allt arbete inom GDPR dokumenteras.
Den Personuppgiftsansvarige ansvarar även för att uppfylla den s.k. öppenhetsprincipen (principen om transparens). Denna princip innebär att den individ vars personuppgifter behandlas – den registrerade – bland annat ska få information om den Personuppgiftsansvariges identitet och kontaktuppgifter, ändamålet med behandlingen, vilken typ av personuppgifter som behandlas, hur länge personuppgifterna behandlas och om överföring av personuppgifter sker till tredjeland (land utanför EU/EES). Informationen ska lämnas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användningen av ett klart och tydligt språk ex. genom en Integritetspolicy på företagets (den Personuppgiftsansvariges) hemsida.
Integritetspolicy
Det finns både externa och interna Integritetspolicys. Den externa Integritetspolicyn för företagets kunder bör finnas på hemsidan och ska vara lätt att hitta. Den interna Integritetspolicyn bör läggas upp ett eventuellt intranät eller liknande för att förklara och därmed vara transparent gentemot de anställda om vilka personuppgifter som behandlas, varför de behandlas och hur länge de behandlas. Då anställda har ett anställningsavtal och mycket av den personuppgiftsbehandling som görs är på grund av anställningsförhållandet, så kan behandling kopplade till löneutbetalningar, semester och sjukdagar m.m. grundas på anställningsavtalet och lag. Här ska noteras att en anställd står i ett beroendeförhållande till sin arbetsgivare och således är inte samtycke en laglig grund. Detsamma gäller vid rekrytering, en rekryt står i ett beroendeförhållande till den potentiella arbetsgivaren vilket innebär att samtycke inte är en möjlig laglig grund. I stället bör avtal (även förberedelse till avtal kan ingå i den lagliga grunden avtal) eller berättigat intresse användas som laglig grund.
I en Integritetspolicy ska även finnas information om den registrerades rättigheter: rätten till information (som ovan nämnts), rätten till tillgång (den s.k. rätten till registerutdrag), rätten till rättelse, rätten till radering (den s.k. rätten att bli glömd), rätten till begränsning, rätten till dataportabilitet, rätten till återkallelse av samtycke och rätten att invända.
Det finns vissa situationer där personuppgifter måste raderas. De viktigaste situationerna är när personuppgifterna inte längre behövs för det ändamål som de samlades in för, om behandlingen grundar sig på den registrerades samtycke och denne återkallar samtycket, om behandlingen sker för direkt marknadsföring och den registrerade invänder mot att personuppgifterna behandlas. Vad gäller den sistnämnda så har den registrerade rätt att göra invändningar om företaget har använt någon av de lagliga grunderna behandling vid allmänt intresse, myndighetsutövning eller berättigat intresse.
Vid direkt marknadsföring har det accepterats att stödja sig på berättigat intresse som laglig grund då företag anses ha ett legitimt intresse av att marknadsföra sina produkter och tjänster till befintliga och potentiella kunder.
Även en IP-adress är en personuppgift vilket ska redogöras för i en Integritetspolicy, för att klargöra för besökare på företagets hemsida varför uppgiften behandlas, vad den lagliga grunden är för behandlingen samt hur länge uppgiften behandlas.
Cookiepolicy
Har företag en hemsida måste även information ges till besökare avseende att s.k. cookiefiler – cookies – sparas på besökarens dator för att komma ihåg besökarens inställningar, så som språkinställningar, varor besökaren har lagt i en varukorg och för att besökaren inte ska behöva logga in varje gång de besöker hemsidan. Det är således ett sätt att förbättra besökarens upplevelse på internet. Enligt den svenska lagen (2003:389) om elektronisk kommunikation (LEK) ska alla som besöker en hemsida som använder cookies ha full tillgång till bland annat information om vilka cookies som används. Att ge information om vilka cookies som sparas och hur länge de sparas görs enklast och effektivast genom att upprätta en Cookiepolicy som bör finnas på hemsidan och som ska vara lätt att hitta.
Då en stor majoritet av cookies samlar in och behandlar besökarens personuppgifter som exempelvis IP-adress måste innehavaren av hemsidan inhämta samtycke i enlighet med GDPR. Om ett företags hemsida använder s.k. tredjepartscookies (en cookie som skickas till en tredje part, som exempelvis Google Analytics) så är företaget ansvarig för att inhämta giltigt samtycke. I cookiessammanhang innebär det att det ska visas en cookiebanner som frågar besökaren om hemsidan får använda cookies. En sådan banner ska ha en tacka-ja-knapp till cookies, men också erbjudandet om möjligheten att säga nej. På förhand ikryssade rutor utgör inte giltigt samtycke enligt GDPR. Om besökaren säger nej ska hemsidan inte spara cookies.
Att vara GDPR-compliant
Att vara GDPR-compliant innebär inte bara att ha upprättade dokument utåt på plats utan handlar mycket om ett kontinuerligt internt arbete och förhållningssätt – ett sätt att reflektera över hanteringen av personuppgifter och andra människors integritet.
Det är viktigt att ha bra rutiner och policys upprättade som är enkla att hitta på exempelvis intranätet så att alla i företaget vet hur de förväntas arbeta aktivt med GDPR.
Det finns även tidsramar att förhålla sig till inom GDPR. För alla typer av frågor avseende behandling av personuppgifter måste det finnas tydliga och lättillgängliga instruktioner på företaget som visar hur arbetstagaren ska agera.
Har ni svar på nedan frågor?
Hur ser rutinerna för gallring på ert företag ut? Vad säger ert företag om kameraövervakning och GPS-tracking? Vad ska arbetstagaren göra om det inträffar en personuppgiftsincident, exempelvis om dennes arbetsdator blir stulen? Vem ska den anställde rapportera incidenten till och inom vilken tidsfrist?
Då har ni förmodligen kommit en bit på väg, men det finns alltid utrymme och anledning till att reflektera och utvärdera sitt dagliga GDPR- och compliance-arbete. Har ni ingen koll på dessa frågor så rekommenderar vi att ni tar tag i detta och tar kontakt med oss!
Summering
Med detta hoppas vi att ni fått något bättre förståelse för GDPR samt hur man kan tänka kring att arbeta med GDPR. Kanske har denna artikel gett dig en liten tankeställare och ett ”wake up call” om att du måste arbeta mer kontinuerligt med GDPR för att hålla dig GDPR-compliant.
Tar du exempelvis in en ny leverantör som kommer behandla personuppgifter för ditt företags räkning så ansvarar du som Personuppgiftsansvarig för att upprätta ett Personuppgiftsbiträdesavtal som ni båda parter måste signera.
Saknar ni rutiner – eller var det längesen ni såg över dem? Gör en inventering och en åtgärdslista och börja prioritera. GDPR är inte bara ett projekt utan det kräver tid och engagemang i det dagliga arbetet för att vara GDPR-compliance.
Vi på Freja Partner är gärna behjälpliga med ert GDPR-arbete och svarar på era frågor.
Freja Partner genom
Zandra Larsen, jurist och dataskyddsamordnare