åtgärder som företag behöver vidta för att följa GDPR

Det finns olika åtgärder som företag behöver vidta för att följa GDPR, såsom upprätta integritetspolicy och personuppgiftsbiträdesavtal. Företag behöver även utföra olika typer av bedömningar och vidta tekniska samt organisatoriska åtgärder.

Åtgärder som företag behöver vidta för att följa GDPR

åtgärder som företag behöver vidta för att följa GDPR

Företag måste kunna visa att de följer GDPR och det innebär att bevisbördan inte ligger på någon tillsynsmyndighet. Istället ligger det på företaget att bevisa att det följer GDPR. Därför är det viktigt att ha nödvändiga skriftliga dokument och att dokumentera vidtagna åtgärder, för att styrka att företaget följer regelverket. Ett företag som utför en konsekvensbedömning bör därför dokumentera det, för att kunna bevisa att en sådan bedömning har blivit utförd. 

Det finns olika åtgärder som företag behöver vidta för att följa GDPR och uppfylla reglerna kring dataskydd vid behandling av personuppgifter. Exempelvis utförande av konsekvensbedömningar, upprättande och ingående av avtal, fullgörande av informationsplikt samt implementering av tekniska och organisatoriska åtgärder. Nedan kan du läsa mer information om de olika åtgärderna såsom bedömningar och avtal.

Upprättande av en dataskyddspolicy

Regler i GDPR anger att ett företag ska informera den registrerade om bland annat hur och varför personuppgifterna blir behandlade av företaget. Denna informationsplikt förekommer reglerad i bland annat artikel 13 och artikel 14 GDPR. Företag kan tillhandahålla informationen på olika sätt, men det vanligaste sättet är genom att ange informationen i en dataskyddspolicy. 

Dataskyddspolicy är även kallad för personuppgiftspolicy, integritetspolicy eller sekretesspolicy. Det är olika benämningar för samma dokument. På engelska är det kallat för privacy policy. Företag publicerar ofta denna policy på sidfoten i sin webbplats, och även i anslutning till samtliga platser där personuppgifter kan bli lämnade. Exempelvis i samband med kontaktformulär på webbplatsen. För att ett företag ska ha rätt att lansera en applikation via exempelvis Appstore eller Playstore, måste företaget även registrera sin dataskyddspolicy där.

Informera registrerade

I samband med att ett företag får tillgång till personuppgifter, ska företaget informera den registrerade om bland annat följande: 

– Kontaktuppgifter tillhörande den personuppgiftsansvarige

Ändamål och rättslig grund med behandlingen av personuppgifterna

– Vilka som är eller kommer att bli mottagare av personuppgifterna

– Hur länge personuppgifterna kommer att bli lagrade och vart de blir lagrade

– Information om den registrerades rättigheter enligt GDPR

Artikel 13 i GDPR reglerar vilken information som ska bli tillhandahållen till den registrerade när företaget får personuppgifterna, om personuppgifterna har blivit insamlade från den registrerade ifråga. 

Artikel 14 i GDPR reglerar vilken information som ska bli tillhandahållen till den registrerade när företaget får personuppgifterna, om personuppgifterna har blivit tillhandahållna från någon annan. Det vill säga, inte från den registrerade själv.

Informationen i en dataskyddspolicy ska vara uppdaterad och korrekt i enlighet med den vid var tid gällande behandlingen av personuppgifter som företaget utför. Därför är det viktigt att skapa och implementera en intern rutin med tillhörande process för att regelbundet kontrollera innehållet i policyn. En dataskyddspolicy ska bli uppdaterad vid behov.

Personuppgiftsbiträdesavtal

Ett företag kan behandla personuppgifter som personuppgiftsansvarig eller personuppgiftsbiträde och ska följa bestämmelserna i GDPR vid all behandling. Den som bestämmer medel (”hur”) och ändamål (”varför”) med en viss behandling av personuppgifter, är personuppgiftsansvarig. Ett personuppgiftsbiträde är istället den som behandlar personuppgifter i enlighet med den personuppgiftsansvariges instruktioner. 

GDPR kräver att en personuppgiftsansvarig och ett personuppgiftsbiträde ska ingå ett så kallat personuppgiftsbiträdesavtal med varandra. Detta ska ske innan den ansvarige överför några personuppgifter till biträdet. På engelska är detta avtal kallat för Data Processing Agreement. 

Regler kring vad detta avtal minst måste innehålla för att vara giltigt, framgår i artikel 28 GDPR. Där framgår även ett formkrav, som innebär att detta avtal måste vara skriftligt för att vara giltigt. Ett muntligt personuppgiftsbiträdesavtal är därmed ogiltigt enligt reglerna i dataskyddsförordningen. Däremot framgår det inte reglerat vem utav parterna som ska upprätta avtalet. Det framgår bara en skyldighet för parterna att ingå avtalet med varandra innan personuppgifterna blir överförda till biträdet. 

Exempel på företag som agerar i egenskap av personuppgiftsbiträden när de behandlar personuppgifter som de får tillgång till från sina kunder: 

– Redovisningskonsult 

– Webbutvecklare

– Applikationsutvecklare

– Leverantör av molnlagring 

– Leverantör av olika digitala system, såsom CRM-system, ekonomisystem etc. 

Vidta lämpliga organisatoriska och tekniska säkerhetsåtgärder

Registerförteckning

Artikel 30 GPR innehåller bestämmelser som innebär att varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar. Även personuppgiftsbiträden ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning. Registerförteckningen ska vara skriftlig och kan vara i elektronisk form. Exempelvis i word-format eller i excel. Företaget har dessutom en skyldighet att göra registerförteckningen tillgänglig för tillsynsmyndigheten vid begäran därom.

Enligt reglerna i GDPR ska en registerförteckning innehålla information om bland annat:

– Identiteten och kontaktuppgifter tillhörande den personuppgiftsansvarige eller biträdet ifråga, inklusive dess företrädare och eventuellt dataskyddsombud.

– Ändamål och rättslig grund med behandlingen av personuppgifterna,

– Information om kategorier av personuppgifter, registrerade och mottagare, 

– Tidsfrister för lagring och radering av personuppgifterna,

– Beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna.

Företag kan även komplettera sin registerförteckning med ytterligare information som är bra att presentera för tillsynsmyndigheten, om de begär tillgång till registerförteckningen. Exempelvis kan registerförteckningen bli kompletterad med en förteckning samtliga interna GDPR avtal, rutiner och dokument som företaget har upprättat. Det är även bra att i sådana fall inkludera en en sammanfattande beskrivning av respektive dokument. En så kallad GAP-analys kan också bli inkluderad i förteckningen. Då kan företaget styrka att regelbundna analyser blir utförda och att åtgärder därefter blir utförda för att säkerställa en lämplig nivå av dataskydd. 

Interna rutiner

GDPR är ett omfattande regelverk som ställer många krav på företag som behandlar personuppgifter. Det är mycket för företagare att hålla koll på, därför kan det underlätta om företaget inför olika typer av GDPR relaterade interna rutiner. 

Det är positivt om den högsta ledningen i bolaget ska godkänna de interna rutinerna. Dessutom bör alla medarbetare följa de interna rutinerna och få utbildning om GDPR. På så sätt kan företaget säkerställa att informationen är skriftlig, dokumenterad och att medarbetare ska arbeta enhetligt för att säkerställa att personuppgifter blir behandlade på korrekt sätt. 

Dessutom kan företaget styrka sin kunskap och kännedom om bestämmelserna i GDPR och gällande regelverk genom sina skriftliga interna rutiner. Nedan följer några exempel på rutiner företag kan införa, dels för att följa GDPR dels för att styrka att företaget gör det. 

Intern rutin för: 

– radering (gallring) av personuppgifter, 

– hantering av personuppgiftsincidenter, 

– hantering av registrerades begäran om information,

– tillgodoseende av de de registrerades rättigheter, 

– återkallande av behörigheter tillhörande anställda som slutat, 

– regelbunden genomgång och kontroll av företagets interna GDPR-dokumentation,

– datasäkerhet, lösenordsbyten, utbildning avseende behandling av personuppgifter för nya medarbetare etc. 

Genomförande av olika bedömningar

Konsekvensbedömning av dataöverföringar (TIA)

I vissa fall kan personuppgifter bli överförda till ett land utanför EU/EES-området, även kallat för ett tredjeland. Innan ett företag överför personuppgifter till ett tredjeland, behöver företaget utföra en konsekvensbedömning av dataöverföringar. Detta är reglerat i bland annat artikel 46 GDPR och är på engelska kallat för en Transfer Impact Assessment (”TIA”). 

Anledningen till att en konsekvensbedömning avseende dataöverföringar behöver bli utförd innan en överföring av personuppgifter sker till ett tredjeland, är för att GDPR inte gäller där. Därför är det viktigt att analysera lagar, regler och tillsynsmyndigheter i det tredjelandet. Bland annat för att se om de registrerades rättigheter kan tillgodoses och vilka riskerna är med överföringen. 

Dessutom behöver företag upprätta interna rutiner, processer och riktlinjer för att säkerställa ett en konsekvensbedömning av dataöverföringar blir utförd och dokumenterad på korrekt sätt. Företaget bör även gå igenom de skapade interna rutinerna, konsekvensbedömningarna m.m. minst en gång per år, för att säkerställa att de är uppdaterade.

Konsekvensbedömning av dataskydd (DPIA)

Den personuppgiftsansvarige (och eventuellt dataskyddsombud) ska i vissa fall utföra en konsekvensbedömning av dataskydd enligt artikel 35 GDPR. På engelska är detta kallat för Data Protection Impact Assessment, förkortat DPIA. Bedömningen ska bli utförd om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. En konsekvensbedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker. Bedömningen ska dessutom bli utförd innan behandlingen ifråga sker.

Genom en konsekvensbedömning av dataskydd ska företaget noggrant beskriva den tilltänkta behandlingen ifråga och bedöma lagligheten. Särskilt avseende rättslig grund, omfattning, ändamål och syfte med behandlingen, analys av potentiella risker m.m. Företaget ska uppskatta ursprunget, arten och allvaret med riskerna. Vid bedömningen ska företaget utgå från de registrerades perspektiv. Dessutom ska företaget ange en plan med åtgärder för att reducera risker och konsekvenser som kan uppstå på grund av behandlingen.

Kort sagt, handlar denna typ av konsekvensbedömning om att identifiera och minimera risker som är förknippande med behandlingen ifråga. Syftet är att förebygga risker med behandlingen och motverka dem innan de uppstår. 

Det är möjligt att göra en konsekvensbedömning även fast det inte är nödvändigt i det enskilda fallet. Rekommendationen är att alltid göra en konsekvensbedömning om man är osäker på om det krävs enligt GDPR eller inte. Analysen ska ska resultera i en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter samt eventuella åtgärder för att reducera riskerna. 

Förhandssamråd

Ett exempel på åtgärder som företag behöver vidta för att följa GDPR, är att begära ett förhandssamråd med IMY. I vissa fall utgör detta ett krav, och ska bli utfört innan en viss behandling blir påbörjad. Däremot måste företaget alltid göra en konsekvensbedömning av dataskydd innan förhandssamrådet blir begärt. Därefter ska företaget begära ett förhandssamråd, om konsekvensbedömningen visar att det fortfarande finns en stor risk med behandlingen för de registrerade. Efter att företaget begär ett förhandssamråd har IMY åtta veckor på sig att ge ett svar. Däremot kan de förlänga tiden i sex veckor till, om behandlingen är komplicerad. 

Bedömning av berättigat intresse (LIA)

När ett företag använder intresseavvägning som den rättsliga grunden för en viss behandling av personuppgifter, ska företaget göra en bedömning av det berättigade intresset. På engelska är denna typ av bedömning kallad för Legitimate Interest Assessment, förkortat LIA. 

För att intresseavvägning ska få bli använd som rättslig grund vid behandling av personuppgifter, måste det finnas ett berättigat intresse. Enligt GDPR finns det några identifierade berättigade intressen, bland annat ”IT-säkerhet” och ”direktmarknadsföring”. Men den personuppgiftsansvarige kan även själv motivera ett annat berättigat intresse till behandlingen ifråga. Behandlingen måste även vara nödvändig för att uppnå det berättigade intresset ifråga. Dessutom får den registrerades grundläggande fri- och rättigheter inte väga tyngre än det identifierade berättigade intresset. 

En bedömning av berättigat intresse ska vara skriftligen dokumenterad och ska innefatta följande tre test: syftestest, nödvändighetstest och avvägningstest. Företag behöver skapa interna processer och rutiner för att bedöma berättigat intresse på korrekt sätt. Dessutom behöver företaget skapa underlag för dokumentation av alla de riskbedömningar som blir utförda, för att kunna styrka att företaget följer GDPR.

Åtgärder och bedömningar enligt GDPR som företag behöver utföra

Informationssäkerhet

Det är viktigt att tänka på att företag som behandlar personuppgifter måste vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Ju mer integritetskänsliga personuppgifterna är, desto högre säkerhet krävs. En personuppgiftsincident är när någon obehörig får tillgång till personuppgifterna, de blir ändrade eller förlorade. Företag ska arbeta förebyggande med att förhindra att det sker. Dessutom behöver företag ha rutiner för att upptäcka eventuella personuppgiftsincidenter. 

Exempel på tekniska säkerhetsåtgärder:

– Ha komplicerade lösenord, 

– Backuplagring, 

– Installation av anti-virus program, 

– Använda kryptering om företaget överför känsliga personuppgifter, 


Exempel på organisatoriska säkerhetsåtgärder:

– Upprätta interna rutiner för hur medarbetare ska hantera eventuella personuppgiftsincidenter. 

– Upprätta personuppgiftsbiträdesavtal om företaget anlitar ett personuppgiftsbiträde. 

Utse dataskyddsombud om företaget behöver ett. 


Exempel på åtgärder som stärker rättigheterna för de registrerade 

– Informera de registrerade om behandlingen, 

– Rätten att få sina personuppgifter raderade och rättade, 

– Rätten att få göra invändningar till behandlingen,

– Vidtagande av skyddsåtgärder vid överföringar som är internationella, 

– Begäran av förhandssamråd. 

Utöver ovan angivna exempel på åtgärder som företag behöver vidta för att följa GDPR, är det viktigt att uppfylla övriga krav enligt dataskyddsförordningen.