Sammanfattning
Åtgärder
Det finns olika åtgärder som företag behöver vidta för att följa GDPR, såsom upprätta integritetspolicy och personuppgiftsbiträdesavtal. Företag behöver även utföra olika typer av bedömningar och vidta tekniska samt organisatoriska åtgärder.
Viktiga regler i GDPR
Åtgärder som företag behöver vidta för att följa GDPR
Företag måste kunna visa att de följer GDPR och det innebär att bevisbördan inte ligger på någon tillsynsmyndighet. Istället ligger det på företaget att bevisa att det följer GDPR. Därför är det viktigt att ha nödvändiga skriftliga dokument och att dokumentera vidtagna åtgärder, för att styrka att företaget följer regelverket. Ett företag som utför en konsekvensbedömning bör därför dokumentera det, för att kunna bevisa att en sådan bedömning har blivit utförd.
Det finns olika åtgärder som företag behöver vidta för att följa GDPR och uppfylla reglerna kring dataskydd vid behandling av personuppgifter. Exempelvis utförande av konsekvensbedömningar, upprättande och ingående av avtal, fullgörande av informationsplikt samt implementering av tekniska och organisatoriska åtgärder. Nedan kan du läsa mer information om de olika åtgärderna såsom bedömningar och avtal.
Innehåll
GDPR-relaterade Avtal och dokument
Det finns ett flertal GDPR-relaterade avtal och dokument som företag kan behöva upprätta för att följa GDPR. Här är några:
Integritetsmeddelande
Regler i GDPR anger att ett företag ska informera den registrerade om bland annat hur och varför personuppgifterna blir behandlade av företaget. Denna informationsplikt förekommer reglerad i bland annat artikel 13 och artikel 14 GDPR. Företag kan tillhandahålla informationen på olika sätt, men det vanligaste sättet är genom att ange informationen i en dataskyddspolicy.
Integritetsmeddelande är även kallat för personuppgiftspolicy, integritetspolicy, dataskyddspolicy eller sekretesspolicy. Det är olika benämningar för samma dokument. På engelska är det kallat för privacy policy. Företag publicerar ofta denna policy på sidfoten i sin webbplats, och även i anslutning till samtliga platser där personuppgifter kan bli lämnade. Exempelvis i samband med kontaktformulär på webbplatsen. För att ett företag ska ha rätt att lansera en applikation via exempelvis Appstore eller Playstore, måste företaget även registrera sitt Integritetsmeddelande där.
Informera registrerade
I samband med att ett företag får tillgång till personuppgifter, ska företaget informera den registrerade om bland annat följande:
- Kontaktuppgifter tillhörande den personuppgiftsansvarige
- Ändamål och rättslig grund med behandlingen av personuppgifterna
- Vilka som är eller kommer att bli mottagare av personuppgifterna
- Hur länge personuppgifterna kommer att bli lagrade och vart de blir lagrade
- Information om den registrerades rättigheter enligt GDPR
Artikel 13 i GDPR reglerar vilken information som ska bli tillhandahållen till den registrerade när företaget får personuppgifterna, om personuppgifterna har blivit insamlade från den registrerade ifråga.
Artikel 14 i GDPR reglerar vilken information som ska bli tillhandahållen till den registrerade när företaget får personuppgifterna, om personuppgifterna har blivit tillhandahållna från någon annan. Det vill säga, inte från den registrerade själv.
Informationen i ett Integritetsmeddelande ska vara uppdaterad och korrekt i enlighet med den vid var tid gällande behandlingen av personuppgifter som företaget utför. Därför är det viktigt att skapa och implementera en intern rutin med tillhörande process för att regelbundet kontrollera innehållet i policyn. Ett Integritetsmeddelande ska bli uppdaterad vid behov.
Personuppgiftsbiträdesavtal
GDPR kräver att en personuppgiftsansvarig och ett personuppgiftsbiträde ska ingå ett så kallat personuppgiftsbiträdesavtal med varandra. Detta ska ske innan den ansvarige överför några personuppgifter till biträdet. På engelska är detta avtal kallat för Data Processing Agreement.
Personuppgiftsbiträde och personuppgiftsansvarig
Ett företag kan behandla personuppgifter som personuppgiftsansvarig eller personuppgiftsbiträde och ska följa bestämmelserna i GDPR vid all behandling. Den som bestämmer medel (”hur”) och ändamål (”varför”) med en viss behandling av personuppgifter, är personuppgiftsansvarig. Ett personuppgiftsbiträde är istället den som behandlar personuppgifter i enlighet med den personuppgiftsansvariges instruktioner.
Personuppgiftsbiträdesavtal måste vara skriftligt
Regler kring vad detta avtal minst måste innehålla för att vara giltigt, framgår i artikel 28 GDPR. Där framgår även ett formkrav, som innebär att detta avtal måste vara skriftligt för att vara giltigt. Ett muntligt personuppgiftsbiträdesavtal är därmed ogiltigt enligt reglerna i dataskyddsförordningen. Däremot framgår det inte reglerat vem utav parterna som ska upprätta avtalet. Det framgår bara en skyldighet för parterna att ingå avtalet med varandra innan personuppgifterna blir överförda till biträdet.
Exempel på personuppgiftsbiträden
Här är några exempel på företag som agerar i egenskap av personuppgiftsbiträden när de behandlar personuppgifter som de får tillgång till från sina kunder:
– Redovisningskonsult
– Webbutvecklare
– Applikationsutvecklare
– Leverantör av molnlagring
– Leverantör av olika digitala system, såsom CRM-system, ekonomisystem etc.
Registerförteckning
Artikel 30 GPR innehåller bestämmelser som innebär att varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar. Även personuppgiftsbiträden ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning. Registerförteckningen ska vara skriftlig och kan vara i elektronisk form. Exempelvis i word-format eller i excel.
Företaget har dessutom en skyldighet att göra registerförteckningen tillgänglig för tillsynsmyndigheten vid begäran därom. Observera att alla företag däremot inte behöver ha en registerförteckning eftersom det finns undantag från regeln men det kan var bra att ha i alla fall.
Innehåll i en registerförteckning
Enligt reglerna i GDPR ska en registerförteckning innehålla information om bland annat:
- Identiteten och kontaktuppgifter tillhörande den personuppgiftsansvarige eller biträdet ifråga, inklusive dess företrädare och eventuellt dataskyddsombud.
- Ändamål och rättslig grund med behandlingen av personuppgifterna,
- Information om kategorier av personuppgifter, registrerade och mottagare,
- Tidsfrister för lagring och radering av personuppgifterna,
- Beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna.
Komplettera registerförteckningen
Företag kan även komplettera sin registerförteckning med ytterligare information som är bra att presentera för tillsynsmyndigheten, om de begär tillgång till registerförteckningen. Exempelvis kan registerförteckningen bli kompletterad med en förteckning av samtliga interna GDPR avtal, rutiner och dokument som företaget har upprättat.
Det är även bra att i sådana fall inkludera en en sammanfattande beskrivning av respektive dokument. En så kallad GAP-analys kan också bli inkluderad i förteckningen. Då kan företaget styrka att regelbundna analyser blir utförda och att åtgärder därefter blir utförda för att säkerställa en lämplig nivå av dataskydd.
Interna Rutiner
GDPR är ett omfattande regelverk som ställer många krav på företag som behandlar personuppgifter. Det är mycket för företagare att hålla koll på, därför kan det underlätta om företaget inför olika typer av GDPR relaterade interna rutiner.
Bra att tänka på gällande interna rutiner enligt GDPR
Det är positivt om den högsta ledningen i bolaget ska godkänna de interna rutinerna. Dessutom bör alla medarbetare följa de interna rutinerna och få utbildning om GDPR. På så sätt kan företaget säkerställa att informationen är skriftlig, dokumenterad och att medarbetare ska arbeta enhetligt för att säkerställa att personuppgifter blir behandlade på korrekt sätt. Dessutom kan företaget styrka sin kunskap och kännedom om bestämmelserna i GDPR och gällande regelverk genom sina skriftliga interna rutiner.
Exempel på rutiner företag kan införa
Nedan följer några exempel på rutiner företag kan införa, dels för att följa GDPR dels för att styrka att företaget gör det. Intern rutin för:
- Radering (gallring) av personuppgifter,
- Hantering av personuppgiftsincidenter,
- Hantering av registrerades begäran om information,
- Tillgodoseende av de de registrerades rättigheter,
- Återkallande av behörigheter tillhörande anställda som slutat,
- Regelbunden genomgång och kontroll av företagets interna GDPR-dokumentation,
- Datasäkerhet, lösenordsbyten, utbildning avseende behandling av personuppgifter för nya medarbetare etc.
Genomförande av olika bedömningar
Företag kan behöva göra olika bedömningar innan de påbörjar en behandling i enlighet med GDPR. Här är en beskrivning av olika bedömningar:
Konsekvensbedömning av dataöverföringar (TIA)
I vissa fall kan personuppgifter bli överförda till ett land utanför EU/EES-området, även kallat för ett tredjeland. Innan ett företag överför personuppgifter till ett tredjeland, behöver företaget utföra en konsekvensbedömning av dataöverföringar. Detta är reglerat i bland annat artikel 46 GDPR och är på engelska kallat för en Transfer Impact Assessment (”TIA”).
Anledningen till att en konsekvensbedömning avseende dataöverföringar behöver bli utförd innan en överföring av personuppgifter sker till ett tredjeland, är för att GDPR inte gäller där. Därför är det viktigt att analysera lagar, regler och tillsynsmyndigheter i det tredjelandet. Bland annat för att se om de registrerades rättigheter kan tillgodoses och vilka riskerna är med överföringen.
Dessutom behöver företag upprätta interna rutiner, processer och riktlinjer för att säkerställa ett en konsekvensbedömning av dataöverföringar blir utförd och dokumenterad på korrekt sätt. Företaget bör även gå igenom de skapade interna rutinerna, konsekvensbedömningarna m.m. minst en gång per år, för att säkerställa att de är uppdaterade.
Bedömning av berättigat intresse (LIA)
När ett företag använder intresseavvägning som den rättsliga grunden för en viss behandling av personuppgifter, ska företaget göra en bedömning av det berättigade intresset. På engelska är denna typ av bedömning kallad för Legitimate Interest Assessment, förkortat LIA.
För att intresseavvägning ska få bli använd som rättslig grund vid behandling av personuppgifter, måste det finnas ett berättigat intresse. Enligt GDPR finns det några identifierade berättigade intressen, bland annat ”IT-säkerhet” och ”direktmarknadsföring”. Men den personuppgiftsansvarige kan även själv motivera ett annat berättigat intresse till behandlingen ifråga. Behandlingen måste även vara nödvändig för att uppnå det berättigade intresset ifråga. Dessutom får den registrerades grundläggande fri- och rättigheter inte väga tyngre än det identifierade berättigade intresset.
En bedömning av berättigat intresse ska vara skriftligen dokumenterad och ska innefatta följande tre test: syftestest, nödvändighetstest och avvägningstest. Företag behöver skapa interna processer och rutiner för att bedöma berättigat intresse på korrekt sätt. Dessutom behöver företaget skapa underlag för dokumentation av alla de riskbedömningar som blir utförda, för att kunna styrka att företaget följer GDPR.
Konsekvensbedömning av dataskydd (DPIA)
Den personuppgiftsansvarige (och eventuellt dataskyddsombud) ska i vissa fall utföra en konsekvensbedömning av dataskydd enligt artikel 35 GDPR. På engelska är detta kallat för Data Protection Impact Assessment, förkortat DPIA. Bedömningen ska bli utförd om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. En konsekvensbedömning kan omfatta en serie liknande behandlingar som medför liknande höga risker. Bedömningen ska dessutom bli utförd innan behandlingen ifråga sker.
Genom en konsekvensbedömning av dataskydd ska företaget noggrant beskriva den tilltänkta behandlingen ifråga och bedöma lagligheten. Särskilt avseende rättslig grund, omfattning, ändamål och syfte med behandlingen, analys av potentiella risker m.m. Företaget ska uppskatta ursprunget, arten och allvaret med riskerna. Vid bedömningen ska företaget utgå från de registrerades perspektiv. Dessutom ska företaget ange en plan med åtgärder för att reducera risker och konsekvenser som kan uppstå på grund av behandlingen.
Kort sagt, handlar denna typ av konsekvensbedömning om att identifiera och minimera risker som är förknippande med behandlingen ifråga. Syftet är att förebygga risker med behandlingen och motverka dem innan de uppstår.
Det är möjligt att göra en konsekvensbedömning även fast det inte är nödvändigt i det enskilda fallet. Rekommendationen är att alltid göra en konsekvensbedömning om man är osäker på om det krävs enligt GDPR eller inte. Analysen ska ska resultera i en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter samt eventuella åtgärder för att reducera riskerna.
Förhandssamråd
Ett exempel på åtgärder som företag behöver vidta för att följa GDPR, är att begära ett förhandssamråd med IMY. I vissa fall utgör detta ett krav, och ska bli utfört innan en viss behandling blir påbörjad. Däremot måste företaget alltid göra en konsekvensbedömning av dataskydd innan förhandssamrådet blir begärt. Därefter ska företaget begära ett förhandssamråd, om konsekvensbedömningen visar att det fortfarande finns en stor risk med behandlingen för de registrerade. Efter att företaget begär ett förhandssamråd har IMY åtta veckor på sig att ge ett svar. Däremot kan de förlänga tiden i sex veckor till, om behandlingen är komplicerad.
Informationssäkerhet
Det är viktigt att tänka på att företag som behandlar personuppgifter måste vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Ju mer integritetskänsliga personuppgifterna är, desto högre säkerhet krävs. En personuppgiftsincident är när någon obehörig får tillgång till personuppgifterna, de blir ändrade eller förlorade. Företag ska arbeta förebyggande med att förhindra att det sker. Dessutom behöver företag ha rutiner för att upptäcka eventuella personuppgiftsincidenter.
Exempel på tekniska säkerhetsåtgärder
- Ha komplicerade lösenord,
- Backuplagring,
- Installation av anti-virus program,
- Använda kryptering om företaget överför känsliga personuppgifter,
Exempel på organisatoriska säkerhetsåtgärder
- Upprätta interna rutiner för hur medarbetare ska hantera eventuella personuppgiftsincidenter.
- Skapa en bra och tydlig struktur med dataskyddsarbetet.
- Upprätta personuppgiftsbiträdesavtal om företaget anlitar ett personuppgiftsbiträde.
- Utse dataskyddsombud om företaget behöver ett.
Exempel på åtgärder som stärker rättigheterna för de registrerade
- Informera de registrerade om behandlingen,
- Rätten att få sina personuppgifter raderade och rättade,
- Rätten att få göra invändningar till behandlingen,
- Vidtagande av skyddsåtgärder vid överföringar som är internationella,
- Begäran av förhandssamråd.
Utöver ovan angivna exempel på åtgärder som företag behöver vidta för att följa GDPR, är det viktigt att uppfylla övriga krav enligt dataskyddsförordningen.
Lär dig mer
Gratis juridikskola
Vi driver gratis juridikskolor på våra sociala medier (Linkedin och Instagram) och hemsidor. Dessutom sammanfattar vi nyheter och beskriver vanliga juridiska begrepp. Vi har startat dessa för att vi vill lära ut juridik på ett roligt sätt till företagare.
Mer information
Rättigheter som registrerade har
Enligt GDPR har registrerade åtta (8) rättigheter som behöver behöver kunna tillgodo. Därför är det viktigt att först och främst känna till dem och därefter skapa rutiner för att kunna göra det. Dessutom ska rättigheterna som de registrerade har framgå i informationen gällande behandlingen, vanligtvis i ett integritetsmeddelande.
Vill du veta mer?
Vill ni ha vår hjälp?
Beställ uppdrag
Välkommen att kontakta oss via telefon, eller skicka ett meddelande via formuläret eller till vår mail så hör vi av oss så snart vi kan.
E-post
kontakt@digitalajuristerna.se
Telefon
08-81 66 33