Kommer ditt företag att uppfylla dataskyddsförordningen den 25 maj? Dataskyddsförordningen eller GDPR som den ofta förkortas blir EU lag i alla EU och EES-stater den 25 maj 2018. Några företag är inte säkra på om eller hur den påverkar dem. Andra är livrädda och tror att de inte kan spara persondata alls eller att de kommer att behöva punga ut med miljoner Euros i böter. Som alltid ligger verkligheten någonstans mitt emellan. Att inte följa dataskyddsförordningen kan absolut skapa allvarliga problem. Men såvida inte ditt företag har som huvudsysselsättning att jobba med persondata behöver det inte betyda alltför omfattande förändringar.
Sannolikt finns det inte något företag som inte behöver göra några förändringar. Man kan inte utan anledning sammanställa, spara eller bearbeta persondata och använda dem för vilket syfte som helst utan vidare. Men de förändringar som krävs behöver inte ses som negativa. Innan den nya dataskyddsförordningen kommer i funktion har olika EU-länder haft helt olika lagstiftning. Några har varit tuffa medan andra har varit ganska slappa.
Den bästa nyheten är att från och med den 25 maj så är åtminstone intentionen att samma lagstiftning skall gälla i hela Europa. Tanken är att om du följer dataskyddsförordningen så kan du nu arbeta med vilka Europeiska länder som helst utan att riskera några problem. I verkligheten kan dock enskilda medlemsländer lägga till olika bestämmelser så det återstår att se hur det blir i verkligheten.
- Vår resa
- Kort beskrivning av dataskyddsförordningen
- Vem måste följa dataskyddsförordningen?
- Vad menas med personliga data?
- Anledningar för att spara och använda personliga data
- Dataskyddsombud
- Representant
- Register
- Vad krävs för att följa dataskyddsförordningen?
- Transparens
- Undvik juridiskt språk
- Skyldighet att rapportera
- Vad kan hända om man inte följer förordningen?
- Krav på biträdesavtal
- Mer information
- Sammanfattning
Vår resa
På Gislen Software har vi under de sista månaderna arbetat med att skapa förutsättningar för att följa den nya dataskyddsförordningen. Visserligen ligger vårt moderbolag i Indien. Men eftersom vi huvudsakligen arbetar med europeiska kunder så måste vi följa dataskyddsförordningen. Dessutom supportar vi flera kunders datasystem och enligt GDPR så innebär det att vi klassificeras som biträde och måste fullt ut följa dataskyddsförordningen. Dataskyddsförordningen har tydliga regler när det gäller outsourcing av databehandling till tredje land (utanför EU). Till skillnad från tidigare så innebär detta en förenkling. Nu krävs tydliga avtal mellan oss och våra kunder, men bortsett från det är det inga problem så länge vi följer förordningen.
Vi tror att vi har lärt oss en del på vägen. Därför har vi skrivit denna artikel för att dela med oss av våra erfarenheter. Det måste sägas från början att vi inte är juridiska experter. Naturligtvis måste alla själva verifiera att deras verksamhet följer dataskyddsförordningen. Men på samma gång är det enligt vår uppfattning bra att själv skapa en förståelse av vad som behöver göras. Dataskyddsförordningen innebär inte bara eller ens i första hand juridiska avtal utan ganska mycket praktiska förändringar. Din advokat kan göra en del av jobbet men absolut inte hela.
Kort beskrivning av dataskyddsförordningen
Dataskyddsförordningen innebär att alla organisationer som säljer produkter eller tjänster till någon inom EU/EES oavsett om de tar betalt eller inte måste ha en anledning för att spara och använda personliga data. Dessutom kan de bara använda dessa personliga data för det ändamål de specificerat. De anledningar som accepteras är att det finns lagkrav (t.ex. bokföringslagen) eller eftersom det är en förutsättning för att driva verksamheten eller att de har explicit tillstånd från personen ifråga att använda dessa data. I tillägg har varje individ vars persondata avses rätt att utan kostnad begära ut allt som sparas om dem, begära att data ändras om det finns fel i dem, begära att de raderas och/eller exporteras i ett allmänt tillgängligt format.
Man får inte spara personliga data för alltid och man måste radera dem om de inte är relevanta längre. Ifall data har läckt måste man informera Integritetsskyddsmyndigheten och möjligen de personer vars data läckt inom 72 timmar efter man upptäckt att data kommit på villovägar.
Integritetsskyddsmyndigheten (eller andra länders dataskyddsmyndigheter) har rätt att varna eller bötfälla företag som inte uppfyller förordningen. Ett företag är skyldigt att följa förordningen och att självcertifiera sig (i framtiden kommer sannolikt externa certifieringar att förekomma). Notera att omvänd bevisbörda gäller vilket innebär att det är företagets ansvar att bevisa att man uppfyller förordningen. GDPR är teknologiagnostiskt och har en mycket bred definition av vad som avses med personliga data.
Vem måste följa dataskyddsförordningen?
Alla organisationer som tillhandahåller någon form av produkt eller tjänst, till kunder inom den Europeiska Unionen eller det Europeiska ekonomiska samarbetsområdet och samlar in eller behandlar persondata, oavsett om de tar betalt eller inte, måste följa dataskyddsförordningen. Detta innebär att det finns ingen begränsning baserat på om personerna är medborgare i EU/EES länder eller inte. Det gäller dessutom för alla företag oavsett var de finns i världen när de erbjuder produkter eller tjänster till personer som finns i EU/EES. Däremot gäller det såvitt vi förstår inte organisationer när de erbjuder produkter eller tjänster till EU medborgare när dessa befinner sig utanför EU/EES.
Personliga data när dessa används inom personliga relationer omfattas inte (t.ex. den data man delar privat via sociala medier eller via email), däremot måste teknologiföretag som hanterar dessa data följa förordningen. D.v.s.. Om du delar privata personliga data via Facebook så gäller förordningen inte dig eller de mottagare du avser, men den gäller fullt ut för Facebook när de hanterar dina data.
Oavsett om ditt företag är den primära ägaren till data (personuppgiftsansvarig) eller är underleverantör till den som äger data (biträde) så gäller dataskyddsförordningen fullt ut. Givetvis ligger huvudansvaret på den personuppgiftsansvariga som är skyldig att ha juridiska avtal med alla underleverantörer som har tillgång till eller bearbetar dessa data. För att göra livet enklare förespråkar vi att man hanterar alla personliga data lika oavsett deras medborgarskap eller bostadsort på samma sätt.
Vad menas med personliga data?
Enligt dataskyddsförordningen innebär personliga data alla data som unikt kan identifierar en fysisk person och alla de egenskaper och transaktioner som binds till dessa. Summerade eller anonymiserade data räknas däremot inte som personliga data.
Här är några exempel på personliga data: Namn, email-adress (inkl. avsändaren och mottagaren av ett mail lagrat i ett mail-system), mobilnummer, hemadress, arbetsadress (om kombinerad med något som gör att man kan identifiera en unik person). Andra former av indirekt unika begrepp som t.ex. IP-adresser och spårkakor i webbläsare. Om man har en adress till ett hus där många människor bor eller arbetar är den inte att betrakta som persondata, men om den kombineras med olika karakteristik som i praktiken gör att man kan identifiera en unik person (som kön, hårfärg, eller en persons bilmärke) så blir den persondata.
T.ex. en 50-årige mannen med blont hår som kör en röd Volvo och bor på Bråkmakargatan 5 är sannolikt personlig data, såvida det inte finns många som stämmer på den beskrivningen. Notera att ibland går det att unikt identifiera unika personer genom sammanställda data och dessa kan då bli personliga data. För en av våra kunder krävs det att det finns minst 4 personer som ingår i en grupp för att resultatet skall redovisas.
Bortsett från sändare och mottagare av ett email kan en person nämnas i ett mail. Ett foto där en person kan identifieras kan klassificeras som persondata. Dataskyddsförordningen gäller därför på inget sätt bara personregister utan alla former av data oavsett hur de är strukturerade eller ens om de finns lagrade i en dator. Här är exempel på personliga data:
- Email (på grund av sändare och mottagare)
- Innehåll i email där en annan person nämns
- Ett foto där man kan känna igen en person
- Dokument där personnamn eller annat som identifierar en unik person
- Webbsajter som använder spårkakor
- Webbsajter med formulär där man kan fylla i sitt namn, email eller mobilnummer
- Webbsajter där man kan kommentera och där det finns någon som helst koppling direkt eller indirekt till en person (alltså även om bara IP-adressen sparas)
Anledningar för att spara och använda personliga data
Dataskyddsförordningen förbjuder på inget sätt någon att spara och använda personliga data. Vad den säger är att man måste ha en giltig anledning för att göra detta. Här är några giltiga anledningar:
- Det finns lagar som kräver det (t.ex. bokföringslagen)
- Det är nödvändigt för att driva verksamheten
- Man har fått tillstånd från personen vars data avses
Man bör vara försiktig med tillstånd. Om man begär tillstånd från någon i beroendeställning t.ex. en anställd så är det inte nödvändigtvis det bästa skälet för att motivera lagring och användning eftersom deras position kan göra det praktiskt taget omöjligt att säga nej. Många gånger är det bättre att motivera med nödvändigheten. T.ex. om man tar ett foto från en konferens kan man säga att de som inte vill vara med på fotot som kommer att användas i vår marknadsföring kan gå ut.
Däremot är det acceptabelt att fråga en kund om tillstånd. Om någon fyller i ett formulär på en webbsajt är det nödvändigt att ha en checkbox som inte är ifylld på förhand där personen som fyller i godkänner användningen och där ändamålet klart framgår. Det kan vara lämpligt att spara vad som står på den raden i databasen eftersom man skulle kunna ändra texten i efterhand. Det viktigaste när det gäller anledningen är att man har en anledning och kan motivera vad man gör i efterhand.
Om man hittar en adress på allabolag.se, Eniro.se eller Hitta.se som har utgivningsbevis, kan man använda dessa kontaktuppgifter för att kontakta dem med motiveringen att det är nödvändigt att få kontakter med nya kunder. Däremot kan man inte ta en adress från en sådan källa och börja skicka ett nyhetsbrev varje månad utan att först ha bett explicit om lov. För att skicka ett nyhetsbrev varje månad behöver man ha ett tillstånd från mottagaren. Men ett personligt mail till en specifik person är ett rimligt sätt att skapa nya affärskontakter. Att skicka ett nyhetsbrev eller ett julkort en gång om året till existerande kunder lär knappast kräva tillstånd från dem heller.
Dataskyddsförordningen har speciella bestämmelser kring känsliga data. Om du av någon anledning sparar var individer finns och har varit, medicinska data, politisk eller religiös tillhörighet då måste dessa data skyddas och behandlas försiktigt.
Dataskyddsombud
Myndigheter och alla organisationer som samlar och hanterar personliga data som en väsentlig del av sin verksamhet måste ha ett dataskyddsombud.
Ett dataskyddsombud måste:
- Utbilda och träna organisationens personal om hur man följer dataskyddsförordningen och hur man behandlar och skyddar personliga data.
- Utföra revision och försäkra sig om att problem hanteras förebyggande
- Vara kontaktperson gentemot dataskyddsorganisationerna (Integritetsskyddsmyndigheten i Sverige)
- Vara ansvarig för att det finns register för alla datahanteringsaktiviteter
- Vara kontaktperson gentemot de personer vars data man hanterar, informera dem om deras rättigheter och hur organisationen skyddar deras personliga data.
- Ha expertkunskap om dataskyddslagar och praxis
Representant
I vissa fall måste ett företag utanför EU/EES ha en representant inom EU. Detta beskrivs i artikel 27 och beaktande nummer 80. Såvitt vi förstår krävs detta inte i alla fall, men vissa EU-länder är striktare än andra på att detta måste finnas.
Register
Såvida inte företaget är litet (mindre än 250 anställda) och om datahantering inte är en kärnverksamhet för företaget så kräver förordningen att man för register över allt som sker relaterat till GDPR. Register måste finnas för tillstånd att spara och behandla data, förfrågningar om vilka data som sparas, när någon begär att ändra, radera eller exportera. Notera att en begäran att radera måste sparas men medan data som avses måste raderas så är man indirekt tvungen att spara kontaktdata för att ha en registerpost kring förfrågan.
Givetvis kan man inte använda denna persondata för något annat syfte. Notera också att man på grund av t.ex. bokföringslagen inte nödvändigtvis lagligt kan radera vissa data. En raderingsförfrågan innebär då att man inte kan använda data för något annat ändamål. Men förordningen kräver att man kan bevisa att man följer den och därför måste man spara vissa data (för att uppfylla lagkravet).
Vad krävs för att följa dataskyddsförordningen?
Man måste kartlägga alla personliga data man sparar och behandlar inom sin organisation (och inte bara den som finns i datorer). För varje typ av data måste man dokumentera en anledning för att hantera den. Tänk på att persondata kan finnas i anställdas datorer eller mobiltelefoner. Är datorerna krypterade (för att skydda persondata i fall en laptop blir stulen), skriver man över hårddiskar innan dessa återanvänds eller kasseras. Data kan också finnas i personliga konton (Skype, DropBox, m.fl.). Hur gör man om en anställd slutar? För ett litet företag kanske detta kan hanteras men för medelstora och större blir detta omöjligt. Det ställer nya krav på hur man hanterar data.
Normalt kommer givetvis ingen att checka detta, men du måste själv försäkra dig om att din organisation följer förordningen. Om någon skulle anmäla dig till Integritetsskyddsmyndigheten för brott mot dataskyddsförordningen så är det din skyldighet att kunna bevisa att du följer förordningen och inte deras att bevisa att du inte gör det. Därför måste man ta förordningen på stort allvar.
Transparens
Företag måste vara tydliga med vilka data de sparar, varför de gör det och hur dessa data används. Det måste alltid framgå tydligt VARFÖR man behöver vissa data. Det kan vara av juridiska skäl, för att man måste för att kunna driva sin verksamhet eller så begär man tillstånd från personen ifråga och är tydlig med vad man begär tillstånd för och varför.
Man måste begära tillstånd separat för varje skäl. Man kan inte bara saga någon allmän genom att kryssa I checkboxen så godkänner du våra allmänna avtal som säger vilka data vi sparar och vad vi gör med dem. Det går heller inte att ha en förkryssad checkbox, eller säga genom att du fortsätter så godkänner du våra villkor. Man får inte längre bara informera att man sätter unika kakor i en besökares webbläsare utan besökaren måste först accepterat att man gör det innan någon kaka sätts.
Alla individer som man sparar och behandlar data om har rätt att begära:
- Att få reda på alla data man sparat om honom eller henne
- Att felaktiga data ändras
- Att data raderas (såvida inte det finns lagkrav att spara data, t.ex. enligt bokföringslagen, eller just raderingsförfrågan enligt dataskyddsförordningen) men i dessa fall innebär raderingsförfrågan att man inte kan använda data för något annat syfte. (Anonymisering kan ibland vara ett nödvändigt alternativ eftersom det ibland inte är tekniskt möjligt att fysiskt ta bort en post kopplad till annan data man måste behålla).
- Att data exporteras i ett generellt format (i vissa fall)
Undvik juridiskt språk
En viktig aspekt är att det inte räcker med en policy man hänvisar till. Dataskyddsförordningen kräver att man på ett lättfattligt och enkelt sätt kommunicerar vad man sparar och varför. Det går inte att gömma undan något i ett långt juridiskt avtal som ingen läser.
Skyldighet att rapportera
Om man får kunskap om att data kommit på avvägar måste man rapportera detta till dataskyddsmyndigheten i det aktuella landet (Integritetsskyddsmyndigheten i Sverige) inom 72 timmar. Detta kan vara krävande i samband med längre helger och det kan vara viktigt att fundera över hur man hanterar detta. Om man t.ex. får reda på att data läckt på skärtorsdagens eftermiddag måste man alltså rapportera till Integritetsskyddsmyndigheten senast samma tid på påskdagen.
Vad kan hända om man inte följer förordningen?
Dataskyddsmyndigheterna har långtgående att varna och bötfälla dem som inte följer förordningen. Böter kan vara så höga som det högre av 20 miljoner Euro eller 4% av den globala omsättningen för en koncern. Notera dock att detta endast gäller för organisationer som säljer produkter eller tjänster till medborgare eller företag inom EU/EES och samlar in eller behandlar persondata. Givetvis har inte EU/EES jurisdiktion utanför EU/EES området, men förordningen gäller när transaktionen avser någon person inom EU/EES. Såvitt vi förstår förordningen gäller den inte om en EU-medborgare reser till ett land utanför EU/EES och köper eller säljer något där från ett företag som inte har något med Europa att göra.
Däremot gäller förordningen för ett företag utanför EU om ett företag inom EU outsourcar behandling av personuppgifter till ett företag utanför EU. Notera att även om företaget utanför EU bara ger support för ett system inom EU och denna support inkluderar access till persondata så gäller förordningen för detta företag liksom företaget som outsourcar supporten. Förordningen kräver att ett avtal upprättas mellan dessa företag. För vissa länder (som t.ex. USA och Kanada) finns samarbetsavtal med EU. Men i princip måste alltid ett avtal upprättas när någon annan har tillgång eller behandlar persondata.
Krav på biträdesavtal
Ett avtal mellan det företag som primärt är ansvarig för personuppgifterna och det som behandlar det kallas ett biträdesavtal. Ett sådant behövs också om man använder en molntjänst, eller använder Google Analytics för att analysera besökarna till sin webbplats.
Mer information
Integritetsskyddsmyndigheten ger mycket användbar information på sin webbplats!
Själva förordningen hittar du här och de så kallade beaktanden som ibland är lättare att förstå här!
Om vad som gäller då man outsourcar till tredje land hittar du här. Integritetsskyddsmyndigheten har en speciell sida kring detta också. Storbritannien har lämnat EU men i princip gäller samma regler som inom EU.
Avtalstext för bindande avtal mellan företag utanför EU och inom EU för sådan outsourcing hittar du här! Notera att dessa då behövs i tillägg till ett vanligt biträdesavtal.
Sverige har samlat egna tillägg och anpassningar till GDPR i en särskild lag som kallas Dataskyddslagen eller formellt Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Se dessutom Integritetsskyddsmyndigheten föreskrifter och allmänna råd
Sammanfattning
I denna artikel har vi beskrivit Dataskyddsförordningen samt vad vi tror att du behöver tänka på för att följa den. För många små företag kanske inte Dataskyddsförordningen innebär någon större skillnad men om ditt företag hanterar mycket data så kan förordningen innebära en stor arbetsbörda. Om du behöver hjälp med att fixa så att dina IT-system följer förordningen hjälper vi gärna till Du kan hitta mer information här om våra utvecklingstjänster. I kommande artiklar planerar vi att ge några ytterligare råd, speciellt om vad man behöver tänka på vad gäller sin webbplats.