De fem viktigaste privacyfrågorna du MÅSTE ha koll på

1.      Grundläggande principer för personuppgiftsbehandling

Anneli Rönn jobbar ofta med kunder som behöver hjälp med att förstå de grundläggande krav som GDPR ställer och bistår därför löpande i frågor om dataskydd.

”Enligt dataskyddsförordningen - eller GDPR som många är vana vid att den benämns –måste all behandling av personuppgifter ske i enlighet med de grundläggande principerna, annars är behandling inte tillåten. Det är viktigt för en organisation att ha koll på principerna för att veta att de gör rätt. Exempelvis får personuppgifter bara behandlas om och så länge det är nödvändigt baserat på de specifika syften som angivits, uppgifter som är ”bra att ha” får alltså inte behandlas.

Det är också viktigt att skydda personuppgifterna och att bara använda uppgifter som är korrekta. All hantering av personuppgifter bör också anpassas utifrån vad det är fråga om för slags uppgifter och de ska skyddas på lämpligt vis, det ställs exempelvis högre krav på skydd för känsliga personuppgifter såsom uppgift om religion, hälsa eller facklig tillhörighet än på kontaktpersonuppgifter som namn eller telefonnummer.

Så mitt tips är att ha koll på de grundläggande principerna för din organisations dataskyddsbehandling eftersom det lägger en god grund för ert dataskyddsarbete och är en förutsättning för att nå upp till de krav som följer av GDPR!”

2.     Rutiner och policys för personuppgiftsbehandling

Josefine Karlsson hjälper företag med att inventera och upprätta grundläggande dokumentation som en organisation behöver för att uppfylla kraven i GDPR vad gäller exempelvis information till individer och register över företagets behandling av personuppgifter.

”För att en organisation ska veta vilka uppgifter som behandlas och i vilka system behöver ett register föras, innehållande exempelvis vilka personuppgifter som behandlas, vilket stöd i de grundläggande principerna som tillåter just den behandlingen av personuppgifter, vilken så kallad legal grund som företaget förlitar sig på och om personuppgifterna delas med andra parter. Det är även viktigt att ha rutiner för när nya personuppgifter börjar behandlas, exempelvis vilka åtgärder som är nödvändiga om en ny behandling ska införas och vem som är ansvarig för sådana åtgärder.

Det är också av stor vikt att ha koll på hur ni hanterar eventuella personuppgiftsincidenter. Brister som uppdagas i samband med personuppgiftsincidenter är den vanligaste orsaken till att IMY beslutar om sanktionsavgifter. Om din organisation inte hanterar personuppgiftsincidenter på ett korrekt sätt medför det därför en påtagligt förhöjd risk för att drabbas av sanktionsavgifter om något skulle hända. Det är exempelvis viktigt att ha en dokumenterad rutin för hur ni hanterar personuppgiftsincidenter och att denna är väl implementerad bland alla medarbetare.

Se till att det finns tydliga rutiner och policys för de personuppgifter som ni behandlar och om något går fel – se till att ha koll på hur ni gör rätt!”

3.     Konsekvensbedömningar

Nathalie Grogan jobbar nära våra kunder och hjälper dem i deras utveckling av verksamheten. Som del av det hjälper hon dem ofta med att genomföra konsekvensbedömningar.

”Om en behandling av personuppgifter kan medföra hög risk för de personer vars uppgifter är tänkta att behandlas behöver ni först genomföra en konsekvensbedömning. Kravet gäller förstås också behandlingar som redan genomförs, om ingen konsekvensbedömning har gjorts tidigare eller om behandlingen ändrats. Syftet med konsekvensbedömning är att utvärdera integritetsriskerna med den tänkta behandlingen dels för att kunna avgöra om det är en lämplig aktivitet att påbörja dels för att identifiera om några ytterligare åtgärder behöver vidtas för att minska risken, exempelvis minska vilka uppgifter som behandlas eller ytterligare säkerhetsåtgärder.

Genom att genomföra en konsekvensbedömning säkerställer ni också att ni har tänkt på alla grundläggande principer och att ni i övrigt uppfyller de krav som GDPR ställer, det ger er helt enkelt en god förutsättning för att löpande säkerställa att ni följer reglerna.

Tänk därför på att ha en bra rutin för hur och när ni ska genomföra en konsekvensbedömning och se det som en del av er affärsutvecklingsprocess. Tänk på att involvera nyckelpersoner med kunskap kring den tilltänkta behandlingen. Det kan vara att involvera allt ifrån någon med juridisk kompetens till informationssäkerhetsexpert till övrig områdesexpertis. Ensam är inte stark när det kommer till genomförandet av konsekvensbedömningar.”

4.     När behövs ett dataskyddsombud?

Caroline Heimdahl är en av våra dataskyddsexperter och arbetar frekvent med kunder som anlitar Fondia som dataskyddsombud.

”Under vissa förutsättningar finns det lagstadgade krav på organisationer att utse ett dataskyddsombud. Typexempel på organisationer är de som tillhandahåller telekommunikationstjänster eller bedriver kameraövervakning och som därför har en regelbunden och systematisk övervakning av registrerade i stor omfattning, eller vårdgivare som behandlar känsliga uppgifter i stor omfattning. Dataskyddsombudets viktigaste uppgift, utöver att ge råd och stöd till organisationen, är att övervaka så att organisationen följer reglerna i GDPR och att komma med feedback på var det finns möjligheter till förbättring. Andra återkommande uppgifter för ett dataskyddsombud är att ge råd om konsekvensbedömningar och att vara kontaktperson mot IMY.”  

5.     Tredjelandsöverföringar

Amir Hajdarevic hjälper företag att bättre förstå hur de påverkas av att de använder leverantörer från olika internationella företag eller organisationer och vad de måste göra för att säkerställa att behandlingen av personuppgifter uppfyller de krav som ställs i GDPR.

”Personuppgifter som behandlas enligt GDPR får som huvudregel inte överföras till länder utanför EU/EES om det inte är som så att de uppfyller särskilda villkor som även de finns angivna i GDPR. Under de senaste åren har det hänt en hel del som har medfört ett ökat fokus på om personuppgifter överförs till så kallade tredjeland och hur detta görs. Denna problematik är aktuell för de allra flesta bolag eftersom det ofta räcker att använda en leverantör som tillhör en internationell koncern för att dessa frågor ska väckas. Detta är också en fråga som IMY och dess motsvarigheter i andra länder har ett stort fokus på.

Nyligen har det kommit några uppmärksammade beslut där IMY:s motsvarigheter i EU har funnit att den behandling av personuppgifter som uppstår vid användandet av verktyget Google Analytics inte uppfyller kraven som ställs enligt GDPR, bland annat eftersom de säkerhetsåtgärder som vidtagits inte ansågs tillräckliga för att säkerställa skyddet för uppgifter som delas med Google i egenskap av organisation som träffas av amerikansk lagstiftning.   Dessa beslut får stor påverkan för alla organisationer som använder Google Analytics och andra verktyg som bygger på motsvarande delning av personuppgifter och säkerhetsåtgärder.

Se till att ha koll på var era leverantörer finns, vilka länder de har eventuell koppling till och vilket skydd personuppgifterna som ni delar med er får. Var särskilt uppmärksamma på om det är ett amerikanskt bolag som tillhandahåller tjänsten."

Om Privacy hos Fondia

Fondias erfarna och kunniga dataskyddsexperter hjälper dig med alla typer av ärenden som rör personuppgiftsbehandling och integritetsskydd. Vi ger bland annat handfasta råd kring efterlevnad av kraven i den allmänna dataskyddsförordningen (GDPR) och ePrivacy-reglerna samt hittar affärsmässiga lösningar på utmaningar inom dataskydd. Våra experter har tillsammans bred erfarenhet från roller som både dataskyddsombud, bolagsjurist, del av ledningsgrupp, del av dataskyddsgrupp och rena konsultroller.

Tveka inte att kontakta oss – välkommen till Fondia!