Foto: Illustration: Rebecca Elfast

GDPR – har du koll?

Faktaruta

GDPR

  • GDPR är en förkortning av General Data Protection Regulation.
  • Alla organisationer som behandlar personuppgifter ska tillämpa GDPR från 25 maj 2018.
  • Stärker skyddet för fysiska personer vid behandling av personuppgifter.
  • Kraftiga sanktioner, upp till 20 miljoner euro eller fyra procent av den globala omsättningen.
  • En personuppgiftsincident ska anmälas till Datainspektionen inom 72 timmar.

 

Vad är en personuppgift?

Personuppgifter är uppgifter som kan kopplas till en enskild person, ensamt eller tillsammans med andra. Exempelvis: Namn, adress, telefonnummer, mejladress, medlemsnummer, kundnummer, bankkortsnummer, foto, inspelning, position, profildata, IP-adress och cookies.

 

Monika Wendleby är jurist och managementkonsult på Passacon AB och har arbetat mycket med dataskyddsför­ordningen, bland annat som dataskyddsombud. Tillsammans med Dag Wetterberg har hon skrivit boken ”Dataskyddsförord­ningen, GDPR: Förstå och tillämpa i praktiken” (som i januari kom ut i en omarbe­tad upplaga).

31 januari, 2019

FAR:s medlemsrådgivning får många frågor om tillämpningen av GDPR. Balans har vänt sig till experten Monika Wendleby för att få svar på de vanligaste frågorna.

Från och med 25 maj 2018 gäller den europeiska lagstiftningen GDPR. Alla verksamheter som samlar in personuppgifter berörs av lagstiftningen, alltså i princip alla företag, myndigheter och organisationer. Åtta månader senare är frågorna om GDPR fortfarande många.

Monika Wendleby. Foto: Louise Wendleby

1) Måste alla mejl raderas efter viss tid eller endast de som innehåller ”känsliga” personuppgifter?

– Mejl får bara behållas så länge man har laglig grund. Du måste också veta ändamålet för hanteringen och utifrån det och den lagliga grunden kan du avgöra när du måste gallra.

2) Vad ska man tänka på när man upprättar en e-postpolicy för sina anställda? Det känns extremt att föreskriva att alla mejl ska rensas inom en viss tid. Vilken tid är rimlig?

– Det finns ingen central regel för hur e-post ska hante­ras utan det beror på vilken typ av behandling det är. Det är för varje mejl viktigt att veta vilken laglig grund man stödjer be­handling av personuppgifter på.

– Personuppgifter som inte längre är relevanta för än­damålet ska gallras. Ett mejl som skickats fel till företaget ska man ju till exempel radera direkt, men ett business to bu­siness-mejl utan känsliga per­sonuppgifter är inte så känsligt att lagra längre, exempelvis om man förhandlar om villkor i en affär företaget ska göra.

– Om du inte gallrar fortlöpan­de måste du göra fortlöpande bedömningar för varje mejl. Det är därför både enklare och bättre att i en policy ange en kort generell gallringstid och att sedan lagra de mejl som inte ska gallras i ett säkrare system. Det är också viktigt att skriva in i policyn att känsliga personuppgifter inte ska skick­as via mejl, om försändelsen inte är krypterad.

3) Vi använder Facebook – är det något särskilt vi ska tänka på? Har vi gemensamt personuppgiftsansvar?

– Hela Facebooks affärsidé är ju att profilera, men det har man sannolikt sällan laglig grund för. Ett företag som har en Facebook-sida behöver hantera detta faktum. Det finns en EU-dom från somma­ren 2018. Den gäller den gamla lagstiftningen och GDPR är ju tuffare, så det finns ingen anledning att tro att domen skulle ha blivit mildare i dag. Det var en förening i Tyskland som hade en Facebook-sida. Domstolen fann att det förelåg ett gemensamt personupp­giftsansvar för föreningen och Facebook och man pekade särskilt på att föreningen genom att göra statistikinställ­ningar (för att exempelvis kunna se hur många kvinnor/män som gillat eller delat in­lägg) tillhandahållit Facebook extra personuppgifter. Ett gemensamt personuppgifts­ansvar kräver ju ett inbördes arrangemang, men hur ordnar man det med Facebook?

– Jag jobbar en hel del med ideell verksamhet och då brukar jag råda dem att noga titta på sitt ändamål: är det ett jour­nalistiskt ändamål med sidan behöver flera regler i GDPR inte följas. Det kan också vara bra att beskriva sin och Facebooks roll tydligt så att de registrera­de förstår hur personuppgifter behandlas (blir en del i ett inbördes arrangemang).

– Det finns på grund av domen och Facebooks egna agerande (till exempel Cambridge Ana­lytica-härvan) en osäkerhet nu kring Facebook och det kan sannolikt leda till betydligt allvarligare förtroendekriser än felaktig hantering av mejl i bu­siness to business-situationer. Ett tips är att enbart använda Facebook för rent journalistis­ka ändamål eftersom yttran­defrihet är en viktig rättighet som GDPR respekterar. Organi­sationer behöver för att göra detta rätt bottna ordentligt i båda regelverken.

4) Eftersom man inte ska skicka så mycket personuppgifter med e-post har vi tänkt sköta all dokumenthantering via Googledocs, Dropbox eller Office 365. Men hur vet vi var våra dokument hamnar (servrarna kanske ligger i ett land utanför EU)? Och är det tillräckligt säkert?

– Det är ju ett dilemma med de stora marknadsle­dande företagen. Det finns ju inte alltid alternativ. De flesta molntjänster har visserligen flyttat sina servrar till Europa, men det är inte den enda frågan.

– Google har ju varit satt under granskning flera gånger bland annat för sin profilering. Office 365 känns säkrare men det har funnits vissa säkerhets­risker även med Office 365. Där finns det dock möjligheter att själv designa och reglera nivån på säkerheten vilket är bra. Jag vågar inte säga om något molnalternativ är 100-pro­centigt säkert att använda (de stora jättarna kan behöva lämna vidare information till den amerikanska staten i vissa fall). Jag vet att en del som hanterar mycket känsliga personuppgifter har byggt eller överväger att bygga egna molntjänster.

5) Det företag jag anlitar för it-support vägrar skriva under ett biträdesavtal. Deras rådgivare har sagt att det inte är nödvändigt. Måste jag säga upp avtalet? Eller kan jag i mitt företags personuppgiftspolicy ange it-supportbolaget som en tredje part som kan komma att ta del av mina kunders personuppgifter?

– Normalt sett ska en it-sup­port vara personuppgiftsbiträ­de och man ska alltså skriva ett personuppgiftsbiträdesavtal. Om man inte gör det måste man ändå se till att ansvaret regleras juridiskt eftersom man i stället blir gemensamt personuppgiftsansvarig och behöver uppfylla kraven på ett inbördes arrangemang (i det ska de olika rollerna beskrivas så de registrerade förstår). Om det sker en personuppgiftsinci­dent måste man veta vem som är personuppgiftsansvarig (den ska anmäla incidenten).

– Det vanligaste i detta fall är dock ett personuppgiftsbiträ­desavtal. Men det finns både bra och dåliga biträdesavtal, och det gäller att se till att man bara skriver under korrekta avtal. Ett vanligt fel är att ”biträdet” vill bestämma för mycket, vilket inte håller.

6) Jag är personuppgiftsbiträde åt en kund som vill ha utförlig information om säkerheten hos de biträden jag anlitar (redovisningssystemsleverantör och it-support). Mina biträden är stora företag och mitt företag är litet. Hur kan jag få information som tillfredsställer min kund?

– I princip är det ofta omöj­ligt för små företag att korrekt hantera denna typ av relation. Det här är ett dilemma med de riktigt stora marknadsledande företagen, där det ofta inte går att hitta en annan leverantör. Klarar man inte av formaliakra­ven för biträdesavtal kanske man i stället bör överväga ett inbördes arrangemang (se förra frågan). Ett annat tips om biträdesavtalet i övrigt känns korrekt är att fråga biträdena om deras säkerhet och vida­rebefordra den informationen till din kund. Är de biträden på riktigt ska de lämna sådan information.

7) Måste man specificera vilka underbiträden man använder? Vi har sett att en del företag som i sin personuppgiftspolicy endast anger att de anlitar underbiträden för it-support och dylikt men de skriver inte vilka företag det är.

– Ja, man måste specificera vilka underbiträden man har. Gör man inte det är personbi­trädesavtalet inte korrekt.

8) Jag använder ibland min privata mejl för jobbärenden. Jag vet att det inte är att rekommendera, men hur känsligt är det egentligen?

– Det är viktigt att särskilja den privata mejlen och jobb­mejlen. Om det uppstår en inci­dent kan det bli mycket svårare att hantera den om man inte särskiljer den privata mejlen från jobbmejlen. Privat mejl kan också ha lägre säkerhet och hamnar utanför företagets brandvägg. Detta är en fråga man bör man vara tydlig med i företagets e-post-policy.

9) Räcker det med en länk till vår integritetspolicy eller måste man infoga en text i mejlen hur personuppgifter hanteras?

– Jag rekommenderar en kort text i mejlet om hur personuppgifter hanteras och en länk till integritetspolicyn. Sedan kan man i ett specifikt ärende, till exempel vid rekry­tering, skicka med delar av policyn till dem som berörs.

10) Vi har enstaka löneuppdrag. Löneavier hanteras numera genom att våra kunders anställda får tillgång till dokumentet på en webbplats via Bankid. Men hur ska vår kommunikation med ekonomiansvarig hos kunden se ut? De skickar oss material och ska även godkänna avierna innan de görs tillgängliga för de anställda.

– Det finns risk för allvarliga personuppgiftsincidenter när man mejlar sådan information utan att den är krypterad. Lön och banknummer är ju integri­tetskänsliga personuppgifter för många. Jag känner till många sådana fall, till exempel när en lönehandläggare råkat mejla uppgifter till fel person. Skickar man personuppgifter till fel person så är det en incident och är innehållet inte­gritetskänsligt kan det behöva anmälas. Det är bättre att ha ett system där man kan ladda upp filer i till exempel en säker molntjänst, ett ”samtalsrum”, i stället för att mejla.

11) Vi brukar ordna gratisseminarier till våra kunder och ger då ut deltagarlistor. Måste vi ha kundens samtycke för detta?

– Ja, det måste finnas en laglig grund och i det här fallet lär detta vara ett tydligt sam­tycke. Man kan inte utgå ifrån att det finns ett berättigat intresse i detta fall. Det kan bli mycket administrativt arbete om någon senare återkallar och meddelar att hen vill bli borttagen från listan så jag skulle råda er att sluta med detta.

12) Många av FAR:s medlemmar skickar tidningen Resultat till sina kunder. Den produceras av FAR och innehåller nyheter inom områden som skatt och redovisning. De medlemmar som ger bort tidningen rapporterar in kundernas adresser till FAR, och prenumerationerna hanteras vidare av Titeldata. Vad är din bedömning av en sådan situation, alltså tidningen kommer till en tredje part som ej samtyckt till någon hantering av personuppgifter?

– I det här fallet kan man anta att det finns ett berät­tigat intresse. De flesta som får tidningen uppskattar den antagligen. Men det är så klart viktigt att mottagaren har möjlighet att meddela om man inte vill ha tidningen och att den då inte skickas ut längre. När man gör något ”snällt” som mottagaren sannolikt gillar så finns det ofta ett berättigat intresse.

13) En kommun jag begärde ut uppgifter från hänvisade till GDPR och sa att de inte längre kan skicka med de anställdas namn i uppgifterna. Andra kommuner har inte sagt något alls om det, utan skickar med namn fortfarande. Vad är ”rätt”?

– Det är två regelverk man ska förhålla sig till, vilket gör det lite komplext. Allmänna handlingar ska ju lämnas ut om de inte enligt offentlighets- och sekretesslagen är sekretess­belagda. I den lagen anges att man kan vägra utlämnande om man vet att mottagaren syftar till att bryta mot GDPR. Det finns ju de som till exempel för­följer eller hotar personer. Men det ska ganska mycket till för att vägra ge ut allmänna hand­lingar. När kommunen hanterar frågor om allmänna handlingar är de lagliga grunderna i GDPR rättslig förpliktelse och allmänt intresse vilket innebär att kom­munen har rätt att lämna ut handlingar innehållande per­sonuppgifter om handlingen inte ska sekretessbeläggas.

14) Hur ska vi tänka vid inköp av it-system och liknande?

– Många befintliga it-system är inte GDPR-anpassade så att de klarar gallring och rät­tigheter på ett bra sätt. Och när man köper nytt system är det viktigt att tänka igenom behoven ordentligt så att man inte fortsätter bygga in felak­tigheter vilket kan leda till en rörig it-arkitektur.

– Det är viktigt att ha med GDPR-perspektivet och tänka igenom frågor som gallring, registerhantering och biträdes­avtal i samband med inköp av it-system (till exempel hur man ska avveckla befintliga system så det inte blir dubbellagring). Det gäller också att tänka till vid inköp av mobiltelefoner och liknande. Korrekta inköp är en viktig gatekeeper för GDPR.

Läs mer: 19 frågor och svar om GDPR

Taggar: GDPR

Text: Pernilla Halling

pernilla.halling@far.se

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Annons

De är nominerade till Årets framtidsbyrå 2019

23 augusti, 2019 15 kvalificerade byråer har blivit fem nominerade. Balans har listan.

Auktorisation leder till nöjdare kunder

21 augusti, 2019 Redovisningsbyråerna särskiljer sig med mycket höga kundbetyg, enligt Svenskt Kvalitetsindex. Auktorisation leder till högre betyg.

EU:s revisionspaket utvärderat

14 augusti, 2019 Första slutsatser: Ökad konkurrens och mer dynamik inom branschen.

Professionella värden styr revisorer och konsulter

12 augusti, 2019 Karin Seger: Revisorer och redovisningskonsulter känner stort ansvar för att ge kunden rätt alternativ.

Passion gav lönsamhet

4 juli, 2019 Så blev Lamooi Accounting en av de mest lönsamma byråerna på ett par år.

Månadens medlem: Elias Alakir

1 juli, 2019 Elias Alakir är bland de yngsta auktorise­rade revisorerna i Sverige.

 Upp