GDPR – ett arbete som inte får ta slut

Publicerat:26 februari, 2021
Det är snart 3 år sedan GDPR började gälla och det är nu hög tid att titta på er personuppgiftsbehandling igen – vad har hänt sedan sist? Behöver ni uppdatera dokument och era säkerhetsåtgärder? Vår advokat Sara Malmgren har här sammanställt en lista över vad som är viktigt att tänka på i vårstädningen av er verksamhets personuppgiftsbehandling.

Det har varit ett extremt fokus på GDPR och integritetsskydd de senaste åren, och var och en av oss får ständiga påminnelser angående cookies och personuppgifter i många sammanhang. Väldigt många har också fått lägga ned en hel del av sin arbetstid på just denna fråga i sitt bolag eller för sin arbetsgivares räkning. Detta är ett arbete som måste göras och som måste vidmakthållas löpande. Vill du minska risken i ditt bolag är korrekt hantering av personuppgiftsbehandling en av det mest effektiva åtgärder du kan vidta.

Det är tvingande lagstiftning som berör alla bolag, myndigheter och organisationer. Om du behandlar personuppgifter är du skyldig att tillse att detta sker enligt lag och du ska vidare kunna uppvisa dokumentation kring din behandling. Detta är inte något som kan ses över en gång och sedan lämnas därhän, utan det är av största vikt att man löpande kontrollerar och säkerställer att behandlingen som sker görs på ett säkert sätt och i övrigt enligt lag. Vidare ska man tillse att den dokumentation och de avtal man har rörande detta är aktuella och relevanta. Anledningen är att väldigt få verksamheter är statiska, efter hand byts verksamhetssystem ut och man ändrar sätt att arbeta eller startar upp nya affärsidéer. Om man gör detta, förändras personuppgiftsbehandlingen sannolikt på ett sätt som medför att man behöver göra nya bedömningar och uppdatera sin dokumentation innan den nya behandlingen äger rum.

Varför är en vårstädning inom personuppgiftsbehandling så effektivt? Det finns flera skäl, det mest uppenbara är den påföljd som kan komma ifråga när man gör fel. Fel kan leda till kostsamma skadestånd till de individer som drabbats av lagbrottet men också en administrativ sanktionsavgift i mångmiljonklassen. Den svenska tillsynsmyndigheten (Integritetsskyddsmyndigheten, ”IMY”, tidigare Datainspektionen) utdömde till exempel under våren 2020 en avgift om 75 miljoner kronor för Google (vilket överprövades och landade på 52 miljoner kronor i förvaltningsdomstolen) och under hösten 2020 ålades ett antal vårdorganisationer att betala administrativa avgifter, mellan 2,5 – 30 miljoner kronor. Utöver de rent ekonomiska följderna, riskerar också ett ärende hos Integritetsskyddsmyndigheten att bli medialt uppmärksammat. Risken är naturligtvis överhängande att en sådan uppmärksamhet riskerar att påverka kunder och leverantörer på ett negativt sätt. Risken att man uppfattas ha undermålig IT-säkerhet kan vara förödande.

Vid en riskbedömning av bolaget som sker till exempel i samband med en due diligence är således en granskning av compliance enligt GDPR av stor betydelse, och kan i vissa fall vara helt avgörande för värderingen. Det kan till och med vara den frågan som avgör om en affär eller en finansiering alls blir av. Finns det en risk att bolaget i fråga bryter mot GDPR löper bolaget en risk att drabbas av sanktionsavgifter och skadeståndsansvar – som köpare av ett bolag vill man ogärna ha det i knäet efter ett förvärv.

Det har nu gått snart 3 år sedan GDPR började gälla – det är hög tid att gå igenom hur personuppgiftsbehandlingen faktiskt har fungerat och att uppdatera det arbete ni gjorde i samband med att GDPR infördes. Det är en sak att göra det grundläggande arbetet och dokumentera detta, men det är en annan sak att faktiskt efterleva de ambitionerna. Har ni kontroll över behandlingen? Har medarbetarna en tillräckligt hög kunskapsnivå? Har det förekommit incidenter och hur har det hanterats?

Dags för vårstädning alltså! Löpande bör alla personuppgiftsansvariga (och även de som är personuppgiftsbiträden) säkerställa följande:

1. Utred vilka personuppgifter som behandlas i verksamheten och varför, uppdatera dokumentationen.

2. Har ni sedan senaste genomgången ändrat er verksamhet? Tillhandahåller ni nya tjänster som kan påverka? Har ni bytt IT-system eller rutiner? Dokumentera dessa nya eller förändrade behandlingar och säkerställ att det finns rutiner för efterlevnad.

3. Granska särskilt i vad mån personuppgifter överförs till något land utanför EU eller riskerar att föras över till ett sådant land.

4. Använder ni er av personuppgiftsbiträden? Är det europeiska bolag eller finns till exempel en amerikansk ägare i grunden? I så fall ska man göra en förnyad bedömning om behandlingen i fråga. De allra flesta tjänsteleverantörerna av bland annat molntjänster är amerikanska och sedan sommaren 2019 finns praxis som väsentligt ändrat förutsättningar för vilka tjänsteleverantörer som är helt ”GDPR-säkra”.

5. Gör en förnyad bedömning – behöver ni ett personuppgiftsombud?

6. Om ni inte måste ha ett personuppgiftsombud – se till att någon internt äger och driver frågan!

7. Se över och dokumentera den tekniska säkerheten – GDPR är hårt fokuserat på att skyddet för personuppgifter ska vara tillräckligt starkt. Vilka nya åtgärder har vidtagits sedan sist? Vilka nya tekniska möjligheter finns? Utvecklingen går snabbt och säkerhetsarbete är under ständig utveckling.

8. Hur kan ni förbättra era IT-system (policy by design) så att automatisering av personuppgiftshantering sker i enlighet med lag och era interna policies?

9. Utbilda er personal – handhavarfel är en stor risk, som minskas med kunnig personal.

10. Upprätta dokument;

a) Personuppgiftsbiträdesavtal med alla parter som behandlar era uppgifter åt er, såsom er IT-support, de som driftar er hemsida eller IT-system med mera,

b) Personuppgiftsavtal med de vars uppgifter ni behandlar å deras vägnar, såsom era kunder vars CRM-system ni driftar, eller vars löneutbetalningar ni hanterar,

c) Rutindokument (som anger vilka rutiner som ska gälla för vissa situationer, inte minst rutiner vid personuppgiftsincidenter),

d) Information för externt bruk (så som den privacy policy ni har på er hemsida eller som ni länkar till i era signaturer i e-posten),

e) Policies för internt bruk (hur hanterar ni era egna personuppgifter; hantering av anställdas uppgifter, hur anställda ska hantera kunders uppgifter och IT-säkerhetspolicy bland annat)

f) Upprätta ett artikel 30-register över vilka behandling ni gör (detta måste inte alla ha, men även om man undantas från detta är det ett utmärkt verktyg att använda sig av i sin verksamhet för att säkerställa regelefterlevnad löpande),

11. Repetera regelbundet eller vid behov.

Inte riktigt allt som anges ovan är ett absolut lagkrav, men är verktyg som underlättar compliance. Som exempel kan nämnas den interna IT-policyn, som i sig inte är ett lagkrav men är värdefull för att säkerställa den tekniska och organisatoriska säkerheten. Att genomföra detta arbete och upprätthålla en hög nivå även fortsättningsvis kräver en insats, men det är långt ifrån oöverstigligt. Kostnaden att inte göra det kan dock bli mycket stor. Att löpande säkerställa att personuppgiftsbehandlingen sker på ett korrekt sätt inte bara minskar avsevärda risker för bolaget, det kan också innebära att man säkrar eller till och med höjer värdet i bolaget för ägarna. Vår erfarenhet är att de företag som i sin marknadsföring kan trycka på att man är GDPR-compliant ofta har ett försprång. Det lönar sig att göra rätt när det gäller GDPR, helt enkelt.

 

Vid eventuella frågor kring GDPR, kontakta

Sara Malmgren, advokat på Foyen Advokatfirma
sara.malmgren@foyen.se.