GDPR: Det här krävs för att leva upp till EU:s nya dataskyddsförordning

EU:s nya dataskyddsförordning, GDPR, börjar gälla den 25 maj 2018. Många företag verkar vara sena med att inse det, trots de onekligen ökade risknivåerna. Men detta gäller inte konsulterna. Som expert inom bland annat personuppgiftsområdet är det intressant att upptäcka att man helt plötsligt har fått sällskap av så många andra experter. Det verkar vara konsult(expert?)samling runt granen för att öppna vackert inslagna kundpaket. Hela familjen är samlad: säkerhetskonsulter, it-leverantörer, jurister, revisionsfirmor och konsulter i största allmänhet.

Denna konsulternas julafton ska dock inte bara tolkas på samma sätt som hoten om att alltifrån flygplan till börsen till världen i stort skulle krascha om man inte köpte konsulttjänster för att fixa millenniebuggen. Det vill säga som en slags preventiv ambulansjakt. Att det är så många kategorier av konsulter som slår på trumman speglar faktiskt någonting centralt. Nämligen det faktum att det krävs både juridiska, tekniska och organisatoriska överväganden och åtgärder för att förbereda sig för att kunna hantera riskerna och möjligheterna kopplade till dataskyddsförordeningen med någon slags effektivitet. Detta gör att frågan blir komplex och många gånger nog kräver att olika typer av expertis blandas in.

Som jurist med en self-serving bias vill jag förstås understryka att i botten ligger trots allt ny lagstiftning och det är väl ändå där man borde ta sin början tycker man. Så, vad är det nu som krävs enligt dataskyddsförordningen? Frågan låter sig knappast besvaras i en artikel. Men här kommer ändå ett försök till crash course med en icke fullständig checklista för företag att kontrollera sig själva mot.

Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler

Liksom det idag gällande dataskyddsdirektivet (som är implementerat i personuppgiftslagen) vilar dataskyddsförordningen på ett antal grundläggande principer som företag måste vidta åtgärder för att följa. Alla företag måste kunna visa att och hur de uppfyller dessa principer, vilket ställer krav på dokumentation.

Behandlar ni personuppgifter lagligt och transparent?
Personuppgifter får bara behandlas om det är lagligt. För att det ska vara lagligt måste företag hitta stöd i dataskyddsförordningen eller annan lag för behandlingen. Personuppgifter får behandlas om den registrerade (ja, den vars personuppgifter behandlas kallas faktiskt så) har samtyckt till behandlingen. De får också behandlas till exempel om det är nödvändigt för att företaget ska kunna fullgöra ett avtal med en kund eller anställd eller för att kunna fullgöra en laglig skyldighet. Personuppgifter kan också få behandlas om företagets intresse att få behandla personuppgifterna väger tyngre än intrånget i den enskildes integritet, en så kallad intresseavvägning.
Kravet på transparens innebär bland annat att de registrerade har rätt att känna till vilka personuppgifter om dem som behandlas. Företag måste därför bland annat se till att informera de registrerade om att deras personuppgifter behandlas och för vilka ändamål, vilka rättigheter de har gentemot företaget och så vidare. Denna information måste lämnas i samband med att personuppgifterna samlas in. Transparenskravet innebär också att de registrerade har rätt att på begäran få registerutdrag, det vill säga information från företag om vilka personuppgifter som behandlas om dem.

Behandlar ni uppgifter för bara begränsade ändamål?
Personuppgifter får vidare bara behandlas för specifikt angivna ändamål som den registrerade har informerats om. Exempel på ändamål är marknadsföring, profilering, kompetensutveckling, fakturering och fullgörande av arbetsrättsliga skyldigheter. Det är exempelvis inte tillåtet för ett företag att ge sig själv rätt att behandla personuppgifter för de ändamål som företaget kommer på från tid till annan.

Ni behandlar väl inte fler personuppgifter än nödvändigt?
Företag får bara behandla de personuppgifter som krävs för att uppfylla det angivna ändamålet. Uppgifterna måste därför vara relevanta och får inte vara fler än nödvändigt. Detta krav innebär ofta en utmaning för företag som vill genomföra omfattande analyser av kunddata – så kallade big data-analyser. Minimalitetskravet sätter här begränsningar för hur omfattande datamängder som får analyseras.

Alla era personuppgifter är förstås korrekta
Företag måste se till att behandlade personuppgifter är korrekta och aktuella. De registrerade har rätt till att företag agerar mot dem på basis av fakta och inte subjektiva uppfattningar eller information som inte längre gäller eller är felaktig på annat sätt.

Ser ni till att gallra bland personuppgifterna?
Företag får inte lagra personuppgifter under längre tid än vad som är nödvändigt för att uppfylla de ändamål för vilka de samlades in. Detta innebär bland annat att företag måste införa processer för att med jämna mellanrum radera uppgifter som inte längre får lagras.

Informationssäkerhet och inbyggt dataskydd är på plats, eller?
Företag måste dessutom implementera såväl tekniska som organisatoriska säkerhetsåtgärder för att skydda personuppgifter som behandlas. Detta medför inte bara krav på traditionellt informationssäkerhetsarbete; genom krav på så kallad inbyggt dataskydd så behöver it-system från början designas för att så att säga i praktiken se till att principerna ovan uppfylls. Dessutom innebär EU:s dataskyddsförordning att företag måste rapportera integritetsincidenter till Datainspektionen och, i allvarliga fall, även till de registrerade själva.

Ni har lagstöd för att skicka uppgifter till andra och utanför EU
Företag måste se till att det skydd som personuppgifterna omfattas av så att säga följer med om personuppgifterna lämnas över till någon annan. Om ett företag anlitar en leverantör av till exempel molntjänster eller något annat företag som behandlar personuppgifter för företagets räkning så krävs att de båda företagen ingår ett skriftligt så kallat personuppgiftsbiträdesavtal som måste uppfylla vissa krav.
Vidare är det som huvudregel förbjudet att överföra personuppgifter till ett land utanför EU, exempelvis USA.
För att en överföring till ett så kallat tredje land ska vara laglig måste företag uppfylla något av de i lag angivna undantagen mot grundförbudet. Företag kan till exempel ingå ett avtal baseras på standardvillkor som EU-kommissionen har utfärdat med företaget eller organisationen utanför EU. Det är även tillåtet att överföra personuppgifter till amerikanska företaget som har registrerat sig i det så kallade Privacy Shield-programmet. Även andra möjliga undantag finns.

Läs också: Realtidsanalys ska hitta det som avviker – men det gäller att förstå vad det är

Ja, det kan faktiskt bli dyrt att inte följa reglerna
Överträdelser av dataskyddsförordningen kan leda till skadeståndskrav och de potentiella sanktionsavgifterna höjs kraftigt. Att inte uppfylla kraven avseende till exempel informationssäkerhet eller upprättande av avtal med personuppgiftsbiträden kan ge sanktioner på upp till två procent av företagets omsättning. Att inte uppfylla kraven på till exempel laglighet, ändamålsbegränsning och uppgiftsminimering kan ge sanktioner på upp till fyra procent av omsättningen.
Sanktionsmekanismerna i dataskyddsförordningen är skrivna så att de gynnar ett proaktivt beteende. Ju mer omfattande åtgärder ett företag har vidtagit för att skydda de registrerades rättigheter, desto lägre kommer sanktionsavgifterna att bli om överträdelser trots allt sker.

Personligen bedömer jag att ingen organisation kommer att hinna med att förbereda sig fullt ut till julafton, det vill säga den 25 maj 2018. Framförallt beror detta på att så många it-system kommer att behöva byggas om för att uppfylla kraven på inbyggt dataskydd. Men mycket går att hinna med, om man börjar i tid.