GDPR - många lever inte upp till kraven och varnas

Dataskyddsförordningen gäller all behandling av personuppgifter. Varje upplysning som direkt eller indirekt kan kopplas till en individ är en personuppgift. Begreppet är vidare än vad man kan tro vid en första anblick. Se även vår tidigare artikel om GDPR. Några exempel på personuppgifter är mejladresser, kontokortsnummer, IP-adresser och fingeravtryck.

Ett av kraven i dataskyddsförordningen, som gäller i hela EU sedan 25 maj 2018, är att myndigheter och företag som behandlar mycket personuppgifter ska utse och anmäla ett dataskyddsombud. Ombudet ska kontrollera att organisationen följer bestämmelser och producera interna styrdokument om dataskyddsfrågor, samt informera och ge råd internt.

– Dataskyddsombud är en viktig funktion för skyddet av den personliga integriteten. Att det finns en person som fungerar som en slags internrevisor och hjälper verksamheten att följa GDPR, och är en kontaktpunkt för de registrerade att få hjälp och utöva sina rättigheter, säger Jonas Agnvall, projektledare på Datainspektionen.

Datainspektionen har nu granskat ett stort antal myndigheter och företag – däribland 41 banker, 50 försäkringsbolag, 9 kollektivtrafikföretag, 8 teleoperatörer, 51 fackförbund och 10 vårdgivare – för att se om de anmält något ombud. Närmare en fjärdedel av fackförbunden och varannan teleoperatör levde inte upp till kravet. – Det som är positivt är att majoriteten – runt 85 procent – har utsett och anmält dataskyddsombud i tid, säger Jonas Agnvall.

15 procent levde alltså inte upp till vad som kan låta som ett ganska enkelt krav att uppfylla, och fick ta emot reprimander av Datainspektionen. Vad kan det bero på?

– De främsta anledningarna är nog att det är en ny lagstiftning samt att vissa trott att om man anmält personuppgiftsombud så övergår dessa automatiskt till att bli dataskyddsombud, säger Jonas Agnvall.

– Dataskyddsombud är nytt för Sverige, men i till exempel Tyskland har befattningen funnits i över tjugo år. Även om man inte behöver eller vill utse ett dataskyddsombud bör någon person tilldelas ansvaret för integritetsfrågor. En intressant observation är att det finns stora skillnader mellan olika länder ifråga om krav för att anmäla dataskyddsombud till tillsynsmyndigheterna, säger Jennie Nilsson, ansvarig för IT- och dataskyddsfrågor på advokatbyrån Baker McKenzie.

I rollen som dataskyddsombud har man inget personligt ansvar för att organisationen följer GDPR. Personuppgiftsansvarig får heller inte bestraffa dataskyddsombudet för att ha utfört sina arbetsuppgifter, vilket ger denne en stark självständig ställning.

– Många organisationer drar sig kanske för att inrätta en ny roll som hamnar högt upp i organisationen, som ska verka fritt och vara skyddad i sin granskande roll, resonerar Emil Rimling, dataskyddsombud på Svea Ekonomi.

Lätt blanda ihop begrepp

GDPR använder många snarlika begrepp, varav vissa förekom redan i den tidigare personuppgiftslagen, PuL. Begrepp som dataskyddsombud, personuppgiftsansvarig och personuppgiftsbiträde är lätta att blanda ihop, menar Emil Rimling.

– Det är till exempel lätt att tro att ”personuppgiftsansvarig” syftar på en person. Men begreppet syftar på företaget som ytterst samlar in och hanterar uppgifterna, och inte någon anställd.

Vad är skillnaden mellan personuppgiftsansvarig och -biträde?

– Den personuppgiftsansvarige är juridiskt ansvarig inför den kund vars uppgifter hämtas in. Ansvaret innebär att avgöra hur uppgifterna får användas, inklusive vad som får delas med andra, och för att se till att uppgifterna gallras när de inte längre behövs. Biträdet har ingen rätt att bestämma när behandlingen inleds och upphör utan agerar som den personuppgiftsansvariges förlängda arm. Biträdets behandling av personuppgifter regleras av det personuppgiftsbiträdesavtal som ska finnas mellan personuppgiftsansvarig och personuppgiftsbiträdet.

Typiskt sett är en leverantör personuppgiftsbiträde och dess kund är personuppgiftsansvarig. Jennie Nilsson tycker dock att det ofta är långt ifrån självklart vilken roll en leverantör har.

– Av någon anledning tycks antalet leverantörer som anser sig vara personuppgiftsansvariga ha ökat i samband med att GDPR trädde ikraft. Det kan handla om leverantörer som står under någon form av tillsyn såsom leasingföretag, advokatbyråer och inkassobolag eller andra leverantörer som själva bestämmer hur behandlingen sker såsom sociala medie-företag och rekryteringsföretag. I dessa fall ska inte personuppgiftsbiträdesavtal tecknas, men villkoren för hur personuppgifter behandlas behöver ändå regleras i avtal. Som företag behöver man kunna visa att man valt sin leverantör med omsorg oavsett vilken av hattarna leverantören väljer att ta på sig. Det är positivt att Datainspektionen avser att klargöra gränsdragningen mellan de olika rollerna.

Vad är kärnverksamhet?

Ett annat begrepp i GDPR som är öppet för tolkningar är ”kärnverksamhet”. Förordningen kräver att alla företag som har som ”kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer och/eller behandla känsliga personuppgifter i stor omfattning” ska anmäla ett dataskyddsombud.

Det är nog få organisationer som ser som sin främsta uppgift att övervaka och registrera individer. Men alla företag har en kundbas, som kan vara mycket stor när det handlar om teleoperatörer och banker. Och vem man ringer, vad och var man handlar, vilka internetsidor man har besökt och var man befunnit sig enligt geodata, kan vara ”känsliga personuppgifter”.

Här är det den personliga integriteten på områden som politisk och religiös tillhörighet, sexuell läggning samt hälsouppgifter och liknande som står i centrum, förklarar Emil Rimling,

– Rätten till privatliv uttrycks i den Europeiska konventionen om skydd för de mänskliga rättigheterna. Beroende på vilken tjänst du köper får leverantören tillgång till data som skulle kunna vara känsliga eller integritetskränkande i fel händer – om man till exempel har ringt kvinnojouren, betalt medlemsavgift till fackförbund eller politiskt parti eller kanske medlemsavgift på en dejtingsajt.

Personnummer är normalt inte en känslig uppgift enligt GDPR, även om personnummer bara får behandlas när det är klart motiverat. – Att någon känner till ditt personnummer anses inte integritetskränkande, men kan förstås leda till andra problem som ID-kapning och bedrägerier. Därför jobbar vi på Svea Ekonomi hårt för att motverka bedrägerier i samband med e-handel genom vårt system Fraud Lab som använder artificiell intelligens, AI, för att identifiera misstänkta bedrägerier.

– Det finns fortfarande företag som är osäkra på ifall de behöver utse dataskyddsombud eller inte och det är viktigt att komma ihåg att skyldighet att utse dataskyddsombud kan triggas ifall verksamheten ändras och man börjar behandla personuppgifter i större omfattning, säger Jennie Nilsson.

Incidentrapportering väcker frågor

”Personuppgiftsincident” är ett annat begrepp inom GDPR som väcker frågor ute på företagen. En sådan inträffar om uppgifter om en eller flera registrerade personer har blivit förstörda, gått förlorade eller kommit i orätta händer, av misstag eller med avsikt. Och om händelsen kan innebära risker för människors friheter och rättigheter. Incidenter måste anmälas inom 72 timmar till Datainspektionen.

Men, vad är egentligen en incident? Att man tappat sin jobbmobil eller utsatts för hackning?

–Väldigt ofta handlar det om att man mejlat för mycket eller fel information till människor. Man cc:ar på fel sätt och röjer därmed alla mottagare av ett visst mejl, säger Emil Rimling och menar att många företag överrapporterar vad de tror är incidenter.

– De flesta försöker göra rätt. Och ser man bara till att lösenordsskydda sina enheter och kryptera innehållet ska det inte innebära någon incident att förlora hårdvara, då man vidtagit skyddsåtgärder för att minimera risken för att information kommer i orätta händer.

Allt som anmäls till Datainspektionen blir offentlig handling. Och ett företag som varit ovarsam med personuppgifter kan snabbt få dåligt rykte.

– Samtidigt är det viktigt att komma ihåg att även företag som är aktsamma kan drabbas av personuppgiftsincidenter, säger Jennie Nilsson.

Samtycke på agendan

Datainspektionens nästa granskning kommer att handla om samtycke/consent, det vill säga hur företagen jobbar med att säkra kundernas medgivande till att data om dem lagras. Kundklubbar och företag som sysslar med marknadsföring i stor skala är några av de som kommer att beröras. Hur ska man då agera för att på rätt sätt begära in consent? – Du måste säkra medgivandet innan databehandlingen börjar. Det ska vara kopplat till ett tydligt syfte och får inte vara standardklausuler som är för generella eller övergripande, säger Emil Rimling.

Jennie Nilsson tror att ordet "samtycke" klingar positivt för många:

– Enligt min uppfattning är det dock ganska knöligt att använda eftersom det krävs mycket för att det ska vara giltigt enligt GDPR. Finns det någon annan grund för att motivera behandling av personuppgifter är det oftast enklare att använda den. För egen del hoppas jag på klargörande kring hur kraven på samtycke ska hanteras i praktiken för adtech-industrin.

Överträdelser av dataskyddsförordningen kan leda till att din organisation måste betala sanktionsavgifter på upp till 20 miljoner euro eller 4 procent av er globala omsättning.

Läs mer om kommande granskningar på Datainspektionens webbplats.

GDPR i korthet

Måste ni ha ett dataskyddsombud?

Ja, om ni svarar ja på någon av de här tre frågorna:

1. Är ni en myndighet eller en folkvald församling, det vill säga ett offentligt organ?
2. Har ni som kärnverksamhet* att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer?
3. Har ni som kärnverksamhet att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning?

*Kärnverksamhet är den nödvändiga centrala verksamhet som en organisation utför för att uppfylla sina mål".

Personuppgiftsansvarig är den organisation (till exempel aktiebolag, stiftelse, förening eller myndighet) som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Även en fysisk person kan vara personuppgiftsansvarig vilket till exempel är fallet för enskilda firmor.

Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation, men det kan vara ett koncernbolag. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.

Vad är personuppgiftsincidenter?

En säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. Exempel:

• diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning
• finansiell förlust
• brott mot sekretess eller tystnadsplikt.

En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har

• blivit förstörda
• gått förlorade på annat sätt
• kommit i orätta händer.

Det spelar ingen roll om det har skett oavsiktligt eller med avsikt.

Källa: Datainspektionen