Viktiga frågor om GDPR

Huvudsyftet med GDPR är att stärka integritetsskyddet för fysiska personer. I dagens samhälle finns mycket information om enskilda individer och GDPR syftar till att skapa bättre kontroll och stärkta rättigheter till hur information används. Det handlar även om att underlätta handel inom EU eftersom den lagstiftning som föregår GDPR innebär att personuppgifter får hanteras olika mellan länderna och det är kostsamt. Genom en mera enhetlig lagstiftning blir hanteringen mer lik och därmed enklare och billigare. Dessutom handlar det om att modernisera regelverken med hänsyn till den snabba utvecklingen av internet och sociala medier.

GDPR-arbetet är en process med flera underliggande steg och delprocesser:

– Initiera, för att göra alla medarbetare medvetna om de nya kraven

– Analysera, för att kartlägga hur byrån gör idag

– Planera, för att utforma en plan för vad byrån måste göra

– Agera, för att börja tillämpa ett nytt arbetssätt

– Verifiera, för att kontrollera att byrån uppfyller de nya kraven

Processen börjar med att se till att göra organisationen och ledningen för byrån medvetna om vad GDPR innebär och vad som kommer att behöva göras. Beroende på storlek på byrån och vilka resurser som finns att tillgå så kommer det att se olika ut. En bra start är att göra Srf konsulternas självtest och ta till sig informationen på  www.srfkonsult.se/gdpr. Kopplat till självtestet finns även en första checklista.

GDPR handlar om att ha bra rutiner för hanteringen av personuppgifter, där arbete enligt Rex är en bra utgångspunkt med uppdragsavtal och byrårutiner. Att göra en nulägesanalys av var och hur samt med vilket syfte byrån lagrar personuppgifter tydliggör var och vilka åtgärder som behövs.

När personuppgifter hanteras krävs det enligt GDPR ett särskilt avtal mellan byrån och uppdragsgivaren, ett personuppgiftsbiträdesavtal. Avtalet ska vara skriftligt och ska reglera hur behandlingen av personuppgifter ska ske.

Srf konsulternas avtalsmall är anpassad till verksamheten på en byrå och finns under Dokumentmallar/Srf Byråstöd på Mina sidor på Srf konsulternas webbplats. Det innebär i normalfallet att inga förändringar behöver göras mer än att komplettera mallen med namn på byrån samt på respektive uppdragsgivare, samt underskrifter.

Ansvaret för behandlingen av personuppgifter ligger alltid på den som är personuppgiftsansvarig, vilket är den som bestämmer vilka uppgifter som behandlas och vad de ska användas till. Sedan finns ett personuppgiftsbiträde som behandlar personuppgifter för den personuppgiftsansvariges räkning.

För en byrå innebär det att i förhållandet till en kund så är byrån personuppgiftsbiträde och kunden är personuppgiftsansvarig. Behandling av personuppgifter som personuppgiftsbiträde, kräver ett särskilt personuppgiftsbiträdesavtal enligt GDPR.

GDPR är en EU-förordning som har företräde gentemot de flesta andra lagar. Den ska införas utan förändringar som svensk lag och ersätter personuppgiftslagen som upphävs samtidigt som GDPR träder i kraft. Men vissa typer av personuppgiftsbehandling kan krävas för att uppfylla andra lagar och avtal, t ex om det i en nationell lag finns en skyldighet att behandla personuppgifter så går den lagen före. För svensk del innebär det till exempel att hänsyn måste tas till bokföringslagen och lagen om åtgärder mot penningtvätt och finansiering av terrorism, som styr hur länge information ska sparas även om det ingår personuppgifter.

En personuppgift är en uppgift som direkt eller indirekt kan identifiera en person. Förutom namn och personnummer kan det till exempel vara en mejladress, en ip-adress, ett bilregistreringsnummer eller ett foto.

Det ska finnas en laglig grund för behandling, en så kallad rättslig grund, vilket innebär att det ska finnas ett överenskommet syfte eller krav från annat regelverk att behandla personuppgifter. Ett uppdragsavtal beskriver omfattningen av vad uppdragsgivaren har gett en byrå i uppdrag att utföra. Det finns därmed en rättslig grund i form av avtal enligt GDPR. Ett annat exempel är anställningsavtal, där krävs en viss behandling av personuppgifter för att kunna uppfylla vad som är överenskommet där, till exempel att betala ut lön. Ytterligare exempel på rättsliga grunder kan vara samtycke från den registrerade eller kravet på identitetskontroll enligt lagen om penningtvätt.

Det är dock viktigt att notera att även om det finns rättslig grund för behandlingen av personuppgifter så krävs det att byrån har ett personuppgiftsbiträdesavtal med alla sina kunder.

Uppgifter eller information om något, oftast i samband med mätningar eller rapportering, exempelvis personuppgifter.
GDPR omfattar personuppgifter i löpande text i ordbehandlingsprogram, löpande text på internet, ljud- och bildupptagningar, e-post och enkla listor.

Hanteringen av känsligt data skärps när GDPR medför att dataskydd är standard och kravet på att känsliga data alltid ska krypteras. Detta kallas också Privacy by default.

Begreppet “behandlas” är brett, det omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera. GDPR innebär att behandlingen bara får ske i samtycke och uppgifterna får inte användas för något annat är vad individen gett sitt samtycke till.

Integritetsskyddsmyndigheten (IMY) kan utfärda böter, administrativa sanktioner, till företag och myndigheter om reglerna inte efterlevs. Det kan bli dyrt, upp till fyra procent av organisationens omsättning. Eller 20 miljoner euro om organisationen inte är ett företag.

Ja, personuppgiftsbiträdesavtal ska finnas som tillägg till alla uppdragsavtal.

Srf konsulternas avtalsmall är anpassad till verksamheten på en byrå och finns under Dokumentmallar/Srf Byråstöd på Mina sidor på Srf konsulternas webbplats. Det innebär i normalfallet att inga förändringar behöver göras mer än att komplettera mallen med namn på byrån samt på respektive uppdragsgivare, samt underskrifter.

Detta kan räcka för info om era GDPR-rutiner och t ex vilka underbiträden byrån använder (Fortnox, Hogia mm), men biträdesavtalen måste finnas för alla/var och en och detta framgår även av dataskyddsförordningen.

GDPR avser enbart personuppgifter om fysiska personer, vilket teoretiskt sett innebär att något biträdesavtal inte skulle behövas för ett holdingbolag, men det ingår nästan alltid personuppgifter i behandlingen genom att bolaget har styrelseledamöter, betalar ut utdelning, har ansvariga kontaktpersoner mm, så rekommendationen är att ha biträdesavtalet med alla för att fullt ut följa regelverket.

Kunden är alltid personuppgiftsansvarig, och ett syfte med avtalet är att tydliggöra just detta samt att byrån bara är ett biträde. Om det saknas avtal och en incident skulle uppstå kan det finnas risk att ansvaret blir oklart om vem som har vilken roll (ansvarig resp biträde) så det rekommenderas att se till att kunden skriver på.

GDPR anser att öppen vanlig epost är otillförlitlig för personuppgifter, och därför krävs krypterad e-post eller motsvarande som kräver lösenord, t ex dropbox.

E-post anses inte vara en säker kommunikationskanal, säkerhetsexperter jämför säkerhetsnivån med ett vykort. Så svaret är egentligen nej. Det finns möjligheter att säkra upp sin mejl-server, man kan kryptera dokument men det kräver att en IT- expert har sett över de förutsättningar som gäller för den egna organisationen och mottagare. Ingen rekommenderar idag att skicka lönespec via e-post. Det gäller alltså att se över alternativen.

Läs mer här https://tidningenkonsulten.se/artiklar/gdpr-och-lonespec/