GDPR Guide! (DIY)

Här går vi igenom HELA GDPR-resan och hjälper er få allt på plats

Svårt att komma igång med GDPR-anpassningen?

Välkommen till vår GDPR-roadmap! Vi har som vision att hjälpa så många som möjligt och det plågsammaste vi vet är de samtal vi får där man hamnat helt fel från början.

Vår förhoppning och ambition med guiden är, som vanligt, att ni ska kunna ta er igenom detta själva (om ni vill), men trots att vi hjälpt hundratals företag på denna resa och har rätt bra koll på vad som brukar fungera bäst vill vi uppmärksamma er på att det alltid finns sådant som är unikt för er, både i form av möjligheter och risker. Så tveka inte att rycka tag i någon av oss i chatten eller kontakta oss för ett samtal eller hjälp på vägen!

1. Inventering!

Genomför ni en bristfällig inventering tar allt efteråt inte bara längre tid utan tappar också mycket av sitt värde. Mer än hälften av all tid går normalt åt här, men allt efterföljande blir både rätt och enkelt om vi gör den här biten ordentligt – så det är väl investerad tid!

Det viktigaste är att inte behandla personuppgifter utan ett tydligt syfte.

När ni identifierat för vilka syften ni behöver personuppgifter, på behandlingsnivå, så blir det snart uppenbart vilka specifika uppgifter som behövs, vem som behöver tillgång och för hur länge. Då faller laglig grund på plats.

Uppgifter som inte används är också en onödig börda och risk, som ni nu får chansen att göra er av med. Se det som en kombination av inventering och vårstädning!

Hur man genomför en lyckad inventering

1. Hitta nyckelpersoner som täcker upp samtliga avdelningar.

Oavsett storlek på din organisation bör du ta hjälp i inventeringsfasen. Både för att se till att ingen hantering av personuppgifter förblir osedd och skapar problem längre fram och för att det ofta blir otacksamt svårt att få igenom de ändringar som kan behöva göras om inte alla fått vara med från början och säga sitt. Här är det viktigt att vara påläst för att kunna bemöta oro för att vissa behandlingar inte ska kunna fortsätta och skapa tillräckligt förtroende för att få uppriktiga och konstruktiva svar under inventeringsfasen. Möjligheterna att använda personuppgifter i er verksamhet har troligen inte minskat, men både GDPR, kunder och omvärld har börjat ställa krav på hur det ska gå till – och detta är ert viktigaste budskap till organisationen i denna fas.

Ni behöver inte stressa över att finna ALLA nyckelpersoner redan nu. Ta tag i de uppenbara och sätt igång med steg 2, så kan ni komplettera med fler intervjupersoner allteftersom bilden av era personuppgiftsbehandlingar växer fram. Gör inte misstaget att fastna på vägen.

2. Inventering av personuppgifts-BEHANDLINGAR.

Vi tar till CAPS här för att markera att GDPR är en lagstiftning över behandlingar och inte system. Gör inte misstaget, som många gör, och skapa ett register över vilka program ni använder. För att ta ett exempel är ert mailprogram ett medel (som för all del är intressant ur säkerhetsperspektiv men inte vad gäller registerföringen) medans behandlingen är ”kommunikation” (i ett visst syfte – exempelvis nyhetsbrev).

Av någon anledning (”syfte”) har ni uppgifter om en eller flera personer med en gemensam nämnare (”kategorier av registrerade” i GDPR-språk). Allt ni gör med information om någon i ett specifikt syfte kallas för en behandling.

Dessa behandlingar måste redovisas i ett register (artikel 30 GDPR), som bland annat beskriver varför uppgifterna behövs och används, hur länge de kommer finnas hos er och vilka ni eventuellt tagit hjälp av, eller sedan överfört uppgifterna till. Ni kommer också behöva stödja varje behandling på en så kallad laglig grund, men stanna inte upp i er inventering om ni inte har denna bit klar för er, det kan behövas en juridisk bedömning som inte går att utföra innan alla andra bitar fallit på plats.

Frågor att ställa under inventeringen

Vi rekommenderar att ni börjar med två frågor, för att inte riskera att fastna i detaljer innan ni målat upp en helhet:

I) Vem har vi personuppgifter om? (exempelvis prospekt; kunder; jobbsökande; anställda…) Även kallat ”Kategorier av registrerade”.

II) För varje kategori av registrerade: För vilka Syften (varför) behöver vi (person)uppgifter, beskrivet på enkelt språk (exempelvis för prospekt: locka till köp; för kunder: upprätthålla och administrera avtal; för jobbsökande: hitta rätt kandidat; för anställda: administrera och betala ut lön, medarbetarsamtal, administrera försäkringar, osv, osv)

När vi fått veta ovanstående blir följdfrågorna, för varje identifierad behandling:

– Vilka personuppgifter som ingår (stäm här av med det formulerade syftet och fråga er om alla uppgifter är nödvändiga eller om några kan uteslutas).

– Var personuppgifterna kommer ifrån och vilka de delas med inom och utom organisationen (och om dessa agerar ensamt eller gemensamt personuppgiftsansvariga eller biträden)

– ”Laglig grund” (det finns sex stycken i GDPR att välja bland och alla har sina möjligheter, fördelar och nackdelar, här vinner ni mycket på att välja rätt laglig grund)

… vilket leder till en lagringstid/retention som sätts baserat på vilken laglig grund som valts och syftet med behandlingen.

Gör om gör rätt

Sitter ni ”fast” i en registerförteckning som känns ostrukturerad, har ni själva eller med hjälp av andra skapat ett register över system och inte behandlingar, eller känns det av andra anledningar som att ni har skapat en massa dokumentation redan men som ni inte vet hur ni ska få någon användning för?

– Det är tyvärr den vanligaste anledningen till att GDPR-arbetet kört fast och inte rör sig framåt. Men oroa er inte, det finns alltid något användbart att hämta ur vad ni än gjort – så länge ni är villiga att göra om och göra rätt! Fråga oss om hjälp, vi vrider och vänder på dessa frågor varje dag.

Vi hjälper er ofta gratis att gå över till GDPR Hero och få över det som går av den inventering som redan skett. Vill ni själva styra upp ett nytt register har vi alltid användbara tips att dela med oss av!

TIPS

Boka en demo av GDPR Hero så får ni konkreta exempel på hur ett välstrukturerat och lättöverskådligt register över behandlingar ser ut och hur det kan användas i inventeringsfasen (och i samtliga faser längre fram).

2. Dokumentation

Tyvärr ser vi ofta att det är här många börjar sin GDPR-resa. Men att ge sig på en personuppgiftspolicy innan inventeringen är gjord är som att författa en bruksanvisning till en bil man inte sett – den kommer inte att fylla sitt syfte.

GDPR ställer, som nämnts ovan, krav på att visa att man följer GDPR.

Både för tillsynsmyndigheten…:

  • register över behandlingar,
  • dokumentation som stödjer att ni besvarat förfrågningar i tid,
  • konsekvensbedömningar,
  • förhandssamråd,
  • interna och externa incidentrapporter.

… och för de ni har uppgifter om (era ”registrerade”):

  • personuppgiftspolicy,
  • cookie policy,
  • information i samband med insamlandet av uppgifter,
  • svar vid förfrågan.
När tillsynsmyndigheten knackar på...

Tillsynsmyndighet i Sverige är Integritetsskyddsmyndigheten (oftast kallad IMY, efter sin förkortning och web-adress).  Varje medlemsstat i EU har en eller flera tillsynsmyndigheter, men principen om ”one-stop-shop” (artikel 56 GDPR) underlättar på så sätt att ni bara behöver vända er till tillsynsmyndigheten i det land ni har ert huvudsakliga verksamhetsställe, som sedan kontaktar berörda tillsynsmyndigheter i andra länder om behandlingen rör dem.

Tillsyn är IMY:s verktyg för att säkerställa efterlevnad av GDPR och sker i regel på ett av två olika sätt – inspektion eller skrivbordstillsyn.

Inspektion

Inspektion innebär att tillsynsobjektets personuppgiftsbehandlingar granskas på plats av IMY. Innan granskningen skickas ett meddelande till berörda parter om tiden för, syftet med, och vilka typer av uppgifter som ska kunna redovisas för under inspektionen. Den faktiska granskningen består sedan i att personer från myndigheten kontrollerar handlingar och IT-system samt ställer frågor till relevanta personer inom organisationen. Inspektionen följs upp med att IMY tillhandahåller ett protokoll med utvärdering av granskningen där det anges om ni uppvisar några brister och vilka åtgärder som beslutats om.

 

Skrivbordstillsyn

Skrivbordstillsyn är en mindre ingripande form av utredning som innebär att IMY skickar ett antal frågor till det aktuella tillsynsobjektet via brev. Efter frågorna besvarats återkommer antingen myndigheten med begäran om kompletterande uppgifter, eller beslutar om åtgärd på samma sätt som vid en inspektion.

 

”Ansvarsskyldigheten i 5.2 GDPR”

Tillsynsmyndigheten kan som en del av sin tillsyn begära ut hela eller delar av ert register över behandlingar, men även kräva bevis på att ni uppfyllt era skyldigheter att informera era registrerade, att svara på förfrågningar och att rutiner funnits på plats innan en incident, som nämnts ovan. Ett uttryck som ofta används av jurister är ”accountability”, vilket låter lite mer coolt än ”ansvarsskyldighet”. Men mer om det i avsnitt 3, nedan.

Dokumentation för era registrerade (kunder, anställda, ...)

Era kunder, anställda, och alla andra som ni behandlar personuppgifter om har i många fall rätt till både tillgång, rättelse och radering av sina personuppgifter – men denna rätt är inte absolut.

Dels kan dessa rättigheter begränsas av att uppgifterna inte går att skilja från uppgifter om någon annan (vars rätt till privatliv måste beaktas) och dels finns det andra regler än GDPR som måste tas i beaktande (exempelvis offentlighets- och sekretesslagen). Tips: kolla in de bloggar vi skrivit på ämnet (Sekretess och rätten till tillgång; Rätten till tillgång – om någon begär ut sina personuppgifter) för en djupare genomgång.

Vissa verksamheter får endast mycket sällan en förfrågan om tillgång eller radering – och då gäller det att först fråga sig om detta kan bero på att man inte kommunicerat denna rättighet och vilka kanaler ni tar emot begäran igenom (detta är en av era skyldigheter enligt GDPR). Något ni inte vill vara med om är att en registrerad inte finner information och/eller en kontaktväg till er och går direkt till tillsynsmyndigheten – då blir det kanske fel både vad gäller den information ni lämnat och den behandling som klagan gäller och som ni inte först fått en chans att förklara för den registrerade.

Förutom en skyldighet att informera om de registrerades rättigheter har ni en månad på er att besvara en inkommen förfrågan (som minst med en ursäkt för varför det tar längre). Tänk på att också redovisa hur och när ni besvarat en förfrågan, vi ser en hel del tillsyn där ansvarsskyldigheten och redovisningen av detta tagits upp extra tydligt.

Information ska som minst ske genom en lättillgänglig och lättläst personuppgiftspolicy eller liknande och (som huvudregel) som senast vid insamlandet av uppgifterna.

Det viktigaste att tänka på i denna del är att kravet i GDPR är målstyrt och att de medel ni använder inte i sig själva är tillräckliga. Om ni inte kan göra det lätt och sannolikt att informationen når fram så har ni inte uppfyllt er informationsskyldighet.

TIPS

Det är lätt att fasta i tänket om att ”vi har en skyldighet att hjälpa…”.

Försök istället tänka på hur positivt det här kommer uppfattas av era kunder och anställda. ”Vi ser fram emot att svara på dina frågor, GDPR stämmer väl in på våra värderingar och dina personuppgifter är i trygga händer hos oss” kommer ni längre med.

Varför inte spela in en video där ni går igenom de vanligaste behandlingarna som ett komplement till er policy? Hör av er så hjälper vi er gärna med att tänka lite utanför den ofta något tråkiga jurist-boxen! Visste ni förresten att vi har en egen filmstudio?

3. Styrning och rutiner

Inventering och register ska spegla verkligheten men inte styra den, på samma sätt som er externa bokföring visar på var pengarna faktiskt finns men inte vad ni önskar att ni hade. Därför kan både dataskyddsombud och externa aktörer sköta den åt er.

För att styra era personuppgiftsbehandlingar och visa på att ni uppnår både organisatorisk och teknisk säkerhet behöver ni komplettera med andra verktyg.

Playbooks (per avdelning)

Ett bra hjälpmedel för att omsätta era planerade behandlingar i praktiken och för att hålla era kollegor uppdaterade är att skapa skräddarsydda handböcker per avdelning. Dessa kommer se mycket olika ut och vara mer utförliga för avdelningar som hanterar mycket personuppgifter, men gemensamt för alla personer som arbetar hos er (och alltså alla playbooks) är behovet av tillgång till:

  • Information om den personuppgiftsbehandling som förväntas försiggå på respektive avdelning (och dess yttre gränser), tillsammans med gallringsrutiner, rutiner och funktioner för att informera de som berörs (registrerade) och svar på de vanligaste frågorna inom respektive område
  • Rutiner för att svara på förfrågningar om tillgång, radering och andra rättigheter (se avdelningen nedan)
  • Rutiner och eskaleringsinstruktioner för att rapportera incidenter
  • Information om behovet av och hur de kontaktar den hos er som ansvarar för att genomföra konsekevensbedömningar innan påbörjande av nya behandlingar (exempelvis nya system som köps in)
  • Beskrivning om var ytterligare information finns och vem de ska vända sig till vid frågor.
Rätten till tillgång och radering, incidenthantering, mm.

Se över hur ni hanterar begäran (tillgång, radering, rättelse, osv) från kunder och anställda (”registrerade”) samt information i samband med svar på begäran, tidsgränser för svar och hur ni redovisar mottagna och hanterade ärenden för att uppfylla accountability-kraven i GDPR. Skapa och kommunicera rutiner för att ta emot, besvara och redovisa begäranden som inkommer. Vid klagomål och tillsyn från IMY kommer första frågan vara hur ni agerat och då bör ni ha detta redovisat och klart.

En viktig nyhet med GDPR är just kravet på att ni inte bara ska göra rätt utan också kunna (be)visa att ni agerat enligt GDPR.

Glöm inte att när ni stödjer en behandling på någons samtycke så måste ni informera lite extra, skapa en möjlighet för den registrerade att ta tillbaka samtycket lika lätt som den gav det, och kunna visa på detta. Det får inte heller finnas någon otydlighet om huruvida samma uppgifter kommer fortsätta användas i andra syften efter ett eventuellt återtagande av samtycket.

Hantering av nya leverantörer och behandlingar

Skapa rutiner för att granska nya leverantörer och för varje gång personuppgifter samlas in för nya syften eller i gamla syften men med fler uppgifter. Ni behöver också sätta upp ett arbetssätt kring så kallade konsekvensbedömningar (ofta kallade DPIA efter deras engelska förkortning). Detta är också något som måste kunna visas upp vid förfrågan från tillsynsmyndigheten. I de fall konsekvensbedömningen leder till en bedömning om att behandlingen/systemet innebär en viss risk måste så kallat förhandssamråd påbörjas med tillsynsmyndigheten (detta var en av frågorna i den pågående tillsyn som nu inletts mot 100+ europeiska företag gällande användandet av Google Analytics: varför ingen DPIA genomförts?).

Fördelning av personuppgiftsansvar inom en koncern

Ibland samarbetar samägda bolag även vad gäller sin personuppgiftshantering. Det kan röra sig om allt från lönehantering till sälj- och ERP-system. Då är det viktigt att tydligt både styra och visa hur ansvaret fördelas i praktiken. En koncernpolicy är här ett bra verktyg för att internt  kommunicera (och vid behov externt visa) hur ni fångar upp alla skyldigheter under GDPR och att inget faller mellan stolarna.

TIPS

Om du är GDPR Hero-kund så fråga efter vår modul för Konsekvensbedömningar och missa inte heller våra webinarier kring dokumentation och styrning.

Ni kan också redovisa hur ni uppfyllt rätten till tillgång och radering i meny 7 (och hantera ärenden löpande).

4. Utbildning

Även den bästa plan och dokumentation kan vara bortkastad om de som arbetar i verksamheten inte fått chansen att ta till sig materialet och ställa frågor.

Boka in en utbildning för ledningsgruppen, nyckelpersoner och resten av personalen, för att undanröja och besvara frågor som riskerar att fördröja processen och skapa onödig friktion.

Grundutbildning skapar trygghet

Det finns ett stort utbud av GDPR-utbildningar och även om man oftast går något klokare ifrån en utbildning finns det ett par saker vi rekommenderar att fokusera på, för att fånga upp helheten:

 

  • Inled med GDPR:s betydelse och påverkan på just er verksamhet, samt information om att ni behöver upprätthålla ett register, kunna svara på förfrågningar, planera och informera om nya behandlingar, utföra konsekvensbedömningar och reagera snabbt vid incidenter.
  • Gå sedan igenom teorin kring var och en av dessa moment, tillsammans med GDPR:s principer (laglighet, korrekthet, öppenhet, uppgiftsminimering, lagringsminimering, integritet och konfidentialitet). Ni kan aldrig täcka in alla tänkbara juridiska avvägningar som er verksamhet kan ställas inför, så principerna tillsammans med en lättgriplig teoretisk bakgrund skapar den bästa förutsättningen för att agera rätt i en oväntad situation.
  • Inkludera gärna praktiska moment. Exempelvis att svara på en förfrågan om radering, författa en incidentrapport, och redovisa en ny personuppgiftsbehandling i ert register över behandlingar.

En stark rekommendation är att uppmuntra frågor under utbildningens gång, för många begrepp i GDPR kan verka främmande men är mycket lätta att greppa med några kompletterande och förklarande ord.

Håll er uppdaterade!

GDPR är författad för att gälla alla organisationer oavsett verksamhet och oavsett hur den tekniska utvecklingen rör sig. Vi har därför mycket tolkning framför oss i de enskilda fallen och de olika tillsynsmyndigheterna spelar också en viktig roll i att driva utvecklingen framåt genom att höja ribban för vad som bör finnas på plats. Ett avgörande i EU-domstolen blir i praktiken gällande rätt så fort domen avkunnats och vi såg ett bra exempel på detta under sommaren 2020, då fallet Schrems II kraftigt skärpte kraven vid användande av leverantörer i USA och annat tredje land.

Håll er därför uppdaterade och se till att hitta kanaler för att få ut informationen på ett bra sätt i organisationen.

Tänk på att även nya medarbetare måste sättas in i GDPR:s regler och få veta vad som gäller i just er organisation. Ett tips är att skapa uppsamlingstillfällen en eller ett par gånger per år, där både nya och gamla kollegor får en chans ta till sig nya – och dela upplevda – erfarenheter kring GDPR.

TIPS

Vår ”Alert-service” är gratis även för icke-kunder och ett bra sätt att hålla sig uppdaterad!

Förutom skräddarsydda utbildningar erbjuder vi utbildningar i grupp för privat och offentlig sektor. Kontakta oss om du vill veta mer om vilka utbildningar som planerats nära dig.

5. Löpande fortsatt arbete enligt en riskbaserad metod

När ovanstående, obligatoriska, moment genomförts förespråkar GDPR en så kallad ”risk-baserad metod”. Med risk avses här risk för de registrerade och inte affärsmässig risk eller risk för tillsyn och klagomål, även om dessa så klart hänger ihop och kommer styra era interna prioriteringar, av naturliga skäl. Uppgiften är helt enkelt att löpande mäta och utvärdera de största riskerna och prioritera dessa områden. Kanske blir resultatet att ni omförhandlar ett avtal med en leverantör eller genomför en utbildning där ni sett flest fel uppstå med urpsrung i den mänskliga faktorn.

Det löpande arbetet ska även inkludera en bevakning över att registerförteckningen hålls uppdaterad, att leverantörer håller sina åtaganden, att kunders förfrågningar svaras på inom tidsfristerna, att incidenter både upptäcks, redovisas och hanteras i tid, att varje ny behandling föregås av en DPIA och rätt avtal, osv.

Självskattning och uppföljning

En av de vanligaste (och viktigaste, för att hålla projekten levande,) frågorna vi får är ”hur vet vi hur långt vi kommit och hur vi ligger till med vårt GDPR-arbete?”

Svaret är en förutsättning för att kunna lägga energi (tid) och resurser (budget) där det mest behövs och extra viktigt inom områden som GDPR, där man lätt kan lägga stora resurser på sådant som inte bör prioriteras eller i värsta fall aldrig kommer användas eller vara till nytta.

 Här brukar vi skräddarsy ett resultatark med följande rubriker:

  • Ledarskap och översyn
  • Policy och rutiner
  • Utbildning/träning och medvetenhet
  • Individens rättigheter
  • Informationsplikt
  • Registerföring och laglig grund
  • Delade personuppgifter och avtal
  • Riskhantering och konsekvensbedömningar
  • Accesshantering och tillgänglighet
  • Incidenthantering och övervakning

För varje kategori ställs frågor där svaret ger en nuvarande mognadsgrad om:

  1. Obefintlig
  2. Ad Hoc (varje person eller avdelning tar sina egna, någorlunda informerade, beslut från fall till fall)
  3. Upprepbar (konsekvent hantering av liknande situationer)
  4. Dokumenterad (påvisbara rutiner)
  5. Förvaltad (nivån mäts regelbundet och förbättringar genomförs utefter lärdomar)
  6. Optimal/Best in class

För varje fråga sätts sedan även ett mål (exempelvis att gå från 2->3 i en fråga), sätter en ansvarig för genomförandet och en deadline.

Interna och externa audits

Det finns krav enligt GDPR på att löpande utvärdera och till och med köra ”audits” mot leverantörer. Rent praktiskt räcker det idag ofta gott (för normala behandlingar där det inte finns anledning att misstro leverantören i fråga) att efterfråga, eller hämta, upp och dokumentera de audits som leverantörerna själva genomfört och föra det till dokumentationen.

Agerar ni personuppgiftsbiträde, eller underbiträde, är det dock viktigt att vara förberedd på en inspektion (och att korrekt reglera detta i era biträdesavtal). Ofta vill man också själv genomföra audits och göra dessa tillgängliga för sina kunder, för att förekomma frågor och minska anledningen (och behov) för kunderna att själv skicka ut inspektörer eller ställa oförberedda frågor.

Vi genomför regelbundet interna audits åt våra kunder (att ta in en tredje part, som exempelvis GDPR Hero, är i stort sett obligatoriskt för att kunna visa på opartiskhet i bedömningen – samtidigt som ny kunskap och insikter tillförs organisationen).

Glömt inte att också kontrollera era underleverantörer (underbiträden åt era kunder)!

TIPS

Att tillsätta ett dataskyddsombud kan vara ett krav på er verksamhet som ni måste undersöka. Men oavsett om det är ett krav eller inte är det ett bra sätt för större organisationer att skapa en buffert mellan er och tillsynsmyndigheten – samtidigt som det skapar trygghet för er och era kunder.

Relevanta blogginlägg för mer inspo!

Dataskyddsombud

Share This