Roadmap – en guide för ert GDPR-arbete

1. Hitta nyckelpersoner som täcker upp samtliga avdelningar.

Oavsett storlek på din organisation bör du ta hjälp i inventeringsfasen. Både för att se till att ingen hantering av personuppgifter förblir osedd och skapar problem längre fram och för att det ofta blir otacksamt svårt att få igenom de ändringar som kan behöva göras om inte alla fått vara med från början och säga sitt. Här är det viktigt att vara påläst för att kunna bemöta oro för att vissa behandlingar inte ska kunna fortsätta och skapa tillräckligt förtroende för att få uppriktiga och konstruktiva svar under inventeringsfasen. Möjligheterna att använda personuppgifter i er verksamhet har troligen inte minskat, men både GDPR, kunder och omvärld har börjat ställa krav på hur det ska gå till – och detta är ert viktigaste budskap till organisationen i denna fas.

Ni behöver inte stressa över att finna ALLA nyckelpersoner redan nu. Ta tag i de uppenbara och sätt igång med steg 2, så kan ni komplettera med fler intervjupersoner allteftersom bilden av era personuppgiftsbehandlingar växer fram. Gör inte misstaget att fastna på vägen.

2. Inventering av personuppgifts-BEHANDLINGAR.

Vi tar till CAPS här för att markera att GDPR är en lagstiftning över behandlingar och inte system. Gör inte misstaget, som många gör, och skapa ett register över vilka program ni använder. För att ta ett exempel är ert mailprogram ett medel (som för all del är intressant ur säkerhetsperspektiv men inte vad gäller registerföringen) medans behandlingen är ”kommunikation” (i ett visst syfte – exempelvis nyhetsbrev).

Av någon anledning (”syfte”) har ni uppgifter om en eller flera personer med en gemensam nämnare (”kategorier av registrerade” i GDPR-språk). Allt ni gör med information om någon i ett specifikt syfte kallas för en behandling.

Dessa behandlingar måste redovisas i ett register (artikel 30 GDPR), som bland annat beskriver varför uppgifterna behövs och används, hur länge de kommer finnas hos er och vilka ni eventuellt tagit hjälp av, eller sedan överfört uppgifterna till. Ni kommer också behöva stödja varje behandling på en så kallad laglig grund, men stanna inte upp i er inventering om ni inte har denna bit klar för er, det kan behövas en juridisk bedömning som inte går att utföra innan alla andra bitar fallit på plats.

Vi rekommenderar att ni börjar med två frågor, för att inte riskera att fastna i detaljer innan ni målat upp en helhet:

I) Vem har vi personuppgifter om? (exempelvis prospekt; kunder; jobbsökande; anställda…) Även kallat ”Kategorier av registrerade”.

II) För varje kategori av registrerade: För vilka Syften (varför) behöver vi (person)uppgifter, beskrivet på enkelt språk (exempelvis för prospekt: locka till köp; för kunder: upprätthålla och administrera avtal; för jobbsökande: hitta rätt kandidat; för anställda: administrera och betala ut lön, medarbetarsamtal, administrera försäkringar, osv, osv)

När vi fått veta ovanstående blir följdfrågorna, för varje identifierad behandling:

– Vilka personuppgifter som ingår (stäm här av med det formulerade syftet och fråga er om alla uppgifter är nödvändiga eller om några kan uteslutas).

– Var personuppgifterna kommer ifrån och vilka de delas med inom och utom organisationen (och om dessa agerar ensamt eller gemensamt personuppgiftsansvariga eller biträden)

– ”Laglig grund” (det finns sex stycken i GDPR att välja bland och alla har sina möjligheter, fördelar och nackdelar, här vinner ni mycket på att välja rätt laglig grund)

… vilket leder till en lagringstid/retention som sätts baserat på vilken laglig grund som valts och syftet med behandlingen.

Sitter ni ”fast” i en registerförteckning som känns ostrukturerad, har ni själva eller med hjälp av andra skapat ett register över system och inte behandlingar, eller känns det av andra anledningar som att ni har skapat en massa dokumentation redan men som ni inte vet hur ni ska få någon användning för?

– Det är tyvärr den vanligaste anledningen till att GDPR-arbetet kört fast och inte rör sig framåt. Men oroa er inte, det finns alltid något användbart att hämta ur vad ni än gjort – så länge ni är villiga att göra om och göra rätt! Fråga oss om hjälp, vi vrider och vänder på dessa frågor varje dag.

Vi hjälper er ofta gratis att gå över till GDPR Hero och få över det som går av den inventering som redan skett. Vill ni själva styra upp ett nytt register har vi alltid användbara tips att dela med oss av!

Tillsynsmyndighet i Sverige är Integritetsskyddsmyndigheten (oftast kallad IMY, efter sin förkortning och web-adress).  Varje medlemsstat i EU har en eller flera tillsynsmyndigheter, men principen om ”one-stop-shop” (artikel 56 GDPR) underlättar på så sätt att ni bara behöver vända er till tillsynsmyndigheten i det land ni har ert huvudsakliga verksamhetsställe, som sedan kontaktar berörda tillsynsmyndigheter i andra länder om behandlingen rör dem.

Tillsyn är IMY:s verktyg för att säkerställa efterlevnad av GDPR och sker i regel på ett av två olika sätt – inspektion eller skrivbordstillsyn.

Inspektion

Inspektion innebär att tillsynsobjektets personuppgiftsbehandlingar granskas på plats av IMY. Innan granskningen skickas ett meddelande till berörda parter om tiden för, syftet med, och vilka typer av uppgifter som ska kunna redovisas för under inspektionen. Den faktiska granskningen består sedan i att personer från myndigheten kontrollerar handlingar och IT-system samt ställer frågor till relevanta personer inom organisationen. Inspektionen följs upp med att IMY tillhandahåller ett protokoll med utvärdering av granskningen där det anges om ni uppvisar några brister och vilka åtgärder som beslutats om.

Skrivbordstillsyn

Skrivbordstillsyn är en mindre ingripande form av utredning som innebär att IMY skickar ett antal frågor till det aktuella tillsynsobjektet via brev. Efter frågorna besvarats återkommer antingen myndigheten med begäran om kompletterande uppgifter, eller beslutar om åtgärd på samma sätt som vid en inspektion.

”Ansvarsskyldigheten i 5.2 GDPR”

Tillsynsmyndigheten kan som en del av sin tillsyn begära ut hela eller delar av ert register över behandlingar, men även kräva bevis på att ni uppfyllt era skyldigheter att informera era registrerade, att svara på förfrågningar och att rutiner funnits på plats innan en incident, som nämnts ovan. Ett uttryck som ofta används av jurister är ”accountability”, vilket låter lite mer coolt än ”ansvarsskyldighet”. Men mer om det i avsnitt 3, nedan.

Era kunder, anställda, och alla andra som ni behandlar personuppgifter om har i många fall rätt till både tillgång, rättelse och radering av sina personuppgifter – men denna rätt är inte absolut.

Dels kan dessa rättigheter begränsas av att uppgifterna inte går att skilja från uppgifter om någon annan (vars rätt till privatliv måste beaktas) och dels finns det andra regler än GDPR som måste tas i beaktande (exempelvis offentlighets- och sekretesslagen). Tips: kolla in de bloggar vi skrivit på ämnet (Sekretess och rätten till tillgång; Rätten till tillgång – om någon begär ut sina personuppgifter) för en djupare genomgång.

Vissa verksamheter får endast mycket sällan en förfrågan om tillgång eller radering – och då gäller det att först fråga sig om detta kan bero på att man inte kommunicerat denna rättighet och vilka kanaler ni tar emot begäran igenom (detta är en av era skyldigheter enligt GDPR). Något ni inte vill vara med om är att en registrerad inte finner information och/eller en kontaktväg till er och går direkt till tillsynsmyndigheten – då blir det kanske fel både vad gäller den information ni lämnat och den behandling som klagan gäller och som ni inte först fått en chans att förklara för den registrerade.

Förutom en skyldighet att informera om de registrerades rättigheter har ni en månad på er att besvara en inkommen förfrågan (som minst med en ursäkt för varför det tar längre). Tänk på att också redovisa hur och när ni besvarat en förfrågan, vi ser en hel del tillsyn där ansvarsskyldigheten och redovisningen av detta tagits upp extra tydligt.

Information ska som minst ske genom en lättillgänglig och lättläst personuppgiftspolicy eller liknande och (som huvudregel) som senast vid insamlandet av uppgifterna.

Det viktigaste att tänka på i denna del är att kravet i GDPR är målstyrt och att de medel ni använder inte i sig själva är tillräckliga. Om ni inte kan göra det lätt och sannolikt att informationen når fram så har ni inte uppfyllt er informationsskyldighet.

Ett bra hjälpmedel för att omsätta era planerade behandlingar i praktiken och för att hålla era kollegor uppdaterade är att skapa skräddarsydda handböcker per avdelning. Dessa kommer se mycket olika ut och vara mer utförliga för avdelningar som hanterar mycket personuppgifter, men gemensamt för alla personer som arbetar hos er (och alltså alla playbooks) är behovet av tillgång till:

• Information om den personuppgiftsbehandling som förväntas försiggå på respektive avdelning (och dess yttre gränser), tillsammans med gallringsrutiner, rutiner och funktioner för att informera de som berörs (registrerade) och svar på de vanligaste frågorna inom respektive område
• Rutiner för att svara på förfrågningar om tillgång, radering och andra rättigheter (se avdelningen nedan)
• Rutiner och eskaleringsinstruktioner för att rapportera incidenter
• Information om behovet av och hur de kontaktar den hos er som ansvarar för att genomföra konsekevensbedömningar innan påbörjande av nya behandlingar (exempelvis nya system som köps in)
• Beskrivning om var ytterligare information finns och vem de ska vända sig till vid frågor.

Se över hur ni hanterar begäran (tillgång, radering, rättelse, osv) från kunder och anställda (”registrerade”) samt information i samband med svar på begäran, tidsgränser för svar och hur ni redovisar mottagna och hanterade ärenden för att uppfylla accountability-kraven i GDPR. Skapa och kommunicera rutiner för att ta emot, besvara och redovisa begäranden som inkommer. Vid klagomål och tillsyn från IMY kommer första frågan vara hur ni agerat och då bör ni ha detta redovisat och klart.

En viktig nyhet med GDPR är just kravet på att ni inte bara ska göra rätt utan också kunna (be)visa att ni agerat enligt GDPR.

Glöm inte att när ni stödjer en behandling på någons samtycke så måste ni informera lite extra, skapa en möjlighet för den registrerade att ta tillbaka samtycket lika lätt som den gav det, och kunna visa på detta. Det får inte heller finnas någon otydlighet om huruvida samma uppgifter kommer fortsätta användas i andra syften efter ett eventuellt återtagande av samtycket.

Skapa rutiner för att granska nya leverantörer och för varje gång personuppgifter samlas in för nya syften eller i gamla syften men med fler uppgifter. Ni behöver också sätta upp ett arbetssätt kring så kallade konsekvensbedömningar (ofta kallade DPIA efter deras engelska förkortning). Detta är också något som måste kunna visas upp vid förfrågan från tillsynsmyndigheten. I de fall konsekvensbedömningen leder till en bedömning om att behandlingen/systemet innebär en viss risk måste så kallat förhandssamråd påbörjas med tillsynsmyndigheten (detta var en av frågorna i den pågående tillsyn som nu inletts mot 100+ europeiska företag gällande användandet av Google Analytics: varför ingen DPIA genomförts?).

Ibland samarbetar samägda bolag även vad gäller sin personuppgiftshantering. Det kan röra sig om allt från lönehantering till sälj- och ERP-system. Då är det viktigt att tydligt både styra och visa hur ansvaret fördelas i praktiken. En koncernpolicy är här ett bra verktyg för att internt  kommunicera (och vid behov externt visa) hur ni fångar upp alla skyldigheter under GDPR och att inget faller mellan stolarna.

Det finns ett stort utbud av GDPR-utbildningar och även om man oftast går något klokare ifrån en utbildning finns det ett par saker vi rekommenderar att fokusera på, för att fånga upp helheten:

• Inled med GDPR:s betydelse och påverkan på just er verksamhet, samt information om att ni behöver upprätthålla ett register, kunna svara på förfrågningar, planera och informera om nya behandlingar, utföra konsekvensbedömningar och reagera snabbt vid incidenter.
• Gå sedan igenom teorin kring var och en av dessa moment, tillsammans med GDPR:s principer (laglighet, korrekthet, öppenhet, uppgiftsminimering, lagringsminimering, integritet och konfidentialitet). Ni kan aldrig täcka in alla tänkbara juridiska avvägningar som er verksamhet kan ställas inför, så principerna tillsammans med en lättgriplig teoretisk bakgrund skapar den bästa förutsättningen för att agera rätt i en oväntad situation.
• Inkludera gärna praktiska moment. Exempelvis att svara på en förfrågan om radering, författa en incidentrapport, och redovisa en ny personuppgiftsbehandling i ert register över behandlingar.

En stark rekommendation är att uppmuntra frågor under utbildningens gång, för många begrepp i GDPR kan verka främmande men är mycket lätta att greppa med några kompletterande och förklarande ord.

GDPR är författad för att gälla alla organisationer oavsett verksamhet och oavsett hur den tekniska utvecklingen rör sig. Vi har därför mycket tolkning framför oss i de enskilda fallen och de olika tillsynsmyndigheterna spelar också en viktig roll i att driva utvecklingen framåt genom att höja ribban för vad som bör finnas på plats. Ett avgörande i EU-domstolen blir i praktiken gällande rätt så fort domen avkunnats och vi såg ett bra exempel på detta under sommaren 2020, då fallet Schrems II kraftigt skärpte kraven vid användande av leverantörer i USA och annat tredje land.

Håll er därför uppdaterade och se till att hitta kanaler för att få ut informationen på ett bra sätt i organisationen.

Tänk på att även nya medarbetare måste sättas in i GDPR:s regler och få veta vad som gäller i just er organisation. Ett tips är att skapa uppsamlingstillfällen en eller ett par gånger per år, där både nya och gamla kollegor får en chans ta till sig nya – och dela upplevda – erfarenheter kring GDPR.

En av de vanligaste (och viktigaste, för att hålla projekten levande,) frågorna vi får är ”hur vet vi hur långt vi kommit och hur vi ligger till med vårt GDPR-arbete?”

Svaret är en förutsättning för att kunna lägga energi (tid) och resurser (budget) där det mest behövs och extra viktigt inom områden som GDPR, där man lätt kan lägga stora resurser på sådant som inte bör prioriteras eller i värsta fall aldrig kommer användas eller vara till nytta.

 Här brukar vi skräddarsy ett resultatark med följande rubriker:

• Ledarskap och översyn
• Policy och rutiner
• Utbildning/träning och medvetenhet
• Individens rättigheter
• Informationsplikt
• Registerföring och laglig grund
• Delade personuppgifter och avtal
• Riskhantering och konsekvensbedömningar
• Accesshantering och tillgänglighet
• Incidenthantering och övervakning

För varje kategori ställs frågor där svaret ger en nuvarande mognadsgrad om:

1. Obefintlig
2. Ad Hoc (varje person eller avdelning tar sina egna, någorlunda informerade, beslut från fall till fall)
3. Upprepbar (konsekvent hantering av liknande situationer)
4. Dokumenterad (påvisbara rutiner)
5. Förvaltad (nivån mäts regelbundet och förbättringar genomförs utefter lärdomar)
6. Optimal/Best in class

För varje fråga sätts sedan även ett mål (exempelvis att gå från 2->3 i en fråga), sätter en ansvarig för genomförandet och en deadline.

Det finns krav enligt GDPR på att löpande utvärdera och till och med köra ”audits” mot leverantörer. Rent praktiskt räcker det idag ofta gott (för normala behandlingar där det inte finns anledning att misstro leverantören i fråga) att efterfråga, eller hämta, upp och dokumentera de audits som leverantörerna själva genomfört och föra det till dokumentationen.

Agerar ni personuppgiftsbiträde, eller underbiträde, är det dock viktigt att vara förberedd på en inspektion (och att korrekt reglera detta i era biträdesavtal). Ofta vill man också själv genomföra audits och göra dessa tillgängliga för sina kunder, för att förekomma frågor och minska anledningen (och behov) för kunderna att själv skicka ut inspektörer eller ställa oförberedda frågor.

Vi genomför regelbundet interna audits åt våra kunder (att ta in en tredje part, som exempelvis GDPR Hero, är i stort sett obligatoriskt för att kunna visa på opartiskhet i bedömningen – samtidigt som ny kunskap och insikter tillförs organisationen).

Glömt inte att också kontrollera era underleverantörer (underbiträden åt era kunder)!