GDPR-verktyg

Kraftfullt & lättanvänt

Kom igång snabbt & enkelt

♥ Onboarding ingår

♥ Personlig uppföljning

♥ Dokumentmallar

Utbildning

Investera i er själva

Utbildningsformat för alla behov

Rådgivning

Spetskompetens & personligt

Lång erfarenhet, flexibla upplägg & enkel prissättning

Hjälp med GDPR-frågor

Dataskyddsombudstjänst

Incidenthantering

Webinarie

Nytt avsnitt varje månad!

Blogg

Sök eller bläddra bland 100-tals kostnadsfria GDPR-artiklar om aktuella frågor!

GDPR-projektplan

Låt vår roadmap guida dig under din GDPR-resa – smart och detaljerad!

Vanliga frågor

♥ Över 1000 nöjda kunder

♥ 4,5 av 5 i kundnöjdhet

♥ 9 av 10 fortsätter år efter år

♥ Bli en GDPR-hjälte du också!

Kundcase

Vi gör juridiken lätt för dig

10 vanliga fallgropar

Här listar vi de tio vanligaste misstagen som företag gör när de ska anpassa sin verksamhet efter GDPR!
Läs om hur ni kan slippa dessa kostsamma och onödiga misstag.

1. För inte register över samtliga behandlingar

Det är inte ovanligt att företag väljer att enbart dokumentera det som de är säkra på eller det som de känner till är ’lagligt enlgit GDPR’, annat undviks att dokumenteras för att slippa obekväma frågor eller kanske ”det man inte vet, har man inte ont av”? Det är dock ingen långsiktig och hållbar metod. Det gäller att ta ett helhetsgrepp om verksamheten, för att det är bättre att allt i verksamheten har kommit upp till ytan för att skapa en åtgärdsplan, än att bara lyfta upp vissa delar och riskera att helt bortse från saker som kan innebära stora risker. Som sagt, bättre att ha koll på 100% av verksamheten (varav X % är GDPR-compliant) än att enbart identifiera 25% av verksamheten som är 100% GDPR-compliant och resterande 75% är okänt. För det kan vara så att i de okända delarna finns de största riskerna eller de mest integritetskänsliga personuppgiftsbehandlingarna.

Tillsynsmyndigheterna ställer obekväma frågor och vet vad de ska efterfråga, så ingen idé att medvetet försöks icke-dokumentera behandlingar av personuppgifter.

Att ha en plan och löpande arbeta för att få mer och mer på plats är en bättre och mer framgångsrik strategi!

2. För register över system istället för behandlingar

GDPR är en lagstiftning som reglerar behandling av personuppgifter och inte enbart personuppgifter. System är något som många arbetat med under en längre tid och det är därför vanligt att när man skapar dokumentation, framförallt registerförteckning (artikel 30 GDPR) utgår från system. Det som blir tokigt här är att GDPR kräver att en behandling av personuppgifter ska dokumenteras med dess syfte, laglig grund, typer av personuppgifter, kategorier av registrerade, ev. mottagare osv., men GDPR nämner aldrig system. Så när ett register utgår från system så blir det svårt att identifiera och avgränsa de faktiska personuppgiftsbehandlingarna. Och då står man där med ett register över system som inte tillför det som ett register ska göra, och som dessutom inte ger er den informationen ni behöver kunna ta fram vid exempelvis registerutdrag (artikel 15 GDPR), kommunikation med tillsynsmyndighet eller registrerad eller en sådan enkel sak som att avsluta en behandling som stödjer sig på samtycke när samtycket återkallas.

 

Är ni ett av alla företag som råkat ut för att ni tagit in extern hjälp där resultatet har blivit ett register över system (och inte personuppgiftsbehandlingar)? 🤥 Lugn, vi kan hjälpa er komma på rätsida med det! 💙

3. Skapar en personuppgiftspolicy som resulterar i högre krav

GDPR sätter en miniminivå för vad ni tillåts göra med en personuppgift. En personuppgiftspolicy kan antingen beskriva detta eller gå utöver vad som krävs i lagen och alltså skapa ytterligare förpliktelser. Ibland vill ni erbjuda en högre standard än GDPR för att det är i linje med era värderingar, eller för att era kunder efterfrågar det – och då är detta så klart bra och helt ok. Ofta försöker man dock skriva en personuppgiftspolicy så säljande och trevligt som möjligt och om man inte vet vad man gör kan man alltså råka ut för att genast bryta mot sin egen policy, genom villkor som man därigenom påtvingat sig.

Ett exempel på något som kan ge mer förpliktelser för er än som krävs är att ni anger ”att den registrerade har rätt till dataportabilitet för de personuppgifter ni behandlar om denne”. Dock så infaller den rätten enligt GDPR enbart i de fall behandlingen stödjer sig på samtycke eller avtal samt på automatisk väg (digitalt). En förutsättning för dataportabilitet är också att överföringen är tekniskt möjlig. Formuleringen av er personuppgiftspolicy är därmed viktig för att behålla kontroll över vad ni är skyldiga att göra.

4. Slutar med behandlingar som tillför affärsnytta av skräck för GDPR

I många verksamheter, eller i alla verksamheter om man ska vara helt ärlig, behövs personuppgifter (av olika anledningar). Ni behöver betala lön till anställda, leverera varor till kunder och kontakta potentiella leverantörer, för att ta några exempel. En bristande, eller utebliven, bedömning av vad ni får göra enligt GDPR kan resultera i att man raderar personuppgifter utan att man behöver! Kanske finnas det till och med ett krav på att fortsätta behandla uppgifter som man av ren skräck raderar för att ”undvika GDPR-problem”.

För att bedöma om man får genomföra en behandling, kan man något förenklat ta följande steg:

1) Har vi en laglig grund för behandlingen?

2) Har vi ett syfte med att behandla uppgifterna?

3) Informerar vi tydligt om detta till de registrerade (informationsplikt och transparens)?

4) Har vi tillräckliga säkerhetsåtgärder på plats?

5) Har vi säkrat upp ev. överföring till personuppgiftsbiträden?

6) Behandlar vi enbart de uppgifter som är nödvändiga och inte för många uppgifter (uppgiftsminimering)?

7) Kan vi tillmötesgå de registrerades rättigheter?

 

Ovanstående frågor brukar vara en bra grund för att förstå om en behandling är lämplig och laglig.

5. Samla på samtycken som ej behövs eller är olagliga

Till att börja med tycks samtycke vara ett flexibelt och hyfsat enkelt sätt att använda som laglig grund vid behandling av personuppgifter. Lika så enkelt är det dock inte. Det finns 4 huvudsakliga krav på ett giltigt samtycke: Frivilligt, informerat, specifikt och otvetydigt, dessa beskrivs mer nedan. Det finns dock situationer där det förekommer en annan laglig grund och där ett samtycke inte är nödvändigt, utan snarare olämpligt, eftersom ni då inte behöver tänka på hanteringen av samtycke. Därför är en bedömning av vilken laglig grunnd ni har för respektive behandling ett viktigt moment i GDPR-arbetet.

Frivilligt

Att ett samtycke lämnats frivilligt bedöms utifrån om det föreligger en maktobalans mellan den enskilde och den personuppgiftsansvarige. I vissa situationer, exempelvis mellan arbetsgivare och anställd eller skola och elev, är det inte lämpligt att använda sig av samtycke – då det är svårt att påvisa att det lämnats frivilligt.

Informerat

Den registrerade ska få nödvändig information för att förstå vad det är för behandling den samtycker till. Informationsplikten för all personuppgiftsbehandling framgår framförallt av artikel 13 och 14 GDPR.

Specifikt

Ett samtycke gäller för det eller de specifika ändamål som det samlades in för (utifrån den informationen som gavs vid insamlandet). Det går således inte att använda samtycke för vidare behandling av personuppgifterna för ett annat syfte än det ursprungliga.

Otvetydigt

Ett samtycke ska ges genom en ensidigt och otvetydig aktiv handling. I motsats så utgör på förhand förikryssad ruta, tystand eller inaktivitet inte ett giltigt samtycke.

 

Ett samtycke ska också när som helst kunna tas tillbaka (återkallas), utan några konsekvenser för den enskilde, samt att det ska vara lika lätt att ta tillbaka sitt samrtycke som det var att ge det! 🔚

 

6. Tillsätter ett dataskyddsombud som inte är behörig

Dataskyddsombudets roll och ställning är tydligt definierat i GDPR. Denne ska delta i alla frågor som rör skyddet av personuppgifter. Den personuppgiftsansvarige eller personuppgiftsbiträdet som denne är utsedd hos ska stödja dataskyddsombudet i utförandet av sina uppgifter samt tillhandahålla resurser för att fullgöra dess och upprätthålla dennes sakkunskap.

Till den viktiga biten. Den som utsett dataskyddsombudet ska säkerställa att denne inte tar emot instruktioner om utförandet av sina uppgifter. Dataskyddsombudet får inte heller avsättas eller blir föremål för sanktioner för att ha utfört sina uppgifter. Dessutom ska dataskyddsombudet rapportera direkt till den högsta förvaltningsnivån.

Dataskyddsombudet ska vara bundet av sekretess och får utföra andra arbetsuppgifter och uppdrag, så länge som det inte leder till en intressekonflikt. Det innebär att dataskyddsombudet ska ha en oberoende ställning där denne kan arbeta självständigt.

Utdrag från Datainspektionen:

”Det är till exempel inte lämpligt att dataskyddsombudet sitter i organisationens ledning eller är med och fattar strategiska beslut om kärnverksamheten som omfattar personuppgiftsbehandling.”

Vad ska ett dataskyddsombud göra?

  • Informera och ge råd (men inte ta beslut)
  • Övervaka efterlevnaden av GDPR, samt orgnisationens stratergi för skydd av personuppgifter, intern information och utbildning av personal
  • Ge råd vid konsekvensbedömningar
  • Samarbeta med tillsynsmyndigheten
  • Agera som kontaktpunkt för tillsynsmyndigheten

Dataskyddsombudet kan vara internt (anställd) eller externt (konsult). Ett utsett dataskyddsombud ska offentliggöras till tillsynsmyndigheten.

7. Kommunicera och skriva "vi måste pga GDPR informera om..."

All information som upprättats för att efterleva GDPR, ofta genom hårt och inte helt roligt arbete, bör utnyttjas för att visa på att ni gjort något som är till nytta för era kunder/anställda/osv. Snubbla inte på mållinjen. Dra istället fördel av allt jobb som ni lägger ner. Det finns stora möjligheter till att skapa förtroende för era anställda, kunder och samarbetspartners m.fl om ni lägger upp er strategi kring att informera på ett lättsamt och informativt sätt. Vänd det till något positivt!

”GDPR är något som vi tagit till oss och stämmer överens med våra värderingar.”

8. Använder "avtal" som rättslig grund för behandling av kontaktpersoner

Den rättsliga grunden ”avtal” gäller i de fall ni ingått avtal med den registrerade direkt. Har ni ett avtal med dennes arbetsgivare, vilket ofta är fallet vid tjänsteavtal, serviceavtal osv., uppfyller det inte kriterierna för den lagliga grunden avtal. Ofta är det istället fråga om ett berättigat intresse och då ska en intresseavvägning genomföras. 

9. Skriver på ett biträdesavtal trots att det inte är en biträdessituation

Att en kund till er eller en leverantör säger ”Vi har kommit fram till att ni är vårt personuppgiftsbiträde.” ska inte godtas utan en egen bedömning. Det kan mycket väl stämma, men i så fall, omfattar det verkligen alla behandlingar som specificerats i personuppgiftsbiträdesavtalet? 

Var noga med att göra en juridisk utredning av vilken ansvarsroll ni har – så att ni vet hur ni får agera gentemot tillsynsmyndighet och registrerade samt vem som ska kontaktas vid personuppgiftsincident och liknande. Ett personuppgiftsbiträde får inte heller själv bestämma vilka personuppgifter som ska samlas in eller varför, får inte bestämma vilka som uppgifterna ska delas med och inte bestämma när de ska raderas. Är det verkligen så ni vill ha det?

10. Använder en mall som biträdesavtal utan att bifoga instruktioner eller underbiträden

Det finns såklart en hel del mallar för personuppgiftsbiträdesavtal, vilket kan vara bra och det finns ett par bra, men det är viktigt att vara uppmärksam på riskerna!

(1) att man missar att reglera saker som är viktiga för er,

(2) avtalar om förpliktelser ni inte kan uppfylla,

(3) missar att anpassa det utifrån er situation och med de specifika instruktioner som ska gälla (då har ni inte getts någon rätt att behandla uppgifterna, bara tagit på er skyldigheter). 

Bonus: Besvarar inte förfrågningar från registrerade i tid

Det är tydligt i GDPR att en förfrågan från en registrerad ska besvaras inom en månad. Det finns visst utrymme för att det av olika skäl kan bli försenat men det ska, i så fall, meddelas den registrerade. Det är viktigt att känna till att som personuppgiftsansvarig ska man underlätta för de registrerade att utöva sina rättigheter enligt GDPR. Information till den registrerade ska tillhandahållas kostnadsfritt, om inte begäran är uppenbart ogrundad eller orimlig (ni har bevisbördan för det).

Ni har rätt att efterfråga ytterligare information för att säkerställa identiteten hos den registrerade (för ni vill inte riskera att lämna ut information till fel person = incident). Viktigt att kunna särskilja en förfrågan/begäran från en annan – och se till att kommunikationen till den registrerade innehåller komplett information och svar. Så en rutin för att kunna besvara förfrågningar är a och o för att uppfylla dessa krav.

Känner du igen dig i ovanstående, ni är inte ensamma,
vi finns här för att hjälpa er komma på rätt spår!

Skicka in ett meddelande till oss så kan vi boka in ett möte där vi kostnadsfritt
ger er tips och användbar information för att få grepp om GDPR.

Ställ fråga
Information om personuppgiftsbehandling *

Loading...