Introduktion
Det här behöver din personal veta om dataskydd
Det här är första delen av en artikelserie i tre delar som kretsar kring vad dina kollegor behöver veta om dataskydd, informationssäkerhet och cybersäkerhet. Seriens mål är att öka förståelsen för de tre olika områdena och därigenom öka säkerheten för data samt minska riskerna för incidenter.
Kunskap är nyckeln till compliance
Hej, du som har en ledande roll inom en verksamhet som hanterar personuppgifter. Är du mån om att din verksamhet ska respektera de mänskliga fri- och rättigheterna? Bra, för det är vad dataskyddsförordningen (GDPR) i grunden handlar om. Att ge ett skydd för individers rätt till privat- och familjeliv. Så det bör vara ett skäl så gott som något att vilja uppnå en hög efterlevnadsgrad av GDPR. Som en bisak kan jag också nämna att överträdelser av GDPR kan medföra att verksamheten åläggs att betala mycket höga sanktionsavgifter. För privata verksamheter kan sanktionsavgiftsbeloppen vara upp till 20 miljoner euro eller 4 % av den globala årsomsättningen. Med det sagt är min åsikt att rädslan för sanktionsavgifter inte bör vara en lika stor anledning att följa GDPR som strävan efter att respektera de mänskliga fri- och rättigheterna.
Hur som helst, vi går vidare. Är du, liksom många andra, något osäker på exakt hur ni rent praktiskt ska jobba mot GDPR-compliance? Inga problem. Jag har nämligen några tips som förhoppningsvis kan vara till din hjälp. Spoiler alert: Goda kunskaper hos din personal är nyckeln till framgång. Härmed kommer ett skepp lastat med de fem viktigaste sakerna som din personal behöver veta om dataskydd.
Centrala begrepp i GDPR
Majoriteten av din personal har sannolikt tillgång till personuppgifter, det vill säga sådan information som direkt eller indirekt kan kopplas till levande individer. Definitionen är bred och innefattar bland annat namn, personnummer och kontaktuppgifter. För att ge några exempel behandlar HR-avdelningen anställdas personuppgifter i anställningsavtal, löneunderlag med mera. Marknadsavdelningen behandlar antagligen kunders och potentiella kunders personuppgifter via sociala medier och mejl. Och med stor sannolikhet har ni en eller flera personer som ansvarar för att teckna avtal med leverantörer, vilka i många fall får åtkomst till personuppgifter. Summa summarum hanterar din personal med högsta sannolikhet stora mängder personuppgifter.
En förutsättning för att din verksamhet ska uppnå GDPR-compliance är att personalen följer förordningens krav när de behandlar personuppgifter. Det är även viktigt att personalen rapporterar till dig när de exempelvis önskar anlita en ny leverantör eller vill behandla personuppgifter på ett nytt eller förändrat sätt. Personalen har endast möjlighet att göra detta på ett korrekt sätt om de har en förståelse för när de behandlar personuppgifter och vad det innebär i olika situationer. Några av de mest centrala begreppen i GDPR som din personal bör känna till är ”personuppgifter”, ”personuppgiftsbehandling”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde” och ”de registrerade”.
Rättsliga grunder enligt GDPR
För att en personuppgiftsbehandling ska vara laglig måste den motiveras av en rättslig grund. I GDPR finns det sex rättsliga grunder; rättslig förpliktelse, avtal, intresseavvägning, samtycke, myndighetsutövning och uppgift av allmänt intresse samt grundläggande intresse. Det är av stor vikt att din personal känner sig trygga med vad de rättsliga grunderna innebär och när de kan användas. GDPR ställer nämligen krav på att ni som verksamhet ska motivera vilken rättslig grund ni väljer för era olika personuppgiftsbehandlingar, för att sedan informera de individer vars personuppgifter ni behandlar (”de registrerade”).
De som absolut måste ha koll på de rättsliga grunderna i GDPR är din verksamhets nyckelpersoner och de som fattar beslut om hur och varför ni ska behandla personuppgifter. Nämnda funktioners arbete underlättas dock enormt om all personal redan från början har koll på vad som krävs för att legitimera olika personuppgiftsbehandlingar. Med en hög grad av medvetenhet och kunskap hos personalen minskar risken för att ni av misstag skulle behandla personuppgifter på ett sätt som strider mot GDPR.
Grundläggande principer i GDPR
Förutom att personuppgifter måste behandlas utifrån en rättslig grund, finns det ett antal grundläggande principer som sätter ramarna för när en personuppgiftsbehandling ska anses vara tillåten. Det blir mycket enklare för din verksamhet att följa GDPR om all personal har de här grundläggande principerna i bakhuvudet när de behandlar personuppgifter.
De grundläggande principerna återfinns i GDPR och innebär bland annat att personuppgifter:
- endast får behandlas i den utsträckning GDPR tillåter
- bara får samlas in och sedermera sparas om det krävs för att uppnå specifika, särskilt angivna och berättigade ändamål
- ska vara korrekta och uppdaterade
- ska skyddas från till exempel förlust, förstöring och obehörig åtkomst
- ska raderas när de inte längre behövs för att uppnå syftet med personuppgiftsbehandlingen.
Men det räcker inte med att ni följer principerna. I ljuset av den ansvarsskyldighet som din verksamhet har enligt GDPR, behöver ni också kunna visa att ni följer principerna och på vilket sätt ni gör det. Några exempel på hur ni kan göra det är att föra register över de personuppgifter som ni behandlar, bygga in dataskydd i era system (”privacy by design and default”) och genomföra konsekvensbedömningar avseende behandlingar som kan innebära särskilda integritetsrisker.
Din personal är ovärderliga pusselbitar det här arbetet. För det första blir det löpande dataskyddsarbetet betydligt mindre betungande om era personuppgiftsbehandlingar från start är förenliga med GDPR. För det andra kan all personal som har tillgång till personuppgifter kontinuerligt bidra med information om vilka personuppgiftsbehandlingar ni och eventuella leverantörer utför. För det tredje har GDPR-kunnig personal som löpande hanterar dataskyddsfrågor sannolikt god kännedom om vilka utmaningar verksamheten tampas med och vad det kan finnas för potentiella lösningar.
De registrerades rättigheter enligt GDPR
De personer som har delat sina uppgifter med er har ett antal rättigheter gentemot er som verksamhet. Eftersom de äger sina personuppgifter har de rätt att få information om vilka av dennes personuppgifter som ni behandlar och på vilket sätt (registerutdrag). De har också i vissa fall rätt att begära att personuppgifter rättas (rättelse), få sina uppgifter raderade (radering), kräva att behandlingen begränsas (begränsning), invända mot hur personuppgifterna behandlas (invändning), få ut och använda sina personuppgifter på annat håll (dataportabilitet) och att inte bli föremål för automatiserat beslutsfattande som kan få rättsliga följder eller annars i betydande mån påverka den registrerade. Med anledning av kraven i GDPR behöver ni ha rutiner för att hantera de rättighetsbegäranden som inkommer på rätt sätt och inom den legala tidsfristen, vilken i regel är en månad.
Rutiner är emellertid endast effektiva om de är kända och efterlevs. För att din verksamhet ska kunna följa GDPR:s regler om hur de registrerades rättigheter ska tillgodoses måste din personal ha vissa grundläggande kunskaper. Sammantaget behöver personalen kunna identifiera när det inkommer en rättighetsbegäran, vilken rättighet som individen vill utkräva och hur ärendet ska hanteras rent praktiskt. I vissa fall kan ni till exempel vara skyldiga att på begäran radera en viss personuppgift, medan det i andra situationer skulle vara ett lagbrott att genomföra raderingen. Om du ser till att din personal får grundläggande kunskaper om de registrerades rättigheter är chansen stor att de gedigna rutiner och policydokument som tas fram faktiskt – tro det eller ej – blir mer än bara pappersprodukter.
Personuppgiftsincidenter – orsaker och hanteringskrav enligt GDPR
Sist men inte minst rekommenderar jag dig att säkerställa att din personal får grundläggande kunskaper om personuppgiftsincidenter. För dig som (ännu) inte är så bevandrad i dataskyddsvärlden klistrar jag nedan in den definition av ”personuppgiftsincident” som anges i GDPR:
”en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.”
I praktiken kan det exempelvis handla om att ett brev innehållandes personuppgifter skickas ut till fel person, eller att en verksamhet utsätts för ett angrepp där någon olovligen skaffar sig åtkomst till verksamhetens personuppgifter.
En intressant fråga i sammanhanget är varför det inträffar personuppgiftsincidenter. Om man tar fram förstoringsglaset finns det säkerligen lika många förklaringar som det finns personuppgiftsincidenter. På en mer övergripande nivå går det dock att urskilja ett mönster. År efter år utgör ”den mänskliga faktorn” den i särklass vanligaste anledningen till att incidenter inträffar. För att ta ett exempel ansågs ”den mänskliga faktorn” orsaka över hälften av de personuppgiftsincidenter som anmäldes till Integritetsskyddsmyndigheten (IMY) år 2022. Det framgår av IMY:s rapport 2023:2 om anmälda personuppgiftsincidenter 2022. Detta faktum bör fungera som en morot för din och alla andra verksamheter att utbilda personalen avseende hur personuppgiftsincidenter kan förebyggas.
När ni ändå håller på råder jag er att också informera personalen om hur personuppgiftsincidenter ska hanteras när de väl inträffar. För att verksamheten ska leva upp till kraven i GDPR behöver personalen tränas i att känna igen personuppgiftsincidenter och hur de ska agera. Därutöver bör det vara solklart för personalen vilken person eller grupp inom verksamheten som de ska rapportera personuppgiftsincidenter till. En välfungerande rapportering är särskilt betydelsefull mot bakgrund av att ni enligt GDPR ibland har en skyldighet att anmäla personuppgiftsincidenter till IMY respektive informera de registrerade. Och hur ska ni kunna göra det om ni inte får all nödvändig information från era medarbetare? Nej precis, det kan ni inte, det är omöjligt. GDPR-compliance kan endast uppnås om hela verksamheten tillsammans arbetar aktivt med dataskydd.
Avslutande ord
Har du orkat läsa ända hit? Vad glad jag blir! Det visar nämligen att du har ett intresse för att förbättra din verksamhets efterlevnad av GDPR. Som jag förklarade inledningsvis är ett av GDPR:s huvudsakliga syften att ge ett skydd för individers rätt till privat- och familjeliv. Och vad kan vara ett viktigare mål för din verksamhet än att respektera de mänskliga fri- och rättigheterna? Knappast någonting, är min förhoppning.
Mitt mål med den här artikeln har varit att dels ge dig motivation att verka för att din verksamhet ska jobba mot GDPR-compliance, dels ge dig praktiska tips avseende hur ni kan gå till väga när det handlar om att utbilda personalen. Mer specifikt har jag listat de fem viktigaste sakerna som din personal behöver veta om dataskydd; centrala begrepp, rättsliga grunder, grundläggande principer, de registrerades rättigheter och personuppgiftsincidenter.
Jag hoppas att du har haft nytta av informationen. Att du delar uppfattningen om att goda kunskaper hos personalen är nyckeln till framgång. Och att du känner dig inspirerad att ge din personal en utbildning i hur ni såsom verksamhet på bästa sätt kan tillgodose de mänskliga fri- och rättigheterna. Det vill säga efterleva kraven i GDPR och, som en positiv sidoeffekt, undvika sanktionsavgifter i mångmiljonklassen.