GDPR: 5 viktiga nyheter i EU:s dataskyddsförordning – så påverkas dina it-upphandlingar

Den 25 maj 2018 ska EU:s nya dataskyddsförordning börja tillämpas som direkt lagstiftning i Sverige och ersätter då vår nuvarande lagstiftning om personuppgifter, PUL. Det har nog undgått få att det nu kommer att införas ytterligare krav på organisationers hantering av personuppgifter samt att det kommer att bli betydligt mer kostsamt att bryta mot lagstiftningen.

Tillsynsmyndigheten (Datainspektionen) kommer genom dataskyddsförordningen ges möjlighet att i vissa fall döma ut en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av organisationens globala omsättning. Hotet om ökade krav och höga sanktionsavgifter har gjort att frågan om personuppgiftshantering fått en helt ny ställning och har i många organisationer flyttats in i styrelse- eller ledningsrummet.

Ett ökat fokus på integritetsskydd är också det som varit motivet för lagstiftningsarbetet vid sidan av att skapa en enhetlig tillämpning av reglerna inom EU för att underlätta handeln på den interna marknaden.

Läs också: EU:s nya regler påverkar alla företag – det här är vad du måste veta

En korrekt hantering av personuppgifter är också beroende av fungerande it-system som stödjer och möjliggör för organisationen att följa de krav som uppställs i dataskyddsförordningen. Vid upphandling av ett nytt it-system eller omstrukturering av befintliga it-system kan två år vara försvinnande kort tid, inte minst för en större organisation. Nedan berör jag några av de nyheter i dataskyddsförordningen som organisationer behöver tänka på inför en upphandling eller förändring av organisationens IT-system.

Privacy by design 
En av de grundläggande principerna inom integritetsskydd är så kallad uppgiftsminimering, det vill säga man ska inte samla in mer information än vad som är nödvändigt för det aktuella syftet och ändamålet med insamlingen och uppgifterna får heller inte sparas längre än nödvändigt. Organisationen ska vidare vidta lämpliga tekniska och organisatoriska åtgärder för att uppfylla kraven i dataskyddsförordningen. Vad som är ”lämpliga åtgärder” styrs av uppgiftens art, behandlingens omfattning och syfte samt den risk som individen utsätts för vid behandlingen.

I dataskyddsförordningen uppställs nu ett uttryckligt krav på ”privacy by design” eller ”inbyggt dataskydd” vilket innebär att organisationen redan vid upphandlingen av ett it-system eller vid ändring av befintligt it-system ska ta hänsyn till integritetsskyddet och bygga in funktioner som stödjer detsamma. I klarspråk innebär detta att organisationen inför en upphandling av it behöver göra en ordentlig inventering av hur personuppgiftshanteringen ser ut inom organisationen samt vilka krav som gäller för organisationen för att därmed kunna utforma kravspecifikationen på rätt sätt.

Följande exempel på frågor kan vara till hjälp vid en sådan inventering:

1. Vilka personuppgifter samlas in och behandlas?
2. Hur samlas personuppgifterna in och vem lämnas uppgifterna ut till?
3. För vilka ändamål behandlas personuppgifterna?
4. Föreligger några särskilda risker för den personliga integriteten hos de registrerade?
5. Vilka säkerhetskrav krävs för uppgifterna?
6. Vem ska ha åtkomst till uppgifterna inom organisationen?
7. Hur länge ska uppgifterna lagras och när ska gallring ske?
8. Hur säkerställer vi att informationskrav och anmälningskrav uppfylls? 
9. Vilka tekniska funktioner krävs för att vi ska ha kontroll över uppgifterna och dess behandling?

Informationskrav, rättsligt stöd för behandling och samtycke 
Dataskyddsförordningen innehåller utökade krav på den information som ska lämnas till de registrerade. Informationen ska innehålla tydlig angivelse av den rättsliga grunden för behandlingen, ändamålet för behandlingen, hur länge uppgifterna kommer att sparas samt information om var den registrerade kan vända sig med klagomål. Informationen ska vidare vara kortfattad och tydlig. Vill man behandla uppgifter med stöd av samtycke krävs det att samtycket är en frivillig, specifik och otvetydig viljeyttring. Det går därför inte att använda sig av i förväg ikryssade rutor på webbplatsen.

Vidare får en tjänst inte göras villkorad av att personen lämnar sitt samtycke till behandling av uppgifter som inte är nödvändiga för tillhandahållandet av den aktuella tjänsten. Organisationen bör med anledning av de ökade informationskraven och särskilda kraven på samtycke se över sina personuppgiftspolicyer och informations- och samtyckesformuleringar för att säkerställa dels att de uppfyller kraven enligt dataskyddsförordningen, och dels att de stämmer med den faktiska behandling som sker genom organisationens it-system.

Arbetet med informationsdokumenten bör därför göras samtidigt med en eventuell upphandling eller justering av organisationens it-system.

Gallring – rätten att bli bortglömd
De registrerade har genom dataskyddsförordningen givits en rad olika rättigheter som syftar till att den registrerade ska kunna ha kontroll över vilka uppgifter som behandlas samt kunna invända mot sådan behandling. En av rättigheterna är rätten att bli bortglömd. Denna rättighet föreligger redan idag, men den ges en tydligare formulering i dataskyddsförordningen. Den registrerade har rätt att när som helst begära att få sina uppgifter raderade om det inte längre föreligger någon rättslig grund för behandlingen.

Ett exempel på när organisationen ändå får behålla vissa uppgifter är sådana uppgifter som organisationen behöver för bokföringsändamål. Det är då viktigt att åtkomst och behörighet till sådana uppgifter som ligger kvar i bokföringen begränsas till ekonomiavdelningen. Uppgifterna får ju under inga omständigheter användas av till exempel marknadsavdelningen för kundutskick eller dylikt.

Läs också: Nu köper allt fler företag försäkringar mot it-hot och säkerhetsrisker

Eftersom ökade krav ställs på att de registrerade enkelt ska kunna få sina uppgifter raderade bör organisationerna se över sina rutiner för hur en sådan begäran hanteras. På vilket sätt stödjer organisationens system att uppgifterna hittas och kan rättas så att det säkerställs att uppgifterna gallras och raderas på korrekt sätt? Vidare bör systemen anpassas med åtkomst- och behörighetsspärrar för de fall särskilda uppgifter måste sparas, exempelvis för bokföringsändamål.

Dataportabilitet
En annan rättighet som införts för de registrerade är rätten att kunna få sina uppgifter flyttade från en aktör till en annan, så kallad dataportabilitet. Detta kommer sannolikt att bli vanligast om en person vill flytta sina uppgifter från ett socialt nätverk till ett annat. Organisationen bör se över vilka tekniska lösningar som krävs för att kunna tillmötesgå ett sådant krav från en registrerad.

Krav på anmälan och information vid personuppgiftsincident
Genom dataskyddsförordningen införs ökade krav på åtgärder som organisationen måste vidta om den blir utsatt för en personuppgiftsincident, till exempel ett dataintrång. Ett nytt krav är att organisationen måste anmäla händelsen till tillsynsmyndigheten inom 72 timmar. I vissa fall, om incidenten innebär allvarliga risker för den registrerade, krävs även att varje individ informeras.

Anmälningskravet innebär att organisationen måste skapa goda och effektiva rutiner vid personuppgiftsincidenter samt öka säkerhetskraven för att undvika att incidenter inträffar. Det måste säkerställas att organisationens it-system stödjer sådana funktioner som dels gör det möjligt att snabbt uppmärksamma om en incident har skett, dels möjliggör en snabb överblick över de registrerade och deras uppgifter för att organisationen ska kunna fullgöra sin anmälningsplikt.