Information om GDPR-avtal och andra delar av EU-förordningen
Det är mycket att hålla reda på som företagare gällande GDPR och här kan du lösa information om GDPR-avtal och andra delar av EU-förordningen.
Syftet med GDPR
GDPR är en EU-förordning som började gälla i maj 2018 och alla företag som behandlar personuppgifter måste följa GDPR. Detsamma gäller organisationer och offentliga organ.
Syftet med GDPR är bland annat att skydda personuppgifter när de blir behandlade. En personuppgift är en uppgift s om det går att koppla till en fysiskt levande person. Dessutom är syftet att skapa förutsättningar för att flödet av personuppgifter ska vara fritt inom EU/EES-området, där GDPR gäller.
Definition av personuppgifter
Det finns personuppgifter som inte är så tydliga men det är fortfarande personuppgifter och det finns tydliga personuppgifter. Dessutom kan personuppgifter ha både en subjektiv eller objektiv karaktär. En diagnos från exempelvis en läkare såsom en ADHD diagnos är en personuppgift som är av subjektiv karaktär. Det är också en känslig personuppgift enligt GDPR eftersom det är en uppgift om hälsa.
Rättsliga grunder
En rättslig grund är en laglig grund. Företag måste ha det för att få behandla personuppgifter. Om inte, är behandlingen inte tillåten. De sex rättsliga grunderna i GDPR är samtycke, avtal med registrerade, intresseavvägning, skydda grundläggande intresse, rättslig förpliktelse samt myndighetsutövning och uppgift av allmänt intresse.
Grundläggande dataskyddsprinciper
Kort sagt innebär de sju (7) grundläggande principerna som företag måste följa enligt GDPR att företaget har ett syfte med behandlingen, stödjer den på en rättslig grund, informerar de registrerade om behandlingen, inte behandlar fler personuppgifter än nödvändigt för ändamålet, vidtar tekniska och organisatoriska åtgärder för att skydda personuppgifterna, raderar personuppgifterna när de inte längre är nödvändiga för syftet och kan visa att företaget följer GDPR.
Tekniska och organisatoriska åtgärder
Alla företag som behandlar personuppgifter måste skydda dem. Det ska ske genom att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Dessutom behöver de vidta organisatoriska åtgärder för att till exempel kunna tillgodose de registrerades rättigheter. Till exempel om en registrerad återkallar sitt samtycke.
Företag behöver också ha lämpliga dokument och avtal såsom bland annat interna rutiner, personuppgiftsbiträdesavtal och integritetspolicy vilket är en del av de organisatoriska åtgärderna.
Företag utsatt för dataintrång
Ett stort företag fick betala över 180 miljoner pund i sanktionsavgift eftersom de inte hade vidtagit tillräckliga tekniska åtgärder för att skydda personuppgifter som de behandlade efter de blivit utsatta för ett dataintrång. Hackarna kom åt hundratusentals personuppgifter vilket inkluderade kreditkortsuppgifter. Företaget är engelskt men det var innan de lämnade EU som incidenten inträffade. För att läsa mer detaljerad information om GDPR eller detta fall, kan man besöka www.AvtalGDPR.se som är en del av Digitala Juristerna.
Avtal och dokument
Företag behöver ha vissa dokument och avtal för att följa GDPR. Till exempel kan företag behöva en integritetspolicy, interna rutiner, registerförteckning och personuppgiftsbiträdesavtal. Dessutom kan företag behöva göra vissa bedömningar såsom en konsekvensbedömning av dataskydd. Det är viktigt för företag att veta vilka dokument företaget behöver ha eftersom det kan skilja sig mellan företag. Det är också viktigt för att kunna visa att företaget följer GDPR i enlighet med ansvarsskyldighet vilket är en av dataskyddsprinciperna.
Ansvariga
Personuppgiftsansvariga och personuppgiftsbiträden är ansvariga för att de följer GDPR. Alla företag som behandlar företag är antingen ett biträde eller ansvarig. Däremot är det inte ett avtal som reglerar vem som är vad utan det faktiska förhållandet. Dessutom kan ett företag vara ett personuppgiftsbiträde i vissa fall men personuppgiftsansvarig i andra. Till exempel om ett företag anlitar ett företag som bedriver en molntjänst för att ha backupfiler på de personuppgifter som behandlas är det företaget personuppgiftsansvarig. Om företaget har anställda är de istället personuppgiftsansvariga då.
Svenska dataskyddsmyndigheten
IMY är den svenska dataskyddsmyndigheten och hette tidigare Datainspektionen. Myndigheten bytte namn 2021 och IMY är en förkortning av Integritetsskyddsmyndigheten. De arbetar bland annat med GDPR men ger även tillstånd för kameraövervakning och inkassoverksamhet. Om en person vill lämna in ett klagomål för att denne anser att ett företag bryter mot GDPR, är det till IMY som det ska ske. Observera att man även kan behöva kontakta Polisen, om det är ett brott såsom dataintrång.
Personuppgiftsincidenter
Företag ska förebygga personuppgiftsincidenter. Dessutom behöver företag i vissa fall rapportera personuppgiftsincidenter till IMY. Detsamma gäller registrerade som blivit påverkade. Det kan få stora konsekvenser för registrerade när det inträffar en personuppgiftsincident. Exempelvis kan det leda till en ekonomisk skada eller skadlig ryktesspridning.
Rapporterade inte personuppgiftsincident utan onödigt dröjsmål
Det inträffade en personuppgiftsincident hos statens servicecenter, som var personuppgiftsbiträde. Däremot tog det flera månader innan de rapporterade det till de personuppgiftsansvariga. Dessutom tog det flera månader innan de rapporterade det till IMY, som vid tillfället hette Datainspektionen. En sådan anmälan ska ske inom 72 timmar från och med upptäckten vilket då inte skedde. Totalt fick de betala 200 000 i sanktionsavgift.
Exempel på personuppgiftsincidenter
Det är inte enbart en personuppgiftsincident om någon obehörig får tillgång till personuppgifter. Det är en personuppgiftsincident även om personuppgifter blir ändrade. Dessutom är det en personuppgiftsincident om personuppgifter förloras vilket kan ske till exempel genom att ett system kraschar.
Vanlig personuppgiftsincident
En vanlig personupgiftsincident är felskickade mejl som innehåller personuppgifter. De första åren sedan GDPR började gälla var det den vanligaste personuppgiftsincidenten. Det är bra att alltid dubbelkolla så att mottagaradressen är korrekt när man skickar personuppgifter via mejl eftersom det är enkelt att råka göra ett slarvfel och till exempel skriva en bokstav själv.
Konsekvenser om företag inte följer GDPR
Företag som bryter mot GDPR kan få stora ekonomiska konsekvenser och därför är det viktigt att känna till reglerna i GDPR för att kunna följa det. I värsta fall kan företag få en sanktionsavgift som uppgår till 20 miljoner euro. Alternativt kan de få en sanktionsavgift som uppgår till 4 % av den totala omsättningen. I fallet som är nämnt högre upp, fick företaget betala 183 miljoner pund i sanktionsavgift vilket är mycket pengar.
Om företag överför personuppgifter till tredjeland
Enligt GDPR är det en överföring av personuppgifter till tredjeland om landet är utanför EU/EES-området. Det kan vara tillåtet men det är viktigt att tänka på reglerna eftersom de är striktare. Inom EU får personuppgifter bli överförda fritt.
Exempel på när företag överför personuppgifter till tredjeland
Ett exempel på när företag överför personuppgifter till tredjeland är om ett företag i Sverige skickar ett mejl med personuppgifter till ett annat företag i exempelvis USA. Ett annat exempel är om ett företag använder en molntjänst för att lagra personuppgifter och företaget är i USA.
EU-kommissionen kan besluta att ett land har adekvat skyddsnivå
Det är tillåtet att överföra personuppgifter till de länder som EU-kommissionen har beslutat har adekvat skyddsnivå. Till exempel Schweiz. Observera dock att företaget inte kan göra en sådan bedömning utan enbart EU-kommissionen. Dessutom kan det också vara tillåtet om det är ett enskilt fall, även fast landet inte har adekvat skyddsnivå. Detsamma gäller om företaget vidtar lämpliga skyddsåtgärder såsom standardavtalsklausuler.
Rättigheter som registrerade har enligt GDPR
Företag måste tillgodose de registrerades rättigheter och därför behöver man ha lämpliga tekniska och organisatoriska åtgärder för att kunna göra det. Rättigheterna enligt GDPR är, rätt till information, tillgång, rättelse, radering, begränsning av behandling, dataportabilitet, automatiserade beslut och rätt att göra invändningar.
Ett företag fick en reprimand eftersom företaget bland annat inte hade gjort en rättelse som en klagande begärt utan onödigt dröjsmål. Dessutom hade företaget inte gett en registrerad tillgång till de personuppgifter som företaget behandlat efter förfrågan. Med andra ord inte bekräftat för personen om företaget behandlar personuppgifter om denne.
Onlinetjänster
Det är vanligt med onlinetjänster såsom sociala medier och företag som bedriver tjänsterna brukar behandla personuppgifter. Dessutom är det vanligt att barn använder sådana tjänster. Det är tillåtet att behandla personuppgifter från barn. Däremot är det viktigt att tänka på att reglerna är striktare än om den registrerade är vuxen.
Ett internationellt företag som bedriver en mobilapplikation fick betala en sanktionsavgift för bland annat att informationen om behandlingen var på engelska. Mobilapplikationen har många barn som användare och språket var på engelska istället för det officiella språket i landet, alltså holländska. Det var dataskyddsmyndigheten i Holland som utfärdade sanktionsavgiften. Det är viktigt att tänka på att onlinetjänster som riktar sig till barn har ett enkelt och tydligt språk när de informerar de registrerade och ska bland annat vara på det nationella språket. Alltså på svenska om det är i Sverige.
Vi skriver och granskar avtal till fasta priser
BESTÄLL AVTAL / KONTAKTA OSS
Vi besvarar meddelandet och kontaktar dig så snart vi kan.