Klarar ditt företag en granskning?

I augusti utfärdade Datainspektionen Sveriges första sanktionsavgift under EUs Dataskydds-förordning (Förordningen) till en gymnasieskola i Skellefteå. Sanktionen kom efter att skolan på prov använt ansiktsigenkänning via kamera för att registrera elevers närvaro på lektionerna. Skolan behandlade genom detta känsliga personuppgifter och uppgav som laglig grund att de inhämtat samtycke från eleverna. Datainspektionen underkände  här samtycke som laglig grund i och med att eleverna stod i en beroendeställning i förhållande till skolan. Det Datainspektionen ansåg att skolan gjort fel var att:

  • De behandlat personuppgifter på ett sätt som var mer ingripande för den personliga integriteten än nödvändigt (det finns andra sätt att kontrollera närvaro än att ha ansiktsigenkänning)
  • De behandlat känsliga uppgifter utan ett giltigt undantag från Förordningens förbud mot att behandla känslig uppgifter
  • De inte gjort en tillräcklig konsekvensbedömning av behandlingen och inte heller inkommit med ett förhandssamråd till Datainspektionen, trots att det fanns ett antal faktorer som visade att det skulle behövts.

Även om detaljhandeln nu utreder möjligheterna att använda ansiktsigenkänning i butikerna är inte ansiktsigenkänning den mest vanligt förekommande personuppgiftsbehandlingen i de flesta verksamheter. Datainspektionens beslut, och framförallt de frågor som Datainspektionen ställde till skolan, ger ändå en tydlig uppfattning om vilka åtgärder man som verksamhet förväntas ha vidtagit för att leva upp till Förordningen. Bland de frågor Datainspektionen ställde till skolan fanns de följande:

  • En grund i dataskyddsreglerna är att en behandling ska vara proportionell i förhållande till behovet med behandlingen. Hur har ni gjort er proportionalitetsbedömning?
  • Har ni gjort någon konsekvensbedömning enligt artikel 35 i dataskyddsförordningen (GDPR)1 inför starten av det aktuella projektet? Om en konsekvensbedömning har gjorts vänligen lämna in den med yttrandet.
  • Vilket rättsligt stöd har ni haft för att behandla personuppgifterna i det aktuella projektet? Visa vilket rättsligt stöd ni har haft. Förklara hur ni har resonerat och motivera. Om det rättsliga stödet kräver nationella bestämmelser ange samtliga relevanta bestämmelser eller beslut.
  • Har ni lämnat information till de registrerade i det aktuella projektet och på vilket sätt?
  • Vilka tekniska och organisatoriska åtgärder har ni vidtagit för att säkerställa en lämplig säkerhetsnivå?
  • Om materialet har raderats, när skedde raderingen och hur skedde raderingen? Innebär raderingen att uppgifterna inte finns kvar någonstans?

Betryggande svar på frågor som dessa krävs om man skulle granskas av Datainspektionen. Många företag vi har pratat med är trots det inte medvetna om när och hur de ska göra en proportionalitetsbedömning, deras bild av en konsekvensbedömning är att man i en mening konstaterar att man inte ser några negativa konsekvenser av den behandling som sker och radering jobbar man inte med alls då man har inte de tekniska förutsättningarna för att nå hela vägen.

Företag behöver säkerställa att verkligheten återspeglar det man skrivit i dataskyddspolicyn som ligger på hemsidan. Man behöver se till att arbetet med att besvara en utdragsförfrågan eller rapportera en personuppgiftsincident blir en naturlig del av verksamheten och inte något som tar upp för mycket resurser.

När vi arbetar med olika företag ser vi att många verksamheters arbete stannade av efter den 25 maj 2018 – så fort Förordningen trätt i kraft. Inför maj 2018 lades mycket tid på kartläggningar, analyser och kanske framförallt, på att sätta samman policies som beskriver hur organisationen behandlar personuppgifter. Att färdigställa policyn och lägga upp den på hemsidan blev för många företag slutmålet, då man ansåg sig sig vara färdig med ”GDPR-arbetet”. Men GDPR-anpassning är, som vi ständigt påtalar, ett sisyfosarbete – inte ett projekt som kan klarmarkeras.

Det måste förbli ett pågående arbete som utgör en del av verksamheten och inte något ”vid sidan om”. Vad företagen missar är att efterlevnad av Förordningen kräver att arbetet med processer och rutiner för behandling av personuppgifter fortgår löpande och utgör en del av den dagliga verksamheten. Tvärt emot verkligheten, där ett fåtal – om ens någon – har ensamt ansvar för området, måste varje anställd i organisationen vara medveten om arbetet och ha det på sin agenda.

För att säkerställa att frågor om personuppgiftsbehandling prioriteras i verksamheten bör datasäkerhet, processer och rutiner för personuppgiftsbehandling lyftas till ledningsgruppsnivå och företag bör löpande utbilda och informera personalen inom dessa områden.

Vi vill skilja på svårt och komplext. Att implementera är inte svårt, men det är komplext. Därför har många företag problem med att nå hela vägen fram. Vi hjälper regelbundet företag med att komma igång med implementeringen av åtgärder för att efterleva den ”nya” lagstiftningen. För att ha en bra utgångspunkt är det viktigt är att informera både internt och externt om hur personuppgiftsbehandling på företaget går till. En viktig faktor är att varje anställd känner individuellt ansvar för den personuppgiftsbehandling som sker på bolaget, snarare än att det vilar på en ”GDPR-ansvarig”. Alla behöver veta vad som gäller och vad som förväntas av var och en.

Har ni utmaningar med er implementeringen av nya rutiner vad gäller hantering av personuppgifter i organisationen? Undrar ni hur ni på enklast möjliga sätt blir ”compliant”? Hör av er till oss på Rouse – oavsett om det bara är för att komma igång eller för att ni vill ha hjälp med att ro hela projektet i hamn.

Relaterat innehåll