Klarar ditt företag en granskning?

I augusti utfärdade Datainspektionen Sveriges första sanktionsavgift under EUs Dataskydds-förordning (Förordningen) till en gymnasieskola i Skellefteå. Sanktionen kom efter att skolan på prov använt ansiktsigenkänning via kamera för att registrera elevers närvaro på lektionerna. Skolan behandlade genom detta känsliga personuppgifter och uppgav som laglig grund att de inhämtat samtycke från eleverna. Datainspektionen underkände  här samtycke som laglig grund i och med att eleverna stod i en beroendeställning i förhållande till skolan. Det Datainspektionen ansåg att skolan gjort fel var att:

  • De behandlat personuppgifter på ett sätt som var mer ingripande för den personliga integriteten än nödvändigt (det finns andra sätt att kontrollera närvaro än att ha ansiktsigenkänning)
  • De behandlat känsliga uppgifter utan ett giltigt undantag från Förordningens förbud mot att behandla känslig uppgifter
  • De inte gjort en tillräcklig konsekvensbedömning av behandlingen och inte heller inkommit med ett förhandssamråd till Datainspektionen, trots att det fanns ett antal faktorer som visade att det skulle behövts.

Även om detaljhandeln nu utreder möjligheterna att använda ansiktsigenkänning i butikerna är inte ansiktsigenkänning den mest vanligt förekommande personuppgiftsbehandlingen i de flesta verksamheter. Datainspektionens beslut, och framförallt de frågor som Datainspektionen ställde till skolan, ger ändå en tydlig uppfattning om vilka åtgärder man som verksamhet förväntas ha vidtagit för att leva upp till Förordningen. Bland de frågor Datainspektionen ställde till skolan fanns de följande:

  • En grund i dataskyddsreglerna är att en behandling ska vara proportionell i förhållande till behovet med behandlingen. Hur har ni gjort er proportionalitetsbedömning?
  • Har ni gjort någon konsekvensbedömning enligt artikel 35 i dataskyddsförordningen (GDPR)1 inför starten av det aktuella projektet? Om en konsekvensbedömning har gjorts vänligen lämna in den med yttrandet.
  • Vilket rättsligt stöd har ni haft för att behandla personuppgifterna i det aktuella projektet? Visa vilket rättsligt stöd ni har haft. Förklara hur ni har resonerat och motivera. Om det rättsliga stödet kräver nationella bestämmelser ange samtliga relevanta bestämmelser eller beslut.
  • Har ni lämnat information till de registrerade i det aktuella projektet och på vilket sätt?
  • Vilka tekniska och organisatoriska åtgärder har ni vidtagit för att säkerställa en lämplig säkerhetsnivå?
  • Om materialet har raderats, när skedde raderingen och hur skedde raderingen? Innebär raderingen att uppgifterna inte finns kvar någonstans?

Betryggande svar på frågor som dessa krävs om man skulle granskas av Datainspektionen. Många företag vi har pratat med är trots det inte medvetna om när och hur de ska göra en proportionalitetsbedömning, deras bild av en konsekvensbedömning är att man i en mening konstaterar att man inte ser några negativa konsekvenser av den behandling som sker och radering jobbar man inte med alls då man har inte de tekniska förutsättningarna för att nå hela vägen.

Företag behöver säkerställa att verkligheten återspeglar det man skrivit i dataskyddspolicyn som ligger på hemsidan. Man behöver se till att arbetet med att besvara en utdragsförfrågan eller rapportera en personuppgiftsincident blir en naturlig del av verksamheten och inte något som tar upp för mycket resurser.

När vi arbetar med olika företag ser vi att många verksamheters arbete stannade av efter den 25 maj 2018 – så fort Förordningen trätt i kraft. Inför maj 2018 lades mycket tid på kartläggningar, analyser och kanske framförallt, på att sätta samman policies som beskriver hur organisationen behandlar personuppgifter. Att färdigställa policyn och lägga upp den på hemsidan blev för många företag slutmålet, då man ansåg sig sig vara färdig med ”GDPR-arbetet”. Men GDPR-anpassning är, som vi ständigt påtalar, ett sisyfosarbete – inte ett projekt som kan klarmarkeras.

Det måste förbli ett pågående arbete som utgör en del av verksamheten och inte något ”vid sidan om”. Vad företagen missar är att efterlevnad av Förordningen kräver att arbetet med processer och rutiner för behandling av personuppgifter fortgår löpande och utgör en del av den dagliga verksamheten. Tvärt emot verkligheten, där ett fåtal – om ens någon – har ensamt ansvar för området, måste varje anställd i organisationen vara medveten om arbetet och ha det på sin agenda.

För att säkerställa att frågor om personuppgiftsbehandling prioriteras i verksamheten bör datasäkerhet, processer och rutiner för personuppgiftsbehandling lyftas till ledningsgruppsnivå och företag bör löpande utbilda och informera personalen inom dessa områden.

Vi vill skilja på svårt och komplext. Att implementera är inte svårt, men det är komplext. Därför har många företag problem med att nå hela vägen fram. Vi hjälper regelbundet företag med att komma igång med implementeringen av åtgärder för att efterleva den ”nya” lagstiftningen. För att ha en bra utgångspunkt är det viktigt är att informera både internt och externt om hur personuppgiftsbehandling på företaget går till. En viktig faktor är att varje anställd känner individuellt ansvar för den personuppgiftsbehandling som sker på bolaget, snarare än att det vilar på en ”GDPR-ansvarig”. Alla behöver veta vad som gäller och vad som förväntas av var och en.

Har ni utmaningar med er implementeringen av nya rutiner vad gäller hantering av personuppgifter i organisationen? Undrar ni hur ni på enklast möjliga sätt blir ”compliant”? Hör av er till oss på Rouse – oavsett om det bara är för att komma igång eller för att ni vill ha hjälp med att ro hela projektet i hamn.

Relaterat innehåll

Hur hindrar vi någon från att stjäla vår affärsidé?

Hur hindrar vi andra från att stjäla vår affärsidé? Det är en fråga vi får ofta. Det ”enkla” svaret är att det är svårt att skydda en affärsidé. Att frågan uppstår är inte konstigt, i och med att innovation blir mer och mer affärsmodellsdrivet så är frågan aktuell för de flesta företag. Men, med traditionell […]

Protecting trade marks in relations to retail services in China

Registering trade marks in relation to retail services is now a widely accepted practice in most countries – but not in China.  In China, the Trademarks Office (CTMO) accepts applications for registration in relation to retail services only in certain specific and limited cases. There are, however, signs that things are changing. This article describes […]

IP and the Business Model Canvas.

”Can we protect our business model?” That is probably the most common question professionals in the Intellectual Property (IP) space are being asked. And the most people with significant experience of working with IP and IP professionals in general would give probably give you the same answer. That it is not possible. This answer is […]

”Det är oftast lättare att fatta beslut om patent än att inte göra det”

Vad är er teknologi värd? Stora investeringar görs i teknologi och IP, men alltför ofta saknar investeringarna en tydlig koppling till värdeskapande. Detta är problematiskt av många skäl, men framförallt eftersom det leder till ett ineffektivt utnyttjande av resurser på företagen, som i brist på tydliga värderingar av deras tillgångar baserar sina investeringsbeslut på andra […]

”Last-mover advantage” – en affärsmässig realitet utan IP-kontroll

Fintech-bolag (”Financial Technology”) håller på att förändra världen med nya, innovativa affärsmodeller. Det finns en uppfattning att Fintech-bolagens stora konkurrensfördelar, unika kombinationer av modern teknik och affärsmodeller, är svåra att skydda med traditionell IP. Att företagen på den grunden avstår från att skapa kontroll med IP gör att framgångskoncept blir relativt lätta att kopiera för […]