Klarar ditt företag en granskning?

I augusti utfärdade Datainspektionen Sveriges första sanktionsavgift under EUs Dataskydds-förordning (Förordningen) till en gymnasieskola i Skellefteå. Sanktionen kom efter att skolan på prov använt ansiktsigenkänning via kamera för att registrera elevers närvaro på lektionerna. Skolan behandlade genom detta känsliga personuppgifter och uppgav som laglig grund att de inhämtat samtycke från eleverna. Datainspektionen underkände  här samtycke som laglig grund i och med att eleverna stod i en beroendeställning i förhållande till skolan. Det Datainspektionen ansåg att skolan gjort fel var att:

  • De behandlat personuppgifter på ett sätt som var mer ingripande för den personliga integriteten än nödvändigt (det finns andra sätt att kontrollera närvaro än att ha ansiktsigenkänning)
  • De behandlat känsliga uppgifter utan ett giltigt undantag från Förordningens förbud mot att behandla känslig uppgifter
  • De inte gjort en tillräcklig konsekvensbedömning av behandlingen och inte heller inkommit med ett förhandssamråd till Datainspektionen, trots att det fanns ett antal faktorer som visade att det skulle behövts.

Även om detaljhandeln nu utreder möjligheterna att använda ansiktsigenkänning i butikerna är inte ansiktsigenkänning den mest vanligt förekommande personuppgiftsbehandlingen i de flesta verksamheter. Datainspektionens beslut, och framförallt de frågor som Datainspektionen ställde till skolan, ger ändå en tydlig uppfattning om vilka åtgärder man som verksamhet förväntas ha vidtagit för att leva upp till Förordningen. Bland de frågor Datainspektionen ställde till skolan fanns de följande:

  • En grund i dataskyddsreglerna är att en behandling ska vara proportionell i förhållande till behovet med behandlingen. Hur har ni gjort er proportionalitetsbedömning?
  • Har ni gjort någon konsekvensbedömning enligt artikel 35 i dataskyddsförordningen (GDPR)1 inför starten av det aktuella projektet? Om en konsekvensbedömning har gjorts vänligen lämna in den med yttrandet.
  • Vilket rättsligt stöd har ni haft för att behandla personuppgifterna i det aktuella projektet? Visa vilket rättsligt stöd ni har haft. Förklara hur ni har resonerat och motivera. Om det rättsliga stödet kräver nationella bestämmelser ange samtliga relevanta bestämmelser eller beslut.
  • Har ni lämnat information till de registrerade i det aktuella projektet och på vilket sätt?
  • Vilka tekniska och organisatoriska åtgärder har ni vidtagit för att säkerställa en lämplig säkerhetsnivå?
  • Om materialet har raderats, när skedde raderingen och hur skedde raderingen? Innebär raderingen att uppgifterna inte finns kvar någonstans?

Betryggande svar på frågor som dessa krävs om man skulle granskas av Datainspektionen. Många företag vi har pratat med är trots det inte medvetna om när och hur de ska göra en proportionalitetsbedömning, deras bild av en konsekvensbedömning är att man i en mening konstaterar att man inte ser några negativa konsekvenser av den behandling som sker och radering jobbar man inte med alls då man har inte de tekniska förutsättningarna för att nå hela vägen.

Företag behöver säkerställa att verkligheten återspeglar det man skrivit i dataskyddspolicyn som ligger på hemsidan. Man behöver se till att arbetet med att besvara en utdragsförfrågan eller rapportera en personuppgiftsincident blir en naturlig del av verksamheten och inte något som tar upp för mycket resurser.

När vi arbetar med olika företag ser vi att många verksamheters arbete stannade av efter den 25 maj 2018 – så fort Förordningen trätt i kraft. Inför maj 2018 lades mycket tid på kartläggningar, analyser och kanske framförallt, på att sätta samman policies som beskriver hur organisationen behandlar personuppgifter. Att färdigställa policyn och lägga upp den på hemsidan blev för många företag slutmålet, då man ansåg sig sig vara färdig med ”GDPR-arbetet”. Men GDPR-anpassning är, som vi ständigt påtalar, ett sisyfosarbete – inte ett projekt som kan klarmarkeras.

Det måste förbli ett pågående arbete som utgör en del av verksamheten och inte något ”vid sidan om”. Vad företagen missar är att efterlevnad av Förordningen kräver att arbetet med processer och rutiner för behandling av personuppgifter fortgår löpande och utgör en del av den dagliga verksamheten. Tvärt emot verkligheten, där ett fåtal – om ens någon – har ensamt ansvar för området, måste varje anställd i organisationen vara medveten om arbetet och ha det på sin agenda.

För att säkerställa att frågor om personuppgiftsbehandling prioriteras i verksamheten bör datasäkerhet, processer och rutiner för personuppgiftsbehandling lyftas till ledningsgruppsnivå och företag bör löpande utbilda och informera personalen inom dessa områden.

Vi vill skilja på svårt och komplext. Att implementera är inte svårt, men det är komplext. Därför har många företag problem med att nå hela vägen fram. Vi hjälper regelbundet företag med att komma igång med implementeringen av åtgärder för att efterleva den ”nya” lagstiftningen. För att ha en bra utgångspunkt är det viktigt är att informera både internt och externt om hur personuppgiftsbehandling på företaget går till. En viktig faktor är att varje anställd känner individuellt ansvar för den personuppgiftsbehandling som sker på bolaget, snarare än att det vilar på en ”GDPR-ansvarig”. Alla behöver veta vad som gäller och vad som förväntas av var och en.

Har ni utmaningar med er implementeringen av nya rutiner vad gäller hantering av personuppgifter i organisationen? Undrar ni hur ni på enklast möjliga sätt blir ”compliant”? Hör av er till oss på Rouse – oavsett om det bara är för att komma igång eller för att ni vill ha hjälp med att ro hela projektet i hamn.

Relaterat innehåll

Hur hindrar vi någon från att stjäla vår affärsidé?

Hur hindrar vi andra från att stjäla vår affärsidé? Det är en fråga vi får ofta. Det ”enkla” svaret är att det är svårt att skydda en affärsidé. Att frågan uppstår är inte konstigt, i och med att innovation blir mer och mer affärsmodellsdrivet så är frågan aktuell för de flesta företag. Men, med traditionell […]

Protecting trade marks in relations to retail services in China

Registering trade marks in relation to retail services is now a widely accepted practice in most countries – but not in China.  In China, the Trademarks Office (CTMO) accepts applications for registration in relation to retail services only in certain specific and limited cases. There are, however, signs that things are changing. This article describes […]

Intellectual property management – too often nonintellectual

Creating, leveraging and protecting intellectual property is a key business activity of any modern company. To be able to do so effectively, it is paramount to develop and implement an organizational structure able to handle the different challenges of IP ideation, maintenance and use. It is also important to build and maintain a corporate culture […]

Patent och enforcement i Kina: ett strategiperspektiv

Det kinesiska rättssystemet för immateriella tillgångar uppfattas av många som otydligt, orättvist och som favoriserande gentemot inhemska företag. För någon som följt utvecklingen i Kina de senaste femton åren är det faktiskt svårt att hålla med. Företag frågar sig idag inte om, utan hur, man ska använda sig av patentsystemet i Kina för att skydda […]

Innovation at the tail of Covid-19

In the wake of a health crisis, the Covid-19 pandemic, we are facing a financial crisis which will have long term consequences. Financial crises, like this one, can be dangerous and chaotic. They can, however, also be catalysts of change, creating new competitive landscapes and reshaping old ones. Capitalizing on the opportunities while containing the […]