Alla företag behandlar personuppgifter i sitt dagliga arbete i större eller mindre utsträckning. I många företag och organisationer behandlar man även personuppgifter utan att särskilt fästa uppmärksamhet vid hur och när det sker. Den moderna tekniken har gjort det lättare att använda personuppgifter i kommersiellt syfte, bl.a. genom automatiserad insamling av personuppgifter via sociala medier. Samtidigt har olika former av personuppgiftsmissbruk, såsom identitetsbedrägeri, ökat.
EU:s dataskyddsförordning
EU:s dataskyddsförordning GDPR (EU General Data Protection Regulation) började tillämpas 25.5.2018. Syftet med EU:s dataskyddsförordning är att underlätta det fria flödet av personuppgifter inom EU, utan att den enskilda individens rättigheter förbises. Med personuppgifter avses alla upplysningar (t.ex. ett namn, en bild eller en personbeteckning) med hjälp av vilka en viss person direkt eller indirekt kan identifieras. Det kan handla om personuppgifter som ingår i ett systematiserat register, men även personuppgifter som inte har systematiserats och som används t.ex. i e-postkorrespondens. Dataskyddsförordningen tillämpas på alla dessa personuppgifter.
Personuppgiftsansvarig och personuppgiftsbiträde
Enligt dataskyddsförordningen terminologi är ett företag eller en organisation som samlar in och behandlar personuppgifter och själv bestämmer ändamålen och medlen för behandlingen av dem en personuppgiftsansvarig. När personuppgifter som den personuppgiftsansvariga samlat in behandlas av en aktör för den personuppgiftsansvariges räkning, utgör aktören ett personuppgiftsbiträde. Ett personuppgiftsbiträde kan t.ex. vara en leverantör som levererar företagets produkter till kunden.
Personuppgiftsbehandling kräver en laglig grund
GDPR ställer skärpta krav på alla organisationer som behandlar personuppgifter i en eller annan form. GDPR förutsätter att all personuppgiftsbehandling bygger på en laglig grund. En laglig grund för att använda personuppgifterna kan t.ex. vara att personen samtyckt till att organisationen använder personuppgifterna, eller att personen ingått ett avtal med företaget eller organisationen och uppgifterna är nödvändiga för att utföra avtalet. All behandling av personuppgifter måste dessutom vara korrekt, öppen och ändamålsenlig. Personuppgifter kan endast behandlas för uttryckligt angivna ändamål. Om ändamålet upphör måste även behandlingen av personuppgiften upphöra. GDPR förutsätter även att organisationer som behandlar personuppgifter under vissa omständigheter utser en dataskyddsombud, vars uppgift är att kontrollera att dataskyddsförordningen följs inom organisationen.
Dokumentationskrav
GDPR ställer höga krav på dokumentationen av behandlingen av personuppgifter. Dokumentationskravet innebär att organisationer och företag som behandlar personuppgifter ska kunna visa att dataskyddslagstiftningen har iakttagits i behandlingen. Exakt hur omfattande åtgärder och dokumentation som förväntas av en organisation måste bedömas från fall till fall, bl.a. mot bakgrund av organisationens storlek, vilken typ av personuppgifter som behandlas samt vilka riskfaktorer som anknyter till verksamheten. T.ex. behandling av känsliga personuppgifter förutsätter ofta mera omfattande försiktighetsåtgärder än behandling av andra personuppgifter. Juridisk rådgivning kan vara nödvändig för att dokumentationen ska uppfylla de krav som uppställs i förordningen.
Konsekvensbedömningar och rutiner
Beroende på verksamhetens omfattning kan dokumentationskravet uppfyllas genom att man t.ex. upprättar ett särskilt register över behandlingen av personuppgifter eller uppgör ett dokument för konsekvensbedömning vid behandlingar som typiskt leder till högre risk. Företaget behöver också utarbeta rutiner t.ex. för hur personalen ska behandla personuppgifter i sitt dagliga arbete. En sådan rutin kan t.ex. utgöra en handlingsplan för att upprätthålla IT-säkerheten i företaget samt föreskriva hur man inom företaget agerar i enlighet med dataskyddsförordningens bestämmelser när det uppstår en personuppgiftsincident.
Avtal om behandling av personuppgifter
I företagsverksamheten uppkommer det ofta situationer där ett företag överför personuppgifter åt en annan aktör, t.ex. när företaget använder sig av en molnbaserad mjukvara. I sådana situationer uppstår det juridiska ansvarsfrågor och GDPR kräver att det finns ett avtal mellan parterna. I ett avtal om behandling av personuppgifter ska parterna bl.a. avtala om vem som med beaktande av kraven i dataskyddsförordningen utgör personuppgiftsansvarig för behandlingen av personuppgifterna och vem som utgör personuppgiftsbiträde, vilka typer av behandlingar som personuppgiftsbiträdet får göra, att personuppgiftsbiträdet ska bistå den personuppgiftsansvarige vid personuppgiftsincidenter och hur returneringen av personuppgifterna till den personuppgiftsansvarige ska ske. Parterna ska också avtala om huruvida personuppgiftsbiträdet har rätt att överföra personuppgifter utanför EU/EES samt huruvida personuppgiftsbiträdet får använda sig av underbiträden. Den nya dataskyddsförordningen ger företag skäl att noga se över rollfördelningen och ansvarsfördelningen när flera aktörer behandlar personuppgifter inom ramen för företagsverksamheten.
Dataombudsmannen övervakar att GDPR följs
I varje EU-medlemsland finns en tillsynsmyndighet som övervakar att GDPR följs. I Finland är det dataombudsmannen som är utsedd till tillsynsmyndighet. Dataombudsmannen kan påföra administrativa påföljder för brott mot dataskyddsförordningen. Därför är det skäl för både mindre och större företag att se över sin personuppgiftshantering. En väl genomtänkt och grundligt dokumenterad behandling av personuppgifter ger också företaget trovärdighet i förhållande till kunderna och olika samarbetspartner.
Välkommen att ta kontakt med de advokater och jurister på DKCO som handhar frågor som berör GDPR.