Upprätta vissa avtal och dokument för att följa GDPR

Företag behöver upprätta vissa avtal och dokument för att följa GDPR. Enligt principen om ansvarsskyldighet, som är en av sju (7) grundläggande dataskyddsprinciper, måste företag dessutom kunna visa att de följer GDPR. Därför behöver företag vidta särskilda åtgärder, såsom upprätta lämpliga avtal, interna rutiner, loggböcker och övriga dokument.

Upprätta vissa avtal och dokument för att följa GDPR

Personuppgiftsbiträdesavtal

Om ett företag i egenskap av personuppgiftsansvarig anlitar ett annat företag som sitt personuppgiftsbiträde, måste dessa aktörer skriftligen avtala om vissa fastställda minimikrav. Detsamma gäller om ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde.

Minimikraven framgår av artikel 28 GDPR, vilka måste bli avtalade i ett skriftligt avtal för att vara giltigt. Det är vanligt att reglera minimikraven i ett så kallat personuppgiftsbiträdesavtal. Utöver minimikraven som måste bli skriftligen avtalade, finns det möjlighet att avtala om ytterligare frivilliga kommersiella villkor. Exempelvis bestämmelser om ekonomiska uppgörelser parterna emellan, olika processer och tillvägagångssätt m.m.

Det är viktigt att känna till företagets roll vid behandling av personuppgifter. Ett företag som behandlar personuppgifter kan göra det i egenskap av personuppgiftsansvarig, personuppgiftsbiträde eller personuppgiftsunderbiträde och måste följa GDPR. Utöver företag i egenskap av handelsbolag, aktiebolag och ekonomiska föreningar, kan även fysiska individer vara skyldiga att följa bestämmelserna i GDPR. Bland annat gäller detta för individer som bedriver en enskild firma.

Skillnaden mellan personuppgiftsansvarig och personuppgiftsbiträde

Den den personuppgiftsansvarige bestämmer medel och ändamål med behandlingen. Det vill säga, hur och varför behandlingen ska bli genomförd.

Ett personuppgiftsbiträde behandlar istället enbart personuppgifterna för den personuppgiftsansvariges räkning i enlighet med dennes skriftliga instruktioner. Personuppgiftsbiträdet får alltså inte behandla personuppgifterna för egna ändamål eller syften.

Registerförteckning

När företag behandlar personuppgifter ska företaget föra ett skriftligt register över behandlingen. Alla behandlingar som företaget utför ska vara skriftligen noterade i en registerförteckning enligt artikel 30 GDPR. Detta gäller oavsett om företaget är ett personuppgiftsbiträde eller personuppgiftsansvarig. Däremot finns det undantag då företag inte behöver göra detta, men det kan vara bra att göra ändå.

En registerförteckning är ett skriftligt dokument med ett register över behandlingarna. Där ska företaget bland annat ange vilka kategorier av personuppgifter behandlingen omfattar och vilka de registrerade är.

Enligt huvudregeln behöver företag som har färre än 250 anställda inte ha någon registerförteckning, men det finns flera undantag. Till exempel om företaget behandlar känsliga personuppgifter såsom uppgifter om hälsa. Observera att företag som har anställda och behandlar sjukfrånvaro, behandlar känsliga personuppgifter eftersom det är uppgifter om hälsa. Om företaget även behandlar personuppgifter för utbetalning av lön, är det inte en tillfällig behandling. Vid dessa fall måste företaget upprätta en registerförteckning, även om företaget har mindre än 250 anställda.

Bedömningar

Företag kan behöva utföra och dokumentera vissa bedömningar innan de påbörjar en behandling av personuppgifter. Dessutom kan företaget behöva göra detta under en pågående behandling om omständigheterna för behandlingen förändras. Nedan följer en kort sammanfattning av olika bedömningar som företag kan behöva göra.

Konsekvensbedömning av dataskydd

Om en behandling av personuppgifter kan medföra en hög risk för de registrerades fri- och rättigheter, ska företaget göra en konsekvensbedömning av dataskydd. I vissa fall ska företaget även begära förhandssamråd med tillsynsmyndigheten.

Syftet med denna typ av konsekvensbedömning är att analysera vilka risker som behandlingen innebär. Därefter kan företaget ta reda på vilka åtgärder och vilka rutiner som behöver bli implementerade, för att minimera riskerna med behandlingen. Det är viktigt att företaget utfår från en riskanalys vid bedömningen, genom att analysera vilka risker som den planerade behandlingen av personuppgifterna innebär.

Om resultatet av denna bedömning visar att det finns en hög risk med behandlingen, måste företaget genomföra ett förhandssamråd med tillsynsmyndigheten innan behandlingen i fråga blir påbörjad.

Konsekvensbedömning av dataöverföringar

Om företaget avser att överföra personuppgifter till ett land utför EU/EES som EU kommissionen inte anser har en adekvat skyddsnivå, måste företaget utföra en konsekvensbedömning avseende dataöverföringen. Syftet med denna bedömning är att identifiera och bedöma riskerna för de registrerades integritet. Det sker bland annat genom att utvärdera hur personuppgifterna kommer att bli behandlade, lagrade, överförda och vilka säkerhetsrisker som finns. Det är även annat viktigt att granska lagarna i det tredjelandet, dit personuppgifter avser att bli överförda.

Något som är viktigt att tänka på är att denna bedömning ska bli utförd och skriftligen dokumenterad innan personuppgifterna blir överförda till tredjeland. Dessutom ska en sådan bedömning enbart bli utförd för ett land och en mottagare åt gången.

Bedömning av berättigat intresse

Intresseavvägning är en av de sex (6) rättsliga grunderna för behandling av personuppgifter. Denna rättsliga grund kan bli använd om företaget kan visa att behandlingen är nödvändig för att uppfylla ett berättigat intresse, och att den registrerades rättigheter och friheter inte väger tyngre än det identifierade berättigade intresset.

För att ta reda på detta, måste företaget utföra och skriftligen dokumentera en intresseavvägning. Företaget måste väga sina berättigade intressen till behandlingen, mot den registrerades rättigheter och friheter. Om den registrerades rättigheter och friheter väger tyngre, får företaget inte använda intresseavvägning som rättslig grund för behandlingen.

Integritetsmeddelande

Individers vars personuppgifter företaget behandlar, har rätt till information om behandlingen. Denna information kan bli formulerad i ett integritetsmeddelande, som företaget med fördel kan publicera på sin offentliga webbplats. Ofta är detta dokument även kallat för en integritetspolicy eller personuppgiftspolicy. Minimikraven avseende innehållet i ett integritetsmeddelande är reglerat i bland annat artiklarna 13 och 14 GDPR.

Informationen om bland annat hur och varför företaget behandlar personuppgifter ska bli presenterad för den registrerade innan personuppgifterna blir insamlade. Syftet med integritetsmeddelandet är att den registrerade ska kunna läsa om behandlingen av personuppgifter som företaget utför. Därefter ska den registrerade kunna besluta om personuppgifterna ska bli lämnade till företaget för sådan behandling eller inte.

Ett integritetsmeddelande ska vara formulerat på det språk som målgruppen av informationen förstår. Informationen får inte vara för omfattande eller formulerad med komplicerade juridiska termer. Om informationen riktar sig till barn, är det ännu viktigare att säkerställa att informationen är lättläst och att barnen förstår innehållet.

Interna rutiner

För att säkerställa att företaget efterlever GDPR och att medarbetarna behandlar personuppgifter korrekt, måste företaget upprätta olika interna rutiner och styrdokument. Den interna dokumentationen kan även bestå av checklistor, loggböcker, registerförteckningar och annat underlag som stöd i det interna GDPR-arbetet.

Genom att upprätta och implementera interna rutiner och policyer, kan företaget styrka att företaget följer GDPR samt den grundläggande dataskyddsprincipen om ansvarsskyldighet.

Exempel på några interna rutiner och dokument företag bör upprätta är följande:

– Intern rutin om hantering av personuppgiftsincidenter

– Checklista vid inträffad personuppgiftsincident

– Loggbok för protokollföring av inträffade personuppgiftsincidenter

– Intern rutin om gallring (radering eller anonymisering) av personuppgifter

– Utbildningsplan för medarbetare avseende GDPR

– Intern rutin om IT-säkerhet och åtkomsträttigheter

– Intern rutin om hantering av registrerades åberopande av sina rättigheter enligt GDPR

– Svarsmallar att använda vid registrerades begäran om tillgång till sina personuppgifter

– Checklista för årlig kontroll av det interna GDPR-arbetet

Det är viktigt att företaget i egenskap av arbetsgivare säkerställer att medarbetarna har de kunskaper om GDPR som krävs, för att de ska behandla personuppgifter korrekt. Dessutom är det viktigt att alla medarbetare vet hur de ska agera vid exempelvis inträffande av personuppgiftsincidenter. Därför bör företagets interna rutiner och dokument dessutom ingå som en del i onboardingprocessen av nya medarbetare, med krav på att den nya medarbetaren ska läsa dessa dokument.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_CND1TJSVVT	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_1	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.