GDPR – vad får man göra?

För snart ett år sedan trädde GDPR i kraft. Resultat har vänt sig till experten Monika Wendleby för att få svar på de vanligaste frågorna.

Det företag jag anlitar för it-support vägrar skriva under ett biträdesavtal. Deras rådgivare har sagt att det inte är nödvändigt. Måste jag säga upp avtalet? Eller kan jag i mitt företags personuppgiftspolicy ange it-supportbolaget som en tredje part som kan komma att ta del av mina kunders personuppgifter?

– Normalt sett ska en it-support vara personuppgiftsbiträde och man ska alltså skriva ett personuppgiftsbiträdesavtal. Om man inte gör det måste man ändå se till att ansvaret regleras juridiskt eftersom man i stället blir gemensamt personuppgiftsansvarig och behöver uppfylla kraven på ett inbördes arrangemang (i det ska de olika rollerna beskrivas så de registrerade förstår). Om det sker en personuppgiftsincident måste man veta vem som är personuppgiftsansvarig (den ska anmäla incidenten).

Det vanligaste i detta fall är dock ett personuppgiftsbiträdesavtal. Men det finns både bra och dåliga biträdesavtal, och det gäller att se till att man bara skriver under korrekta avtal. Ett vanligt fel är att ”biträdet” vill bestämma för mycket, vilket inte håller.

Jag är personuppgiftsbiträde åt en kund som vill ha utförlig information om säkerheten hos de biträden jag anlitar (redovisningssystemsleverantör och it-support). Mina biträden är stora företag och mitt företag är litet. Hur kan jag få information som tillfredsställer min kund?

– I princip är det ofta omöjligt för små företag att korrekt hantera denna typ av relation. Det här är ett dilemma med de riktigt stora marknadsledande företagen, där det ofta inte går att hitta en annan leverantör. Klarar man inte av formaliakraven för biträdesavtal kanske man i stället bör överväga ett inbördes arrangemang (se förra frågan). Ett annat tips om biträdesavtalet i övrigt känns korrekt är att fråga biträdena om deras säkerhet och vidarebefordra den informationen till din kund. Är de biträden på riktigt ska de lämna sådan information.

Jag använder ibland min privata mejl för jobbärenden. Jag vet att det inte är att rekommendera, men hur känsligt är det egentligen?

– Det är viktigt att särskilja den privata mejlen och jobbmejlen. Om det uppstår en incident kan det bli mycket svårare att hantera den om man inte särskiljer den privata mejlen från jobbmejlen. Privat mejl kan också ha lägre säkerhet och hamnar utanför företagets brandvägg. Detta är en fråga man bör man vara tydlig med i företagets e-post-policy.

Vad ska man tänka på när man upprättar en e-postpolicy för sina anställda? Det känns extremt att föreskriva att alla mejl ska rensas inom en viss tid. Vilken tid är rimlig?

– Det finns ingen central regel för hur e-post ska hanteras utan det beror på vilken typ av behandling det är. Det är för varje mejl viktigt att veta vilken laglig grund man stödjer behandling av personuppgifter på. Personuppgifter som inte längre är relevanta för ändamålet ska gallras. Ett mejl som skickats fel till företaget ska man ju till exempel radera direkt, men ett business to business-mejl utan känsliga personuppgifter är inte så känsligt att lagra längre, exempelvis om man förhandlar om villkor i en affär företaget ska göra.

Om du inte gallrar fortlöpande måste du göra fortlöpande bedömningar för varje mejl. Det är därför både enklare och bättre att i en policy ange en kort generell gallringstid och att sedan lagra de mejl som inte ska gallras i ett säkrare system. Det är också viktigt att skriva in i policyn att känsliga personuppgifter inte ska skickas via mejl, om försändelsen inte är krypterad.

Räcker det med en länk till vår integritetspolicy eller måste man infoga en text i mejlen hur personuppgifter hanteras?

– Jag rekommenderar en kort text i mejlet om hur personuppgifter hanteras och en länk till integritetspolicyn. Sedan kan man i ett specifikt ärende, till exempel vid rekrytering, skicka med delar av policyn till dem som berörs.

Eftersom man inte ska skicka så mycket personuppgifter med e-post har vi tänkt sköta all dokumenthantering via Googledocs, Dropbox eller Office 365. Men hur vet vi var våra dokument hamnar (servrarna kanske ligger i ett land utanför EU)? Och är det tillräckligt säkert?

– Det är ju ett dilemma med de stora marknadsledande företagen. Det finns ju inte alltid alternativ. De flesta molntjänster har visserligen flyttat sina servrar till Europa, men det är inte den enda frågan.

Google har ju varit satt under granskning flera gånger bland annat för sin profilering. Office 365 känns säkrare men det har funnits vissa säkerhetsrisker även med Office 365. Där finns det dock möjligheter att själv designa och reglera nivån på säkerheten vilket är bra. Jag vågar inte säga om något moln-alternativ är 100-procentigt säkert att använda (de stora jättarna kan behöva lämna vidare information till den amerikanska staten i vissa fall). Jag vet att en del som hanterar mycket känsliga personuppgifter har byggt eller överväger att bygga egna molntjänster.

Vi har enstaka löneuppdrag. Löneavier hanteras numera genom att våra kunders anställda får tillgång till dokumentet på en webbplats via Bankid. Men hur ska vår kommunikation med ekonomiansvarig hos kunden se ut? De skickar oss material och ska även godkänna avierna innan de görs tillgängliga för de anställda.

– Det finns risk för allvarliga personuppgiftsincidenter när man mejlar sådan information utan att den är krypterad. Lön och banknummer är ju integritetskänsliga personuppgifter för många. Jag känner till många sådana fall, till exempel när en lönehandläggare råkat mejla uppgifter till fel person. Skickar man personuppgifter till fel person så är det en incident och är innehållet integritetskänsligt kan det behöva anmälas. Det är bättre att ha ett system där man kan ladda upp filer i till exempel en säker molntjänst, ett ”samtalsrum”, i stället för att mejla.

Måste man specificera vilka underbiträden man använder? Vi har sett att en del företag som i sin personuppgiftspolicy endast anger att de anlitar underbiträden för it-support och dylikt men de skriver inte vilka företag det är.

– Ja, man måste specificera vilka underbiträden man har. Gör man inte det är personbiträdesavtalet inte korrekt.

Vi brukar ordna gratisseminarier till våra kunder och ger då ut deltagarlistor. Måste vi ha kundens samtycke för detta?

– Ja, det måste finnas en laglig grund och i det här fallet lär detta vara ett tydligt samtycke. Man kan inte utgå ifrån att det finns ett berättigat intresse i detta fall. Det kan bli mycket administrativt arbete om någon senare återkallar och meddelar att hen vill bli borttagen från listan så jag skulle råda er att sluta med detta.

Vi använder Facebook är det något särskilt vi ska tänka på (kom en EU-dom i juni)? Har vi gemensamt personuppgiftsansvar?

– Hela Facebooks affärsidé är ju att profilera, men det har man sannolikt sällan laglig grund för. Ett företag som har en Facebook-sida behöver hantera detta faktum. Det finns en EU-dom från sommaren 2018. Den gäller den gamla lagstiftningen och GDPR är ju tuffare, så det finns ingen anledning att tro att domen skulle ha blivit mildare i dag. Det var en förening i Tyskland som hade en Facebook-sida. Domstolen fann att det förelåg ett gemensamt personuppgiftsansvar för föreningen och Facebook och man pekade särskilt på att föreningen genom att göra statistikinställningar (för att exempelvis kunna se hur många kvinnor/män som gillat eller delat inlägg) tillhandahållit Facebook extra personuppgifter. Ett gemensamt personuppgiftsansvar kräver ju ett inbördes arrangemang, men hur ordnar man det med Facebook? Jag jobbar en hel del med ideell verksamhet och då brukar jag råda dem att noga titta på sitt ändamål: är det ett journalistiskt ändamål med sidan behöver flera regler i GDPR inte följas. Det kan också vara bra att beskriva sin och Facebooks roll tydligt så att de registrerade förstår hur personuppgifter behandlas (en del i ett inbördes arrangemang).

Det finns på grund av domen och Facebooks egna agerande (till exempel Cambridge Analytica-härvan) en osäkerhet nu kring Facebook och det kan sannolikt leda till betydligt allvarligare förtroendekriser än felaktig hantering av mejl i business to business-situationer. Ett tips är att enbart använda Facebook för rent journalistiska ändamål eftersom yttrandefrihet är en viktig rättighet som GDPR respekterar. Organisationer behöver för att göra detta rätt bottna ordentligt i båda regelverken.

En kommun jag begärde ut uppgifter från hänvisade till GDPR och sa att de inte längre kan skicka med de anställdas namn i uppgifterna. Andra kommuner har inte sagt något alls om det, utan skickar med namn fortfarande. Vad är ”rätt”?

– Det är två regelverk man ska förhålla sig till, vilket gör det lite komplext. Allmänna handlingar ska ju lämnas ut om de inte enligt offentlighets- och sekretesslagen är sekretessbelagda. I den lagen anges att man kan vägra utlämnande om man vet att mottagaren syftar till att bryta mot GDPR. Det finns ju de som till exempel förföljer eller hotar personer. Men det ska ganska mycket till för att vägra ge ut allmänna handlingar. När kommunen hanterar frågor om allmänna handlingar är de lagliga grunderna i GDPR rättslig förpliktelse och allmänt intresse vilket innebär att kommunen har rätt att lämna ut handlingar innehållande personuppgifter om handlingen inte ska sekretessbeläggas.

Hur ska vi tänka vid inköp av it-system och liknande?

– Många befintliga it-system är inte GDPR-anpassade så att de klarar gallring och rättigheter på ett bra sätt. Och när man köper nytt system är det viktigt att tänka igenom behoven ordentligt så att man inte fortsätter bygga in felaktigheter vilket kan leda till en rörig it-arkitektur. Det är viktigt att ha med GDPR-perspektivet och tänka igenom frågor som gallring och registerhantering i samband med inköp av it-system (till exempel hur man ska avveckla befintliga system så det inte blir dubbellagring). Det gäller också att tänka till vid inköp av mobiltelefoner och liknande. Korrekta inköp är en viktig gate-keeper för GDPR.

Hur ska vi hantera personalstatistik?

– Det är viktigt att man har ett GDPR-tänk även här. Många tror att om man visar aggregerad statistik så är det inga problem, men så länge det går att härleda personuppgifter bakåt så innehåller statistiken inte anonyma uppgifter utan är en hantering av personuppgifter som måste ha laglig grund. Det är också viktigt att inte försköna statistik som grundar sig på personuppgifter, för att få det att verka bättre eller mer effektivt än det är. Om man redovisar mätetal (som till exempel personalstatistik kan vara) missvisande kan det ses som uppsåtligt agerande när sanktioner ska beslutas.

Pernilla Halling