GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

Information om GDPR

Åtgärder som företag kan behöva vidta för att följa GDPR

Det finns ett flertal åtgärder som företag kan behöva vidta för att följa GDPR, även kallad för dataskyddsförordningen. 

Informationssäkerhet

Företag ska skydda personuppgifter som de behandlar, vilket kan ske på olika sätt. Därför behöver företaget upprätta och implementera interna rutiner och göra annan information tillgänglig för medarbetare, för att de ska kunna skydda personuppgifterna. Ju viktigare personuppgifterna är, desto starkare skydd behöver dem. Ju bättre informationssäkerhet företaget implementerar inom verksamheten, desto mindre blir riskerna med behandlingen av personuppgifterna.

Personuppgiftsincidenter enligt GDPR

Personuppgiftsincidenter kan få stora konsekvenser för de berörda registrerade. Det kan exempelvis leda till identitetsstöld eller ekonomisk skada. Dessutom kan företag få stora konsekvenser om de inte vidtar tillräckliga organisatoriska och tekniska säkerhetsåtgärder för att förhindra personuppgiftsincidenter. Detsamma gäller om företaget bryter mot GDPR i övriga delar, till exempel genom att inte anmäla en inträffad anmälningspliktig personuppgiftsincident i tid.

Vanliga exempel på personuppgiftsincidenter:

  • Olaglig förstöring av personuppgifter.
  • Otillåtet röjande av personuppgifter.
  • Obehörig åtkomst av personuppgifter.
  • Förlust av personuppgifter.
  • Obehörig ändring av personuppgifter
Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Två andra EU-förordningar

  • AI-förordningen
  • Data-förordningen

Riskbedömning efter en inträffad personuppgiftsincident

Företag ska alltid göra en riskbedömning efter en personuppgiftsincident. Bedömningen går ut på att ta reda på vilka risker incidenten innebär för de registrerades fri- och rättigheter. Exempel på vad företag kan ha i beaktande när de utför riskbedömningen:

Incident

Vilken för typ av personuppgiftsincident det gäller. Till exempel om det är ett e-postmeddelande som har skickats till fel mottagare som innehåller vanliga personuppgifter, såsom namn och telefonnummer, eller innebär incidenten att känsliga personuppgifter om en persons hälsa har läckt ut.

An administrative fine

Karaktär och känslighet

Ju viktigare personuppgifter, desto högre risk för de registrerades fri- och rättigheter. Därför är det viktigt att analysera hur viktiga personuppgifterna är. Rör det sig exempelvis om en persons kreditkortsuppgifter eller annan information som är extra skyddsvärd?

Restrict or ban processing

Konsekvenser

Vilka konsekvenser som personuppgiftsincidenten kan innebära. Till exempel om kreditkortsuppgifter har läckt kan det leda till en ekonomisk skada.

Egenskaper

Om de registrerade är en extra skyddsvärd grupp, såsom barn, äldre eller individer med funktionsnedsättning.

Volym

Hur många som har påverkats av personuppgiftsincidenten. Ofta brukar det ha större effekt ju fler det är, men det behöver inte alltid vara så heller. Det är även bra att analysera volymen av antalet personuppgifter som påverkas av incidenten, och inte endast antalet registrerade.

Förordningen kräver dokumentation av personuppgiftsincidenter

Alla företag som upptäcker en inträffad personuppgiftsincident avseende de personuppgifter företaget behandlar, måste dokumentera det. Detta dokumentationskrav gäller oavsett om personuppgiftsincidenten är så pass allvarlig att den behöver bli anmäld till den nationella dataskyddsmyndigheten och de registrerade. Alla personuppgiftsincidenter ska bli dokumenterade, men inte alla behöver bli anmälda. Dessutom är det bra att ha interna rutiner för hur medarbetare ska agera vid personuppgiftsincidenter. Snabbt agerande kan ha stor påverkan för konsekvenserna.

Företag ska vidta olika lämpliga förebyggande åtgärder

Utöver att företag ska förebygga personuppgiftsincidenter, ska de också försöka minimera konsekvenserna när de väl inträffar. Det är ett krav enligt GDPR för företag att skydda personuppgifter som de behandlar, vilket inbegriper implementation av olika lämpliga förebyggande åtgärder.

Informera berörda registrerade om det inträffade

De registrerade ska bli informerade vid vissa typer av personuppgiftsincidenter som berör deras personuppgifter. På så sätt kan de även själva bidra till att minimera de negativa konsekvenserna. Till exempel om kreditkortsnummer läcker kan den registrerade vidta egna åtgärder för att spärra kortet.

Dessutom ska företaget som är personuppgiftsansvarigt för personuppgifterna i fråga anmäla vissa typer av personuppgiftsincidenter till den nationella dataskyddsmyndigheten. Anmälan ska ske inom 72 timmar från och med upptäckten.

Gränsöverskridande personuppgiftsincidenter

När en personuppgiftsincident har anknytning till flera länder inom EU, är det fråga om en gränsöverskridande personuppgiftsincident. Företag som bedriver verksamhet i flera länder i unionen behöver bedöma vilken dataskyddsmyndighet som är ansvarig. Detta behöver ske för att bland annat kunna veta vem de ska anmäla en eventuell personuppgiftsincident till.

Registrerade kan dock lämna in sitt klagomål till den nationella dataskyddsmyndigheten i deras bosättningsland, som i sin tur kan överföra ärendet till en annan tillsynsmyndighet om den är mer lämplig.

Organisatoriska säkerhetsåtgärder för att skydda personuppgifter

För att följa reglerna i GDPR, behöver företag vidta olika lämpliga säkerhetsåtgärder. Bland annat organisatoriska säkerhetsåtgärder för att skydda personuppgifter, samt andra organisatoriska åtgärder för att till exempel kunna tillgodose de rättigheter som registrerade har.

Behörighetsstyrning och åtkomsträttigheter

Det kan vara lämpligt för företag att styra behörigheten avseende vem som har åtkomst till personuppgifter, för att se till att obehöriga inte har det. Detta är särskilt viktigt i större företag som behandlar viktiga personuppgifter, såsom känsliga personuppgifter. Principen om att medarbetare ska ha åtkomst till personuppgifter på en ”need-to-know” basis är en bra utgångspunkt.

Kort sagt innebär detta att endast medarbetare som behöver behandla personuppgifterna för att utföra sin arbetsuppgifter, ska ha sådan åtkomst. Övriga medarbetare ska därmed inte ha tillgång till dem. Dessutom är det viktigt att återkalla åtkomsträttigheterna när det inte längre är nödvändigt. Behörighetsstyrning är något som bör övervakas och genomgås löpande.

Instruktioner och rutiner till medarbetare

Företag bör upprätta interna rutiner och instruktioner till sina medarbetare gällande hur de ska arbeta i praktiken för att följa reglerna i GDPR. All behandling av personuppgifter blir ju i praktiken utförd av medarbetare, även om det är företaget som legalt sett har det yttersta ansvaret för att behandlingen sker enligt GDPR.

Om ett företag har flera avdelningar, är det bra att skapa anpassade instruktioner till de respektive avdelningarna. Anledningen till detta är för att det ofta inte är nödvändigt för alla medarbetare att känna till alla regler i GDPR för att kunna sköta sina arbetsuppgifter. Dessutom bör företaget ha interna rutiner för hantering av personuppgiftsincidenter m.m.

Säkerhetskultur och utbildning

Dataskydd är en viktig del för företag som behandlar personuppgifter, vilket är de allra flesta företagen. För att ha ett bra dataskydd, är det viktigt att skapa en god säkerhetskultur inom verksamheten.

Bland annat kan detta ske genom att utbilda personalen i den del av GDPR som är viktig att känna till i deras arbetsuppgifter. Dessutom kan det vara bra för stora företag med flera avledningar att ha dataskyddsambassadörer på varje avdelning som får en särskild utbildning och blir som en typ av kontaktperson på avdelningen.

Tekniska säkerhetsåtgärder för att skydda personuppgifter

Det är viktigt att företaget vidtar lämpliga tekniska säkerhetsåtgärder för att skydda personuppgifter i enlighet med GDPR. Ju viktigare personuppgifterna är, desto säkrare säkerhetsåtgärder behöver företaget vidta. Dessutom behöver företag implementera andra tekniska åtgärder för att följa andra regler i GDPR och andra lagar. Till exempel behöver företag som bedriver en marknadsplats online införa en teknisk lösning som gör att användare kan anmäla falska och andra olagliga varor.

Autentisering som en del av identitetsprocessen

Det är vanligt att registrerade behöver identifiera sig innan de får åtkomst till system som behandlar personuppgifter. Till exempel genom att de behöver logga in med sitt registrerade användarnamn och lösenord. Detta är en typ av autentisering. Däremot kan det vara lämpligt att ha säkrare autentiseringsprocess i vissa fall.

Till exempel om en person ska ta ett lån från sin bank via sin mobiltelefon. Vid sådana fall kan det vara lämpligt att personen behöver logga in med ett eID eller liknande, och inte endast genom ett användarnamn med lösenord. Hos företag som behandlar väldigt känsliga personuppgifter, såsom uppgifter om hälsa, kan ett säkrare autentiseringssätt vara användning av fingeravtryck eller ett särskilt kort.

Kryptering av data vid lagring och överföring

Kryptering av personuppgifter och annan information är en vanlig teknisk åtgärd för företag att vidta. Till exempel kan kryptering ske när företaget skickar ett e-postmeddelande som innehåller viktiga personuppgifter. Dessutom kan kryptering vara lämpligt att implementera vid lagring av personuppgifter, såsom när lagringen avser integritetskänsliga personuppgifter. Kort sagt innebär kryptering att en kombination av en matematisk funktion och krypteringsnyckel tillsammans kan omvandla data så att det blir läsbart.

Säkerhetskopiering av personuppgifter och övrig information

För att undvika att personuppgifter obehörigt förstörs, är det bra att säkerhetskopiera dem. Till exempel genom att ta regelbundna säkerhetskopior som sedan blir lagrade i en säker molntjänst. Om data obehörigt försvinner eller ändras, utgör det nämligen en personuppgiftsincident vilket företag ska förebygga. Därför är det bra att ha säkerhetskopiering som en del av de tekniska säkerhetsåtgärderna. Det är dock viktigt att tänka på att skydda kopiorna, precis som företaget måste skydda originalen. Dessutom behöver företaget gallra säkerhetskopiorna efter en viss tid.

Nätverkssegmentering av datanätverk

En teknisk säkerhetsåtgärd som kan minska konsekvenserna vid eventuella personuppgiftsincidenter är genom att dela upp datanätverk i flera delnätverk. Detta är också kallat för nätverkssegmentering. Dessutom är det ett sätt att motverka obehörig åtkomst och obehörigt röjande av personuppgifter.

Tredjelandsöverföringar

Ett tredjeland är ett land utanför EU/EES-området. När ett företag överför personer dit, gäller striktare regler. Exempel på när det är vanligt med överföringar av personuppgifter till tredjeland:

E-post

När en person skickar ett e-postmeddelande som innehåller personuppgifter. Exempelvis genom att bifoga ett dokument till en e-postmottagare i Asien.

Periodic penalty payments

Molntjänst

Om ett företag lagrar personuppgifter på en molntjänst som har sina servrar i USA.

An administrative fine

Avtal

När ett företag i EU ingår ett avtal med ett företag i Afrika som innehåller personuppgifter

Adekvat skyddsnivå enligt EU-kommissionens bedömning

Om ett land bedöms ha en adekvat skyddsnivå, är det tillåtet att överföra personuppgifter dit utan att behöva vidta några extra skyddsåtgärder, såsom bindande företagsbestämmelser. Däremot kan ett företag inte själv avgöra huruvida ett land har adekvat skyddsnivå eller inte. Det är ett beslut som EU-kommissionen fattar.

Särskilda situationer och enstaka överföringar

Även fast ett tredjeland inte anses ha en adekvat skyddsnivå i enlighet med ett beslut från EU-kommissionen, eller företaget vidtar några extra skyddsåtgärder, kan det vara tillåtet att överföra personuppgifter till tredjeland. Till exempel om den registrerade ger sitt uttryckliga samtycke till överföringen och meddelar detta till företaget. Observera att personen måste få information gällande behandlingen och vilka risker som den innebär innan de gett sitt samtycke.

Extra skyddsåtgärder vid tredjelandsöverföring

Ett företag kan vidta extra skyddsåtgärder som är lämpliga när de överför personuppgifter till ett tredjeland. Vid sådana fall kan överföringen vara tillåten. Observera att en registrerad måste ha rätt att invända mot behandlingen. Dessutom ska personen ha rätt att få frågan prövad i en domstol.

Här kan du läsa rekommendationer från den Europeiska dataskyddsstyrelsen gällande lämpliga skyddsåtgärder vid överföringar av personuppgifter till tredjeland.

Bindande företagsbestämmelser

Det är möjligt att upprätta bindande företagsbestämmelser som till exempel en företagskoncern, som har företag i ett flertal länder, kan använda när de överför personuppgifter till tredjeland. De bindande företagsbestämmelserna måste bli godkända av en dataskyddsmyndighet i EU för att vara giltiga. Dessutom ska den Europeiska dataskyddsstyrelsen ge ett yttrande innan beslutet fattas.

Standardavtalsklausuler

EU-kommissionen har antagit standardavtalsklausuler som företag kan använda vid överföring av personuppgifter till tredjeland. Med andra ord kan företag som ingår ett avtal med ett företag i ett tredjeland som inte har adekvat skyddsnivå inkludera de lämpliga klausulerna från EU-kommissionen. Observera att det inte är tillåtet att ändra klausulerna. Dessutom är det viktigt att använda rätt klausul för den specifika situationen.

Uppförandekoder eller certifieringsmekanismer

Om ett företag i ett tredjeland ansluter sig till en uppförandekod som är godkänd, kan det vara tillåtet för företag att överföra personuppgifter till företaget. Detsamma gäller om de har anslutit sig till en godkänd certifieringsmekanism. Det är vanligt att organisationer som representerar en specifik bransch uppför uppförandekoder som går att ansluta till.

Här kan du läsa riktlinjer från den Europeiska dataskyddsstyrelsen gällande uppförandekoder vid överföring av personuppgifter till tredjeland.

GDPR-relaterade avtal och dokument

Det finns flera avtal och dokument som företag behöver eller/och bör upprätta, för att följa reglerna i GDPR. Företag måste kunna visa att de följer GDPR enligt principen om ansvarsskyldighet, och det innebär bland annat att uppvisa skriftliga lämpliga GDPR-relaterade dokument och avtal. Nedan följer en kort summering av några centrala GDPR-relaterade dokument och avtal som de flesta företag behöver.

Integritetsmeddelande med information om behandlingen av personuppgifterna

Företag ska informera om behandlingen av personuppgifterna, helst ska detta ske innan företaget påbörjar behandlingen eller i samband med att personuppgifterna blir insamlade. Det brukar ske i ett integritetsmeddelande som finns publicerad på till exempel företagets officiella webbplats. Informationen i meddelandet ska bland annat omfatta hur länge företaget ska behandla uppgifterna, syftet med behandlingen och vilka rättigheter de registrerade har. Artiklarna 13 och 14 i GDPR reglerar minimikraven avseende innehållet i ett integritetsmeddelande.

Personuppgiftsbiträdesavtal mellan ett personuppgiftsbiträde och en personuppgiftsansvarig, eller mellan två personuppgiftsbiträden

När en personuppgiftsansvarig anlitar ett personuppgiftsbiträde, alltså en annan aktör som utför behandling av personuppgifter åt den personuppgiftsansvarige, behöver de ingå ett personuppgiftsbiträdesavtal. Detta regleras i artikel 28 i GDPR, som innehåller information om minimikraven gällande personuppgiftsbiträdesavtalets innehåll.

Personuppgiftsbiträdesavtalet måste vara skriftligt för att vara giltigt i enlighet med GDPR. Till exempel brukar företag använda molntjänster för säkerhetskopiering. Vid sådana fall är företaget som bedriver molntjänsten ett personuppgiftsbiträde.

Dessutom ska ett personuppgiftsbiträde ingå ett personuppgiftsbiträdesavtal om de i sin tur anlitar ett annat personuppgiftsbiträde för att utföra behandling av personuppgifter för den personuppgiftsansvariges räkning.

Registerförteckning med information om behandling av personuppgifter

Vissa företag behöver upprätta en registerförteckning som innehåller information om de behandlingar av personuppgifter som företaget utför. Det måste upprättas skriftligt och den nationella dataskyddsmyndigheten kan begära att få tillgång till förteckningen.  Vid sådan begäran ska företaget göra det tillgängligt för dem. Observera att alla behandlingar nödvändigtvis inte behöver vara med i registerförteckningen, utan enbart de behandlar som uppfyller kriterierna enligt artikel 30.1 i GDPR.

Special categories of personal data in Article 9 of the GDPR are also referred to as “Sensitive personal data”

Särskild registerförteckning för personuppgiftsbiträden

Det är inte bara personuppgiftsansvariga som behöver upprätta en registerförteckning. Även personuppgiftsbiträden behöver upprätta en särskild registerförteckning enligt artikel 30.2 i GDPR. Den ska innehålla information om alla behandlingar de utför för en personuppgiftsansvarigs räkning. Inklusive information om vilka de personuppgiftsansvariga är, deras kontaktuppgifter och information om behandlingarna.

Olika typer av bedömningar

Företag kan behöva göra vissa bedömningar innan en behandling av personuppgifter blir utförd. Till exempel en konsekvensbedömning av dataskydd eller bedömning av berättigat intresse med dokumenterad intresseavvägning. Det är viktigt att bedömningarna dokumenteras skriftligen, eftersom det är ett krav att företag måste kunna styrka att de följer GDPR i praktiken, enligt principen om ansvarsskyldighet. Vid en tillsyn kan den ansvariga dataskyddsmyndigheten begära att få se bedömningarna.

Konsekvensbedömning av dataskydd

När företag ska utföra en behandling av personuppgifter som kan leda till en hög risk för de registrerades fri- och rättigheter, ska företaget göra en konsekvensbedömning av dataskydd. Syftet är att se vilka risker som behandlingen innebär och vad företaget kan göra för att bemöta dem. Till exempel genom att ta fram lämpliga rutiner och implementera lämpliga tekniska och organisatoriska säkerhetsåtgärder.

Sanktionsavgift för företag som inte utförde konsekvensbedömning

I ett av de tre besluten i denna tillsyn konstaterade den finländska dataskyddsmyndigheten att företaget borde ha gjort en konsekvensbedömning när de behandlade platsinformation om sina anställda genom att lokalisera fordon genom via ett kördatasytem. På grund av denna överträdelse mot reglerna i GDPR, fick företaget betala en sanktionsavgift på 16 000 euro.

Konsekvensbedömning av dataöverföringar

Om ett företag avser att överföra personuppgifter till ett tredjeland som inte har adekvat skyddsnivå enligt ett beslut från EU-kommissionen, ska företaget utföra en konsekvensbedömning av dataöverföringen. Detta måste ske innan överföringen blir genomförd. Syftet är att analysera mottagaren av personuppgifterna, inklusive mottagarlandet, för att ta reda på om överföringen är tillräckligt säker. Vidare är det viktigt att analysera mottagarlandets lagar och regler inom dataskydd och de rättigheter de registrerade kan ha hos mottagarlandet.   

Intresseavvägning och bedömning av berättigat intresse

Företag kan ha ett berättigat intresse att utföra en viss typ av personuppgiftsbehandling. Med andra ord att företagets intresse väger tyngre än de registrerades. Dessutom måste behandlingen vara nödvändig för att uppnå syftet. Till exempel kan det vara nödvändigt för ett företag att utföra en viss behandling för att hindra bedrägeri eller annat brott. Vid sådana fall kan det utgöra ett berättigat intresse.

Kort sagt innebär denna rättsliga grund att personuppgifterna får bli behandlade av företaget utan ett samtycke från den registrerade, utan att det är nödvändigt för att ingå eller fullgöra ett avtal och utan att det föreligger en rättslig förpliktelse att genomföra behandlingen.

Förhandssamråd med tillsynsmyndighet

Om det fortfarande kvarstår en hög risk för de registrerades fri- och rättigheter efter att företaget har utfört en konsekvensbedömning och vidtagit lämpliga skyddsåtgärder utifrån bedömningen, ska företaget begära ett förhandssamråd med den nationella dataskyddsmyndigheten. Observera att företaget måste upprätta en konsekvensbedömning innan förhandssamrådet begärs eller behandlingen börjar utföras.

More information about GDPR

Processing personal data within the business sector

It is common to process personal data within the business sector in different contexts. For example, companies usually process personal data when recruiting staff, process employees’ personal data such as contact details, sick leave and account information, etc. In addition, companies that operate online services or have a website usually process the personal data of potential or/and existing customers. It is important to know, among other things, the role of the company and the rights of data subjects.

Want to learn more?

Read more
Rulla till toppen