Avtal och dokument
GDPR-relaterade avtal och dokument som företag kan behöva
Det finns flera GDPR-relaterade avtal och dokument som företag kan behöva upprätta för att följa EU:s dataskyddsförordning som började gälla i maj 2018.
Här är exempel på några GDPR-relaterade avtal och dokument som företag kan behöva enligt GDPR
GDPR gäller för alla företag som är verksamma inom EU och behandlar personuppgifter. EU-förordningen ställer höga krav på företag som måste kunna visa att de följer GDPR. Bevisbördan om regelefterlevnad ligger på företaget, inte den som påstår att företaget bryter mot förordningen. Det innebär bland annat att företaget behöver ha lämpliga GDPR-relaterade avtal och dokument. Ju större företag, desto mer GDPR-arbete brukar krävas.
Upprätta och publicera ett integritetsmeddelande
Företag måste informera de registrerade om behandlingen av deras personuppgifter enligt artikel 13 GDPR och artikel 14 GDPR. Det brukar ske genom ett integritetsmeddelande som bland annat ska innehålla information om syftet med behandlingen, tidsfristen för behandlingen, vilka rättigheter de registrerade har, vilken den rättsliga grunden är m.m. Integritetsmeddelandet bör publiceras på webbplatsen samt tillgängliggöras genom en länk i företagets samtliga övriga digitala skyltfönster, exempelvis i slutet av e-postmeddelanden, intill kontaktformulär, i sociala medier etc.
Ett vanligt misstag på webbplatser
Många företag har ett kontaktformulär på sin webbplats, där besökare kan skicka meddelanden till företaget eller beställa en produkt eller tjänst från företaget. Besökaren behöver oftast fylla i sina kontaktuppgifter i formuläret, för att kunna skicka in meddelandet. Det innebär en behandling av personuppgifter och därför måste företaget informera om behandlingen, innan meddelandet skickas in. Det bästa är därför att ha en kort beskrivande text med en länk till integritetsmeddelandet, som besökaren intygar att denne har läst i samband med att denne skickar in meddelandet via kontaktformuläret.
Ingå ett personuppgiftsbiträdesavtal
När en personuppgiftsansvarig anlitar ett personuppgiftsbiträde, ska de ingå ett personuppgiftsbiträdesavtal enligt Artikel 28 i GDPR. Detsamma gäller när ett personuppgiftsbiträde anlitar ett personuppgiftsunderbiträde.
Exempel på när det är vanligt att anlita ett personuppgiftsbiträde:
Redovisning
Om ett företag anlitar en redovisningsbyrå för att sköta hanteringen av företagets löpande bokföring samt löneutbetalningen till de anställda.
Marknadsföring
När ett företag anlitar en marknadsföringsbyrå för att sköta marknadsföringen och statistikhanteringen för företagets räkning.
Personuppgiftsbiträdesavtalet måste vara skriftligt för att vara giltigt
De flesta avtalen kan vara muntliga, men ha samma giltighet som ett skriftligt avtal. Däremot är det enklare att bevisa skriftliga avtal vid en eventuell tvist eller för att styrka att man följer en viss lagstiftning. Vissa avtal måste dock vara skriftliga för att vara giltiga, eftersom det är ett formkrav enligt lag. Personuppgiftsbiträdesavtal och personuppgiftsunderbiträdesavtal är sådana typer av formalavtal som måste vara skriftliga enligt lag för att vara giltiga. Skriftlighetskravet framgår av artikel 28(3) i GDPR.
Företag kan behöva upprätta en registerförteckning
Vissa företag behöver upprätta en registerförteckning enligt Artikel 30 i GDPR. Det gäller både vissa personuppgiftsansvariga samt personuppgiftsbiträden. Registerförteckningen ska vara skriftlig och finnas tillgängligt elektroniskt. Dessutom ska det hållas uppdaterat över tid och tillhandahållas till tillsynsmyndigheten vid begäran därom.
Alla företag behöver inte ha en registerförteckning
Vissa företag måste ha en registerförteckning enligt GDPR. Detta gäller om företaget har fler än 250 anställda. Däremot kan vissa företag med färre anställda behöva ha en registerförteckning också. Till exempel om företaget utför behandling av känsliga personuppgifter, eller om behandlingen med stor sannolikhet kommer leda till en hög risk för de registrerades fri- och rättigheter, eller vid återkommande behandlingar (det vill säga, behandlingen inte är tillfällig). Därmed är det endast fåtal företag som inte behöver upprätta en registerförteckning.
Intrakoncernavtal om personuppgiftsdelning enligt GDPR för bolag inom samma bolagskoncern (Intra-Group Data Sharing Agreement (IGA)
Bara för att företag ingår inom samma bolagskoncern innebär det inte att de får överföra personuppgifter mellan varandra hur som helst. Det är därför viktigt att upprätta ett intrakoncernavtal om personuppgiftsdelning, där parterna reglerar vilka roller de har, rättsliga grunder för behandlingarna, ansvar osv. Ett sådant intrakoncernavtal är ett omfattande och komplext avtal, men viktigt inom koncerner. Det leder till att många olika separata personuppgiftsbiträdesavtal, datadelningsavtal etc. mellan parterna inte är nödvändiga att ingå, eftersom all datadelning som kan ske mellan bolagen inom koncernen istället regleras i ett sammanställt intrakoncernavtal.
Datadelningsavtal (DSA) när företag delar personuppgifter mellan varandra
När minst två företag delar personuppgifter mellan varandra, men är självständigt personuppgiftsansvariga, är det bra om de upprättar och ingår ett datadelningsavtal. Datadelningsavtalet reglerar bland annat varför delningen sker, vilka kategorier av personuppgifter som delas, säkerhetsåtgärder som företagen vidtar, fördelningen av ansvaret mellan parterna vid registrerades rättighetsutövande m.m. Det är bra att upprätta ett skriftligt datadelningsavtal, eftersom det minskar risken för otydlighet och förtydligar ansvarsfördelningen mellan parterna. Detta kan i sin tur leda till att risken för att respektive partens behandling av de delade personuppgifterna sker i strid med GDPR minskar.
Kontinuitetsplan för att kunna hantera kriser
Det är bra för företag att vara förberedda inför eventuella kriser. En kontinuitetsplan beskriver de kritiska processerna som företaget har och som behöver fungera, för att företaget ska kunna fortsätta sitt arbete. Företag behöver kunna hantera kriser effektivt och säkerställa att verksamheten fortgår, även under kriser. Därför är det bra att underlätta för medarbetarna, genom att ta fram en skriftlig kontinuitetsplan för att de ska kunna hantera kriser i praktiken.
Upprätta interna sekretessavtal för medarbetarna
Ett företag i egenskap av en arbetsgivare bör upprätta skriftliga sekretessavtal och ingå dem med medarbetarna. Det är även vanligt att arbetsgivare inkluderar en sekretessklausul i anställningsavtalet. I vissa fall är företaget enligt lag eller avtal skyldigt att avtala om sekretess med sin personal. Därför är det en fördel om det ingås ett separat sekretessavtal, istället för att det är inbakad som en avtalsklausul i anställningsavtalet, eftersom det är mindre integritetskränkande att uppvisa sekretessavtalet vid behov.
Policys för att följa reglerna i GDPR
Det finns ett flertal olika policys som kan vara bra för företag att upprätta, för att hjälpa medarbetarna följa reglerna i GDPR. Till exempel:
IT-säkerhetspolicy
En IT-säkerhetspolicy är ett övergripande styrdokument som handlar om företagets regler för deras skydd av personuppgifter. Till exempel vilka behörighetsregler företaget har, hur företaget ska hantera personuppgiftsincidenter, skydda lösenord m.m. Med andra ord utgör en IT-säkerhetspolicy ett ramverk för vilka tekniska och organisatoriska åtgärder som företaget ska vidta, för att skydda personuppgifterna.
Integritetspolicy
En integritetspolicy är inte samma sak som ett integritetsmeddelande. Ett integritetsmeddelande är ett externt informativt dokument som riktar sig till de registrerade, medan en integritetspolicy är ett internt styrdokument för medarbetarna på företaget. Där beskriver företaget bland annat vilka dataskyddprinciper som gäller för personuppgiftsbehandling, hur medarbetarna ska arbeta korrekt med behandling av personuppgifter osv.
Skillnaden mellan policys och rutiner
Det är många som blandar ihop policys och rutiner. Policys är ett mer övergripande styrdokument som är strategiskt med en vision och riktning. Till skillnad från skriftliga rutiner, som utgörs av mer praktiska instruktioner till medarbetarna för hur de ska uppnå målen angivna i policys. Rutinerna avser därmed att reglera mer operationella och konkreta åtgärder och instruktioner.
Rutiner är praktiska skriftliga instruktioner till medarbetarna
För att säkerställa att medarbetarna arbetar i enlighet med GDPR är det bra att upprätta skriftliga rutiner som de kan följa. En bra tumregel är att ju fler anställda och avdelningar ett företag har, desto fler rutiner kan vara lämpliga att upprätta och implementera. Rutiner effektiviserar arbetet för medarbetarna och kan leda till högre grad av praktisk efterlevnad av reglerna i GDPR.
Gallring
Företag måste gallra personuppgifter regelbundet. Genom att ha en rutin för gallring, säkerställer företaget att de inte behandlar personupgifter längre än nödvändigt för syftet de blev inhämtade för.
Registrerades rättigheter
Företag måste tillgodose de registrerades rättigheter, såsom rätten till rättelse, rätten att bli bortglömd, rätt till information om behandlingen m.m. Dessutom ska hanteringen ske inom vissa tidsramar. En av de rutinerna som de flesta företagen bör ha är därför rutiner för att kunna tillgodose de registrerades rättigheter.
Onboarding och offboarding
Det är bra för ett företag att ha skriftliga rutiner och instruktioner för onboardingprocessen av nya medarbetare, så att de blir inskolade i företagets dataskyddsarbete (rutiner för onboarding). Till exempel kan rutinerna reglera tilldelning av behörigheter, användarkonton, utrustning, viktiga regler kring säkerhet m.m. När en medarbetare slutar att arbeta på företaget, är det bra att ha rutiner för att återkalla behörigheter, reglera återlämning av eventuell utrustning, såsom arbetsdator m.m.
Delning av data internt
Medarbetare på ett företag brukar dela personuppgifter mellan varandra internt. Det är viktigt att datadelningen sker i enlighet med GDPR. Bland annat ska enbart medarbetare ha tillgång till personuppgifter, i den mån det är nödvändigt för deras utförande av sina arbetsuppgifter. Kort sagt, bör företaget och medarbetarna utgå från principen ”need to know”, inte ”good to know”. Detta är särskilt viktigt när det gäller behandling av känsliga personuppgifter.
Inhämtning och återkallelse av samtycke
För att ett samtycke ska vara giltigt, måste det vara inhämtat på ett korrekt sätt. Det innebär bland annat att samtycket ska vara frivilligt och aktivt lämnat och att den registrerade är informerad om behandlingen. Dessutom ska det vara lika enkelt att återkalla ett samtycke som att lämna det. Genom att ha rutiner för inhämtning och återkallelse av samtycke ökar chansen att det sker korrekt.
Hantering av sociala medier och fotografering
Många företag publicerar personuppgifter på sociala medier, både tillhörande anställda och i vissa fall även kunder. Till exempel en restaurang som tar bilder i lokalerna, där gäster går att identifiera på bilderna. Eller när en mäklarbyrå publicerar profilbilder på sina mäklare på webbplatsen. Det är viktigt att inte glömma att detta utgör behandling av personuppgifter och därför omfattas av GDPR.
Olika bedömningar som företag kan behöva göra i enlighet med GDPR
Företag som omfattas av GDPR kan behöva utföra vissa bedömningar innan en viss behandling av personuppgifter blir utförd. Detsamma kan gälla under en pågående behandling som förändras på ett sådant sätt att det är lämpligt att utföra bedömningarna. Nedan följer exempel på olika bedömningar som företag kan behöva göra i enlighet med GDPR.
Riskbedömning innan behandling utförs
Företag kan behöva genomföra en riskbedömning innan de påbörjar en behandling av personuppgifter. Med andra ord, analysera vilka risker som behandlingen kan innebära för de registrerades fri- och rättigheter. Företag ska utföra en riskbedömning innan de inför nya system, behandlingar eller använder ny teknik. Efter att företaget har gjort en riskbedömning, kan de ha bättre kännedom om vilka lämpliga tekniska och organisatoriska åtgärder företaget bör vidta, för att minimera riskerna.
Konsekvensbedömning av dataskydd (DPIA)
När en behandling innebär hög risk för de registrerades fri- och rättigheter, kan det vara nödvändigt att göra en konsekvensbedömning av dataskydd (DPIA). Detta regleras närmare i artikel 35 i GDPR. Till exempel om ett företag behandlar känsliga personuppgifter i stor skala eller fattar beslut som är fullständigt automatiserat. Konsekvensbedömningen ska visa vilka risker som företaget har identifierat, samt de skyddsåtgärder som vidtas för att minimera riskerna. Om risken kvarstår efter vidtagna åtgärder, ska företaget begära ett förhandssamråd med den nationella dataskyddsmyndigheten innan de påbörjar behandlingen, enligt artikel 36 i GDPR.
Konsekvensbedömning av dataöverföringar (DTIA)
Om ett företag inom EU/EES-området överför personuppgifter till ett tredjeland, alltså ett land utanför EU/EES-området, kan det vara nödvändigt att göra en konsekvensbedömning av dataöverföringar (DTIA). Det handlar främst om att göra en analys av huruvida mottagarlandet har tillräckligt hög skyddsnivå.
Konsekvensbedömning av dataöverföringar kan vara en lämplig extra skyddsåtgärd
Om det tredjelandet har en adekvat skyddsnivå enligt EU-kommissionens beslut, behöver företaget inte göra en konsekvensbedömning av dataöverföringar vid överföringar dit. Däremot kan det vara lämpligt att utföra ändå, eftersom det kan krävas extra skyddsåtgärder. Konsekvensbedömningen handlar främst om att analysera mottagarlandet. Exempelvis deras lagstiftning, vilka möjligheter myndigheter har för att komma åt personuppgifter som behandlas av företag, vilka juridiska möjligheter registrerade har för att tillvarata sina rättigheter m.m.
Intresseavvägning för att avgöra huruvida företaget har ett berättigat intresse (LIA)
Bedömning av berättigat intresse är en vanlig behandling som många företag behöver göra. Det utföras om företaget använder den rättsliga grunden “berättigat intresse” enligt artikel 6(1)(f) i GDPR som stöd för behandling av personuppgifter. Observera att det inte är tillåtet att hävda ett berättigat intresse, om det inte finns en dokumenterad intresseavvägning. Därför är det viktigt att utföra och dokumentera intresseavvägningen, innan behandlingen påbörjas.
Förhandssamråd med den nationella dataskyddsmyndigheten
Om risken för de registrerades fri- och rättigheter fortfarande är hög efter att företaget har utfört en konsekvensbedömning av dataskydd (DPIA) enligt artikel 35 i GDPR, ska företaget begära ett förhandssamråd med den nationella dataskyddsmyndigheten. Detta framgår av artikel 36 i GDPR. Därefter kan dataskyddsmyndigheten göra en bedömning och komma fram till att behandlingen ifråga är tillåten eller förbjuden. Tillsynsmyndigheten kan även lämna rekommendationer om vad företaget behöver göra för att behandlingen ska vara tillåten. Observera att företaget måste utföra och dokumentera en konsekvensbedömning innan företaget begär ett förhandssamråd.
Mer info
Tredjelandsöverföringar
Ett tredjeland är enligt GDPR ett land utanför EU/EES-området. När ett företag inom EU/EES-området överför personuppgifter till ett tredjeland är reglerna striktare, än om det sker en datadelning mellan aktörer i två länder inom unionen. Om det tredjelandet har en adekvat skyddsnivå, behöver företaget inte vidta några extra skyddsåtgärder för att överföra personuppgifter dit. Exempel på extra skyddsåtgärder kan vara att ingå EU-kommissionens antagna standardavtalsklausuler (SCC). Observera att enbart EU-kommissionen kan besluta huruvida ett tredjeland har adekvat skyddsnivå. Detta är därmed inte upp till företaget att bestämma.