Artikel 5(1)(f) i GDPR

Principen om integritet och konfidentialitet

Företag som behandlar personuppgifter ska se till att behandlingen är säker och konfidentiell. Dessutom ska företaget bedöma vilka risker som behandlingen innebär för de registrerade. För att uppfylla principen om integritet och konfidentialitet, ska företaget vidta olika tekniska och organisatoriska säkerhetsåtgärder.

Principen om integritet och konfidentialitet i GDPR

Hur mycket skyddsåtgärder som företaget behöver vidta varierar beroende på karaktären av personuppgifterna. Ju känsligare personuppgifter, desto högre säkerhet måste företaget implementera. Artikel 5(1)(f) i GDPR reglerar principen om integritet och konfidentialitet. Det är en av de sju dataskyddsprinciperna i GDPR.  

Företaget måste vidta åtgärder för att motverka personuppgiftsincidenter

En personuppgiftsincident är en form av säkerhetsincident. Innebörden av en personuppgiftsincident enligt GDPR är när en personuppgift blir oavsiktligt eller olovligt ändrad, går förlorad eller att någon obehörig får tillgång till uppgifterna. 

En vanlig personuppgiftsincident är mejl som blir skickade till fel mottagare på grund av ett mänskligt misstag. Exempelvis kan detta inträffa genom att avsändaren felstavar mottagarens e-postadress. Det kan också ske genom att avsändaren skickar meddelandet till fel mottagare. 

I vissa fall ska företag rapportera personuppgiftsincidenter till den nationella dataskyddsmyndigheten. Om sådan rapportering krävs, ska anmälan ske inom 72 timmar från och med upptäckten av incidenten. Dessutom kan företaget också behöva meddela de berörda registrerade om incidenten. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Åtta rättigheter som Registrerade har:

  • Rätt till Information
  • Rätt till Tillgång
  • Right to Rättelse
  • Right to Radering
  • Rätt till Begränsning
  • Rätt till Dataportabilitet
  • Rätt att göra invändningar
  • Automatiserade beslut

Vidta tekniska och organisatoriska säkerhetsåtgärder

Företag ska förebygga personuppgiftsincidenter genom att vidta skyddsåtgärder som är lämpliga. Skyddsåtgärderna kan bli indelade i två kategorier: Organisatoriska säkerhetsåtgärder och Tekniska säkerhetsåtgärder. Nedan kan du läsa några exempel på sådana åtgärder.  

Exempel på tekniska säkerhetsåtgärder

Restrict or ban processing

Använd antivirusprogram

Virus kan leda till att personuppgifter går förlorade. De kan också möjliggöra för hackare som planterat viruset att komma åt personuppgifter. Därför bör företag ha installerade antivirusprogram i de enheter som företaget använder vid behandling av personuppgifter.

It may be possible for data subjects to claim damages

Ha backup-filer

Om till exempel en hårddisk blir förstörd och innehåller personuppgifter, är det en personuppgiftsincident om företaget inte har backup-filer. Dessutom kan det vara tidskrävande att återfå datan som gått förlorad. Därför är det bra att ha backup-filer, exempelvis via en molntjänst.

Special categories of personal data in Article 9 of the GDPR are also referred to as “Sensitive personal data”

Aktivera Multifaktorautentisering (MFA) vid inloggning

Det är bra att ha Multifaktorautentisering (MFA) vid olika inlogg. Detta kan motverka att någon obehörig kommer åt informationen i systemet, även fast denne får tillgång till lösenordet.

Använd komplexa och unika lösenord

Ett vanligt misstag som vissa personer gör är att ha för enkla lösenord. Ett annat vanligt misstag är att återanvända samma lösenord för flera olika system eller användarkonton. Om man har samma lösenord och någon kommer åt lösenordet, blir problemet större än om det vore olika lösenord. Dessutom finns det hackare som använder sig av robotar som testar tusentals olika lösenord för att se om något passar. Därför bör man använda svåra lösenord samt något kodsystem för att läsa av lösenordet. Detta och mer nyttig kunskap inom cybersäkerhet är något företaget bör informera och utbilda sina medarbetare om.

An administrative fine

Kryptering av personuppgifter

Om ett företag behandlar känsliga personuppgifter och ska skicka informationen via till exempel mejl, bör det ske med kryptering. Känsliga personuppgifter är bland annat de som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter om hälsa. Företag i egenskap av arbetsgivare behandlar ofta uppgifter om anställdas hälsa, såsom sjukfrånvaro. Den typen av uppgift förekommer bland annat på lönespecifikationen och bör därför inte skickas via e-post.

Företag fick betala en sanktionsavgift eftersom de bland annat inte hade utfört en konsekvensbedömning för dataskydd (DPIA)

Tre företag fick betala sanktionsavgift för sina överträdelser av GDPR. Ett av företagen hade lokaliserat sina anställdas fordon med hjälp av ett kördatasystem. Därmed innebar det en hög risk för de rättigheter och friheter som registrerade har, vilket kräver att man gör en konsekvensbedömning för dataskydd. Denna bedömning ska bli utförd innan personuppgifterna i fråga blir behandlade. Konsekvensen för företaget blev en sanktionsavgift på 16 000 euro. 

Exempel på organisatoriska säkerhetsåtgärder

Order the company to comply with GDPR within a certain period of time

Upprätta och ingå skriftligt personuppgiftsbiträdesavtal

Företag som är personuppgiftsansvarig och anlitar ett annat företag som är personuppgiftsbiträde, ska ingå ett personuppgiftsbiträdesavtal med varandra. Artikel 28 i GDPR reglerar detta krav. Dessutom måste avtalet vara skriftligt för att vara giltigt enligt GDPR. När ett företag behandlar personuppgifter åt ett annat företags räkning, är de ett personuppgiftsbiträde. Ett exempel är om ett företag anlitar en redovisningsbyrå för att hantera företagets bokföring. Ett personuppgiftsbiträde kan också anlita ett annat personuppgiftsbiträde (kallat “underbiträde”) Detta får dock endast ske efter tillåtelse från den personuppgiftsansvarige.

It may be possible for data subjects to claim damages

Upprätta interna rutiner

Företag bör ha interna rutiner för att säkerställa att personalen behandlar personuppgifter enligt GDPR i praktiken. Vilka interna rutiner företaget bör ha varierar. Exempelvis beroende på bland annat storleken på företaget, vilken bransch företaget är verksamt inom och karaktären av personuppgifterna som företaget behandlar.

  • Exempel på vad de interna rutinerna kan avse är följande:
  • Anmälan och hantering av inträffade personuppgiftsincidenter.
  • Radering eller anonymisering av personuppgifter.
  • Hantering av registrerades åberopande av sina rättigheter. Exempelvis rätten till tillgång (Artikel 15 GDPR), rätten till rättelse (Artikel 16 GDPR) och rätten att bli bortglömd (Artikel 17 GDPR).
Periodic penalty payments

Utse dataskyddsombud

Vissa företag måste utse ett dataskyddsombud enligt lagkraven. Dataskyddsombudet har en viktig roll i företaget, men behöver inte nödvändigtvis vara en anställd. Det kan också vara en utomstående tredje part som är ett dataskyddsombud för ett företag. Både registrerade och medarbetare ska kunna kontakta dataskyddsombudet vid eventuella frågor. Detsamma gäller den nationella dataskyddsmyndigheten. Därför är det vanligt att inkludera kontaktuppgifterna till dataskyddsombudet i företagets integritetsmeddelande. Företag som inte måste utse ett dataskyddsombud enligt GDPR kan välja att göra det ändå som en frivillig åtgärd.

Utse dataskyddsambassadörer

Ifall företaget har många medarbetare eller flera olika kontor, kan det vara bra att utse dataskyddsambassadörer. Medarbetare med denna arbetsroll fungerar som förmedlare av information om GDPR till företagets olika enheter och medarbetare. Syftet är främst att de ska se till att viktig information om GDPR som ledningen beslutar om, når ut till medarbetarna. Exempelvis att förmedla nya GDPR rutiner till medarbetarna eller information om upptäckt personuppgiftsincident till ledningen etc.

Användarbehörigheter

Det är viktigt att företaget säkerställer att användare av de olika systemen som behandlar personuppgifter har rätt behörigheter. Exempelvis ska endast ett fåtal personer ha användarkonton med administratörsrättigheter. Vidare ska användare ges åtkomst till data endast när de behöver tillgång till den för att utföra sina arbetsuppgifter. Detta är ett sätt att minska risken för personuppgiftsincidenter. När en medarbetare slutar att arbeta för företaget, är det också viktigt att ha rutiner för att säkerställa att denne inte längre ska ha åtkomst till företagets system.

Behandlingar som är särskilt riskfyllda enligt GDPR

Det finns vissa typer av behandlingar som är särskilt riskfyllda enligt GDPR. Bland annat när ett företag behandlar: 

  • Sjukfrånvaro avseende de anställda.
  • Ersättning till de anställda.
  • Information om vilken facklig tillhörighet de anställda har.
  • Information som blir insamlad med syftet att följa prestationen hos de anställda.
  • Kontroller av identiteten hos anställda genom ansiktsigenkänning eller andra biometriska uppgifter.

Utgångspunkt för skyddsåtgärder vid behandling av personuppgifter

Laglig grund och dataskyddsprinciper

Företag måste ha en laglig grund för varje enskild behandling av personuppgifter. Det finns totalt sex rättsliga grunder. Bland annat avtal med registrerade (Artikel 5(1)(b) GDPR), rättslig förpliktelse (Artikel 5(1)(c) GDPR) eller samtycke (Artikel 5(1)(a) GDPR). Dessutom måste företag följa de sju grundläggande dataskyddsprinciperna. Artikel 5 GDPR reglerar principerna. De genomsyrar hela GDPR och är viktiga att känna till som personuppgiftsansvarig eller personuppgiftsbiträde.

Analysera skyddsobjektet

När ett företag behandlar personuppgifter innebär det risker för den registrerade. Först och främst ska företaget analysera skyddsobjektet. Detta innebär att företaget måste bedöma vilka personuppgifter som de behöver behandla och hur känsliga de är. Detta ska ske innan behandlingen blir påbörjad.

Analysera risker samt åtgärder

Efter att företaget har analyserat skyddsobjektet, behöver de analysera vilka risker behandlingen innebär. Dessutom behöver företag analysera vilka åtgärder de ska vidta för att minimera riskerna. Företag behöver i vissa fall också göra konsekvensbedömningar vid vissa typer av behandlingar. Ju känsligare personuppgifter företag behandlar, desto mer skyddsåtgärder måste de vidta. Om de registrerade är särskilt utsatta på grund av exempelvis ålder eller hälsotillstånd, är kraven högre.

Dokumentera allting

Enligt GDPR måste företag kunna visa att de följer GDPR i praktiken. Detta krav följer av principen om ansvarsskyldighet (Artikel 5(2) GDPR), som är en av sju dataskyddsprinciper. Därför är det viktigt att företaget dokumenterar alla åtgärder, analyser, bedömningar, rutiner, inhämtning av ett samtycke etc. Det är nämligen företaget som måste kunna visa att de följer GDPR. Det är inte de registrerade som behöver visa att företaget bryter mot GDPR.

Fler principer

Ansvarsskyldighet enligt GDPR

Det är företag som måste kunna visa att de följer GDPR i praktiken. Detta innebär att det inte är registrerade eller tillsynsmyndigheten som behöver visa att företaget bryter mot GDPR. Till exempel måste företag upprätta de avtal och dokument som är nödvändiga enligt GDPR, dokumentera sina behandlingar och tillgodose de rättigheter som registrerade har m.m. Om ett företag bryter mot GDPR, kan det få stora ekonomiska konsekvenser. I värsta fall kan företag få betala en sanktionsavgift på ett mångmiljonbelopp. Artikel 5(2) i GDPR reglerar principen om ansvarsskyldighet. 



Vill du lära dig mer?

Klicka här
Rulla till toppen