Information om GDPR till dig som är samarbetspartner till Resurs Bank

Den 25 maj 2018 träder nya regler om skydd vid behandling av personuppgifter i kraft – Europeiska Unionens Dataskyddsförordning (2016/679) (”Dataskyddsförordningen”), på engelska kallad General Data Protection Regulation, (”GDPR”). Förordningen gäller som lag inom EU:s alla medlemsländer och syftar till att förbättra skyddet för den enskilda individen vid behandling av personuppgifter. Den och viss kompletterande lagstiftning ersätter i Sverige personuppgiftslagen (PuL). Det innebär att PuL som i dag reglerar behandling av personuppgifter kommer att upphöra när Dataskyddsförordningen träder i kraft.

Dataskyddsförordningen kommer att påverka alla branscher, företag och organisationer som hanterar personuppgifter. Det är därför viktigt att den som behandlar personuppgifter inför rutiner över hur behandlingen ska gå till.

När är Dataskyddsförordningen tillämplig?

Dataskyddsförordningen är tillämplig vid behandling av personuppgifter som helt eller delvis genomförs automatiskt men också på annan behandling av personuppgifter när dessa ingår i eller kommer att ingå i ett register. Detta innebär att i princip all behandling av personuppgifter kommer att omfattas av förordningen.

Vem är skyldig att följa Dataskyddsförordningen?

Dataskyddsförordningen gäller för behandling av personuppgifter som har viss anknytning till EU. Den gäller därmed när den som behandlar personuppgifter har ett verksamhetsställe inom EU och behandlar personuppgifter i samband med den verksamhet som bedrivs där. Var själva behandlingen utförs saknar alltså betydelse. Under vissa förutsättningar är Dataskyddsförordningen även tillämplig om företaget är etablerad utanför unionen. Dataskyddsförordningen gäller t.ex. även om en personuppgiftsansvarig eller ett personuppgiftsbiträde, som inte är etablerad i EU, erbjuder varor och tjänster till personer som befinner sig i unionen eller när den personuppgiftsansvarige eller personuppgiftsbiträdet övervakar människors beteenden inom EU. Det sistnämnda handlar t.ex. att man spårar enskilda personers beteende på internet för att skapa kundprofiler eller liknande.

Nya krav i samband med Dataskyddsförordningen

Många av de krav som Dataskyddsförordningen medför finns redan i PuL. Till viss del är Dataskyddsförordningen bara en uppdatering och skärpning av PuL. En viktig del i det förbättrade skyddet för enskilda personer vars personuppgifter behandlas, s.k. registrerade, är att det ställs högre krav på den som behandlar personuppgifter, d.v.s. alla företag, organisationer och myndigheter som behandlar personuppgifter. En nyhet är t.ex. att det i Dataskyddsförordningen särskilt framhålls att den som behandlar personuppgifter ansvarar för och ska kunna visa att man följer bestämmelserna i Dataskyddsförordningen (s.k. ansvarsskyldighet). Det innebär i korthet att den som behandlar personuppgifter ska kunna visa att de grundläggande principer som anges i Dataskyddsförordningen följs och även i övrigt följa de krav som finns i Dataskyddsförordningen. De grundläggande principerna i Dataskyddsförordningen motsvarar de grundläggande kraven i PuL. Du kan läsa om dessa principer i kapitel II – Principer i Dataskyddsförordningen.

De registrerades rättigheter har utökats, förstärkts och specificerats i Dataskyddsförordningen jämfört med PuL. Generellt kan man säga att ansvaret för att informera de registrerade i olika avseenden och kraven på vilken information som ska lämnas till de registrerade utökas genom Dataskyddsförordningen. I korthet innebär det att registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Registrerade har på samma sätt som tidigare rätt att få information om vilka personuppgifter som rör den registrerade och som behandlas (registerutdrag). Det som är nytt är att en begäran om sådan information inte bara kan göras skriftligen med vanligt brev utan även på annat sätt, exempelvis elektroniskt. En annan nyhet är t.ex. att den som har lämnat sina personuppgifter i vissa fall har rätt att få ut och begära att personuppgifterna överförs till en annan personuppgiftsansvarig, när det är tekniskt möjligt (dataportabilitet).

I förordningen finns också krav på inbyggt dataskydd (”privacy by design”) och dataskydd som standard (”privacy by default”) vilket i korthet betyder att man ska ta hänsyn till integritetsskyddsreglerna redan när man utformar it-system och rutiner samt att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan. Dessutom kommer den så kallade missbruksregeln i PuL att försvinna när Dataskyddsförordningen träder i kraft. Regeln innebär i korthet att man idag kan använda enklare regler för personuppgifter i ostrukturerat material. Dataskyddsförordningen ska tillämpas i sin helhet på all automatiserad behandling av personuppgifter och gäller därför även t.ex. vid publicering av personuppgifter på en webbplats eller i annan löpande text.

Personuppgiftsansvarig och personuppgiftsbiträde

Den som behandlar personuppgifter på uppdrag av ett eller flera företag är att betrakta som personuppgiftsbiträde medan den som bestämmer för vilka ändamål personuppgifterna ska behandlas och hur behandlingen ska gå till är att betrakta som personuppgiftsansvarig. I Dataskyddsförordningen regleras vad som gäller för personuppgiftsbiträden företrädesvis i artiklarna 28-31 i Dataskyddsförordningen och i de därtill relaterade bestämmelserna. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde ska det enligt Dataskyddsförordningen finnas ett skriftigt avtal. I personuppgiftsbiträdesavtalet ska det särskilt föreskrivas att personuppgiftsbiträdet endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige. En nyhet i förordningen är att några av de skyldigheter som tidigare har gällt för den personuppgiftsansvarige nu även gäller för personuppgiftsbiträdet, t.ex. kraven på att föra register över behandlingar, att säkerställa en lämplig säkerhetsnivå och att i vissa fall utse ett dataskyddsombud. Även personuppgiftsbiträdet kan bli föremål för tillsyn eller administrativa sanktionsavgifter och bli skadeståndsansvarig. Det är därför viktigt att ett personuppgiftsbiträde är medveten om reglerna i Dataskyddsförordningen.

Den som behandlar personuppgifter måste se till att ha en lämplig säkerhetsnivå för uppgifterna, både tekniskt och organisatoriskt. Ett personuppgiftsbiträde måste t.ex. ge tillräckliga garantier, i synnerhet i fråga om sakkunskap, tillförlitlighet och resurser, om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen och säkerställer att registrerades rättigheter skyddas. Detta innefattar att, när det är lämpligt, använda sig av pseudonymisering och kryptering av personuppgifter, ha förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna, ha förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en incident, och slutligen att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

Vidare måste personuppgiftsbiträdet säkerställa att varje fysisk person som utför arbete under personuppgiftsbiträdets tillsyn, och som får tillgång till personuppgifter, endast behandlar dessa enligt instruktioner från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det. I detta ingår också att säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt.

I skyldigheterna för ett personuppgiftsbiträde ingår b.la. också att, med tanke på behandlingens art och i den mån det är möjligt, hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, så att den personuppgiftsansvarige kan uppfylla sin skyldighet att svara på en begäran från den registrerade när denne vill utöva sina rättigheter enligt Dataskyddsförordningen. Vidare ska personuppgiftsbiträdet möjliggöra och bidra till granskningar och inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige.

Känsliga personuppgifter

Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd i Dataskyddsförordningen. Med sådana personuppgifter avses t.ex. uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter och uppgifter om hälsa. I Dataskyddsförordningen kallas sådana personuppgifter för särskilda kategorier av personuppgifter. Ofta används även begreppet känsliga personuppgifter. Utgångspunkten är att det är förbjudet att behandla känsliga personuppgifter men det finns emellertid flera undantag från förbudet.

Även personnummer kan räknas till personuppgifter som är särskilt integritetskänsliga. Frågan om hur personnummer och samordningsnummer ska regleras i svensk rätt har hanterats av Dataskyddsutredningen som har föreslagit att sådana uppgifter ska få behandlas bara om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Annat personuppgiftsbiträde (inkluderat konsulter)

Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige eller att ett allmänt skriftligt tillstånd har erhållits. I de fall där ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde för utförande av en specifik behandling på den personuppgiftsansvariges vägnar ska underbiträdet ha samma skyldigheter i fråga om dataskydd som de som fastställs i avtalet mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Om underbiträdet inte uppfyller sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarig gentemot den personuppgiftsansvarige för utförandet av underbiträdets skyldigheter.

Särskilt om tredjelandsöverföring

Dataskyddsförordningen innebär att alla EU:s medlemsstater (inklusive EES-länderna Norge, Island och Liechtenstein) har ett likvärdigt skydd för personuppgifter och personlig integritet. Personuppgifter får därför föras över fritt utan begränsningar inom detta område. Eftersom det inte finns några generella regler som ger motsvarande garantier utanför EU och EES har man ansett att överföring till länder utanför EU och EES (så kallad tredjelandsöverföring) bara får ske under särskilda förutsättningar. För sådan överföring gäller därför särskilda regler, se artikel 44-50 i Dataskyddsförordningen. Ett personuppgiftsbiträde får endast använda tredjelandsöverföring efter skriftliga instruktioner från den personuppgiftsansvarige om inte behandlingen krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av.

Registerförteckning

Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga enligt Dataskyddsförordningen att föra ett register över sina behandlingar av personuppgifter. Vad som ska finnas med i förteckningen framgår uttryckligen av Dataskyddsförordningen, se artikel 30 i Dataskyddsförordningen.

Konsekvensbedömning och förhandssamråd

Ibland kan den som behandlar personuppgifter, dvs. såväl personuppgiftsbiträdet som den personuppgiftsansvarige, behöva göra en konsekvensbedömning avseende dataskydd. I Dataskyddsförordningen anges när sådant krav förekommer, se artikel 35 Dataskyddsförordningen. Så kan t.ex. vara fallet när man utvärderar eller poängsätter människor såsom vid ett kreditupplysningsföretag eller ett företag som profilerar internetanvändare, om man behandlar personuppgifter i stor omfattning, om man kombinerar personuppgifter från två eller flera behandlingar på ett sätt som den registrerade inte förväntar sig, t.ex. när man samkör register, eller om man behandlar personuppgifter på ett sätt som hindrar de registrerade från att få tillgång till en tjänst eller ingå ett avtal, t.ex. när en bank granskar sina kunder mot en databas för kreditupplysning för att besluta om de ska erbjudas lån. Målet är att minimera riskerna vid sådana behandlingar av personuppgifter som innebär en hög risk. Om man ändå anser att det finns hög risk med personuppgiftsbehandlingen ska man rådgöra med Datainspektionen innan man får påbörja behandlingen, se artikel 36 om förhandssamråd.

Krav på rapportering vid dataintrång och andra personuppgiftsincidenter

Om det inträffar något som riskerar att personuppgifter hamnar i orätta händer måste det nu rapporteras till Datainspektionen. En personuppgiftsincident (”personal data breach”) ska enligt huvudregeln anmälas till Datainspektionen av den personuppgiftsansvariga inte senare än 72 timmar efter det att man har fått vetskap om incidenten. Ett personuppgiftsbiträde som får kännedom om en personuppgiftsincident ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått kännedom om incidenten.

Dataskyddsombud

Alla som behandlar personuppgifter och som omfattas av Dataskyddsförordningen, d.v.s. även personuppgiftsbiträden, måste göra en egen bedömning av om de behöver ett dataskyddsombud, se särskilt artiklarna 37-39 i Dataskyddsförordningen och de därtill relaterade bestämmelserna. Det kan förekomma att ett personuppgiftsbiträde behöver ett dataskyddsombud även om dess uppdragsgivare inte behöver dataskyddsombud. Så kan t.ex. vara fallet om personuppgiftsbiträdet har många liknande kunder och behandlar stora mängder personuppgifter från många olika kunder.

Uppförandekoder och certifieringsmekanismer

De som behandlar personuppgifter kommer att kunna ansluta sig till en uppförandekod för att visa att man följer bestämmelserna i Dataskyddsförordningen. En uppförandekod är riktlinjer för hur en viss verksamhet, bransch eller samhällssektor ska behandla personuppgifter i enlighet med Dataskyddsförordningen och kan tas fram av t.ex. en branschorganisation. Uppförandekoder ska godkännas av och registreras hos Datainspektionen. Ett godkännande kan inte ske förrän Dataskyddsförordningen har trätt i kraft den 25 maj 2018. I Dataskyddsförordningen nämns även att certifieringar, sigill och märkningar för dataskydd kommer att kunna användas för att visa att man följer bestämmelserna i Dataskyddsförordningen.

Sanktioner

Dataskyddsförordningen innehåller bestämmelser om administrativa sanktionsavgifter, vilka har till syfte att säkerställa att reglerna i Dataskyddsförordningen följs. Sanktionsavgifterna kan uppgå till     20 miljoner euro eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. Därutöver gäller att varje medlemsland inom EU har möjlighet att besluta om andra sanktioner för överträdelse av Dataskyddsförordningen.

Resurs Banks arbete med Dataskyddsförordningen – i stora drag

Resurs Bank arbetar för närvarande med att se över sin verksamhet för att se till att den uppfyller de krav som ställs i Dataskyddsförordningen. I detta arbete ingår bl.a. att banken kommer att komplettera den information om behandling av personuppgifter som finns i eller i anslutning till ansökningar, avtal och villkor för bankens tjänster. Banken ser också över sina personuppgiftsbiträdesavtal för att se till att dessa uppfyller kraven i Dataskyddsförordningen och har utsett ett dataskyddsombud som ska säkerställa att banken följer Dataskyddsförordningen.

 

För mer information, v.g. se framförallt kapitel IV om Personuppgiftsansvarig och personuppgiftsbiträde i Dataskyddsförordningen och Datainspektionens information om Dataskyddsförordningen https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/.

Om du har några frågor, är du välkommen att kontakta oss, GDPR@resurs.se.