Dataskyddsförordningen (GDPR) är inte längre något nytt för organisationer, men ändå frågar sig många fortfarande: vad innebär GDPR i praktiken? För att få en bättre bild av hur GDPR påverkar din organisation kommer vi att i detta blogginlägg ta en titt på tidigare tillsyner och hur reglerna tolkas av de vars jobb det är att ge ut GDPR böter. Genom tillsynerna kan vi bl.a. lära oss mer om hur vi själva undviker att hamna i trubbel och vad vi bör fokusera på i vårt dagliga arbete med GDPR. I det här blogginlägget kommer vi även gå igenom de viktigaste lärdomarna från IMY:s senaste tillsyner från 2022–2021 och hur du kan använda dig av dessa lärdomar i praktiken för att stärka ditt arbete med GDPR.
Varför det är viktigt för din organisation att ha koll på de senaste tillsynerna från IMY
Det svenska tillsynsorganet Integritetsskyddsmyndigheten (IMY), tidigare känt som Datainspektionen, har i uppdrag att granska att bestämmelserna i dataskyddsförordningen (GDPR) följs i Sverige. Detta gör de genom att utföra tillsyner på organisationer som bland annat har anmälts för brott mot GDPR. De flesta anmälningar sker när en personuppgiftsincident har inträffat, och rapporteras vanligtvis via IMY:s egna hemsida. De beslut som IMY tar vid avslutade tillsyner kan variera från reprimand och varningar till böter som kan kosta organisationer upp till 4% av deras årliga omsättning.
Oavsett vilket beslut IMY tar angående vad för straff som ska ges för brott mot GDPR, kan deras beslut avslöja hur de tolkar GDPR:s principer och regler.
Till i stort sett varje beslut publicerar IMY en rapport om deras utredning och vad deras beslut grundar sig i. Under de två senaste åren har de sammanlagt publicerat 20 tillsynsbeslut och rapporter. Eftersom det kan vara ganska tidskrävande att gå igenom alla beslut och rapporter på egen hand, har vi samlat ihop de viktigaste lärdomarna från IMY:s senaste och mest relevanta beslut, så att du enkelt kan ta del av dem.
Tre områden att hålla extra koll på
Baserat på de 20 tillsynsrapporterna har vi identifierat tre huvudområden med nya insikter som kan hjälpa din organisation att efterleva GDPR. De tre områdena är:
IMY ansåg att bristfällighet vad gäller en eller flera av dessa områden förekom i hela 19 av de 20 tillsynerna. Vilket är varför vi har valt att fokusera på dem i det här inlägget. Här nedan kommer vi gå igenom varje område för sig och presentera våra insikter om vad som i praktiken krävs för att efterleva GDPR.
Hantering av personuppgifter
Principen om öppenhet - Var extra tydlig
Det här må vara en väldigt grundläggande princip inom GDPR, men de senaste tillsynerna visar oss att många fortfarande kämpar med att få det rätt. Så här kommer en snabb påminnelse. Som de flesta säkert redan är medvetna om måste organisationer vara öppna med vad för uppgifter de samlar in och varför. De måste även informera om vad deras rättsliga grund för insamlingen är. Därutöver ska organisationer alltid informera om individers rätt till korrigering, tillgång eller radering av personuppgifter. Slutligen ska organisationer även göra tydligt enskilda personers rätt att lämna klagomål ifall de upplever att deras personuppgifter inte hanteras i enlighet med GDPR.
Det räcker däremot inte att redogöra för detta och sedan pusta ut, lika viktigt är det att informationen redovisas på rätt sätt. Okej, så vad menas med rätt sätt?
Det är egentligen ganska enkelt. Informationen måste redogöras på ett klart och tydligt sätt, och i lätt tillgänglig form. Alltså på ett sätt så att en okunnig kan förstå vad de egentligen ger samtyckte till när de godkänner insamlingen av deras uppgifter.
I många fall handlar det i grund och botten om att ha en tydlig och begriplig integritetspolicy som dina kunder lätt kan hänvisa till när de är tveksamma.
Lagring av personuppgifter
Utöver att informera om vad för personuppgifter din organisation samlar in, varför ni gör det och vad er rättsliga grund är, finns det annat att tänka på. Organisationen måste nämligen även informera om hur länge ni planerar att lagra informationen och ange hur ni har kommit fram till just den tidsperioden. IMY trycker på att valet av tidsperioden ska bygga på två saker:
Och även här gäller det att all information redovisas på ett väldigt tydligt sätt som är enkelt att förstå.
Genom att fastställa ramar för hur länge personuppgifter ska hanteras inom organisationen, garanterar du att GDPR:s princip om dataminimering följs. Det hjälper dig även se till att du inte hanterar mer personuppgifter än nödvändigt.
I tillsynsbeslutet för Migrationsverket kan vi läsa om hur IMY anser att en brist av ramar vad gäller gallring av personuppgifter innebär en säkerhetsrisk. Fallet exemplifierar även vikten av att anta ett helhetsperspektiv när rutiner och tidsperioden för radering av personuppgifter bestäms.
Såklart finns det mycket att tänka på när du sätter upp rutiner för radering av personuppgifter. Här kan du läsa mer om hur processen av dataminimering kan se ut i praktiken, för att efterleva GDPR.
Överföring av personuppgifter
Vad gäller överföring av personuppgifter visar de senaste tillsynerna från IMY att vissa områden kan vara lite knepiga och kräva extra uppmärksamhet för att se till att alla personuppgifter behandlas på ett lagligt sätt.
Ett av de absolut vanligaste sätten att dela uppgifter på nu för tiden är genom e-postmeddelanden. I några av de senaste rapporterna där brott mot GDPR har skett, förtydligar IMY vad de förväntar sig när personuppgifter skickas ut via e-postmeddelanden.
Att skicka personuppgifter via e-postmeddelanden
Det mest grundläggande åtgärden som måste tas när personuppgifter eller annan känslig information skickas via e-post, är att både e-postmeddelandet och själva innehållet i meddelandet måste vara krypterat. Det här är för att ingen obehörig ska kunna få åtkomst till uppgifterna i e-postmeddelandet och för att skydda uppgifterna mot förlust, förstöring eller skada. Med andra ord anger reglerna i GDPR att det är din organisations uppgift att skydda personuppgifterna mot alla sorters potentiella risker.
Under en tillsyn som IMY utförde 2022 mot sjukhusstyrelsen i Uppsala, visade det sig att det här med kryptering kan vara mer komplicerat än vad man först tror. IMY:s utredning visade hur sjukhusstyrelsen använde kryptering när de skickade personuppgifter via e-post. Men krypteringstekniken de använde sig av fungerade däremot endast om mottagande e-postserver stödde just den teknik de använde. I de fall som tekniken inte stöddes blev e-postmeddelandena alltså inte krypterade. Vid en situation som den här dömer IMY att man inte har vidtagit tillräckligt lämpliga säkerhetsåtgärder för att skydda personuppgifterna.
Begäran och klagomål
Alla individer har rätt alla lämna klagomål när de upplever att någon behandlar deras personuppgifter i strid mot GDPR. Klagomål grundar sig ofta i att en individ har upplevt någon slags motgång från organisationens sida när de har försök att utnyttja sin rätt om rättelse eller radering av personuppgifter.
När organisationer tar emot en begäran från individer finns det vissa förväntningar från IMY om hur organisationen ska agera. Om dessa förväntningar inte möts är det mycket troligt att IMY kommer besluta att klagomålet bör resultera i böter för organisationen.
Vad organisationer förväntas göra när de mottar en begäran
Som tur är har det blivit lite tydligare vad som förväntas av organisationer genom några av de senaste tillsynsbesluten:
-
Organisationer har en skyldighet att hantera begäran, till exempel om att radera personuppgifter, utan dröjsmål. I de flesta fall förväntar sig IMY att ärendet ska hanteras inom en månad, men i vissa fall kan denna period förlängas med två månader. Förlängningen kan till exempel godkännas om en begäran är särskilt komplicerad eller om antalet inkomna begäran är väldigt högt.
-
Organisationer måste underlätta processen av en begäran. I en tillsyn mot Spotify AB kunde man till exempel se hur denna punkt inte uppnåddes. I tillsynen ansåg IMY att företaget hade ett tekniskt system som var omständligt när individer begärde rättelse av sina personuppgifter.
-
Organisationer måste informera den som har lämnat en begäran eller klagomål om vad som händer med personuppgifterna. Så när du exempelvis har ändrat eller raderat personuppgifterna i fråga måste du se till att meddela detta till individen.
Det är även värt att nämna att IMY förväntar sig att organisationer ska ha rutiner på plats för att upptäcka begäran från individer. I en tillsyn IMY utförde på Rebtel Networks AB kom det fram att anställda var osäkra på vad som räknades som en begäran. Eftersom en begäran kan ske på olika sätt kan det vara svårt för anställda att alltid hantera ärendet på rätt sätt. För att säkerställa bättre rutiner för att ta emot begäran från individer anser IMY att organisationer bör vidta åtgärder såsom utbildning av medarbetare.
Säkerhetsrutiner och riktlinjer
Ett vanligt tema som ofta dyker upp i tillsynerna från 2022 och 2021 är att IMY har funnit bristfällighet i hur organisationerna har arbetat för att säkerställa en lämplig säkerhetsnivå för personuppgifter. I synnerhet påpekar IMY att det är varje organisations skyldighet att ha rutiner och riktlinjer på plats för att skydda personuppgifter, till exempel från obehörig åtkomst.
Utifrån tillsynerna blir det även tydligt att IMY lägger lika mycket vikt vid att säkerhetsrutinerna faktiskt lever upp till deras syfte. Med andra ord, din organisation måste inte endast ha säkerhetsrutiner på plats, du måste även se till att de följs.
Glöm inte bort den mänskliga faktorn
Här är det viktigt att komma ihåg att säkerhetsrutiner inte endast består av olika system, utan ofta involverar dem även dina medarbetare. Medarbetare spelar en viktig roll i ditt arbete med GDPR och IT-säkerhet, särskilt med tanke på att den mänskliga faktorn har under flera år varit är den vanligaste orsaken bakom personuppgiftsincidenter. Att ha en stark säkerhetskultur kan därmed vara avgörande för att efterleva GDPR.
I tillsynsbesluten för Region Uppsala och Tullverket från 2022 kan du läsa om två av fallen där IMY konstaterade att inte tillräckligt hade gjorts för att säkerhetsrutiner och riktlinjer följdes av alla i organisationen.
En tvåstegsprocess för att uppnå en lämplig säkerhetstvå
Som sammanfattning gör IMY det alltså tydligt att följande steg ska tas för att man ska kunna säga en lämplig säkerhetsnivå har säkerställts:
-
Skapa säkerhetsrutiner och riktlinjer som är anpassade till de risker som medföljer en viss situation
-
Vidta lämpliga åtgärder för att se till att rutinerna och riktlinjerna följs
“Åtgärder” är dock ett brett begrepp och kan innebära flera saker. Det kan till exempel behövas tekniska åtgärder i din organisation som begränsar risken för att instruktioner inte följs. En åtgärd som IMY regelbundet lyfter fram är utbildning.
Rådet är tydligt – Utbildning av medarbetare behövs
Vare sig det gäller rätt hantering av klagomål eller att säkerställa en lämplig säkerhetsnivå för att skydda personuppgifter är rådet från IMY tydligt: någon form av utbildning av anställda krävs.
Medarbetare i din organisation måste inte vara experter inom GDPR och personuppgiftshantering, men de måste ha tillräckligt med kunskaper för att följa rutiner och riktlinjer. Enligt IMY handlar det om att utbilda anställda så att de kan navigera olika situationer som involverar hantering av personuppgifter. IMY ser gärna även att det finns en medvetenhet bland anställda att behandlingen av personuppgifter kan innebära risker som kan få svåra konsekvenser både för organisationen och för den vars personuppgifter blir utsatta om en incident inträffar.
Kom ihåg att utbildning inte bör ses som en punkt i en checklista som kan kryssas av efter en enda engångsutbildning. I de flesta fall är det inte så enkelt. Det viktiga är att utbildningen faktiskt uppnår de resultat som IMY kollar efter. Därför kan det till exempel vara hjälpsamt att planera ett utbildningsprogram som är designat för djupgående lärande.
Slutord
Till sist vill vi lyfta fram att IMY förväntar sig att alla organisationer anmäler personuppgiftsincidenter. Om du eller någon annan i din organisation är tveksam till om en säkerhetsincident involverar personuppgifter eller inte, är det alltid smartast att anmäla incidenten för säkerhetens skull. Det är bäst både för din organisation, men också för de personer vars personuppgifter som kan vara inblandande.
Vi rekommenderar även att hålla utkik efter nya tillsyner och beslut på IMY:s hemsida, för att få de senaste insikterna om vad GDPR innebär i praktiken för dig och din organisation.
Det var allt för den här gången! Vi hoppas att du har lärt dig något nytt som kan hjälpa dig i ditt arbete med GDPR. Om du har några frågor om innehållet i det här blogginlägget eller annat relaterat till GDPR eller IT-säkerhet är du alltid mer än välkommen att kontakta oss via info@cyberpilot.io