Många företagare i Göteborg vet att GDPR gäller dem, men färre har faktiskt på plats de dokument och rutiner som lagen kräver. Resultatet är ofta en falsk trygghet – tills ett dataintrång sker eller Integritetsskyddsmyndigheten hör av sig. Den här artikeln ger dig konkret vägledning kring de tre delarna som tillsynsmyndigheten granskar mest: personuppgiftsbiträdesavtal, registerförteckningar och hur IMY:s praxis faktiskt ser ut i praktiken. För en bredare genomgång av juridiken som gäller ditt företag, se Företagsjuridik i Göteborg.
Varför räcker det inte att bara acceptera GDPR?
GDPR är inte ett dokument du signerar en gång – det är ett löpande ansvar. Dataskyddsförordningen ställer krav på att du som personuppgiftsansvarig aktivt kan visa att du följer reglerna, ett princip som kallas inbyggd ansvarsskyldighet. Det räcker alltså inte att ha goda avsikter. Du behöver dokumentation.
För ett litet eller medelstort företag i Göteborg innebär detta i praktiken tre saker: tecknade biträdesavtal med alla leverantörer som hanterar personuppgifter å dina vägnar, en uppdaterad registerförteckning och interna rutiner som faktiskt följs. Det är just dessa tre punkter som IMY återkommer till i sina tillsynsbeslut.
Personuppgiftsbiträdesavtal – vad ska ingå?
Varje gång ditt företag anlitar en extern aktör som behandlar personuppgifter för din räkning – ett lönesystem, en molntjänst, ett marknadsföringsverktyg – krävs ett skriftligt personuppgiftsbiträdesavtal. Det gäller oavsett om leverantören sitter i Göteborg, Stockholm eller Dublin.
Avtalet ska enligt artikel 28 i GDPR minst reglera:
- Ändamålet och varaktigheten för behandlingen
- Vilken typ av personuppgifter och kategorier av registrerade som berörs
- Att biträdet bara behandlar uppgifter på din dokumenterade instruktion
- Säkerhetsåtgärder som ska vidtas
- Regler för anlitande av underbiträden
- Vad som händer med uppgifterna när avtalet upphör
Ett vanligt misstag är att acceptera leverantörens standardavtal utan att kontrollera att det faktiskt uppfyller dessa krav. Många teknikbolag erbjuder avtal som ser ut att vara GDPR-kompatibla men saknar viktiga delar – exempelvis klara instruktioner om radering eller rutiner vid personuppgiftsincidenter. Är du osäker på hur du ska bedöma ett sådant avtal, se Så väljer du rätt affärsjurist i Göteborg för råd om hur du hittar rätt juridisk kompetens i Göteborgsregionen.
Registerförteckning – praktisk guide
Artikel 30 i GDPR kräver att de flesta organisationer för ett register över sina behandlingar av personuppgifter. Undantaget för företag med färre än 250 anställda är snävare än många tror – det gäller bara om behandlingen inte utgör en risk för den registrerade, inte sker regelbundet eller inte omfattar känsliga uppgifter. I praktiken behöver de flesta företag en registerförteckning.
En fungerande registerförteckning innehåller för varje behandling:
- Vem som är ansvarig inom företaget
- Vad syftet med behandlingen är
- Vilka kategorier av personuppgifter som behandlas
- Vilka som tar del av uppgifterna (interna mottagare och externa biträden)
- Om uppgifter överförs till tredje land
- Hur länge uppgifterna sparas
- Vilka säkerhetsåtgärder som används
Förteckningen ska inte vara ett statiskt dokument. När du inför ett nytt system, byter leverantör eller ändrar ett arbetsflöde behöver den uppdateras. Sätt gärna en påminnelse om en årlig genomgång.
IMY:s praxis – vad tillsynsmyndigheten faktiskt kontrollerar
Integritetsskyddsmyndigheten (IMY) har under de senaste åren utfärdat ett antal tillsynsbeslut som ger vägledning om vad som prioriteras. Tre mönster återkommer:
Brister i biträdesavtal. IMY har i flera ärenden konstaterat att avtal med leverantörer antingen saknas helt eller innehåller bristande reglering av underbiträden. Påföljden kan vara en administrativ sanktionsavgift, men IMY ger i enklare fall ofta en formell anmärkning med krav på åtgärd inom viss tid.
Otydliga rättsliga grunder. Särskilt inom marknadsföring ser IMY ofta att företag behandlar personuppgifter utan att kunna redogöra för vilken rättslig grund de stödjer sig på – samtycke, avtal eller berättigat intresse.
Överträdelser vid tredjelandsöverföringar. Efter EU-domstolens Schrems II-dom 2020 har IMY skärpt sin granskning av hur företag hanterar överföringar av personuppgifter till länder utanför EU/EES, exempelvis via amerikanska molntjänster.
IMY publicerar sina tillsynsbeslut på sin webbplats och det är väl investerad tid att ta del av dem, särskilt inom din bransch.
Kom igång – en enkel prioriteringsordning
Känns det överväldigande? Börja med det mest akuta:
- Lista alla leverantörer som hanterar personuppgifter åt dig och kontrollera om biträdesavtal finns.
- Sätt upp en enkel registerförteckning, gärna i ett kalkylblad, och fyll i era viktigaste behandlingar.
- Kontrollera er integritetspolicy – stämmer den med hur ni faktiskt behandlar uppgifter?
- Ta ställning till hur ni hanterar en personuppgiftsincident och se till att rutinen är känd internt.
Om din verksamhet hanterar känsliga personuppgifter, driver en e-handelssajt med många kunder eller nyligen upplevt ett dataintrång, bör du överväga professionell juridisk hjälp. Precis som när du förhandlar om ett Kommersiella hyresavtal i Göteborg eller upprättar ett Aktieägaravtal för göteborgsbaserade bolag kan rätt juridisk rådgivning spara både tid och kostsamma misstag längre fram.
GDPR-arbete är inte ett projekt med ett slutdatum – det är en del av hur ett seriöst företag hanterar sin relation till kunder, anställda och samarbetspartners. Med rätt struktur på plats behöver det varken vara komplicerat eller tidskrävande att hålla ordning.